Распространение персональных данных

Утечки, распространение персональных данных без согласия субъектов, непринятие мер для защиты от несанкционированного доступа — все это может обернуться миллионными штрафами и репутационными потерями. Чтобы избежать нарушений и защитить компанию, нужно знать, какие данные можно распространять и на каком основании. Разбираем ключевые правила и риски.

Что считается распространением ПДн

Распространение персональных данных (ПДн) — это раскрытие информации о субъекте (физлице) неопределенному кругу лиц (ст. 3 ФЗ №152-ФЗ). Не стоит путать этот термин с передачей ПДн: в отличие от распространения, передача осуществляется строго конкретному лицу — организации или ИП.

Примеры распространения информации о персональных данных:

1. Публикация на сайте компании или в соцсетях ФИО, должности и фотографии сотрудника.
2. Размещение сведений о сотруднике в печатных изданиях.
3. Отправка ПДн студентов в общий чат группы.

В результате таких действий сведения о субъекте ПДн могут получить лица, список которых оператор не будет знать.

Важно! Для распространения ПДн нужно письменное согласие субъекта. Оно оформляется отдельно от остальных согласий (ст.10.1 ФЗ №152-ФЗ). Если же речь идет о специальных категориях данных, на их распространение тоже нужно получить разрешение исключительно в письменном виде.

Какие данные допускаются для распространения

Перечень персональных данных, разрешенных для распространения, субъект определяет самостоятельно. Они обязательно указываются в согласии, которое оформляется в письменном или электронном виде (ст. 10.1 ФЗ №152-ФЗ).

Чаще всего распространяются ФИО, номера телефонов, адреса работы и должности субъектов. Но не стоит забывать, что оператор может получать только те данные, которые нужны для целей обработки, в том числе и распространения.

Правила распространения ПДн

При распространении персданных оператор должен соблюдать требования ст. 10.1 ФЗ №152-ФЗ:

1. Отдельное согласие на публикацию данных. Оно должно быть оформлено отдельно от остальных согласий. Компания (оператор) обязана четко указать, какие именно сведения собирается распространять (например, только имя и должность, но не адрес или паспортные данные).
   Если человек сам выложил свои данные в открытый доступ, но не давал компании официального согласия на их использование, то любой, кто потом распространяет эти данные, должен сам доказать, что делает это законно.
2. Если данные утекли из-за взлома или аварии, то любой, кто использует или распространяет эти ПДн, отвечает за их законность.
3. Если в согласии нет явного разрешения на публикацию, компания может работать с этими ПДн, но не распространять.
   Если в согласии не указаны ограничения (какие данные оператор не вправе публиковать, компания может хранить и использовать их, но не распространять.
   Если человек разрешил публиковать свои данные, но не уточнил, какие именно или не установил запреты (например, “не показывать мой адрес”), то компания может хранить и использовать эти ПДН, но не вправе передавать их кому-либо или выкладывать в открытый доступ.
4. Молчание или бездействие субъекта еще не означает, что он согласен на обработку ПДн, разрешенных для распространения.
5. Информация об условиях обработки ПДн и о запретах должна быть опубликована оператором не позднее трех рабочих дней с момента получения согласия.
6. Запреты на передачу, установленные согласием, не распространяются на случаи обработки ПДн в общественных, государственных и иных публичных интересах.
7. Субъект ПДн вправе потребовать в любой момент прекратить распространение данных. При получении письменного требования действие согласия прекращается, а оператор обязан удалить сведения в течение трех рабочих дней.

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Штрафы для оператора

Оператора могут привлечь к нескольким видам ответственности за незаконное распространение персональных данных в зависимости от ситуации:

1. Уголовная по ст. 137 УК РФ, если распространены сведения о частной жизни, представляющие личную или семейную тайну. Максимальное наказание — лишение свободы на срок до пяти лет.
2. Административная по ч.6 ст. 13.11 КоАП РФ, если оператор не защитил ПДн в бумажных документах, в результате чего они были распространены. ИП могут оштрафовать на сумму до 40 000 рублей, организацию — до 100 000 рублей.

Если ПДн распространены по вине сотрудника компании, руководитель вправе привлечь его к дисциплинарной ответственности: сделать замечание, выговор, или уволить.

Обратите внимание: с 30 мая 2025 года штрафы за нарушения ФЗ №152-ФЗ увеличиваются в десятки раз. Так, с указанной даты за неправомерное распространение сведений оператора могут оштрафовать на сумму до 15 млн рублей.

Заключение

Сбор, хранение и распространение персональных данных требует обязательного соблюдения законов. Ошибки могут дорого стоить — от штрафов до уголовной ответственности. Чтобы сократить риски, всегда получайте согласие, четко определяйте границы распространения и оперативно реагируйте на запросы субъектов. Только так получится защитить себя и сохранить доверие клиентов.