Пересылка персональных данных по электронной почте
Подборка наиболее важных документов по запросу Пересылка персональных данных по электронной почте (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).
Судебная практика
Определение Шестого кассационного суда общей юрисдикции от 18.04.2024 по делу N 88-9086/2024 (УИД 43RS0002-01-2023-000914-71)
Категория спора: Защита прав и интересов работника.
Требования работника: 1) О взыскании премий; 2) О взыскании оплаты за вынужденный прогул; 3) О взыскании компенсации морального вреда; 4) Об изменении основания увольнения; 5) О признании незаконным увольнения в связи с разглашением охраняемой законом тайны.
Обстоятельства: По мнению истца, увольнение является незаконным, поскольку факт передачи файла третьим лицам в ходе проведения внутренней проверки не установлен, как и режим соблюдения коммерческой тайны на работе, также ответчиком не в полном объеме произведен расчет при увольнении.
Решение: 1) Отказано; 2) Отказано; 3) Отказано; 4) Отказано; 5) Отказано.Также судом установлено, что 10 января 2023 года Т. переслал со служебной электронной почты на свою личную электронную почту <данные изъяты> файл формата Excell (Переменка 2020.xls", где содержались данные о клиентах компании (288 записей), о сделках (132 записи), о поставщиках (42 записи) и персональные данные (свыше 300 записей) физических лиц, что подтверждается служебной запиской руководителя группы информационной безопасности ФИО, а также объяснительной Т. от 11 февраля 2023 года, где он подтверждает факт пересылки файла.
Категория спора: Защита прав и интересов работника.
Требования работника: 1) О взыскании премий; 2) О взыскании оплаты за вынужденный прогул; 3) О взыскании компенсации морального вреда; 4) Об изменении основания увольнения; 5) О признании незаконным увольнения в связи с разглашением охраняемой законом тайны.
Обстоятельства: По мнению истца, увольнение является незаконным, поскольку факт передачи файла третьим лицам в ходе проведения внутренней проверки не установлен, как и режим соблюдения коммерческой тайны на работе, также ответчиком не в полном объеме произведен расчет при увольнении.
Решение: 1) Отказано; 2) Отказано; 3) Отказано; 4) Отказано; 5) Отказано.Также судом установлено, что 10 января 2023 года Т. переслал со служебной электронной почты на свою личную электронную почту <данные изъяты> файл формата Excell (Переменка 2020.xls", где содержались данные о клиентах компании (288 записей), о сделках (132 записи), о поставщиках (42 записи) и персональные данные (свыше 300 записей) физических лиц, что подтверждается служебной запиской руководителя группы информационной безопасности ФИО, а также объяснительной Т. от 11 февраля 2023 года, где он подтверждает факт пересылки файла.
Определение Третьего кассационного суда общей юрисдикции от 02.10.2024 N 88-18062/2024 (УИД 11RS0001-01-2023-015634-26)
Категория спора: Защита прав и интересов работника.
Требования работника: О признании незаконным решения о привлечении к дисциплинарной ответственности.
Обстоятельства: Истец указал, что вмененного дисциплинарного проступка не совершал, ответчиком неверно истолкованы нормы материального права.
Решение: Дело направлено на новое рассмотрение.Суд апелляционной инстанции, соглашаясь с выводами суда первой инстанции и их правовым обоснованием, вместе с тем, указал в апелляционном определении, что в соответствии с требованиями 3, 7 Федерального закона "О персональных данных" пересылка персональных данных по незащищенным каналам связи без согласия на это лица является нарушением законодательства в области персональных данных. Вместе с тем, поскольку нотариус Л. привлечен не к административной, а к дисциплинарной ответственности, то исходя из предмета спора отправление истцом ФИО2 на адрес его электронной почты проекта <данные изъяты>, содержащего персональные данные сторон договора, не свидетельствует о нарушении пунктов 10.2.1, 10.2.5 Кодекса профессиональной этики нотариусов в Российской Федерации, поскольку указанное действие не означает безусловного нарушения нотариусом правил совершения нотариальных действий и их тайны.
Категория спора: Защита прав и интересов работника.
Требования работника: О признании незаконным решения о привлечении к дисциплинарной ответственности.
Обстоятельства: Истец указал, что вмененного дисциплинарного проступка не совершал, ответчиком неверно истолкованы нормы материального права.
Решение: Дело направлено на новое рассмотрение.Суд апелляционной инстанции, соглашаясь с выводами суда первой инстанции и их правовым обоснованием, вместе с тем, указал в апелляционном определении, что в соответствии с требованиями 3, 7 Федерального закона "О персональных данных" пересылка персональных данных по незащищенным каналам связи без согласия на это лица является нарушением законодательства в области персональных данных. Вместе с тем, поскольку нотариус Л. привлечен не к административной, а к дисциплинарной ответственности, то исходя из предмета спора отправление истцом ФИО2 на адрес его электронной почты проекта <данные изъяты>, содержащего персональные данные сторон договора, не свидетельствует о нарушении пунктов 10.2.1, 10.2.5 Кодекса профессиональной этики нотариусов в Российской Федерации, поскольку указанное действие не означает безусловного нарушения нотариусом правил совершения нотариальных действий и их тайны.
Статьи, комментарии, ответы на вопросы
Готовое решение: Как организации защитить конфиденциальную информацию
(КонсультантПлюс, 2025)Чтобы надежно защитить конфиденциальную информацию, вам нужно принять целый комплекс мер, причем не только правового, но и организационного, а также технического характера. Например, хранить документы в сейфах, установить видеонаблюдение в отдельных помещениях, вести журнал учета документов, использовать шифрование при пересылке по электронной почте, ограничить доступ в Интернет и заблокировать USB-разъемы на компьютерах отдельных сотрудников и т.п.
(КонсультантПлюс, 2025)Чтобы надежно защитить конфиденциальную информацию, вам нужно принять целый комплекс мер, причем не только правового, но и организационного, а также технического характера. Например, хранить документы в сейфах, установить видеонаблюдение в отдельных помещениях, вести журнал учета документов, использовать шифрование при пересылке по электронной почте, ограничить доступ в Интернет и заблокировать USB-разъемы на компьютерах отдельных сотрудников и т.п.
Статья: Правовое регулирование использования биометрических технологий органами государственной власти
(Челышева Н.Ю.)
("Администратор суда", 2024, N 4)Вместе с тем механизм защиты прав граждан при использовании биометрических и иных идентификационных технологий к настоящему моменту представляется несовершенным. Справедливо отмечено, что в описанном деле школы, "несмотря на наличие очевидно большого количества несовершеннолетних пострадавших субъектов персональных данных, наказание было назначено однократно" <10>. Примечательно, что в другом деле о нарушении правил обработки биометрических персональных данных университетом суд привлек оператора к административной ответственности пять раз в рамках одного инцидента. Представители университета провели в гимназии тестирование учащихся, чтобы выявить их способности и склонности к тем или иным профессиям. При этом они использовали специальное оборудование для сканирования пальцев рук. Результаты тестирования, которые содержали индивидуальные результаты биометрического теста, организаторы затем выслали обучающимся на электронную почту. Данные действия были проведены без получения согласия на обработку биометрических данных. Ключевое отличие от дела пермской школы состоит в том, что в деле университета суд по жалобам родителей обучающихся привлек к ответственности в каждом случае отдельно. Всего было вынесено пять Постановлений по делам об административных правонарушениях по ч. 1 ст. 13.11 КоАП РФ на общую сумму 150 000 руб. <11>
(Челышева Н.Ю.)
("Администратор суда", 2024, N 4)Вместе с тем механизм защиты прав граждан при использовании биометрических и иных идентификационных технологий к настоящему моменту представляется несовершенным. Справедливо отмечено, что в описанном деле школы, "несмотря на наличие очевидно большого количества несовершеннолетних пострадавших субъектов персональных данных, наказание было назначено однократно" <10>. Примечательно, что в другом деле о нарушении правил обработки биометрических персональных данных университетом суд привлек оператора к административной ответственности пять раз в рамках одного инцидента. Представители университета провели в гимназии тестирование учащихся, чтобы выявить их способности и склонности к тем или иным профессиям. При этом они использовали специальное оборудование для сканирования пальцев рук. Результаты тестирования, которые содержали индивидуальные результаты биометрического теста, организаторы затем выслали обучающимся на электронную почту. Данные действия были проведены без получения согласия на обработку биометрических данных. Ключевое отличие от дела пермской школы состоит в том, что в деле университета суд по жалобам родителей обучающихся привлек к ответственности в каждом случае отдельно. Всего было вынесено пять Постановлений по делам об административных правонарушениях по ч. 1 ст. 13.11 КоАП РФ на общую сумму 150 000 руб. <11>
Нормативные акты
Постановление Конституционного Суда РФ от 26.10.2017 N 25-П
"По делу о проверке конституционности пункта 5 статьи 2 Федерального закона "Об информации, информационных технологиях и о защите информации" в связи с жалобой гражданина А.И. Сушкова"13 января 2016 года департаментом корпоративной защиты ЗАО "Стройтрансгаз" были получены данные о несанкционированной передаче информации ограниченного доступа с рабочего стационарного компьютера директора департамента по договорно-правовой работе на его личный адрес электронной почты. Как было установлено в ходе проведенной по этому факту служебной проверки, А.И. Сушков систематически направлял с корпоративного адреса электронной почты на свой адрес электронной почты служебные и локальные нормативные документы, относящиеся к служебной (конфиденциальной) информации, а также персональные данные сотрудников, пересылка которых была расценена работодателем как разглашение охраняемой законом тайны. 1 февраля 2016 года А.И. Сушков был уволен на основании подпункта "в" пункта 6 части первой статьи 81 Трудового кодекса Российской Федерации, предусматривающего возможность расторжения трудового договора работодателем в случае однократного грубого нарушения работником трудовых обязанностей, выразившегося в разглашении им охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей ему известной в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника.
"По делу о проверке конституционности пункта 5 статьи 2 Федерального закона "Об информации, информационных технологиях и о защите информации" в связи с жалобой гражданина А.И. Сушкова"13 января 2016 года департаментом корпоративной защиты ЗАО "Стройтрансгаз" были получены данные о несанкционированной передаче информации ограниченного доступа с рабочего стационарного компьютера директора департамента по договорно-правовой работе на его личный адрес электронной почты. Как было установлено в ходе проведенной по этому факту служебной проверки, А.И. Сушков систематически направлял с корпоративного адреса электронной почты на свой адрес электронной почты служебные и локальные нормативные документы, относящиеся к служебной (конфиденциальной) информации, а также персональные данные сотрудников, пересылка которых была расценена работодателем как разглашение охраняемой законом тайны. 1 февраля 2016 года А.И. Сушков был уволен на основании подпункта "в" пункта 6 части первой статьи 81 Трудового кодекса Российской Федерации, предусматривающего возможность расторжения трудового договора работодателем в случае однократного грубого нарушения работником трудовых обязанностей, выразившегося в разглашении им охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей ему известной в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника.
Распоряжение ОАО "РЖД" от 30.01.2023 N 175/р
"Об утверждении Порядка обслуживания клиентов в Центре фирменного транспортного обслуживания - филиале ОАО "РЖД"4) Работник обязан сохранять информацию конфиденциального характера. Запрещается передавать третьим лицам личные данные клиентов и их представителей (номера телефонов, копии личных документов и т.д.). Использование конфиденциальной информации возможно только в рамках решения профессиональных задач.
"Об утверждении Порядка обслуживания клиентов в Центре фирменного транспортного обслуживания - филиале ОАО "РЖД"4) Работник обязан сохранять информацию конфиденциального характера. Запрещается передавать третьим лицам личные данные клиентов и их представителей (номера телефонов, копии личных документов и т.д.). Использование конфиденциальной информации возможно только в рамках решения профессиональных задач.
Статья: Проблемы защиты прав граждан при использовании технологий распознавания лиц органами государственной власти
(Челышева Н.Ю.)
("Право и цифровая экономика", 2023, N 4)Примечательно, что в другом деле о нарушении правил обработки биометрических персональных данных университетом суд привлек оператора к административной ответственности пять раз в рамках одного инцидента. Представители университета провели в гимназии тестирование учащихся, чтобы выявить их способности и склонности к тем или иным профессиям. При этом они использовали специальное оборудование для сканирования пальцев рук. Результаты тестирования, которые содержали индивидуальные результаты биометрического теста, организаторы затем выслали обучающимся на электронную почту.
(Челышева Н.Ю.)
("Право и цифровая экономика", 2023, N 4)Примечательно, что в другом деле о нарушении правил обработки биометрических персональных данных университетом суд привлек оператора к административной ответственности пять раз в рамках одного инцидента. Представители университета провели в гимназии тестирование учащихся, чтобы выявить их способности и склонности к тем или иным профессиям. При этом они использовали специальное оборудование для сканирования пальцев рук. Результаты тестирования, которые содержали индивидуальные результаты биометрического теста, организаторы затем выслали обучающимся на электронную почту.
Тематический выпуск: Трудовые отношения: вопросы и ответы
(под ред. А.В. Брызгалина)
("Налоги и финансовое право", 2024, N 5)Вопрос 5: Обязаны ли отправлять ответ на электронную почту, указанную в требовании, или необходимо выслать документы с описью на юридический адрес службы?
(под ред. А.В. Брызгалина)
("Налоги и финансовое право", 2024, N 5)Вопрос 5: Обязаны ли отправлять ответ на электронную почту, указанную в требовании, или необходимо выслать документы с описью на юридический адрес службы?
Статья: Биометрическая идентификация и права человека: демаркационная линия
(Афанасьев С.Д., Терещенко И.А., Яцкевич Д.А.)
("Закон", 2022, N 3)Интересно отметить: в деле о нарушении правил обработки биометрических персональных данных университетом "Синергия" суд привлек оператора к административной ответственности пять раз в рамках одного инцидента. Представители университета 28 октября 2019 года провели в гимназии N 2 г. Красногорска тестирование учащихся, чтобы выявить их способности и склонности к тем или иным профессиям. При этом они использовали специальное оборудование для сканирования пальцев рук. Результаты тестирования, которые содержали индивидуальные результаты биометрического теста, организаторы затем выслали обучающимся на электронную почту. Данные действия были проведены без получения согласия на обработку биометрических данных. Ключевое отличие от дела пермской школы "Мастерград" состоит в том, что в деле университета "Синергия" суд по жалобам родителей обучающихся привлек к ответственности в каждом случае отдельно <19>. Всего было вынесено пять постановлений по делам об административных правонарушениях на общую сумму 150 000 руб. Основанием для привлечения к ответственности стала ч. 1 ст. 13.11 КоАП РФ.
(Афанасьев С.Д., Терещенко И.А., Яцкевич Д.А.)
("Закон", 2022, N 3)Интересно отметить: в деле о нарушении правил обработки биометрических персональных данных университетом "Синергия" суд привлек оператора к административной ответственности пять раз в рамках одного инцидента. Представители университета 28 октября 2019 года провели в гимназии N 2 г. Красногорска тестирование учащихся, чтобы выявить их способности и склонности к тем или иным профессиям. При этом они использовали специальное оборудование для сканирования пальцев рук. Результаты тестирования, которые содержали индивидуальные результаты биометрического теста, организаторы затем выслали обучающимся на электронную почту. Данные действия были проведены без получения согласия на обработку биометрических данных. Ключевое отличие от дела пермской школы "Мастерград" состоит в том, что в деле университета "Синергия" суд по жалобам родителей обучающихся привлек к ответственности в каждом случае отдельно <19>. Всего было вынесено пять постановлений по делам об административных правонарушениях на общую сумму 150 000 руб. Основанием для привлечения к ответственности стала ч. 1 ст. 13.11 КоАП РФ.
"Научно-практический постатейный комментарий к Федеральному закону "О персональных данных"
(2-е издание, переработанное и дополненное)
(Савельев А.И.)
("Статут", 2021)3. Под действие комментируемой нормы подпадает любая обработка персональных данных, осуществляемая для целей продвижения товаров, работ, услуг на рынке посредством использования средств электронной почты, смс-сообщений, телефонной связи, почтовой связи и иных средств связи, предполагающих прямой контакт с субъектом персональных данных. Исходя из буквального толкования ч. 1, положение об использовании средств связи для осуществления прямых контактов с потребителем относится именно к способу продвижения товаров (работ) услуг, а не к способу обработки персональных данных. Из этого можно сделать вывод о том, что она распространяется не только на действия по пересылке соответствующих сообщений, но и на все иные виды обработки, связанные с продвижением товаров, работ, услуг, в частности на сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование таких данных. Следовательно, комментируемая норма распространяется и на случаи обработки персональных данных потенциальных клиентов средствами аналитики "больших данных", и на деятельность по профайлингу, если впоследствии на основе результатов такой обработки осуществляется прямой маркетинг. В частности, данная статья будет применима к маркетингу с использованием разного рода технических решений семейства Next Best Action ("маркетинг следующего наилучшего действия"), которые представляют собой инструменты предиктивной аналитики, позволяющие с учетом множества факторов, характерных для данного конкретного клиента, определить наиболее эффективное дальнейшее действие или предложение для него.
(2-е издание, переработанное и дополненное)
(Савельев А.И.)
("Статут", 2021)3. Под действие комментируемой нормы подпадает любая обработка персональных данных, осуществляемая для целей продвижения товаров, работ, услуг на рынке посредством использования средств электронной почты, смс-сообщений, телефонной связи, почтовой связи и иных средств связи, предполагающих прямой контакт с субъектом персональных данных. Исходя из буквального толкования ч. 1, положение об использовании средств связи для осуществления прямых контактов с потребителем относится именно к способу продвижения товаров (работ) услуг, а не к способу обработки персональных данных. Из этого можно сделать вывод о том, что она распространяется не только на действия по пересылке соответствующих сообщений, но и на все иные виды обработки, связанные с продвижением товаров, работ, услуг, в частности на сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование таких данных. Следовательно, комментируемая норма распространяется и на случаи обработки персональных данных потенциальных клиентов средствами аналитики "больших данных", и на деятельность по профайлингу, если впоследствии на основе результатов такой обработки осуществляется прямой маркетинг. В частности, данная статья будет применима к маркетингу с использованием разного рода технических решений семейства Next Best Action ("маркетинг следующего наилучшего действия"), которые представляют собой инструменты предиктивной аналитики, позволяющие с учетом множества факторов, характерных для данного конкретного клиента, определить наиболее эффективное дальнейшее действие или предложение для него.
Статья: Идет исполнение договора - нужны ли согласия ответственных представителей контрагента на обработку их персональных данных?
(Журавлев А.В.)Следовательно, оценка каждой ситуации обработки данных о e-mail с т.з. Закона N 152-ФЗ должна быть индивидуальной. Так, если контрагент попросил высылать заявки на отгрузку товара на адрес ivanov@yandex.ru с пометкой "для Иванова", то обработка персональных данных не наступает. Напротив, если, скажем, получена комбинация "главный кладовщик компании ХХХ Мещерякова Зинаида Владленовна mesheryakova.zinaida.v@xxx.ru", то нужно иметь в виду, есть вероятность риска со стороны РКН оценки этой комбинации как ПД.
(Журавлев А.В.)Следовательно, оценка каждой ситуации обработки данных о e-mail с т.з. Закона N 152-ФЗ должна быть индивидуальной. Так, если контрагент попросил высылать заявки на отгрузку товара на адрес ivanov@yandex.ru с пометкой "для Иванова", то обработка персональных данных не наступает. Напротив, если, скажем, получена комбинация "главный кладовщик компании ХХХ Мещерякова Зинаида Владленовна mesheryakova.zinaida.v@xxx.ru", то нужно иметь в виду, есть вероятность риска со стороны РКН оценки этой комбинации как ПД.