Согласно постановлению Правительства РФ от 31.07.2014 N 758 организация должна передавать интернет-провайдеру данные о конечных пользователях Интернетом. Нужно ли получать у сотрудника согласие на передачу этих данных? Какова ответственность за непредоставление этих данных?
Нужно ли в целях передачи провайдеру сведений о том, кто из сотрудников организации пользуется Интернетом, предварительно получать их согласие на обработку персональных данных, рассказывают эксперты службы Правового консалтинга ГАРАНТ Татьяна Трошина и Максим Кудряшов.
Постановлением Правительства РФ от 31.07.2014 N 758 внесены изменения в Правила оказания услуг связи по передаче данных, утвержденные постановлением Правительства Российской Федерации от 23.01.2006 N 32 (далее - Правила N 32) и в Правила оказания телематических услуг связи, утвержденные постановлением Правительства Российской Федерации от 10.09.2007 N 575 (далее - Правила N 32). Указанные Правила N 32 и Правила N 575 приняты в соответствии с п. 2 ст. 44 Федерального закона от 07.07.2003 N 126-ФЗ "О связи" (далее - Закон о связи).
Так, в соответствии с п. 26.1 Правил N 32 и п. 22.1 Правил N 575 предусматривается обязанность предоставления оператору связи юридическим лицом либо индивидуальным предпринимателем списка лиц, использующих его пользовательское (оконечное) оборудование. Указанный список должен содержать сведения о лицах, использующих его пользовательское (оконечное) оборудование (фамилия, имя, отчество (при наличии), место жительства, реквизиты основного документа, удостоверяющего личность), и обновляться не реже одного раза в квартал.
В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). По сути, это любые сведения, с помощью которых можно определить (идентифицировать) субъекта персональных данных, что в полной мере согласуется с положениями ст. 2 Конвенции о защите физических лиц при автоматизированной обработке персональных данных, заключенной государствами - членами Совета Европы 28.01.1981 (вступила в силу для РФ 01.09.2013).
Согласно ст. 86 ТК РФ обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами (ст. 88 ТК РФ).
По общему правилу обработка персональных данных может осуществляться с согласия субъекта персональных данных (п. 1 ч. 1 ст. 6 Закона N 152-ФЗ). Однако как следует из ст. 6, ч.ч. 2, 3 ст. 9 Закона N 152-ФЗ, при наличии оснований, предусмотренных п.п. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ, согласие субъекта персональных данных на их обработку не требуется. Так, в частности, обработка работодателем персональных данных без согласия работника допускается, если она необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона N 152-ФЗ).
Обязанность работодателя предоставить оператору связи список лиц, использующих пользовательское (оконечное) оборудование оператора, предусмотрена Законом о связи, Правилами N 32, Правилами N 575. Таким образом, обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством РФ на оператора обязанностей. Следовательно, по нашему мнению, после внесения в договор об оказании услуг связи соответствующих изменений предоставление вышеуказанного списка оператору связи в силу п. 2 ч. 1 ст. 6 Закона N 152-ФЗ не требует получения согласия работников.
В соответствии с п. 3 ст. 44 Закона о связи в случае нарушения пользователем услугами связи требований, установленных Законом о связи, правилами оказания услуг связи или договором об оказании услуг связи, оператор связи имеет право приостановить оказание услуг связи до устранения нарушения. В случае неустранения такого нарушения в течение шести месяцев со дня получения пользователем услугами связи от оператора связи уведомления в письменной форме о намерении приостановить оказание услуг связи оператор связи в одностороннем порядке вправе расторгнуть договор об оказании услуг связи. Таким образом, в случае если организация не предоставит оператору связи список лиц, использующих пользовательское (оконечное) оборудование оператора, то оператор имеет право приостановить оказание услуг связи, а по истечении шести месяцев вправе расторгнуть договор об оказании услуг связи.
В заключение отметим, что в настоящее время законодательством не установлена административная, уголовная или иная ответственность за непредоставление оператору связи списка лиц, использующих пользовательское (оконечное) оборудование оператора.
С текстами документов, упомянутых в ответе экспертов, можно ознакомиться в справочной правовой системе ГАРАНТ .
Какие сведения УК, ТСЖ, пользующиеся услугами мобильной связи, должны предоставлять с 01.06.2018 операторам связи? Чем чревато неисполнение данной обязанности?
Новая обязанность
Согласно абз. 1 п. 1 ст. 44 Федерального закона от 07.07.2003 № 126-ФЗ «О связи» (далее – Федеральный закон № 126-ФЗ) на территории РФ услуги связи оказываются операторами связи пользователям услуг связи на основании договора об оказании услуг связи, заключенного в соответствии с гражданским законодательством и правилами оказания услуг связи. (Пользователь услуг связи – это лицо, заказывающее и (или) использующее услуги связи.) Правила оказания услуг телефонной связи утверждены Постановлением Правительства РФ от 09.12.2014 № 1342.
На основании абз. 6 указанного пункта, введенного с 01.06.2018 Федеральным законом от 29.07.2017 № 245-ФЗ, услуги подвижной радиотелефонной связи предоставляются абоненту – юридическому лицу (ИП) и пользователю услуг связи такого абонента при условии подачи абонентом оператору связи достоверных сведений, в том числе о пользователях. Абонентом является лицо (например, УК или ТСЖ), заключившее договор на оказание услуг мобильной связи, пользователем услуг связи абонента – , пользующееся услугами сотовой связи по договору абонента, допустим, сим-картой, предоставленной УК или ТСЖ (это может быть работник организации, председатель ТСЖ, иное лицо).
Данные изменения, как указал Роскомнадзор, разработаны в целях более эффективного противодействия незаконной реализации сим-карт.
Порядок исполнения обязанности по предоставлению сведений
В абзаце 6 п. 1 ст. 44 Федерального закона № 126-ФЗ закреплено, что абонент – (ИП) предоставляет оператору связи сведения о пользователях услуг связи в соответствии с правилами оказания услуг связи. На этапе заключения договора на оказание услуг сотовой связи указанные сведения УК, ТСЖ подавать не нужно. Согласно п. 19 Правил оказания услуг телефонной связи лицо, уполномоченное на заключение договора в интересах юридического лица, направляет оператору связи документ, подтверждающий его полномочия на представление интересов юридического лица при заключении договора, свидетельство о государственной регистрации юридического лица или его нотариально удостоверенную копию.
В договоре, заключаемом в письменной форме с юридическим лицом, должны быть указаны следующие сведения и условия:
дата и место заключения договора;
наименование (фирменное наименование) оператора связи;
реквизиты расчетного счета оператора связи;
сведения об абоненте – наименование (фирменное наименование) организации, место нахождения (юридический адрес и адрес фактического нахождения), основной государственный регистрационный номер, ИНН;
адрес, порядок и способ предоставления счета за оказанные услуги телефонной связи;
срок обеспечения доступа к сети местной или подвижной связи.
Кроме того, в договоре фиксируются такие существенные условия, как:
абонентский номер (абонентские номера) или уникальный код идентификации (уникальные коды идентификации);
оказываемые услуги телефонной связи;
система оплаты услуг телефонной связи;
порядок, сроки и форма расчетов.
Как видим, данные о пользователях услуг связи абонента не числятся среди сведений, подлежащих обязательному указанию в договоре на оказание услуг связи.
Информация о том, каким образом обязанность по передаче сведений о пользователях должна быть исполнена абонентом, изложена в пп. «г» п. 25 Правил оказания услуг телефонной связи.
Итак, абонент обязан ежеквартально подавать оператору связи заверенный надлежащим образом список лиц, использующих оборудование абонента – юридического лица, содержащий фамилии, имена, отчества, места жительства, реквизиты документов, удостоверяющих личности этих лиц. Сведения о новых пользователях (в случае изменения фактических пользователей оборудования юридического лица) должны быть предоставлены оператору связи не позднее 15 дней со дня, когда об этом стало известно.
На основании подготовленного Минкомсвязью проекта о внесении изменений в Правила оказания услуг телефонной связи сведения, скорее всего, нужно будет предоставлять оператору связи в течение месяца со дня заключения договора об оказании услуг (при передаче сим-карты новому пользователю – в течение 15 дней).
Или старая обязанность?
Обратим внимание, что обязанность абонента, озвученная в пп. «г» п. 25 Правил оказания услуг телефонной связи, существует с момента начала действия этих правил – с 15.01.2015. Однако УК, ТСЖ, не выполнявшие обязанность по предоставлению сведений о пользователях услуг связи до 01.06.2018, действовали правильно, если у них не было согласия пользователей на передачу персональных данных. Персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Статьей 7 этого закона предусмотрено следующее.
К сведению: операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Таким образом, передача персональных данных физических лиц – пользователей услуг связи абонента в отсутствие на то их согласия находилась под запретом. Ограничение снято. На основании абз. 7 п. 1 ст. 53 Федерального закона № 126-ФЗ, введенного Федеральным законом № 245-ФЗ, не нужно получать согласие пользователя услуг связи абонента – юридического лица (ИП) для передачи его персональных данных оператору связи.
Предоставленные сведения недостоверны
Обновленным п. 6 ст. 44 Федерального закона № 126-ФЗ на операторов связи возложена обязанность осуществлять проверку достоверности сведений не только об абоненте, но и о пользователях услуг связи абонента – юридического лица (ИП). Проверка проводится путем установления фамилии, имени, отчества (при наличии), даты рождения, а также других данных документа, удостоверяющего личность пользователя услуг связи. Для этого оператору связи обеспечен доступ к Единой системе идентификации и аутентификации (Федеральная государственная информационная система «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме», ЕСИА), Единому порталу государственных и муниципальных услуг, другим информационным системам государственных органов. Срок, в течение которого оператор связи проверяет достоверность полученных сведений о пользователях услуг связи, не установлен. Проектом изменений на это отводятся 30 дней с момента получения данных от абонентов.
Если в результате проверки достоверность предоставленных сведений о пользователях услуг связи абонента не подтверждается, оператор связи приостанавливает оказание услуг связи в порядке, установленном Правилами оказания услуг телефонной связи.
Сведения о пользователях не предоставлены
Пунктом 3 ст. 44 Федерального закона № 126-ФЗ оператору связи предоставлено право приостанавливать оказание услуг связи в случае нарушения пользователем услуг связи требований, установленных указанным законом, правилами оказания услуг связи или договором об оказании услуг связи до устранения нарушения. В Правилах оказания услуг телефонной связи данная норма, по сути, продублирована: оператор связи вправе приостановить оказание абоненту только тех услуг телефонной связи, в отношении которых этим абонентом допущены нарушения требований, установленных Федеральным законом № 126-ФЗ, настоящими правилами и договором (п. 44). Из закона также следует, что оператор связи должен уведомить в письменной форме пользователя услуг связи о планируемом приостановлении оказания услуг связи. В свою очередь, если пользователь не устранит нарушение в течение шести месяцев со дня получения уведомления, оператор связи вправе в одностороннем порядке расторгнуть договор об оказании услуг связи.
Таким образом, если УК, ТСЖ (абоненты) не предоставят оператору связи данные о пользователях услуг связи, оператор может приостановить оказание услуг. В будущем ситуация может измениться, поскольку согласно проекту изменений приостановление оказания услуг телефонной связи в случае неисполнения абонентом обязанности по предоставлению сведений о пользователях – это уже обязанность оператора связи.
Также нужно учитывать, что при неисполнении обязанности абонентом – юридическим лицом по передаче оператору связи данных о пользователях оплата услуг подвижной радиотелефонной связи осуществляется только в форме безналичных расчетов посредством перечисления денежных средств с расчетных счетов такого абонента. То есть недопустимы. Это следует из п. 6 ст. 54 Федерального закона № 126-ФЗ, действие которого распространяется также на отношения, возникшие из договоров, заключенных до дня вступления в силу Федерального закона № 245-ФЗ, то есть до 01.06.2018.
Если УК или ТСЖ заключают (имеют заключенный) с оператором связи договор на оказание услуг мобильной связи, они должны предоставить ему сведения о пользователях услуг связи – физических лицах, использующих услуги связи по договору абонента – УК или ТСЖ. Данная обязанность является безусловной с 01.06.2018. Если ее проигнорировать, оператор связи может приостановить оказание услуг связи, при этом сами услуги связи должны оплачиваться только в безналичной форме. Услуги связи также не будут оказываться, если оператор связи после проверки предоставленных сведений о пользователях услуг связи абонента обнаружит их недостоверность.
Отметим еще один важный момент. Государственная Дума в первом чтении 15.09.2017 приняла проект федерального закона № 181342-7, на основании которого в КоАП РФ может появиться статья, предусматривающая ответственность за непредоставление или несвоевременное предоставление абонентом – юридическим лицом или ИП сведений о пользователях услуг связи оператору связи. Так, за непредоставление или несвоевременное предоставление данных юридическое лицо предложено штрафовать на сумму от 50 000 до 70 000 руб., при повторном нарушении – от 100 000 до 200 000 руб.
После принятия Постановлений Правительства РФ от 31.07.2014 N 758 "О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей" (далее - Постановление N 758) и от 12.08.2014 N 801 "О внесении изменений в некоторые акты Правительства Российской Федерации" (далее - Постановление N 801) изменились:
Правила оказания универсальных услуг связи (далее - Правила N 241);
Правила оказания услуг связи по передаче данных (далее - Правила N 32);
Правила оказания телематических услуг связи (далее - Правила N 575) -
(указанные Правила утв. Постановлениями Правительства РФ от 21.04.2005 N 241, от 23.01.2006 N 32, от 10.09.2007 N 575 соответственно).
Так, теперь оказание универсальных услуг связи по передаче данных и предоставлению доступа к сети Интернет с использованием пунктов коллективного доступа осуществляется оператором универсального обслуживания после проведения идентификации пользователей (абз. 1 п. 3(1) Правил оказания услуг связи).
Напомним, что оператор связи - юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии (п. 12 ст. 2 Федерального закона от 07.07.2003 N 126-ФЗ "О связи", далее - Закон о связи).
Оператор универсального обслуживания - оператор связи, который оказывает услуги связи в сети связи общего пользования и на которого возложена обязанность по оказанию универсальных услуг связи (п. 13 ст. 2 Закона о связи).
К универсальным услугам связи относятся оказываемые с использованием средств коллективного доступа или точек доступа (п. 1 ст. 57 Закона о связи):
Услуги телефонной связи с использованием таксофонов, многофункциональных устройств, информационных киосков (инфоматов) и аналогичных устройств;
Услуги по передаче данных и предоставлению доступа к Интернету с использованием средств коллективного доступа;
Услуги по передаче данных и предоставлению доступа к Интернету с использованием точек доступа.
Средство коллективного доступа - оконечное оборудование, предназначенное для предоставления неограниченному кругу лиц возможности пользования услугами связи с использованием пользовательского оборудования абонента или без него (п. 28.3 ст. 2 Закона о связи).
Точка доступа - средство коллективного доступа, предназначенное для предоставления неограниченному кругу лиц возможности пользования услугами связи по передаче данных и предоставлению доступа к Интернету с использованием пользовательского оборудования абонента (п. 28.4 ст. 2 Закона о связи).
Постановление N 758 устанавливает, что идентификация пользователя осуществляется оператором универсального обслуживания путем установления фамилии, имени, отчества пользователя, подтверждаемых документом, удостоверяющим личность (абз. 2 п. 3(1) Правил N 241).
Примечание. Большинство операторов связи уже включили в типовые договоры условия о представлении списка сотрудников, использующих рабочий Интернет.
Однако работодателю следует помнить о том, что передача оператору связи персональных данных сотрудников без их согласия - это нарушение требований ст. 88 ТК РФ и Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных". Именно поэтому надо проверить, получено ли согласие работников на обработку их персональных данных.
Постановлением N 801 установлены дополнительные способы идентификации клиентов, в том числе путем определения номеров сотовых телефонов (абз. 2 п. 3(1) Правил N 241), т.е. у оператора связи есть выбор способа определения пользователя. Если заключается срочный договор об оказании разовых услуг по передаче данных либо разовых телематических услуг связи в пунктах коллективного доступа, то оператор связи также осуществляет идентификацию пользователей и используемого ими оборудования (абз. 1 п. 24(1) Правил N 32, абз. 1 п. 17(1) Правил N 575).
Примечание. В случае если договор на оказание услуг связи заключен до принятия рассматриваемых изменений, никаких действий можно не предпринимать, в том числе не требуется перезаключать уже имеющиеся договоры.
В Постановлениях не прописано никаких переходных положений, а также того, что их действие распространяется на отношения, возникшие из ранее заключенных договоров (что, впрочем, не помешало ряду операторов связи уже разослать уведомления и дополнительные соглашения к договорам).
Оператор связи перед предоставлением интернет-доступа вправе предложить пользователю ввести номер своего мобильного телефона, на который будет направлен соответствующий код, либо пользователь может указать фамилию, имя и отчество, которые подтверждаются учетной записью на Едином портале государственных услуг, документом, удостоверяющим личность, или иным способом, не противоречащим законодательству.
Сведения о пользователях (Ф.И.О., реквизиты документа, удостоверяющего личность), которым были оказаны услуги связи с использованием пунктов коллективного доступа, а также об объеме и времени услуг хранятся оператором не менее 6 месяцев (п. 9 Правил N 241). В случае если точка доступа Wi-Fi установлена оператором связи, он должен отправить пользователю СМС с запросом на получение идентификационных данных или предложить специальную форму для указания данных перед открытием доступа в Интернет.
В случае если точка доступа Wi-Fi установлена частным лицом, никаких обязанностей в связи с изменениями у него не появится.
Следует отметить, что у работодателей появилась новая обязанность - представление оператору связи списка лиц, использующих пользовательское (оконечное) оборудование (п. 26(1) Правил N 32 и п. 22(1) Правил N 575).
Пользовательское оборудование (оконечное оборудование) - это технические средства для передачи и (или) приема сигналов электросвязи по линиям связи, подключенные к абонентским линиям и находящиеся в пользовании абонентов или предназначенные для таких целей (п. 10 ст. 2 Закона о связи), т.е. модемы, роутеры, мобильные телефоны и т.д.
Указанный список должен содержать следующие сведения:
Фамилию, имя, отчество (при наличии);
Место жительства;
Реквизиты основного документа, удостоверяющего личность (паспорта).
Список заверяется работодателем. Срок представления списка указывается в договоре между оператором и работодателем, но не реже раза в квартал.
Пример оформления списка лиц приведен в образце.
Образец
Список лиц, использующих пользовательское (оконечное) оборудование ООО "Фирма"
Фамилия, имя, отчество |
Место проживания |
Реквизиты документа, удостоверяющего личность |
|
Иванов Александр Петрович |
127221, г. Москва, просп. Мира, д. 33, кв. 10 |
Паспорт 4555 123456, выд. ОВД "Северное Медведково" 11.11.2003 |
|
Разуваева Анна Ильинична |
140800, Московская обл., г. Дмитров, ул. Чекистская, д. 5, кв. 2 |
Паспорт 4608 599987, выд. отделом УФМС России по Московской области в Дмитровском районе 11.04.2009 |
|
Юрьева Надежда Павловна |
Летом Правительство РФ внесло существенные изменения в ряд нормативных актов по вопросам использования интернета. Постановление Правительства от 31.07.2014 № 758 привело не только к очередному скандалу в интернет-среде, но и прибавило хлопот отечественным организациям. Так, в их адрес от провайдеров в стали приходить письма с неоднозначными требованиями, явно противоречащими закону.
В своих письмах провайдеры требуют от абонентов - организаций и предпринимателей предоставления списка работников, пользующихся интернетом на своем рабочем месте. Причем с указанием фамилии, имени, отчества, места жительства, а также данных паспорта. Данный список должен быть заверен уполномоченным представителем юридического лица либо индивидуальным предпринимателем, и обновляться не реже одного раза в квартал.
Читатели Клерк.Ру не согласны
С предложением обсудить на сайте подобные требования операторов связи в редакцию Клерк.Ру обратилась сотрудница компании, в чей адрес как раз и было направлено похожее письмо. В письме содержалась просьба провайдера подписать дополнительное соглашение к договору на предоставление услуг связи и раскрыть персональные данные всех сотрудников компании, пользующихся данными услугами. Подписать допсоглашение руководство предприятия отказалось, сославшись на то, что обязанность в предоставлении оператору связи юридическим лицом списка лиц, использующих его пользовательское оборудование, противоречит ФЗ от 27.07.2006 г №152-ФЗ «О персональных данных».Отказ компании был мотивирован следующим. В силу данного закона (статья 5) обработка персональных данных должна осуществляться на законной и справедливой основе. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Кроме того, обработка персональных данных осуществляется с согласия субъекта персональных данных.
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, а в поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке. В свою очередь лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
“Таким образом, Вы не одно из вышеперечисленных норм закона не выполнили и данные запрашиваемые Вами не могут быть предоставлены”, - заключает руководство компании в ответе на письмо провайдера.
Обязаны или нет
Представляется, что все подобные требования не соответствуют нормам законодательства и могут просто игнорироваться работодателями. Без каких бы то ни было последствий (никаких санкций за это не предусмотрено).Действительно, по новым правилам в договоре с абонентом - юридическим лицом либо индивидуальным предпринимателем, предусматривается обязанность предоставления оператору связи списка лиц, использующих его пользовательское (оконечное) оборудование, и устанавливается срок предоставления указанного списка, а также устанавливается, что указанный список должен содержать сведения о лицах, использующих его пользовательское (оконечное) оборудование. В частности, об этом гласит Постановление Правительства РФ от 23.01.2006г №32 «Об утверждении правил оказания услуг связи по передаче данных» (пункта 26.1) и Постановление Правительства РФ от 10.09.2007г №575 «Об утверждении правил оказания телематических услуг связи» (пункт 22.2).
Между тем, если допустить, что данные нормы касаются именно работодателей, придется признать, что внесенные изменения противоречат действующему федеральному законодательству, которое подобной обязанности не содержит. Более того, Трудовой кодекс РФ прямо запрещает разглашать персональные сведения сотрудников организаций.
В статье 88 кодекса указывается, что работодатель не должен не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных федеральными законами ( , как известно, не являются федеральными законами).
Также работодатель должен осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись, и разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций. Поэтому, на наш взгляд, нововведения , а не всех работодателей поголовно.
Как на самом деле
Во-первых, здесь необходимо понимать, для чего именно были внесены поправки в правила предоставления услуг связи. Во-вторых, следует различать случаи, на которые данные изменения распространяют свою силу, и те, на которые нет. Начнем сначала. Изменения были внесены с целью борьбы с преступлениями, совершаемыми с использованием интернета (те же самые заведомо ложные сообщения о терроризме), и повышения эффективности расследования данных преступлений. В указанных целях законодатель и определил перечень субъектов, обязанных о конечных пользователях.Наверное, многие помнят шумиху, поднятую прессой и общественностью по поводу недавних странных публикаций с общим заголовком “Выход в интернет через Wi-Fi теперь будет строго по паспортам”. Так вот это именно тот самый случай. Собственно, именно с целью устновления контроля над пользователями интернета по Wi-Fi и были приняты нововведения. Как известно, проверить в случае необходимости работодателей не представляет особого труда. Даже если в компании работает несколько сотен сотрудников. Другое дело - проверить аэропорт, парк, кинотеатр и прочие места массового скопления пользователей интернета. Не имея данных о пользователях, раскрыть преступление в данном случае не представляется возможным.
Итак, кто же станет отчитываться перед провайдерами за пользователей интернета. В принципе уже сам закон “О связи” приводит перечень таких коллективных пунктов доступа. Так, по закону в каждом поселении должно быть установлено не менее чем одно средство коллективного доступа для оказания услуг телефонной связи с обеспечением бесплатного доступа к экстренным оперативным службам.
В поселениях с населением не менее чем пятьсот человек должно быть установлено не менее чем одно средство коллективного доступа для оказания услуг по передаче данных и предоставлению доступа к информационно-телекоммуникационной сети "Интернет" без использования пользовательского оборудования абонента. В населенных пунктах с населением от двухсот пятидесяти до пятисот человек, в которых установлено средство коллективного доступа для оказания услуг телефонной связи, должна быть установлена не менее чем одна точка доступа.
Львиная доля пунктов коллективного доступа приходится на отделения Почты России - в настоящее время их насчитывается порядка 21 тысячи по всей стране. Это что касается универсальных услуг связи. Между тем, изменения в подзаконные акты не исчерпываются универсальными услугами и охватывают еще и телематические услуги связи. Поэтому в список обязанных попадут (должны попасть) организации, где налажена раздача интернета по Wi-Fi.
Однако, новые правила отнюдь не означают, что в ближайшем будущем с посетителей кафе и ресторанов станут требовать предъявления паспортов и другой конфиденциальной информации. Скорее всего, для доступа в интернет потребуется лишь номер мобильного телефона - как известно, с недавнего времени сим-карты продаются исключительно по паспортам.
Поэтому проблем в данной части возникнуть по идее не может. Проблемы могут возникнуть именно с предоставлением бесплатного интернета в местах общего пользования. Сама по себе связь по Wi-Fi стоит копейки. Но вот другое Постановление Правительства Российской Федерации - от 31 июля 2014 г. N 759 г. обязывает организации хранить данные о пользователях и их интернет-соединениях. Приобретение же оборудования, позволяющего может вылиться в копеечку, что заставит кафе и бары пересмотреть свои взгляды на бесплатный интернет для посетителей.
Про "вайфаи" и паспорта
Граждане России очень не любят читать законы, зато очень любят смотреть телевизор и паниковать. Это нормально - далеко не все являются экспертами в области юриспруденции. Досадно, что экспертами не являются ни чиновники в основной массе, раздающие невнятные "толкования" законодательной инициативы, ни (поголовно) журналисты, которым лишь "жареные факты" подавай. Пример с запретом персональных данных - подтверждение тому, что и среди экспертов в области ИБ нет единого мнения относительно происходящего. Читатели могут возразить почти классической фразой: "не может быть, чтобы все вокруг были не правы, а ты, Волков, один прав". Что ж, в этот раз - я не один: вместе с Михаилом Емельянниковым мы обсудили "вайфай-истерию", внимательно прочитали постановление Правительства РФ №758 от 31.07.2014 и сопутствующие нормативные акты, и пришли к следующим выводам.
Предположим, что вы - учредитель общества с ограниченной ответственностью, которое владеет кафе, и у вашего ООО есть договор с оператором связи на "предоставление доступа к информационным системам телекоммуникационных сетей, в том числе к сети Интернет". В кафе вы установили несколько беспроводных точек доступа: в кабинетах - для ваших рабочих компьютеров, в зале - для клиентов с личными устройствами и публичных компьютеров (вы приобрели и установили их для тех, у кого нет личных устройств). Таким образом, у вас есть две категории пользователей - ваши сотрудники и клиенты заведения, использующие две категории устройств - личные и служебные (принадлежащие ООО). Внимание, вопрос: кого из них нужно пускать в Интернет по паспорту, и нужно ли это делать вообще?
Пункт 1 ПП-758 вносит изменения в " Правила оказания универсальных услуг связи ", согласно которым "оказание универсальных услуг связи по передаче данных и предоставлению доступа к сети Интернет с использованием пунктов коллективного доступа осуществляетсяоператором универсального обслуживания после проведения идентификации пользователей ". Журналисты, а следом - и граждане, конечно, зацепились за текст, выделенный жирным шрифтом, совершенно не вдаваясь в подробности, кто такой "оператор универсального обслуживания", что такое "пункт коллективного доступа", какое отношение к этим определениям имеет кафе и его владелец и распространяются ли на него "Правила оказания универсальных услуг связи". Но мы с вами, конечно, вдадимся и посмотрим в ст. 57 и 58 Федерального закона "О связи" . Посмотрим и почитаем, и вот к чему придем.
Пункт (точка) коллективного доступа - это место, которое специальным образом организовано для предоставления универсальных услуг связи населению (телефония, информационные киоски, передача данных, Интернет и т.д.). Оператор универсального обслуживания, имеющий, помимо лицензии, еще несколько условий для того, чтобы считаться таковым, оказывает универсальные услуги связи, на него и распространяются "Правила оказания универсальных услуг связи". Является ли кафе "пунктом коллективного доступа" или "точкой доступа"? Нет, потому что его организовал не "оператор универсального обслуживания" для оказания "универсальных услуг связи", а вы - индивидуальный предприниматель, в своих личных интересах, и на вас п. 1 ПП-758 не распространяется . О чем, собственно, и говорили некоторые СМИ , в пылу страстей не замеченные большинством "паникеров".
Однако расслабляться рано: в ПП-758 есть еще п. 2 и 3, которые вносят изменения в " Правила оказания услуг связи по передаче данных " и " Правила оказания телематических услуг связи ". Оба этих документа распространяются на операторов связи, имеющих соответствующие лицензии. Хотя интернет, "телематические услуги связи" и "передача данных" в понимании "технаря", что называется, "одного поля ягоды" - лицензируются они по-разному. Однако и в том, и в другом случае оператор связи теперь обязан идентифицировать пользователя даже при "разовом" подключении но, опять же - в пункте коллективного доступа .
Расслабились? Снова рано. Помимо идентификации абонента в ПКД, изменения предписывают оператору внести изменения в договора на предоставление услуг передачи данных и телематических услуг связи, к которым относится Интернет. Поэтому, в ближайшем будущем вам, учредителю ООО, имеющего договор с оператором, придет дополнительное соглашение, в котором будет присутствовать пункт приблизительно следующего содержания:
"Заказчик обязан не реже одного раза в квартал предоставлять Исполнителю заверенный уполномоченным представителем Заказчика список лиц, использующих пользовательское (оконечное) оборудование Заказчика , включая фамилию, имя, отчество (при наличии), место жительства, реквизиты основного документа, удостоверяющего личность ".
Получается, что идентификации пользователей по паспорту не избежать? Давайте разбираться. Что такое "пользовательское (оконечное) оборудование"? В "Правилах...", ссылки на которые приведены выше, приведены два определения. Для услуги передачи данных:
"абонентский терминал" - пользовательское (оконечное) оборудование, используемое абонентом и (или) пользователем для подключения к узлу связи сети передачи данных с помощью абонентской линии
Значит, пользовательское (оконечное) оборудование - это "абонентский терминал". Идем дальше - в телематические услуги связи:
"абонентский терминал" - совокупность технических и программных средств, применяемых абонентом и (или) пользователем при пользовании телематическими услугами связи для передачи, приема и отображения электронных сообщений и (или) формирования, хранения и обработки информации, содержащейся в информационной системе
Таким образом, пользовательское (оконечное) оборудование - это то, с помощью чего пользователь передает, принимает и отображает электронные сообщения, хранит, формирует и обрабатывает информацию. Иными словами - это планшеты, смартфоны, ПК и все то, что способно выполнять эти действия. Получается, в этот "список лиц" должны попасть все, кто пользуются таким оборудованием? Нет - только те, кто пользуется оконечным оборудованием ЗАКАЗЧИКА. Относится ли беспроводная точка доступа к пользовательскому (оконечному) оборудованию? Конечно, нет - да и сами регулятор об этом говорит .
Как мы выяснили ранее, у нас есть две категории пользователей - сотрудники и посетители, и две категории устройств - личные и служебные. Составим матрицу "попадания в список лиц":
- посетитель с личным устройством - НЕТ
- сотрудник с личным устройством - НЕТ
- сотрудник со служебным устройством - ДА
- посетитель со служебным устройством - ДА
Читайте законы, друзья - не ленитесь. Это куда полезнее и конструктивнее, чем паниковать, возмущаться и распространять панику вокруг себя.