Закон «О персональных данных» (Закон от 27.07.2006 № 152-ФЗ) предписывает всем юрлицам проводить обработку персональных данных с учетом определенных требований. Это необходимо, чтобы обеспечить защиту прав и свобод человека, в том числе для защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Давайте разберемся, что такое в принципе персональные данные. И учитывая, что любая организация сталкивается с обработкой персональных данных своих работников, посмотрим, какие требования предъявляются к обработке персональных данных в трудовых отношениях.
Персональные данные – это …
Понятие «персональные данные» приведено в ст. 3 Закона от 27.07.2006 № 152-ФЗ. Это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Что можно отнести к персональным данным:
- фамилия, имя, отчество;
- пол;
- возраст;
- образование, квалификация;
- место жительства;
- семейное положение, наличие детей;
- факты биографии и предыдущая трудовая деятельность;
- прочие сведения, которые могут идентифицировать человека.
Отметим, что Роскомнадзор разъяснял, что сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 № 08КМ-3681). То есть организация, владеющая информацией о зарплате человека, обязана не раскрывать третьим лицам и не распространять эту информацию без согласия физлиц, если только иное не предусмотрено законом.
Что должен сделать работодатель, поскольку является оператором персональных данных, рассказала главный редактор журнала «Главная книга» Евгения Филимонова
Обновите / поменяйте браузер для просмотра видео
Посмотреть целиком вебинар «Бухгалтеру-кадровику посвящается: новшества-2025»
Далее поговорим о персональных данных работников, получать, обрабатывать и передавать которые вынуждена каждая организация-работодатель.
Какие документы содержат персональные данные работников
Персональные данные попадают в руки работодателей и при приеме на работу человека, и в процессе трудовой деятельности, и даже еще на этапе рассмотрения кандидатов, претендующих на работу в конкретной организации. Персональные данные содержатся в следующих документах:
- анкеты, автобиографии, которые заполняют соискатели при приеме на работу;
- копия паспорта;
- копии документов об образовании;
- копия СНИЛС;
- трудовой договор с работником;
- личная карточка Т-2 на работника;
- трудовая книжка работника;
- сведения о трудовой деятельности, которые заполняет организация при приме на работу человека, его увольнении, кадровых передвижениях;
- копии свидетельств о заключении или расторжении брака, свидетельств о рождении ребенка;
- документы воинского учета;
- кадровые приказы в отношении работника и т.д.
Обработка персональных данных работников
Обработка персональных данных – это любые действия (операции), совершаемые с персональными данными с использованием или без использования средств автоматизации. То есть это сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача, удаление и уничтожение персональных данных (ст. 3 Закона от 27.07.2006 № 152-ФЗ).
До того, как работодатель начнет обрабатывать персональные данные работников, он должен уведомить об этом Роскомнадзор (ч. 1 ст. 22 Закона от 27.07.2006 № 152-ФЗ). Форма уведомления о намерении осуществлять обработку персональных данных приведена в Приказе Роскомнадзора от 28.10.2022 № 180.
Подробнее об уведомлении Роскомнадзора читайте здесь.
Согласие на обработку персональных данных
И еще одно важное условие. По общему правилу обработка персональных данных производится с согласия физлица. Причем согласие должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона от 27.07.2006 № 152-ФЗ).
Более того, в определенных ситуациях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона от 27.07.2006 № 152-ФЗ), например при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Это, к примеру, ситуация, когда работодатель получает сведения о среднем заработке работника от СФР.
Можно включить согласие на обработку персональных данных в трудовой договор. Или оформить такое согласие в форме отдельного документа.
Подробнее о согласии мы рассказали в отдельной консультации.
По общему правилу работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, а также сообщать персональные данные работника в коммерческих целях без его письменного согласия (ст. 88 ТК РФ). Правда, в случае с обработкой и передачей персональных данных работников есть особенности.
Когда не требуется согласие на обработку персональных данных работников: разъяснения Роскомнадзора
Согласие не требуется в тех случаях, когда обработка необходима в целях исполнения заключенного с работником договора или возложенных на работодателя обязанностей (п. 2, 5 ч. 1 ст. 6 Закона от 27.07.2006 № 152-ФЗ).
По данному вопросу были следующие Разъяснения Роскомнадзора.
- Обработка персональных данных работника не требует получения согласия этого лица при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным Трудовым кодексом.
- Не требуется получение согласия на обработку персональных данных при обработке специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции в рамках трудового законодательства. В частности, речь идет об обработке персональных данных по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ).
- Не требуется согласие работника на передачу персональных данных работника третьим лицам в случаях, когда это предусмотрено Трудовым кодексом или иными федеральными законами. Так, в частности, работодатель обязан осуществлять обязательное социальное страхование работников. То есть передача персональных данных работников в Социальный фонд России может производиться без согласия работников.
Кроме того, работодатель в силу требований закона без согласия работника передает персональные данные работников в налоговые органы, военные комиссариаты, профсоюзные органы.
- Согласие работника не требуется при передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, например при его командировании.
- Передача персональных данных работника банкам, открывающим и обслуживающим платежные карты для начисления зарплаты, может производиться без его согласия в следующих случаях:
- договор на выпуск банковской карты заключается напрямую с работником и в тексте договора предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
- у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск банковской карты и ее последующем обслуживании;
- соответствующая форма и система оплаты труда (безналичным способом на банковские карты работника) прописана в коллективном договоре (ст. 41 ТК РФ).
3. Не требуется согласие работника при обработке персональных данных работника для пропускного режима на территорию служебных зданий и помещений работодателя, при условии, что работодатель сам организовал этот пропускной режим.
4. Если поступают запросы из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
Право работника на доступ к собственным персональным данным
Работники имеют право на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника (ст. 89 ТК РФ). В частности, работодатель обязан выдать работнику копии документов, связанных с работой (в частности, кадровых приказов), выписки из трудовых книжек, справки о зарплате, периодах работы в данной организации, сведения о трудовой деятельности по утвержденной форме СТД-Р и т.д. Срок – в течение 3-х рабочих дней со дня поступления заявления от работника (ст. 62, 66.1 ТК РФ).
Защита персональных данных работников
Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту данных от неправомерного их использования или утраты. То есть порядок хранения и использования персональных данных работников устанавливается самим работодателем (ст. 87 ТК РФ).
Безусловно, в процессе работы возникают ситуации, когда одним работникам нужны персональные данные других работников. Например, бухгалтер начисляет работникам зарплату и подает на них определенные сведения в ИФНС и СФР. То есть ему нужен доступ ко многим (почти всем) персональным данным всех работников. Руководителю отдела нужны данные о зарплате своих подчиненных для контроля за выполнением трудовых обязанностей. Руководителю могут понадобиться паспортные данные работников, на которых он выписывает доверенность.
Работодатель может разрешить доступ к персональным данным работников только специально уполномоченным лицам. Причем им должны быть доступны только те данные, которые необходимы для выполнения конкретных функций (ст. 88 ТК РФ). Конкретный перечень работников, которые имеют доступ к персональным данным других работников, должен быть установлен локальным нормативным актом организации и приказом организации. Как правило, такой локальный нормативный акт называют Положение об обработке и защите персональных данных.
Кроме того, с работниками, которые в силу своих должностных обязанностей имеют доступ к персональным данным других работников, надо подписать соглашение о неразглашении данных, которые им стали известны в ходе трудовой деятельности (п. 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 № 2).
Нужно ли менять трудовой договор при изменении персональных данных работника
Законодательно этот вопрос не урегулирован. Но, конечно, удобнее, когда трудовой договор содержит актуальные сведения. Поэтому можно заключить дополнительное соглашение к трудовому договору. В котором прописать изменившиеся персональные данные работника, например новую фамилию.
Ответственность за нарушения в области персональных данных
Работодатель, допустивший нарушения в области персональных данных, может быть привлечен к административной ответственности. Приведем размеры штрафов за некоторые нарушения (ст. 13.11 КоАП РФ).
А вот работника, который допустил нарушения при работе с персональными данными других работников, можно привлечь:
- к дисциплинарной ответственности (замечание, выговор, увольнение по соответствующему основанию);
- материальной ответственности (возмещение причиненного ущерба);
- гражданско-правовой ответственности;
- административной ответственности (ст. 13.14 КоАП РФ).
Вы также можете ознакомиться с подборкой статей по рассмотренному выше вопросу:
- «Должен» – «не должен» в работе с персональными данными;
- Персональные данные сотрудников: какие обязанности появились у работодателей;
- Как вести личные дела работников, не нарушив Закон о персональных данных.
директор юридического департамента ООО
«Пимпэй Касса»
Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр. Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах. Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.
В п. 1 ст. 3 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее – Закон № 152‑ФЗ) предусмотрено, что персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Как видно из приведенного определения, закон не содержит исчерпывающего перечня сведений, которые входят в круг персональных данных. Соответственно, в каждом случае необходимо определить, может ли та или иная информация быть отнесена к конкретному лицу. Поможет в этом анализ судебной практики.
«Классические» персональные данные
К «классическим» персональным данным относятся Ф.И.О. физического лица, ведь они позволяют его идентифицировать среди остальной массы людей, поэтому без согласия человека обработка таких персональных данных не допускается.
Судебная практика
Банки не могут распространять платежные карты с открытыми данными клиентов, а управляющие компании рассылать в открытом виде платежные документы, поскольку в таком случае персональные данные людей не защищены от случайного к ним доступа со стороны третьих лиц (апелляционное определение Самарского областного суда от 17.10.2019 № 33-12118/2019).
Помимо Ф.И.О. к числу персональных данных физического лица также относится и конкретный адрес его проживания, включающий город, улицу, номера дома и квартиры, а вот неполный адрес (без указания определенной квартиры) уже не позволяет установить конкретного субъекта персональных данных. В многоквартирном доме находится много квартир, поэтому такой общий адрес нельзя соотнести с конкретным человеком.
Судебная практика
Типичным нарушением со стороны управляющей компании, под управлением которой находится жилой дом, является размещение на входной двери, ведущей в подъезд, на стендах и в иных местах, открытых для всеобщего доступа, информации о наличии задолженности по оплате электроэнергии и коммунальных платежей в отношении конкретных граждан с указанием номеров их квартир. Указанные сведения относятся к частной жизни конкретных лиц, поэтому их разглашение будет считаться нарушением, что дает пострадавшему лицу право требовать взыскания денежной компенсации морального вреда на основании ст. 151 ГК РФ (решение Московского районного суда г. Калининграда от 19.04.2017 по делу № 2-688/2017).
Некоторые особо восприимчивые граждане в такой ситуации могут вообще посчитать, что информация о наличии у них задолженности является оскорбительной и задевает их честь, достоинство и доброе имя. Однако порочащий характер сведений должен выражаться в оскорбительных высказываниях, а не в фиксации долга. Нарушение в данном случае состоит только в разглашении персональных данных (апелляционное определение Саратовского областного суда от 23.07.2019 по делу № 33-5366).
Здесь стоит отметить, что судебная практика по вопросу отнесения номеров квартир к числу персональных данных не является единообразной, есть примеры случаев, когда суды полагали возможным указание номеров квартир с информацией о наличии задолженности.
Судебная практика
Суд указал, что не будет считаться нарушением размещение информации о наличии задолженности по оплате электроэнергии и коммунальных услуг с перечнем соответствующих квартир, но без указания таких персональных данных, как Ф.И.О. (апелляционное определение Свердловского областного суда от 19.09.2019 по делу № 33-15137/2019).
Жители многоквартирного дома, проживающие в конкретном подъезде, скорее всего, знают друг друга в лицо и по имени, поэтому хоть и не всегда, но в определенных случаях могут соотнести данные о номере квартиры со своими соседями, что позволяет рассматривать номер квартиры как персональные данные конкретных лиц. При таких обстоятельствах можно сделать однозначный вывод: размещение информации о наличии задолженности на стенде подъезда многоквартирного дома с указанием конкретных номеров квартир может рассматриваться как нарушение законодательства о защите персональных данных. Иным образом будет обстоять дело в случае, когда на информационном стенде вывешивается не объявление, а индивидуальное обращение к конкретному лицу по вопросу, представляющему определенную значимость.
Судебная практика
Гражданин при входе в подъезд своего жилого дома неожиданно для себя увидел требовательную надпись о том, что ему надлежит вернуть аннулированную доверенность конкретному человеку. Гражданин полагал, что вывешивание такого объявления нарушает требования законодательства по защите персональных данных. Однако суд его требования не поддержал, отметив, что само по себе размещение информации не является обработкой персональных данных и не требует получения разрешения (апелляционное определение Волгоградского областного суда от 09.01.2019 по делу № 33-774/2019).
В состав персональных данных гражданина также входят год, дата, месяц и место его рождения, семейное и имущественное положение, уровень образования, размер доходов, а также иная информация, посредством которой можно идентифицировать конкретное физическое лицо. В качестве персональных данных можно также рассматривать серию и номер паспорта гражданина, которые представляют собой уникальную комбинацию цифр, указываемых в основном документе, удостоверяющем его личность. У другого гражданина реквизиты основного документа, удостоверяющего личность, будут другими, поэтому реквизиты паспорта также могут быть отнесены к числу персональных данных.
Персональные данные под вопросом
Профессию и образование, а также социальное положение в качестве персональных данных предлагает рассматривать Пермский краевой суд 1. По нашему мнению, профессию и образование нельзя считать персданными, поскольку сами по себе они могут быть относимы к большому количеству людей.
Как нам представляется, те или иные разрозненные сведения, рассматриваемые отдельно,…
Вы видите начало этой статьи. Выберите свой вариант доступа
Купить эту статью
за 700 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail
Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для
этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:
- его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
- все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение
действия комплексной подписки.
А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои
рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей
помощью!
Рекомендовано для вас
- Свежие
- Посещаемые
Что Роскомнадзор проверит в первую очередь и за что накажет
Ответственность за обработку персональных
данных с нарушениями продолжает ужесточаться. С 30.05.2025 за повторные нарушения по некоторым статьям начнут взыскивать оборотные штрафы. Автор анализирует три основных требования к работодателям, которые необходимо выполнить в первую очередь при обработке персданных работников и клиентов (уведомление Роскомнадзора, назначение ответственного лица, утверждение политики обработки персональных данных), а также последствия их несоблюдения. Объясняет, как правильно выполнить такие требования (с образцами документов и конкретных формулировок), на основе собственного опыта и разъяснений Роскомнадзора. Показывает судебную практику, которая «подсвечивает» узкие места.
Ольга Свириденко
юрист по трудовому праву компании «Мир
трудовых отношений»
Как закон о защите персданных распространяется на архивные документы
Документы с персональными данными находятся
под защитой закона о персданных. А что происходит с документами, когда они становятся архивными? Распространяется ли на них указанный закон и если да, то в какой части? Когда документ становится архивным? Как защищаются персональные данные, содержащиеся в таком документе? А как защищаются персданные при ответе архива на запросы граждан, в том числе и за границу? Автор анализирует нормативную базу и отвечает на указанные вопросы.
Наталья Храмцовская
к.и.н., ведущий эксперт по управлению документацией
компании «ЭОС», эксперт ИСО
На что работодателям обратить внимание в 2025 году?
Что ожидают эксперты от 2025 года? Какие изменения
повлияют на работодателей? Каким вопросам стоит уделить пристальное внимание уже сейчас? Журнал «Кадровая служба и управление персоналом предприятия» опросил экспертов и собрал самые интересные мнения. Спойлер: цифровизация внедряется во все сферы государственной жизни, а значит, контроль становится более избирательным, четким и тщательным. Наиболее рисковые сферы – воинский учет, персональные данные, миграционное законодательство и взаимоотношения с самозанятыми. Узнаете, сохранилась ли законотворческая деятельность и судебная практика с уклоном в сторону защиты интересов работников, какие проверяющие вероятнее всего придут с визитом в этом году, какие поправки стоит ввести в ЛНА в связи с последними изменениями в ТК РФ, а также почему удержание персонала становится для работодателей стратегической задачей.
Работа с персональными данными: ответы на вопросы
В конце мая журнал «Кадровая служба и управление
персоналом предприятия» и сайт delo-press.ru провели онлайн-семинар «Работа с персональными данными без ошибок». По итогам семинара мы собрали ответы спикера – эксперта по трудовым отношениям Юлии Жижериной – на вопросы слушателей семинара, дополнив их ссылками на нормативную базу и расширенную аргументацию. В частности, публикуем разбор следующих ситуаций: что делать, если работник отзывает свое согласие на обработку персданных; сколько целей обработки персданных можно указать в одном согласии; надо ли получать согласие работника на ведение видеозаписи, если камеры установлены только в коридорах; можно ли не издавать приказ о месте хранения и обработки персданных, а прописать это в ЛНА; кого указывать в приказе о перечне лиц, имеющих доступ к персданным; нужно ли согласие работника при добавлении его в общий чат мессенджера и пр.
Можно ли обязать держать зарплату в тайне?
Имеет ли право работодатель обязать сотрудника
не разглашать информацию о своей заработной плате или об оплате труда иных сотрудников? Относится ли эта информация к персональным данным или коммерческой тайне? На всех ли сотрудников можно возложить обязанность по неразглашению? Как правильно прописать это в документах? Какая ответственность может быть предусмотрена за разглашение? Имеет ли право работодатель предоставить информацию о зарплате сотрудника третьим лицам (например, супруге работника)? Ответим на эти вопросы, учитывая требования законодательства и судебную практику, а также дадим свои рекомендации и образцы документов, которые готовы к использованию на практике.
Елена Грозовская
адвокат Адвокатской палаты Саратовской
области
На что работодателям обратить внимание в 2025 году?
Что ожидают эксперты от 2025 года? Какие изменения
повлияют на работодателей? Каким вопросам стоит уделить пристальное внимание уже сейчас? Журнал «Кадровая служба и управление персоналом предприятия» опросил экспертов и собрал самые интересные мнения. Спойлер: цифровизация внедряется во все сферы государственной жизни, а значит, контроль становится более избирательным, четким и тщательным. Наиболее рисковые сферы – воинский учет, персональные данные, миграционное законодательство и взаимоотношения с самозанятыми. Узнаете, сохранилась ли законотворческая деятельность и судебная практика с уклоном в сторону защиты интересов работников, какие проверяющие вероятнее всего придут с визитом в этом году, какие поправки стоит ввести в ЛНА в связи с последними изменениями в ТК РФ, а также почему удержание персонала становится для работодателей стратегической задачей.
Правила уничтожения персональных данных
В каких ситуациях и в какие сроки необходимо
уничтожать персональные данные? Каков порядок их уничтожения? Что будет за нарушения в этой сфере? Какие документы составить, чтобы соблюсти установленные действующими нормативными правовыми актами требования? Отвечаем на эти и связанные с ними вопросы. Даем готовые образцы приказа о создании постоянно действующей комиссии по уничтожению документов, акта об уничтожении персданных, уведомления работника об уничтожении неправомерно использованных персональных данных. Предлагаем формулировки для локального нормативного акта компании (о порядке уничтожения таких конфиденциальных сведений) и договоров с контрагентами (с обязательством уничтожить передаваемые по договору персданные в установленных случаях).
Марина Дячук
частнопрактикующий юрист
Что Роскомнадзор проверит в первую очередь и за что накажет
Ответственность за обработку персональных
данных с нарушениями продолжает ужесточаться. С 30.05.2025 за повторные нарушения по некоторым статьям начнут взыскивать оборотные штрафы. Автор анализирует три основных требования к работодателям, которые необходимо выполнить в первую очередь при обработке персданных работников и клиентов (уведомление Роскомнадзора, назначение ответственного лица, утверждение политики обработки персональных данных), а также последствия их несоблюдения. Объясняет, как правильно выполнить такие требования (с образцами документов и конкретных формулировок), на основе собственного опыта и разъяснений Роскомнадзора. Показывает судебную практику, которая «подсвечивает» узкие места.
Ольга Свириденко
юрист по трудовому праву компании «Мир
трудовых отношений»
В компаниях ежедневно происходит работа с персональными данными сотрудников: информацию собирают, обрабатывают, хранят. Если это делать неправильно, то при проверке Роскомнадзор оштрафует, а суммы штрафов внушительные. Из статьи узнаете, что входит в персональные данные, как правильно обращаться с ними, чтобы избежать претензий ведомства и какие изменения учесть с сентября 2022 года.
Что относится к персональным данным
Персональные данные — это сведения о человеке, которые помогают его идентифицировать. Согласно Федеральному закону 152-ФЗ — это любая информация, прямо или косвенно связанная с конкретным физическим лицом.
Является ли ФИО персональными данными, по закону да, хотя на основании только этих сведений идентифицировать человека бывает сложно. Помимо однофамильцев встречаются и полные тезки, поэтому только ФИО без привязки к другой информации суды не считают персональными данными. Также как и абстрактный номер телефона или адрес электронной почты.
Работодатели при приеме на работу используют не только ФИО, но и другую информацию о работнике: дата рождения, домашний адрес и номер телефона, семейное положение и сведения об образовании, и даже биометрические данные. Поэтому такой комплекс сведений уже входит в определение персональных данных.
В законе не закреплен какой-либо определенный перечень персональных данных, но чтобы их классифицировать, выделяют несколько категорий.
Согласно Постановлению Правительства РФ №1119 от 01.11.2012 г. определяют следующие категории персональных данных:
| Название категории | Виды персональных данных |
|
Общие |
Сюда относят базовые данные: ФИО, домашний адрес, место работы, номер телефона, e-mail. Эти сведения могут публиковаться в интернете |
|
Специальные |
Раса и национальность, политические взгляды, приверженность к той или иной религии, сведения о здоровье и интимной жизни, судимости. Эти данные — личное дело человека и сообщать их кому-то он не обязан |
|
Биометрические |
Это биологические и физиологические сведения: группа крови, отпечатки пальцев, фото.
Фотография считается биометрическими персональными данными, если служит для идентификации человека, например, если в компании для допуска установлена система распознавания лиц. Если фото просто прикрепили к личному делу работника, то это не персональные данные |
|
Иные |
Сюда входит то, что нельзя отнести к предыдущим группам. Например, бухгалтерская информация по зарплате |
|
Важно! До марта 2021 года существовали общедоступные персональные данные в РФ. После внесли поправку в закон, теперь они называются «персональные данные, разрешенные субъектом для распространения». То есть даже если сам субъект разместит где-то свои данные публично, брать их и публиковать можно только с его согласия. |
Как строится работа с персональными данными
Когда организация получает персональные данные работника, корректирует их, систематизирует, использует, хранит — это называется обработка, а сама организация является оператором персональных сведений.
Работодатель обязан разработать и утвердить локальный акт, который устанавливает порядок сбора и использования персональной информации трудоустроенных и потенциальных сотрудников. В акте нужно закрепить перечень сведений, которые будут запрашивать при приеме на работу, и внести данные о тех, кто будет иметь доступ персональным данным.
|
Обратите внимание! Работодатель может осуществлять сбор только тех персональных данных, которые требуются для трудовой деятельности. При этом, даже если компания обрабатывает персданные сотрудников в соответствии с трудовым законодательством, необходимо подавать в Роскомнадзор уведомление об обработке персональных данных. Это новое требование закона. |
Изменения в Законе о персональных данных 2022
В июле 2022 года вступил в силу Федеральный закон № 266-ФЗ от 14.07.2022 г., который вносит поправки в Закон о персональных данных. Некоторые из них применяют с сентября 2022 года.
Новый закон о персональных данных внес изменения, большая часть которых касается обработки персональной информации:
- вводится принцип экстерриториальности. Это означает, что если иностранная компания заключила договор с гражданином России, то она становится оператором персональных данных и обязана соблюдать Закон 152-ФЗ наравне с российскими организациями. А если российский работодатель поручил обрабатывать личные данные работника иностранной компании, то отвечать перед ним обязаны и оператор персональных данных и компания-обработчик;
- все операторы персональных данных теперь обязаны сообщать об утечках информации в госсистему обнаружения и ликвидации последствий компьютерных атак (ГосСОПКА). Если произойдет утечка личной информации, то компания обязана в течение 24 часов сообщить об этом в Роскомнадзор и в течение 72 часов провести расследование, найти виновных и доложить о результатах в ГосСОПКА;
- уменьшится срок взаимодействия компании и сотрудника по вопросу персональных данных. Если ранее работник просил предоставить информацию об обработке его личных данных или прекратить их обрабатывать, то компания давала ответ в течение 30 дней. Теперь этот срок равняется 10 рабочим дням. Столько же дней отводится на то, чтобы отреагировать на запрос Роскомнадзора.
Персональные данные в организации. Алгоритм работы с ними
Правильно организовать работу с персональной информацией поможет следующая инструкция:
Шаг 1. Сформируйте Положение о персональных данных, в котором зафиксируйте правила обработки и хранения персональных сведений. По новому закону теперь компания должна для каждой цели обработки указывать:
-
какие категории персональных данных она будет обрабатывать и их перечень;
-
категории субъектов, данные которых обрабатываются;
-
как и сколько будут обрабатываться и храниться данные;
-
как будут уничтожаться данные, если достигли цели обработки и информация больше не нужна.
Шаг 2. Издайте приказ об утверждении Положения и ознакомьте с ним всех сотрудников под подпись.
Шаг 3. Назначьте ответственного за работу с персональной информацией и составьте допсоглашение к трудовому договору с этим сотрудником, где пропишите новые обязанности. Также определите, у кого из сотрудников будет доступ к персональным сведениям. Выбранные работники должны подписать соглашение о неразглашении данных.
Шаг 4. Попросите всех сотрудников компании дать согласие на обработку персональных данных. Согласно изменениям в законе теперь согласие на обработку персональных данных помимо конкретного, сознательного и информированного должно быть еще предметным и однозначным. (ст. 9 Закона № 152-ФЗ). Это означает, что из текста документа должно быть понятно, зачем компания собирает персональные сведения, а работник должен ясно выразить, что он не против.
|
Важно! Если работник молчит или бездействует, это не считаются согласием на обработку персональной информации. Согласие обрабатывать личные сведения, разрешенные для распространения, нужно оформлять отдельно. В нем можно запретить передачу данных неограниченному кругу лиц. |
Как правильно составить согласие на распространение персональных данных читайте в статье.
Шаг 5. Храните данные так, чтобы к ним имели доступ только уполномоченные сотрудники. Если персональная информация на бумаге, то хранить стоит в сейфах, несгораемых шкафах или специальном помещении.
Какие особенности учесть при хранении персональных данных читайте в статье.
Шаг 6. Обратитесь в Роскомнадзор, если еще этого не сделали. По новым правилам не сообщать ведомству о том, что вы оператор персональных данных можно теперь только в двух случаях:
- если личные сведения включаются в государственные информационные системы персданных, созданные в целях защиты безопасности государства и общественного порядка;
- когда компания обрабатывает персональную информацию вручную, без автоматизации.
- Профиль
-
Блог
75 -
Новости
2 -
Подписчики
5,447 - Статистика
Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что такое персональные данные и что к ним относят
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).
К персональным данным, согласно данному закону, относят:
- фамилия, имя, отчество;
- место, дата рождения;
- место постоянной или временной регистрации;
- фотография или видеозапись человека, позволяющие идентифицировать человека;
- сведения о детях, родственниках, семейном положении;
- сведения о заработной плате;
- оценка навыков, личностных качеств;
- индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
- информация о судимостях, или их отсутствии;
- номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;
- паспортные данные, СНИЛС, ИНН (хотя с ИНН вопрос спорный);
- биометрические данные.
Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.
Также существует классификация персональных данных. Их подразделяют на:
- общедоступные;
- специальные;
- биометрические;
- иные.
Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.
Немного подробнее по каждой категории.
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
судимостях.
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.
К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,
информация о принадлежности к определенной социальной группе,
стаж работы и пр.
Также стоит упомянуть, кто является субъектом персональных данных, а кто оператором. Соответственно, субъект — физическое лицо, чьи данные обрабатывают. К примеру, собирают и хранят. А оператор персональных данных — юридические лица, государственные организации или ведомства. Они данные собирают, обрабатывают, хранят, передают и уничтожают.
Обратите внимание! Уничтожение персональных данных должно происходить таким образом, чтобы впоследствии ими не могли воспользоваться ни злоумышленники, ни нечистоплотные сотрудники организации, а у проверяющих не оставалось сомнений в законности процедуры. Делис Архив проведет экспертизу документов, отбор и уничтожение, предоставит все подтверждающие документы и уничтожит документы, содержащие конфиденциальную информацию. Подробнее.
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
- сбор;
- передача;
- запись;
- хранение;
- извлечение;
- изменение;
- обезличивание;
- анализ;
- удаление.
В свою очередь, обработка может осуществляться тремя путями:
- Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.
- Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
- Неавтоматизированная — без автоматизации.
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Чтобы поиск не стал квестом, рекомендуем правильно организовать архив, как обычный, так и электронный. Как это сделать знают специалисты Делис Архив.
Определить срок хранения документа онлайн
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
- обработка ПД, несовместимая с целью сбора — штраф до 3 тыс. для граждан, до 10 тыс. на должностных лиц, до 50 тыс. — на организации.
- обработка ПД без письменного согласия субъекта — штраф для граждан до 5 тыс., до 20 тыс. на должностных лиц, до 75 тыс. на организации.
- неопубликование документа о политике оператора в отношении обработки ПД — штраф для граждан до 1,% тыс руб., для должностных лиц до 6 тыс., для ИП до 10 тыс., а для юрлиц — до 30 тыс.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
- Зарегистрироваться в Роскомнадзоре, как оператор персональных данных.
- Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
- Отвечать на обращения субъектов и предоставлять им всю информацию.
- Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
- Хранить и защищать ПД по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
- Уточнять, блокировать или уничтожать ПД по заявлению субъектов или когда достигли целей их сбора.
Смотреть, что будет, если неправильно хранить документы
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
- сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
- персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
- обработка персональных данных, находящимся в открытом доступе;
- сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
- сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
- сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Кстати, хранить свой бумажный архив, включая кадровые документы и персональные данные вы можете и вне офиса. Так можно избежать их утраты и несанкционированного доступа к информации.
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!
Современный архив бухгалтерии
Безопасный документооборот, хранение, архивная обработка, уничтожение документов
Оставьте заявку, чтобы получить консультацию
Напишите свои контактные данные в форме ниже, мы с вами свяжемся:
Информации об авторе
- Профиль
-
Блог
75 -
Новости
2 -
Подписчики
5,447 - Статистика
Понятие персональных данных и правовое регулирование
Защите личной информации посвящен закон «О персональных данных» от 27.07.2006 № 152-ФЗ. В п. 1 ст. 3 закреплено определение термина.
Наш тест: персональные данные — работаем без штрафа
Время прохождения около 5 мин.
Пройти тест
Персональные данные — это любые сведения, которые прямо или косвенно относятся к определенному или определяемому физическому лицу, иначе говоря, субъекту персональных данных.
Однако в законе не конкретизируется, какая именно информация может быть отнесена к личной. Нет ответа и на один из самых распространенных вопросов: являются ли ФИО персональными данными?
Читайте о том, что представляет собой обработка персональных данных, в специальном материале.
К личным данным относятся:
- имя, отчество и фамилия гражданина;
- дата его рождения (число, месяц и год);
- место рождения;
- адрес регистрации или место фактического проживания;
- сведения о семейном положении и детях;
- социальное положение;
- данные об имуществе;
- размер и источники дохода;
- сведения об оконченных учебных заведениях;
- профессия и занимаемая должность.
При этом Роскомнадзор приводит только примерный перечень, указывая, что любые другие сведения, относящиеся к субъекту, также являются персональными.
Ознакомиться с экспертным определением понятия персональных данных, а также с ключевыми особенностями их обработки на практике вы можете в специальном материале, размещенном в системе «КонсультантПлюс». Получите пробный доступ к нему бесплатно.
Иные персональные данные
Помимо перечисленных есть еще два вида информации, относящейся к личной, а именно:
- Специальные категории личных данных, в том числе расовая принадлежность и национальность, политическая позиция, религиозные убеждения, философские взгляды, состояние здоровья и интимной жизни человека.
- Биометрические сведения, которые характеризуют человека с биологической или физиологической точки зрения. К таковым, например, можно отнести отпечатки пальцев, сетчатку глаза и т. п.
Обратите внимание! С 30.05.2025 существенно ужесточена административная ответственность за нарушения в сфере персональных данных. В частности, установлены крупные штрафы за неуведомление РКН о намерении осуществлять обработку персональных данных, а также за утечки личной информации. Подробности здесь.
Особенности отнесения некоторой информации к личной
Поскольку ни в одном нормативном документе не фигурирует полный перечень персональных сведений о человеке, важно определить критерии, по которым можно понять, является информация персональной или нет.
Основной критерий закреплен в уже упомянутом п. 1 ст. 3 закона № 152-ФЗ. Таковой является информация, если по ней можно сделать вывод, какому физическому лицу она принадлежит.
Кроме того, законом (п. 9 ст. 3 закона № 152-ФЗ) введено такое понятие, как обезличивание личных сведений. Это совершение с личной информацией таких действий, после которых невозможно будет установить, к какому лицу она относится. Соответственно, персональные данные — это любые сведения, которые могут прямо или косвенно указать на человека, которому они принадлежат.
В этой связи рассмотрим подробнее вопрос об отнесении к личным сведениям некоторых видов данных.
Номер телефона
Чтобы понять, является ли номер телефона персональными данными, обратимся к закону «О связи» от 07.07.2003 № 126-ФЗ. На основании п. 1 ст. 53 этого закона Ф. И. О. и абонентские номера гражданина — это информация ограниченного доступа. Такие сведения охраняются законодательством, в том числе законодательством о персональных данных.
Более того, норма прямо указывает, что предоставление любых сведений, позволяющих идентифицировать пользователя, без согласия самого абонента запрещено.
Таким образом, можно сделать вывод, что номер телефона, принадлежащий физическому лицу, — это косвенная информация о конкретном человеке, соответственно, в силу п. 1 ст. 3 закона № 152 и с учетом положений п. 1 ст. 53 закона № 126 телефонный номер можно отнести к персональным данным в случае, если по номеру можно определить его принадлежность. Разумеется, по набору чисел сделать это нельзя. Соответственно, если нет совокупности данных, например номера телефона и имени, нельзя говорить о том, что номер телефона — это персональные сведения.
Электронная почта
Ответ на вопрос, является ли электронная почта персональными данными, менее очевиден, поскольку на законодательном уровне он не регламентируется. Исходя из общих положений, при отсутствии иных сведений о лице, которому принадлежит адрес электронной почты, электронный адрес не относится к персональным данным.
Но необходимо учитывать и сам адрес, который может включать возраст, имя, дату рождения, место рождения и прочие сведения о владельце (например, ivanivanov1986@moskva.ru). В этом случае электронная почта относится к личным данным.
Как правило, личная информация собирается в совокупности. Например, при регистрации на каком-то сайте пользователь вводит не только адрес электронной почты, но и имя. В данном случае совокупность информации позволяет идентифицировать человека, соответственно, собираемые сведения однозначно можно отнести к персональным данным.
Подробнее о критериях отнесения адреса электронной почты и номера телефона к персональным данным читайте в тематической публикации, размещенной в системе «КонсультантПлюс». Получите пробный доступ к ней бесплатно.
ИНН, СНИЛС, паспортные данные
В отношении перечисленных сведений ответ очевиден: они подлежат защите в соответствии с законодательством о персональных данных, поскольку прямо относятся к конкретным лицам. Такой вывод подтверждается и судебной практикой, например апелляционным определением Московского городского суда от 20.10.2014 по делу № 33-35747.
Таким образом, правомерно говорить о том, что номера ИНН, СНИЛС и паспортные данные однозначно позволяют идентифицировать конкретного человека. Вместе с тем заслуживает внимания формулировка, приведенная в письмах Минфина России от 12.02.2020 № 03-01-11/9505, от 28.01.2020 № 03-01-11/4925. Там ведомство прямым текстом указывает, что ИНН не является информацией, входящей в перечень персональных данных, и применяется исключительно в целях упорядочения учета налогоплательщиков внутри системы налоговых органов.
Но в целях исключения разногласий с проверяющими органами ИНН и иные государственные идентификаторы стоит по умолчанию рассматривать в качестве персональных данных. Как следствие, принимать все предусмотренные законом меры по их защите от несанкционированного использования.
Итоги
Таким образом, хотя закон и дает определение персональных данных, но не приводит их исчерпывающий перечень, что вызывает много вопросов как у субъектов персональных данных, так и у операторов. Тем не менее законодательство содержит критерий, позволяющий определить, относится ли конкретная информация к личной. Этим критерием является возможность идентифицировать личность лица, к которому такие сведения относятся.