Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Разъяснения Роскомнадзора по порядку защиты персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.
Выделяют несколько видов персональных данных:
- Общие персональные данные. Например, Ф. И. О., место работы, место регистрации, номер телефона, электронная почта. Такие данные и так могут быть известны некоторым людям, например родственникам, или опубликованы на общедоступных площадках, например в интернете.
- Специальные персональные данные. Они находятся в закрытом доступе, и узнать их можно, только получив согласие человека (субъекта персональных данных) либо в установленном законом порядке (через суд или полицию) при наличии оснований. Как правило, это сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
- Биометрические персональные данные. Это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Например, группа крови, отпечатки пальцев, фотографии или использование функции Face ID. Важный нюанс: такие данные считаются персональными, только если благодаря им можно идентифицировать личность. Если на входе в офис стоит камера с распознанием лиц, то фотография сотрудника — это биометрические персональные данные, так как фото служит, чтобы определить личность.
- Иные персональные данные. Служат дополнением к общим персональным данным и могут часто меняться. Например, данные, которые хранятся в бухгалтерии: информация о заработной плате, период отпуска, трудовой стаж.
Что такое обработка персональных данных?
Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
- работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
- продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
- покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.
Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.
Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?
На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.
- Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
- Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.
С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.
Вас могут не пустить в здание, особенно если это режимный объект. Если на территории организации установлен особый пропускной режим, то отказ в пропуске может считаться законным, в том числе если вы не желаете дать согласие на обработку ПД.
Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:
- считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
- считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.
Однако оба довода являются спорными.
В процессе установления уровня защищенности и организации мероприятий, направленных на нейтрализацию угроз безопасности, приоритетное значение имеет классификация ПДн, предусмотренная ФЗ-152 и Постановление Правительства № 1119. В них прописано четыре категории ПДн, которые обрабатываются в ИС:
- Общедоступные — те, которые опубликованы в открытых источниках с согласия владельца (если субъект хочет удалить сведения, он может подать заявление оператору либо обратиться в суд). К таким относятся дата, место рождения, адрес прописки и проживания, профессия и место работы, адрес электронной почты, телефонный номер, образование.
- Специальные — ПДн, которые касаются сексуальной жизни субъекта, его политических, философских и религиозных воззрений, а также расовой и половой принадлежности. Доступ к такой информации предоставляется только по решению суда, в рамках работы органов правосудия, при реализации международных соглашений либо после получения письменного разрешения владельца.
- Биометрические — любые биологические либо физиологические особенности, которые дают возможность определить личность субъекта, к примеру, ДНК, фотографии, группа крови, рисунок сетчатки глаза, отпечатки пальцев и т.д. Оператору для обработки подобных ПДн нужно предварительно получить разрешение (за исключением случаев, когда есть судебное решение либо речь идет о расследовании преступлений). Однако если хранение осуществляется не с целью установления личности, то сведения не относятся к категории биометрических ПДн (в зависимости от ситуации их можно определить как специальные либо общедоступные).
- Иные — ПДн, которые нельзя определить ни в одну из других групп. Фактически, это дополнительная информация о человеке, которая часто меняется: размер зарплаты, социальный статус, рабочий стаж, длительность и даты отпуска и т.д.
Помимо того, можно выделить несколько разновидностей персональных данных в зависимости от целей и способа их обработки:
- сведения в муниципальных и государственных ИС;
- личные сведения в полностью автоматизированных системах;
- ПДн, необходимые для агитации политических сил, раскрутки товаров и услуг;
- трансграничная передача данных (когда информация передается за пределы страны).
Цель использования данных
Нельзя не сказать и еще об одном отличии персональных данных от другой информации – это целевой характер использования персональных данных.
Так, например, исходя из п. 1 ст. 86 ТК РФ обработка данного вида информации может производиться исключительно в целях, «обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества». Данное положение также весьма эффективно способствует отграничить персональные данные от иной информации.
Таким образом, вышеприведённые критерии разграничения дают возможность на практике без труда отграничить персональные данные от иной информации, что исключит ошибки в процессе их использования, а также станет эффективным механизмом в защите прав потребителя.
Требования к процедуре
Общие требования устанавливает ст. 86 Трудового кодекса РФ и ст. 5 Закона о персональных данных:
- обработка персональных данных производится только с целью, связанной с трудовой деятельностью. Например, в целях трудоустройства, повышения квалификации, прохождении аттестации и т.п.
- персональные данные работодатель получает только от работника. Если эти сведения можно получить только от третьих лиц, то получите письменное согласие работника.
- работодатель обязан ознакомить работника с локальными актами, которые касаются работы с персональными данными. Это приказ об утверждении положения о персональных данных, о допуске к данным и т.п.
- хранятся данные только до достижения целей обработки (действие трудового договора и требования по срокам хранения личных дел)
- меры по защите персональных данных работодатель вырабатывает совместно с работниками
Огромное значение правильной обработки персональных данных является издание локальных актов работодателя. Образцы и примеры составления которых мы разместили на нашем сайте.
По общему правилу специальные и биометрические категории персональных данных работодатель не обрабатывает.
Серия и номер в паспортных данных
Для того, чтобы узнать серию и номер паспорта откройте вторую страницу вашего документа. Вверху страницы вы увидите ряд цифр в формате 2 цифры — пробел – 2 цифры – пробел – 6 цифр. Первые 4 цифры – это серия вашего паспорта. Тут можно отметить, что законодательно не закреплено такое понятие, как «серия паспорта». Само разделение чисел в таком формате является аналогичным с документами, выдаваемых во времена СССР.
Следующие 6 цифр являются номером паспорта гражданина РФ. Именно их нужно переписать при заполнении документов в графу номер паспорта. В ряде случаев, например, при покупке билетов в электронных терминалах, под номером будет подразумеваться все 10 цифр, включая серию документа.
Разберем на конкретном примере. Если в вашем паспорте написаны цифры «65 09 143552», то цифры «65 09» — будут серией документа, а «143552» — его номером. Как мы уже писали, серия документа зависит от региона. С помощью специальной таблицы, можно определить по цифрам из серии – регион, в котором был выдан документ. В нашем примере, 65 означает Свердловскую область, а 09 – год изготовления бланка, в нашем, примере, это 2009 год.
Средства защиты и охраны персональных данных
Надежность ПД обеспечивается:
- установлением рисков при обработке ПД в ИС;
- постоянное использование технических и организационных мер для установления защищенности, согласно установленным Правительством РФ уровням безопасности;
- процедура совершенствования средств и результативности защиты;
- постоянное рассмотрение машинных носителей ПД;
- мгновенное установление неразрешенного проникновения;
- восстановление ПД, которые были заражены вирусом или уничтожены при взломе базы данных;
- фиксация и учет всех действий, которые совершаются в ИС;
- используется сотрудничество с вневедомственной охраной;
- база данных защищена паролями, известными только людьми, у которых есть право доступа;
В первую очередь разберемся с вопросом, зачем необходима такая защита? Согласитесь, мало кому из нас было бы приятно, если бы наши данные были в открытом доступе, даже несмотря на то, что большинство из нас самостоятельно выкладывает их в социальных сетях. Но одно дело Одноклассники или Facebook — информацию, которую мы там предоставляем, невозможно проверить. Кроме того, мы имеем возможность вместо ФИО писать ники, а информацию о дате рождения, месте проживания и пр. можем просто игнорировать.
Заполняя различные анкеты в госучреждениях, торговых точках и т. д., мы указываем много личной информации, которая могла бы стать доступной, если бы не одно «но» – в таких анкетах всегда присутствует пункт о разрешении на обработку данных в определенных целях. Нецелевое использование такой информации карается законом.
Закон о защите персональных данных заботится не только о физических, но и о юридических лицах. Мало кому понравится, если информация о финансовом состоянии дел или данных сотрудников компании будет доступна каждому желающему. Это значительно бы упростило жизнь мошенникам, чего не желают ни простые граждане, ни сотрудники правоохранительных органов.
База персональных данных
Следует обратить внимание на то, что согласно , объектом защиты являются только персональные данные при их обработке в базах персональных данных .
При этом под «базой персональных данных» в Законе понимается именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных, а под «обработкой персональных данных» понимается определенное действие или совокупность действий, совершенных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (распространением, реализацией, передачей), обезличиванием, уничтожением сведений о физическом лице.
Использование личной информации в компании
Часто возникает вопрос о том, что входит в состав персональных данных работника юридического лица и как осуществлять хранение подобной информации. Согласно Трудовому Кодексу, к ПДн сотрудника относится информация, позволяющая составить представление о нем как о работнике, то есть стаж деятельности, уровень квалификации и зарплаты, пенсионные и налоговые отчисления и т.д. Обязанность предприятия — позаботиться об их защите и использовании для создания оптимальных условий развития профессиональных навыков и повышения квалификации. Кроме того, работодатель должен сообщить, как именно будут использоваться персональные данные физического лица. Предварительно создаются и внедряются специальные распорядительные документы внутреннего использования, в частности, требуется Инструкция либо Положение о ПДн.
Сбор сведений производится для выполнения следующих задач:
- профилактики разглашения корпоративной тайны и обеспечения сохранности имущества;
- приема на работу и документального закрепления этого события;
- получения оснований для установления той или иной заработной платы;
- проверки выполнения персоналом возложенных на них обязанностей;
- выявления и подтверждения причин для перевода сотрудника на более высокую должность.
При нарушениях законодательства либо утечке персональных данных (намеренной либо из-за недостаточно эффективной системы защиты) предприятие может быть привлечено к административной ответственности в виде штрафа до 18 миллионов рублей. Выявить недоработки и своевременно их исправить позволит аудит, проведенный специалистами нашего Центра — наши специалисты помогут установить, насколько защищены частные данные, и составят рекомендации по оптимизации.
Что является персональными данными по закону
Персональные данные определены законом как сведения, с помощью которых можно идентифицировать лицо (субъект) прямым или косвенным образом с помощью дополнительных средств.
В последние годы актуальность проблем, связанных с персональными данными, выросла. Системы автоматизированного анализа позволяют организовывать сбор больших объемов данных. В современном мире нередки случаи кражи данных пользователей сети, массовая продажа личной информации без получения согласия.
С помощью персональных данных можно устроить слежку за гражданином, спланировать преступление или незаконно получить чужие деньги. В «мирных» целях персональные данные используются для проведения рекламных рассылок.
Отметим, что персональные данные остаются частью правового поля и не являются техническим понятием.
В каких документах есть персональные данные
В процессе работы кадровая служба копит и хранит сведения о сотруднике, заключенные в следующих документах:
Документы | Какие персональные данные в них содержатся |
Резюме, анкета, автобиография, личный листок по учету кадров | Личные качества, биографические данные |
Копия удостоверения личности | ФИО, дата и место рождения, адрес регистрации, семейное положение, реквизиты самого удостоверения |
Личная карточка № Т-2 | Дополнительно к данным удостоверения личности указывается состав семьи и образование |
Трудовая книжка | Трудовой стаж, места работы |
Копии свидетельств о заключении брака, рождении детей | Сведения о составе семьи |
Документы воинского учета | Отношение работника к воинской обязанности |
Справка о доходах с предыдущего места работы | Уровень заработка на предыдущем месте трудоустройства |
Документы об образовании | Уровень образования |
СНИЛС, ИНН | Индивидуальные номера гражданина в системе пенсионного страхования и для налоговых органов |
Трудовой договор | Должность, заработная плата, место работы |
Приказы по личному составу и их копии | Информация о приеме, переводе, повышении, увольнении |
В качестве персональных выступают и другие данные, не перечисленные в таблице. Например, информация о соискателях для принятия руководством решения о приеме нового сотрудника из нескольких кандидатур.
Что подразумевается под конфиденциальностью персональных данных?
Ответ на этот вопрос содержится в ст. 7 ФЗ-152: «Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом».
Ранее законодательство не обязывало получать согласие на обработку ПДн, если человек разместил их в общем доступе в интернете (п. 10 ч. 1 ст. 6 Закона № 152-ФЗ). Теперь эту норму убрали (п. 2 ст. 1 Федерального закона от 30.12.2020 № 519-ФЗ). Любые данные о человеке можно публиковать только с его прямого согласия. Кроме того, поправки коснулись и самого согласия субъекта на обработку персональных данных. Так, в законе сказано «Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения«. Теперь само согласие (в письменном или электронном виде) должно иметь чёткие формулировки, о каких сведениях субъекта будет идти речь. Формулировка «все персональные данные», используемая ранее для простоты, недопустима. Важно отметить, что после дачи согласия на обработку персональных данных, оператор ПДн не имеет права предоставлять персональные данные для обработки третьим лицам без прямого согласия субъекта.
Я просто торгую товаром в интернете, а не шлю СМС-рассылки и не передаю данные покупателей куда-либо. Разве я могу быть оператором персональных данных? Кого законодатель включает в категорию операторов персональных данных?
На все эти вопросы нам однозначно отвечает ФЗ-152. Оператор персональных данных —государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Соответственно, обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Очевидно, что любые действия с чужими персональными данными будут являться обработкой, а тот кто совершает эти действия – оператор. Даже если он не занимается рассылками и никуда не передаёт свою клиентскую базу.