Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как работать с персональными данными работников в 2022». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Общий термин, определяющий персональные данные, звучит как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Термин присутствует в законе «О персональных данных», а также упоминается в других нормативных актах. Так, закон «О связи» относит к сведениям об абонентах – физических лицах – фамилию, имя, отчество или псевдоним, а также домашний адрес и другие данные, позволяющие идентифицировать личность.
Понятие персональных данных
Порядок регулирования вопроса описан и в постановлениях ФСТЭК РФ, Роскомнадзора, Центрального Банка. В одном из разъяснений ЦБ РФ отмечается, что банки не имеют права оставлять в почтовых ящиках корреспонденцию таким образом, чтобы третьим лицам были доступны персональные данные, в том числе имя личности. Схожая позиция привела к необходимости отправлять в конвертах квитанции с распечатками стоимости услуг ЖКХ, тоже содержащие персональные данные. Также регулятор обратил внимание на недопустимость для сотрудников банка разглашать персональные данные клиента работодателю или коллеге, что часто делается в целях информирования о наличии задолженности. При таком разглашении субъект однозначно идентифицируется, даже без добавления уточняющей информации, что нарушает права физического лица на защиту тайны личной жизни.
Когда имя и фамилия не являются персональными данными?
Наличие исключений характерно для большинства российских законов, но в ситуации с ПДн, а точнее — ФИО как вида персональных данных, они отсутствуют. Абсолютно все сведения о человеке относятся к личной информации, и это в свое время было одним из условий вступления нашей страны во Всемирную торговую организацию. Хотя, по мнению некоторых экспертов, все не так однозначно, поскольку:
- в компании могут работать или обслуживаться сразу несколько однофамильцев;
- население России огромное, поэтому несложно найти тысячи людей, у которых совпадают не только имена и фамилии, но даже отчества;
- узнать фамилию, имя и отчество гражданина не составляет никакого труда — достаточно открыть социальные сети или воспользоваться поисковой системой.
При этом даже имя без фамилии нельзя назвать обезличенным, ведь в век прогрессирующих компьютерных технологий его вполне достаточно, чтобы установить обладателя. С другой стороны, каждый оператор может в целях улучшения безопасности ИСПДн воспользоваться предлагаемыми регулятором методами снижения значительной идентифицированности ПДн. Среди них:
- маркировка учетных записей с помощью особых меток, которые позволяют найти о субъекте полную информацию в общей базе при наличии соответствующего доступа;
- частичная замена данных;
- перемешивание ПДн, которые относятся к разным субъектам;
- разделение большого массива информации на несколько частей, которые хранятся отдельно друг от друга.
Почему возникает вопрос, являются ли ФИО персональными данными гражданина
Преимущественно дискуссии инициируют те операторы, которые недовольны значительным списком требований в отношении защиты ПДн, используемых в рамках их коммерческой деятельности. Но позиция государства четкая, и даже весомые на первый взгляд аргументы не принимаются во внимание при рассмотрении судебных дел, назначении штрафных санкций и урегулировании конфликтов с Центральным банком. Поэтому игнорировать актуальные требования ФЗ-152 нельзя.
Подводя итоги, отметим, что ФИО — персональные данные, в отношении которых необходимо предпринимать меры защиты, чтобы не нарушить права субъекта и не понести предусмотренное действующими законами наказание.
Понятие персональных данных
Общий термин, определяющий персональные данные, звучит как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Термин присутствует в законе «О персональных данных», а также упоминается в других нормативных актах. Так, закон «О связи» относит к сведениям об абонентах – физических лицах – фамилию, имя, отчество или псевдоним, а также домашний адрес и другие данные, позволяющие идентифицировать личность.
Порядок регулирования вопроса описан и в постановлениях ФСТЭК РФ, Роскомнадзора, Центрального Банка. В одном из разъяснений ЦБ РФ отмечается, что банки не имеют права оставлять в почтовых ящиках корреспонденцию таким образом, чтобы третьим лицам были доступны персональные данные, в том числе имя личности. Схожая позиция привела к необходимости отправлять в конвертах квитанции с распечатками стоимости услуг ЖКХ, тоже содержащие персональные данные. Также регулятор обратил внимание на недопустимость для сотрудников банка разглашать персональные данные клиента работодателю или коллеге, что часто делается в целях информирования о наличии задолженности. При таком разглашении субъект однозначно идентифицируется, даже без добавления уточняющей информации, что нарушает права физического лица на защиту тайны личной жизни.
Выделяют несколько видов персональных данных:
- Общие персональные данные. Например, Ф. И. О., место работы, место регистрации, номер телефона, электронная почта. Такие данные и так могут быть известны некоторым людям, например родственникам, или опубликованы на общедоступных площадках, например в интернете.
- Специальные персональные данные. Они находятся в закрытом доступе, и узнать их можно, только получив согласие человека (субъекта персональных данных) либо в установленном законом порядке (через суд или полицию) при наличии оснований. Как правило, это сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
- Биометрические персональные данные. Это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Например, группа крови, отпечатки пальцев, фотографии или использование функции Face ID. Важный нюанс: такие данные считаются персональными, только если благодаря им можно идентифицировать личность. Если на входе в офис стоит камера с распознанием лиц, то фотография сотрудника — это биометрические персональные данные, так как фото служит, чтобы определить личность.
- Иные персональные данные. Служат дополнением к общим персональным данным и могут часто меняться. Например, данные, которые хранятся в бухгалтерии: информация о заработной плате, период отпуска, трудовой стаж.
Что является персональными данными по закону
Персональные данные определены законом как сведения, с помощью которых можно идентифицировать лицо (субъект) прямым или косвенным образом с помощью дополнительных средств.
В последние годы актуальность проблем, связанных с персональными данными, выросла. Системы автоматизированного анализа позволяют организовывать сбор больших объемов данных. В современном мире нередки случаи кражи данных пользователей сети, массовая продажа личной информации без получения согласия.
С помощью персональных данных можно устроить слежку за гражданином, спланировать преступление или незаконно получить чужие деньги. В «мирных» целях персональные данные используются для проведения рекламных рассылок.
Отметим, что персональные данные остаются частью правового поля и не являются техническим понятием.
Правило 4. Уметь обрабатывать ПД
К обработке ПД относится любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с ПД, например сбор, систематизация, хранение, использование, передача, уничтожение и др.
Обработка любых категорий ПД допускается с письменного согласия работника.
Обработка общих ПД осуществляется, если:
- обработка необходима для достижения целей, предусмотренных законом (например, ст. 24 НК РФ), для осуществления и выполнения возложенных законодательством РФ на работодателя функций, полномочий и обязанностей. Например, передача ПД при перечислении налогов в бюджетную систему РФ, поскольку работодатель является налоговым агентом;
- обработка необходима для исполнения трудового договора, стороной которого является работник. Например, передача информации в налоговую инспекцию;
- работник предоставил доступ к ПД (либо по его просьбе) для неограниченного круга лиц. Например, работник попросил сделать рассылку о размещении информации о его юбилее.
Обработка специальных категорий ПД происходит в случаях, если:
- ПД сделал общедоступными сам работник;
- обработка осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством РФ о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
- обработка происходит в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
Обработка биометрических ПД осуществляется без согласия работника:
- если фото и записи сделаны на массовых и публичных мероприятиях;
- в связи с реализацией международных договоров РФ о реадмиссии — согласии государства на прием обратно на свою территорию граждан, которые подлежат депортации из другого государства;
- в случаях, предусмотренных законодательством РФ об обороне, безопасности, противодействии терроризму, транспортной безопасности, противодействии коррупции, оперативно-разыскной деятельности, государственной службе, уголовно-исполнительным законодательством РФ;
- в случаях, предусмотренных законодательством РФ о порядке выезда из РФ и въезда в РФ, о гражданстве РФ. Например, работника отправляют в служебную командировку за пределы РФ.
Вместе с тем следует помнить, что при размещении видеокамер нужно учитывать требования законодательства, поскольку скрытое слежение за работником является противоправным.
В разъяснениях Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» указано, что требуется разработка и принятие локального акта, в котором необходимо определить цели установки видеокамер. Также в организации должны быть установлены таблички «Внимание! Ведется видеонаблюдение». Каждого работника следует уведомить об установке камер слежения лично под подпись и в обязательном порядке с работников надо взять письменное согласие на видеозапись на рабочем месте.
Когда вы строите ИТ-инфраструктуру, надо понимать, являются ли ваши данные персональными или нет. Классов персональных данных уже нет, есть таблица вот отсюда (в посте больше про сертификацию). Если ваши данные всё же персональные, то надо понять, что у вас за типы данных, какие угрозы для них возможны и сколько у вас будет записей. Дальше из таблицы вычисляется нужный уровень защищённости — и для этого уровня реализуются меры защиты в соответствии с требованиями законодательства.
Следуя духу закона и правоприменительной практике, почти во всех ситуациях можно определить, речь идёт про ПДн или нет. Крайне редкие случаи обычно рассматриваются отдельно юристами, которые выполняют оценку и делают запросы в контролирующие органы.
Это материал начальника отдела правового консалтинга Ильи Григорьева, а это — блог Техносерв Cloud.
У меня свой интернет-магазин и я слышал, что надо как-то работать с персональными данными, иначе меня могут оштрафовать. Как мне понять, что менять и как действовать?
Да, действительно могут. Федеральным законом №152 от 27.07.2006 «О защите персональных данных» определены требования по защите персональных данных, а в КОАП РФ предусмотрены серьёзные санкции за нарушение этого закона, которые могут представлять собой штрафы в несколько миллионов для бизнеса.
Чтобы понимать, что нужно защищать, дадим определение персональным данным. Это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу. То есть охраняемыми законом будут те персональные данные, которые позволят установить личность. С учётом того, что в интернет-магазинах есть учетные записи с анкетами, которые содержат адрес отправки, получателя, пол, дату рождения, телефон и пр., то подобный вид деятельности однозначно подпадает под требования по защите персональных данных.
Специальные категории
Согласно ФЗ от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) «О персональных данных» категории ПД разделяются на четыре группы:
- Не разрешена обработка данных, которые так или иначе затрагивают тему религии, политических воззрений, личной жизни, национальности, не считая тех отдельных моментов, которые указаны в пункте 2.
- Обработка ПД, перечисленных в пункте 1, допускается.
Но при условии, если:
- на обработку ПД получено письменное разрешение от их владельца;
- они общедоступны;
- ПД связаны с информацией, касающейся здоровья их владельца, и доступ к ним в настоящий момент нужен для сохранения его жизнедеятельности;
- она необходима при осуществлении судебных мер;
- она происходит из-за вступления в силу законодательства РФ о безопасности и розыскной деятельности.
Использование личной информации в компании
Часто возникает вопрос о том, что входит в состав персональных данных работника юридического лица и как осуществлять хранение подобной информации. Согласно Трудовому Кодексу, к ПДн сотрудника относится информация, позволяющая составить представление о нем как о работнике, то есть стаж деятельности, уровень квалификации и зарплаты, пенсионные и налоговые отчисления и т.д. Обязанность предприятия — позаботиться об их защите и использовании для создания оптимальных условий развития профессиональных навыков и повышения квалификации. Кроме того, работодатель должен сообщить, как именно будут использоваться персональные данные физического лица. Предварительно создаются и внедряются специальные распорядительные документы внутреннего использования, в частности, требуется Инструкция либо Положение о ПДн.
Сбор сведений производится для выполнения следующих задач:
- профилактики разглашения корпоративной тайны и обеспечения сохранности имущества;
- приема на работу и документального закрепления этого события;
- получения оснований для установления той или иной заработной платы;
- проверки выполнения персоналом возложенных на них обязанностей;
- выявления и подтверждения причин для перевода сотрудника на более высокую должность.
При нарушениях законодательства либо утечке персональных данных (намеренной либо из-за недостаточно эффективной системы защиты) предприятие может быть привлечено к административной ответственности в виде штрафа до 18 миллионов рублей. Выявить недоработки и своевременно их исправить позволит аудит, проведенный специалистами нашего Центра — наши специалисты помогут установить, насколько защищены частные данные, и составят рекомендации по оптимизации.
Образец согласия на предоставление персональных данных
Предоставление ПД – действия определенного характера, благодаря которым раскрываются ПД какому-либо лицу или группе лиц.
Если вам необходимо составить согласие о предоставлении своих ПД, то в письменной форме вы должны указать следующее:
- ФИО, местожительства, данные, изложенные в паспорте;
- ФИО и местожительства представителя владельца ПД, данные, изложенные в паспорте, доверенность;
- наименование или ФИО оператора, который получает согласие;
- цели, из-за которых производится обработка ПД;
- перечень ПД, на доступ к которым вы даете согласие;
- наименование или ФИО и адрес того, кто по назначению оператора будет обрабатывать данные;
- период, на протяжении которого будет действовать разрешение на доступ к сведениям их владельца;
- подпись владельца ПД.
Какие отношения регулируются законом
Речь идет об отношениях субъекта – то есть человека, чьи личностные данные были получены, и оператора, который будет осуществлять их обработку и хранение. Если с гражданином все понятно, то вот с оператором не совсем.
Под это понятие попадают государственные учреждения, частные организации, даже физические лица. Оператором ПД можно назвать любую компанию, даже физическое лицо, в случае если оно получило определенные сведения от гражданина, касающиеся его частной жизни.
Суть отношений:
- человек предоставляет определенные сведения, которые подтверждены документально, дает расписку о том, что разрешает хранить эти данные и обрабатывать их;
- оператор получает информацию, обрабатывает ее и хранит, но при этом ему запрещается использовать сведения, полученные от гражданина, с целью достижения выгоды или предоставления ее третьим лицам.
Отказ в предоставлении ПД
Если ранее предоставленное разрешение на предоставление данных начинает тем или иным образом мешать человеку, он имеет право отозвать его. Отказ нужно оформить в виде специального заявления. Отправляется оно не только на фактический адрес организации, но также на юридический.
Чтобы переслать письменное заявление на отказ, рекомендуется использовать обычную почту РФ. К заказному письму следует приложить копию паспорта и иных имеющих отношение к делу документов. Одновременно с этим нужно помнить, что каждая ситуация требует использования индивидуальных мер. Довольно часто требуется участие полиции.
Если перечисленные меры не будут соблюдены, если незаконное разглашение продолжается и причиняет моральный вред владельцу персональных данных, он может подать иск в суд. При доказанном нарушении организациям будет грозить уголовная ответственность. Пострадавший же получит возмещение морального ущерба и имущественного, а также получит компенсацию по убыткам, которые были понесены в результате разглашения ПД.
Законодательные основы
Все процедуры, касающиеся обработки персональных данных (ПД), указаны в Федеральном законе Российской Федерации «О персональных данных» от 27 июля 2006 года. В законодательном акте N 152-ФЗ четко сказано, что к личной информации относятся любые ведомости, которые прямо или косвенно относятся к физическому лицу, иными словами, принадлежат субъекту (подробнее о том, какая информация относится к ПД, читайте , а в этой статье вы найдете примеры персональных данных).
Статья 19 Гражданского кодекса Российской Федерации сообщает, что ФИО определяет гражданина. С приобретением имени, фамилии и отчества гражданин получает и осуществляет права и обязанности под своим именем. В законе говорится о том, что ФИО принадлежит человеку, поэтому, если вернуться к определению из ФЗ «О персональных данных», такая информация должна являться персональной со всеми юридическими последствиями и нюансами при ее распространении и обработке.
В то же время Роскомнадзор, регулирующий информационную деятельность в сети интернет, отмечает, что размещение на веб-страницах всемирной паутины фамилии, имени и отчества без каких либо дополнительных пояснений, не считается обработкой ПД физического лица. Роскомнадзор указывает на еще одну важную характеристику конфиденциальных ведомостей – они должны давать возможность выяснить личность гражданина.
Важно! Распространение персональных данных возможно только после разрешения на обработку субъектом и владельцем ПД.