Персональные данные и всё, что о них нужно знать

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные и всё, что о них нужно знать». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

Как получить согласие на обработку персональных данных

Обработка ПД – любые действия с личной информацией о человеке:

• получение (сбор персональных данных);
• структуризация;
• хранение на любых носителях (в электронных и бумажных архивах);
• анализ;
• использование в коммерческой, социальной, государственной деятельности;
• передача другим владельцам или предоставление доступа к базе;
• обезличивание – устранение очевидной связи между человеком и его ПД;
• блокировка – временная остановка работы с информацией по запросу граждан или регулятора;
• удаление и обновление;
• ликвидация без возможности восстановления.

В процессе установления уровня защищенности и организации мероприятий, направленных на нейтрализацию угроз безопасности, приоритетное значение имеет классификация ПДн, предусмотренная ФЗ-152 и Постановление Правительства № 1119. В них прописано четыре категории ПДн, которые обрабатываются в ИС:

1. Общедоступные — те, которые опубликованы в открытых источниках с согласия владельца (если субъект хочет удалить сведения, он может подать заявление оператору либо обратиться в суд). К таким относятся дата, место рождения, адрес прописки и проживания, профессия и место работы, адрес электронной почты, телефонный номер, образование.
2. Специальные — ПДн, которые касаются сексуальной жизни субъекта, его политических, философских и религиозных воззрений, а также расовой и половой принадлежности. Доступ к такой информации предоставляется только по решению суда, в рамках работы органов правосудия, при реализации международных соглашений либо после получения письменного разрешения владельца.
3. Биометрические — любые биологические либо физиологические особенности, которые дают возможность определить личность субъекта, к примеру, ДНК, фотографии, группа крови, рисунок сетчатки глаза, отпечатки пальцев и т.д. Оператору для обработки подобных ПДн нужно предварительно получить разрешение (за исключением случаев, когда есть судебное решение либо речь идет о расследовании преступлений). Однако если хранение осуществляется не с целью установления личности, то сведения не относятся к категории биометрических ПДн (в зависимости от ситуации их можно определить как специальные либо общедоступные).
4. Иные — ПДн, которые нельзя определить ни в одну из других групп. Фактически, это дополнительная информация о человеке, которая часто меняется: размер зарплаты, социальный статус, рабочий стаж, длительность и даты отпуска и т.д.

Помимо того, можно выделить несколько разновидностей персональных данных в зависимости от целей и способа их обработки:

• сведения в муниципальных и государственных ИС;
• личные сведения в полностью автоматизированных системах;
• ПДн, необходимые для агитации политических сил, раскрутки товаров и услуг;
• трансграничная передача данных (когда информация передается за пределы страны).

Общедоступные персональные данные

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

Что относится к персональным данным работника

Персональные данные работника — это любая информация прямо или косвенно относящаяся к сотруднику, имеющаяся у работодателя.

К персональным данным относятся:

• фамилия, имя, отчество;
• пол, возраст;
• паспортные данные, СНИЛС, ИНН;
• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
• место жительства;
• семейное положение, наличие детей, родственные связи;
• факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
• финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
• деловые и иные личные качества, которые носят оценочный характер;
• номер телефона или электронная почта;
• прочие сведения, которые могут идентифицировать человека.

Риски при нарушении требований к обработке персональных данных работников организации

В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

• — на граждан — от 500 до 1 000 руб.;
• — на должностных лиц — от 4 000 до 5 000 руб.

Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных

За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.

В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):

• — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
• — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
• — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.

Отзыв согласия на обработку и распространение общедоступных персональных данных

Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.

Общедоступные персональные данные

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

Согласие на обработку персональных данных

В соответствии со ст. 9 закона «О персональных. » от 27.07.2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).

Необходимость в предоставлении личной информации возникает постоянно: при медицинском осмотре в поликлинике, трудоустройстве на работу и даже оформлении заказа в интернет-магазине.

Сторона, получающая личные сведения, обязана:

• заручиться согласием их владельца на обработку и использование;
• обеспечивать конфиденциальность;
• хранить документ, подтверждающий, что владелец разрешил работать с ними.

ВАЖНО! Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных.

Нарушение этих требований влечет за собой применение к оператору персональных данных мер ответственности.

Общие примеры персональных данных

Персональными данными физических лиц по закону считаются:

• ФИО;
• ИНН и дата рождения;
• гражданство согласно гражданскому паспорту и место рождения;
• данные о регистрации и фактическом месте жительства;
• данные о родственниках и супругах;
• данные о дееспособности, свидетельство о смерти;
• сведения о наличии образования;
• сведения о пенсионных доходах;
• данные о наличии заболеваний, связанных с профессиональной деятельностью, страховки, выплатах по страховым случаям;
• данные о налоговых платежах;
• информация о воинской обязанности.

Персональными данными юридических лиц по закону считаются:

• наименование юрлица;
• юрадрес и организационно-правовая форма;
• местоположение юрлица;
• ОГРН;
• ИНН и КПП;
• номер расчетного счета.

К данному перечню также можно причислить сведения о руководителе.

Ответственность за распространение персональных данных

В зависимости от конкретного правонарушения, оператор может понести достаточно серьезное наказание за нарушения соглашения о хранении и сборе персональных данных или за незаконные действия с ними.

Роскомнадзор регулярно проводит проверки, позволяющие выявить недобросовестных или вовсе не зарегистрированных официально операторов. По итогам проверки или обращения в суд частным лицом в связи с нарушением ФЗ «О персональных данных», может быть назначено наказание по трем направлениям:

• Гражданское.
• Административное. Случаи нарушений рассмотрены в статьях КоАП 27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2.
• Уголовное. Основания изложены в Уголовном кодексе Российской Федерации в статьях ст.137, 140, 155, 183, 272, 273, 274, 292, 293.
• Дисциплинарное на основе положений Трудового кодекса, в частности статей ст.81; ст.90; ст.195; ст.237; ст.391

А также дополнительные взыскания на основе подзаконных актов, издающихся в субъектах Российской Федерации, различных государственных ведомствах и организациях любого типа.

Наиболее распространенными формами наказания за нарушения подобного порядка являются штрафы различного размера, административные взыскания, но также возможно и заключение под стражу за нарушение персональных данных.

Можно ли обрабатывать персональные данные без согласия людей?

Законодательство допускает обработку ПДн без согласия субъекта в следующих случаях:

• если лицо является участником судебного разбирательства;
• если данные необходимы для исполнения госорганами своих полномочий в области предоставления государственных и муниципальных услуг, в том числе для регистрации гражданина на портале «Госуслуги»;
• для исполнения договора, выгодоприобретателем или поручителем по которому выступает лицо (или для заключения такого договора от его имени);
• если ситуация требует немедленных действий, необходимых для сохранения жизни и здоровья гражданина, а получить его согласие невозможно (например, человек находится без сознания);
• собранные личные данные будут использованы в целях проведения статистического или иного исследования, при условии что они будут обезличены;
• лицо ранее самостоятельно сделало свои данные доступными для неограниченного количества пользователей;
• данные должны быть раскрыты в соответствии с действующими законодательными требованиями;
• информация используется для журналистской, творческой или научной деятельности, а также для работы СМИ, при условии, что это не нарушает права и законные интересы гражданина.

Я просто торгую товаром в интернете, а не шлю СМС-рассылки и не передаю данные покупателей куда-либо. Разве я могу быть оператором персональных данных? Кого законодатель включает в категорию операторов персональных данных?

На все эти вопросы нам однозначно отвечает ФЗ-152. Оператор персональных данных —государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Соответственно, обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Очевидно, что любые действия с чужими персональными данными будут являться обработкой, а тот кто совершает эти действия – оператор. Даже если он не занимается рассылками и никуда не передаёт свою клиентскую базу.

Серия и номер в паспортных данных

Для того, чтобы узнать серию и номер паспорта откройте вторую страницу вашего документа. Вверху страницы вы увидите ряд цифр в формате 2 цифры — пробел – 2 цифры – пробел – 6 цифр. Первые 4 цифры – это серия вашего паспорта. Тут можно отметить, что законодательно не закреплено такое понятие, как «серия паспорта». Само разделение чисел в таком формате является аналогичным с документами, выдаваемых во времена СССР.

Следующие 6 цифр являются номером паспорта гражданина РФ. Именно их нужно переписать при заполнении документов в графу номер паспорта. В ряде случаев, например, при покупке билетов в электронных терминалах, под номером будет подразумеваться все 10 цифр, включая серию документа.

Разберем на конкретном примере. Если в вашем паспорте написаны цифры «65 09 143552», то цифры «65 09» — будут серией документа, а «143552» — его номером. Как мы уже писали, серия документа зависит от региона. С помощью специальной таблицы, можно определить по цифрам из серии – регион, в котором был выдан документ. В нашем примере, 65 означает Свердловскую область, а 09 – год изготовления бланка, в нашем, примере, это 2009 год.

Полномочия Роскомнадзора в вопросе защиты данных

Следует учитывать, что к ответственности за нарушение законодательства в сфере ПДн операторов может привлекать регулятор – Роскомнадзор. Причем претензии к работе организации в этом направлении могут появиться у него после плановой проверки организации либо после получения жалобы от субъектов.

К слову о проверках. Они бывают плановыми и внеплановыми. Первые проводятся не чаще одного раза в три года (для одной организации). Причем список организаций, к которым инспекторы придут с проверкой в ближайший год можно найти на официальном сайте Роскомнадзора. Внеплановые проверки проводятся по случаю, например, в целях разобраться в ситуации после получения жалобы от субъекта.

Поводом для проведения инспекции может стать и желание регулятора развеять собственные подозрения. Дело в том, что третьей формой проверки является систематическое наблюдение за деятельностью операторов.

Обо всех проверках регулятор уведомляет организацию заранее: за три дня в случае плановой и за 24 часа в случае внеплановой. Кроме того, по типу инспекции могут быть документарными и выездными. В первом случае достаточно предоставить регулятору полный пакет запрашиваемых им документов, которые доказывают, что оператор ведет работу с ПДн строго по закону. Во втором, инспекторы могут пройти по компании с экскурсией, чтобы изучить и технический аспект защиты информации.

Полномочия Роскомнадзора:

• может потребовать уничтожения недостоверных или полученных незаконным путем ПДн;
• может ограничить доступ к информации, обрабатываемой с нарушением законодательства;
• может направить исковое заявление в защиту прав субъектов ПДн и представлять их в суде;
• наделен полномочиями по привлечению к административной ответственности лиц, виновных в нарушении закона «О персональных данных»;
• рассматривает жалобы и обращения по вопросам обработки данных и принимает по ним решения.

Судебная практика и практика проверок Роскомнадзора, однако, показывает, что большинство нарушителей ограничиваются штрафами. В редких случаях регулятор может потребовать через суд блокировки ресурса, который уличили в распространении закрытой информации.

Какая информация относится к персональным данным?

Ст. 3 Федерального закона от 27 июля 2006 года 152-ФЗ «О персональных данных» определяет персональные данные как любую информацию, относящуюся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Конкретного перечня в законе нет, что оставляет некоторый простор для толкования. Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность.
Ст. 10 закона вводит понятие специальных категорий персональных данных, к которым относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
Ст. 11 определяет биометрические персональные данные как физиологические и биологические особенности человека, на основе которых можно установить его личность (физиологические параметры, фото- и видеоизображения).

Виды персональных данных

На какие типы подразделяются персональные данные? Что к ним относится?

Важно понимать, что вся информация, которая хранится на предприятии в отношении определенного сотрудника, может быть рассмотрена с двух разных точек зрения.

• Данные о семейном положении и семье работника (отдельных ее членах), а именно: наличие иждивенцев, наличие детей, их возраст и количество, состояние здоровья.
• Информация об определенном сотруднике, а именно: ФИО (паспорт), профессия, состояние здоровья, а также какие-нибудь особенные обстоятельства.

Руководитель предприятия обязан сформировать нормативно-правовой акт локального значения, который рассматривает порядок, определяющий хранение персональных данных. Он может быть представлен в разном виде. Например, им может являться Положение о персональных данных.

Итак, обсудим один из нюансов подробнее. Персональные данные: что к ним относится? Информация, содержащаяся в личных делах. Речь идет о следующем:

• данные паспорта (место и год рождения и так далее);
• копия диплома;
• копия документов, которые подтверждают наличие специальных навыков и знаний;
• копия документов пенсионного госстраха;
• иные документы.

Итак, подведем итог, что подразумевает понятие персональные данные? Что к ним относится? Это личная информация о работнике, которая необходима работодателю для того, чтобы наиболее эффективно использовать потенциал и умения сотрудника. Последний, конечно же, должен дать свое согласие на обработку персональных данных. Если все формальности соблюдены, то информация останется максимально защищенной.

Хранение в электронном виде

В описываемом случае отделы кадров предпочитают применять электронные базы данных и разнообразные информационные системы. Часто это гарантирует обеспечение безопасности персональных данных.

Каковы преимущества такого типа хранения информации? Далее будут перечислены основные из них:

• нет необходимости иметь большой архив;
• существенная экономия пространства;
• нет никаких ограничений по срокам хранения;
• обрабатывать персональные данные удобно, и для этого не потребуется много времени;
• несанкционированный доступ к данным практически исключен;
• не нужны никакие дополнительные ресурсы.

Выделяют, конечно же, и некоторые минусы. Например, следующие:

• потребность хранить резервные копии всей базы данных;
• необходим специалист, который займется администрированием системы информации;
• потребуются расходы на специально предназначенное для этого оборудование и программное обеспечение;
• сотрудник, который обрабатывает персональные данные, должен быть исключительно грамотен.

Какие именно методы применяют для того, чтобы эффективно защитить персональную информацию сотрудников?

• Сделать помещения, в которых обрабатываются личные данные, полностью закрытыми для доступа других сотрудников.
• Для получения какой-либо информации сотрудники должны получить специальное разрешение.
• Хранение данных должно быть четко организовано.

Учитывая наличие и недостатков, и преимуществ у каждого из методов, как правило, работодатели комбинируют их. Не имеет значения, какой именно способ хранения информации используется, работодатель, так или иначе, обязан получить согласие сотрудника на обработку его личной информации.

Похожие записи:

• Алгоритм заполнения баланса по обычной форме
• Сроки уплаты налогов и взносов в 2023 году
• МИРОВОЕ СОГЛАШЕНИЕ КАК СПОСОБ РАЗРЕШЕНИЯ ПРАВОВОГО СПОРА