Что входит в персональные данные работника

Содержание

Что входит в понятие персональных данных

Подтвердить разрешение на обработку персональных данных сейчас просят при заключении договоров, заполнении анкет, регистрации на сайтах. Большинство граждан соглашаются автоматически, хотя личная информация о человеке в руках недобросовестных лиц — мощное и опасное оружие. Статья рассказывает о том, что нужно знать о персональных данных, открывая доступ к ним 3-м лицам.

Персональные данные: что это, нормативная база

Государство регулирует сферу персональных данных посредством целого ряда нормативных актов. Основу составляет Конституция РФ, базис — ФЗ № 152 от 27.01.2006 г.

Закон разъясняет, что такое персональные данные, что к ним относится. Этот термин означает сведения, напрямую или косвенно характеризующие субъекта ПД — физическое лицо.

Говоря простым языком, по ним можно точно определить, что речь идет о конкретном человеке.

Косвенное упоминание о персональных данных есть в российской Конституции. Статьи 23–24 основного закона дают гражданам право на тайну частной жизни, ее неприкосновенность и защиту.

Все, что входит в понятие персональные данные, принадлежит только их носителю и не может контролироваться правительством или 3-ми лицами. Граждане сами вольны распоряжаться этой информацией, препятствовать распространению или, наоборот, передавать ее другим.

Государство, со своей стороны, гарантирует и защищает эту возможность.

ФЗ № 152 определяет, кто вправе использовать персональные данные кроме их носителя, на каких условиях, по каким правилам. Получать и обрабатывать личную информацию о субъекте могут только операторы с его разрешения. Гражданин подписывает согласие на проверку ПД при оформлении заявок на кредит, заполнении анкет или поступлении на работу.

Операторы получают доступ к тому объему данных, который требуется для решения их задач. Они не имеют права хранить и использовать их после того, как цель достигнута. Например, наниматель должен уничтожить записи, анкеты — все, что относится к персональным данным работника, после его увольнения. В ином случае, грозит ответственность за разглашение персональных данных работника

Нормам ФЗ № 152 должны следовать все юридические и частные лица. Особые правила применяются, когда ПД:

  1. получают для личных или семейных нужд, если это не ущемляет права 3-х лиц;
  2. содержатся в архивных документах;
  3. составляют гостайну;
  4. собираются по судебному акту.

Другие законодательные акты уточняют положения о ПД применительно к разным ситуациям, вводят систему и классификацию средств защиты. Например, гл.14 ТК РФ раскрывает понятие персональных данных работника.

Это сведения, позволяющие охарактеризовать его как сотрудника определенной организации (размер зарплаты, стаж, квалификация, информация из ФНС и ПФР и др.), его деловые качества.

Они должны использоваться и храниться для помощи работнику в выполнении его трудовых обязанностей, повышении опыта и знаний, продвижении по службе, для защиты персонала и имущества компании.

Классификация персональных данных

ФЗ № 152 выделяет несколько видов персональных данных. Можно расположить их по степени «секретности», сложности в сборе и использовании 3-ми лицами:

  • обезличенные;
  • общие;
  • биометрические;
  • специальные.

Общие персональные данные

Общие персональные данные — это основная информация о человеке. К ним относят:

Обработка персональных данных в организации

Цель обработки ПД в организации — оформление трудовых отношений с работником. Без подписанного согласия на обработку ПД работодатель не имеет права заключать трудовой договор. Подробнее читайте в этой статье

  • ФИО;
  • место прописки и проживания;
  • паспортные данные;
  • образование;
  • ИНН;
  • контактные данные;
  • сведения о работе;
  • размер доходов и т. д.

Не все из них по отдельности можно отнести к ПД. Например, закон точно не определяет, является ли номер телефона персональными данными.

Роскомнадзор в ответе на обращения граждан пояснил, что только по номеру невозможно точно идентифицировать человека. Сам по себе он не персонален, а в связке с ФИО владельца и городом проживания относится к ПД.

Поэтому неперсонифицированная рассылка смс-сообщений не считается нарушением ФЗ № 152.

Общие ПД содержатся в паспорте, военном билете, дипломе, личной карточке сотрудника, трудовой книжке и т. д. Письменное разрешение не обязательно для получения этих данных, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты. Относительная простота доступа часто приносит проблемы субъектам ПД — обычным гражданам: от навязчивой рекламы до шантажа и подделок кредитных заявок.

Личная жизнь гражданина, которая включает в себя также различные виды тайн (врачебная, налоговая, тайна усыновления и другие) защищена от разглашения статьей 137 УК РФ. Подробнее можно прочитать в этой статье.

Биометрические ПД

Биометрические данные — это физиологические и биологические характеристики субъекта: дактилоскопические изображения, группа крови, рост, цвет глаз, вес, анализ ДНК и т. д. Сюда относится и информация, которую можно получить по фото- или видеозаписи с человеком. Биометрические ПД часто необходимы при лечении или устройстве на работу в госорганы, оформлении заграничных паспортов и виз.

Специальные ПД

Раса и национальность, вероисповедание, философские убеждения, состояние здоровья, наличие судимостей, интимная жизнь, сексуальные предпочтения относятся к специальным данным. Они содержатся в медицинских справках, личных делах и т. д.

Специальные ПД требуются для участия в политической деятельности, вступления в вооруженные силы. Получить доступ к этим данным 3-и лица могут только с разрешения субъекта.

Зачем нужен закон о персональных данных? Ответ смотрите в видеосюжете:

Обезличенные ПД

Обезличенные ПД доступны для любого заинтересованного лица. Источниками информации могут быть:

  • адресные книжки;
  • справочники;
  • реестры;
  • СМИ.

Общедоступная информация, которая считается персональными данными, — это, например, доходы политических деятелей, представителей федеральной или муниципальной власти, чиновников на руководящих должностях.

В ноябре 2016 г. состоялось первое собрание рабочей группы администрации Президента РФ по проблеме использования положений ФЗ № 152 к так называемым Big Data. Это данные, которые от пользователя поступают в сеть: IP-адрес, формы авторизации, история браузера, сведения, которые накапливают о владельце гаджеты и умные бытовые приборы.

Big Data, с одной стороны, прямо или косвенно указывают на человека, то есть попадают под определение ПД. Законодатели в то же время не рассматривают интернет-данные как собственность индивида, так как он не может их контролировать.

Источник: https://otdelkadrov.online/5841-ponyatie-vidy-personalnyh-dannyh

Персональные данные

Каждая компания обладает информацией о своих работниках, вносит эти данные в документацию и хранит их. Что входит в персональные данные работника или клиента и какие операции называют обработкой данных.

Внимание! Вы находитесь на профессиональном сайте со специализированным юридическим контентом. Для чтения статьи может потребоваться регистрация. 

Когда компания принимает на работу нового сотрудника или заключает договор с клиентом – физическим лицом, она получает данные человека: его имя и фамилию, адрес, и т. п.

В персональные данные входит много различной информации, также есть правила работы с ней. Если компания их нарушит, контролеры назначить крупный штраф.

С 1 июля 2017 года действуют новые правила привлечения к административной ответственности за подобные нарушения.

В персональные данные входит имя, место проживания и другая информация

О том, что такое персональные данные и что к ним относится, говорится в п. 1 ст. 3 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» (далее – закон № 152-ФЗ):

Читайте также  Как уволить работника по сокращению штата

«Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

В Указе Президента РФ от 06.03.97 № 188 конкретизируется, какие сведения подразумевают. Это информация о человеке и событиях его жизни, которая позволяет идентифицировать его как личность. Персональные данные физического лица – это:

  • фамилия, имя, отчество гражданина;
  • дата его рождения, а также место рождения;
  • адрес постоянного и временного проживания;
  • сведения о семье и социальном положении гражданина;
  • данные о его образовании, профессии и должности;
  • сведения о доходах и имущественном положении;
  • биометрические персональные данные.

Кроме того, есть информация, которую суд может расценить как относящуюся к подобным данным. Например, суды признавали, что персональными данными являются:

К обработке данных относятся сбор и хранение сведений о работниках и клиентах

Когда компания получает сведения о новом работнике или клиенте, она фиксирует эту информацию. Вносит в документы, передает третьим лицам в рамках договора или согласно требованиям закона, хранит информацию. Эти действия являются обработкой персональных данных. Согласно п. 3 ст. 3 закона № 152-ФЗ:

«Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными».

В том числе это:

  • сбор и запись данных;
  • систематизация;
  • хранение, накопление и обновление;
  • извлечение, использование и передача;
  • обезличивание данных;
  • блокирование, удаление и уничтожение.

Если компания вносит сведения о новом работнике во внутренние документы или ведет базу своих клиентов-граждан, это входит в обработку персональных данных. На такие действия нужно получить согласие.

В дополнение к закону № 152-ФЗ действуют правила гл. 14 ТК РФ и разъяснения Роскомнадзора от 14.12.12. Компании нужно руководствоваться этими правилам при работе с данными сотрудников.

О работе с персональными данными нужно уведомить роскомнадзор

Если компания выполняет действия с персональными данными, она является оператором данных (п. 2 ст. 3 закона № 152-ФЗ). О том, что компания приступила к сбору такой информации, нужно уведомить Роскомнадзор (п. 1 ст. 22 закона № 152-ФЗ). Это делают по форме согласно Приложению № 1 к Методическим рекомендациям Роскомнадзора (утв. приказом от 30.05.2017 № 94).

Уведомление о работе с персональными данными подают в орган Роскомнадзора по месту регистрации компании. Документ можно подготовить как в бумажном виде, так и в электронном.

Электронный вариант направляют через портал «Госуслуги» или сайт Роскомнадзора. После получения документа ведомство включит компанию в реестр операторов. Это делают в течение 30 дней с момента поступления уведомления.

Проверить выполнение можно на сайте Роскомнадзора.

Уведомление в некоторых случаях не подают

Из правила об уведомлении Роскомнадзора есть исключения. Перед тем, как направлять документ, нужно проверить, не подпадает ли компания под эти исключения. Например, компания обрабатывает персональные данные только:

Подпишитесь на журнал «Юрист компании»
всего за 21 912 13 990 рублей.

Успейте до подорожания!

Наш телефон 8 800 550 15 98

Cкорее подписаться!

Незаменимые помощники в работе юриста

Источник: https://www.law.ru/article/21683-chto-vhodit-v-personalnye-dannye-i-ih-obrabotku

Что входит в персональные данные сотрудников

Защита персональных данных работника В документах отдела кадров по номенклатуре обязательно должно присутствовать Положение о персональных данных работников.Этот локальный акт в точности должен соответствовать 152-му закону.

Рубрики Получение, хранение, комбинирование, передача или любое другое использование персональных данных кодекс называет обработкой персональных данных работника (ст. 85 ТК РФ). Все персональные данные работника следует получать у него самого.

Если информацию можно получить только у третьей стороны, то сотрудника следует уведомить об этом заранее и от него следует получить письменное согласие.

Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение (п.3 ст. 86 ТК РФ).

Отпечатки пальцев являются строго персональными данными. Персональные данные, возникающие в результате трудовой деятельности, формируются на основе следующих документов:

  • о приеме, переводах и увольнении;
  • личная и учетная карточка работника (служащего);
  • об отпусках;
  • о командировках;
  • о поощрениях;
  • табели учета;
  • расчетные и платежные ведомости;
  • лицевые счета;
  • о приеме работ в рамках срочного трудового договора.

К работе с конфиденциальной личной информацией допускается ограниченный круг лиц, на который возложена функция по ее систематизации, классификации и хранению.

Для того, чтобы иметь право обрабатывать личные данные, законодательство не зависимо от ситуации требует получения разрешения от человека, предоставляющего эту информацию о себе.

Понятие и виды персональных данных

Кроме того, в теории ст. Положение о защите персональных данных работников Кадровику доступны такие личные данные:

  • ФИО;
  • адрес;
  • телефон;
  • паспортные данные;
  • семейное положение;
  • должность и профессия;
  • размер зарплаты;
  • ИНН;
  • номер страхового пенсионного свидетельства;
  • личные данные о воинском учёте;
  • место работы;
  • сведения о стаже и местах работы;
  • сведения об основаниях увольнения с прошлых мест работы;
  • сведения о долгах (по алиментам или кредитам);
  • данные о здоровье (инвалидности).

Вот такую информацию о работниках вам нужно правильно защитить.

Персональные данные работника

В коммерческих целях также нужно согласие сотрудника на передачу конфиденциальной информации третьим лицам (рис.5). При соглашении сотрудника на передачу персональной информации, должен присутствовать акт приема-передачи документов (рис.6).
Внимание В акте должно быть указано:

  • ознакомление лица, получающего информацию должен использовать ее в целях которые указаны в документах
  • предупреждение об ответственности за незаконное использование информации

Организация защиты персональной информации работника Организация защиты должна быть акцентирована на защиту от утраты документов и от неправомерного использования. Общую организацию защиты информации сотрудников реализует начальник отдела кадров.

Что входит в персональные данные и их обработку

Для выпуска пластиковых карт банку были переданы заполненные и подписанные работниками анкеты-заявления с их личными данными. Анкета-заявление Д. им подписана не была, согласие на передачу своих персональных данных он не давал.

Исковые требования судом были удовлетворены, несмотря на то, что полученной пластиковой карточкой Д. активно пользовался. Когда за разглашение информации могут уволить Уволить за разглашение информации можно только тех сотрудников, которым такие сведения стали известны в связи с исполнением ими трудовых обязанностей.

Важно

Об этом прямо указано в п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ. К таким сотрудникам относятся руководители организаций, работники кадровых служб, бухгалтерии и иные лица, чья работа непосредственно связана с обработкой персональных данных.

Персональные данные: как работать по закону?

Кадровик. Трудовое право для кадровика», 2008, N 4 Вопрос: Что входит в персональные данные работника? В частности, входит ли туда размер зарплаты? И второй вопрос по поводу персональных данных. Перед выборами Президента России в марте нам позвонили из вышестоящей организации и сказали, чтобы мы представили сведения о наших работниках (точнее, об их месте жительства).

Насколько это законно? Имеет ли право кадровик представлять такие данные? Вышестоящее начальство мотивирует это тем, что такая информация им нужна для правильного отнесения того или иного человека к определенному избирательному участку. Ответ: Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст.

85 Трудового кодекса РФ). Статья 3 Федерального закона от 27 июля 2006 г.

Положение о защите персональных данных работников

Если разглашенная конфиденциальная информация нанесла лицу ущерб, то это повод требовать возмещения в рамках гражданского законодательства. Целенаправленный сбор и распространение персональных данных – уголовное преступление, предусматривающее лишение свободы на срок до 2 лет, и до 4 лет, если оно было совершено с использованием служебного положения (ст.137 УК РФ).

То же касается разглашения должностным лицом чужой корреспонденции и разговоров (ст. 138 УК РФ).

Персональные данные работника: общие положения

Обеспечение работы с информацией на традиционных носителях было нормативно регламентировано. Защищать персональные данные и хранить физические тома дел, следуя инструкциям, не составляло труда.
Все изменилось с приходом цифрового способа хранения информации.

Утечки конфиденциальных сведений происходят периодически. Некоторая информация иногда может составлять государственную тайну. Что же говорить о персональных данных простых смертных? Личные данные работника – это весь комплекс сведений о физическом лице, которым может обладать работодатель.

Сюда включаются не только сведения, формируемые в результате трудовой деятельности, но и любая другая информация, касающаяся частной жизни как самой персоны, так и его семьи. Персональные данные — конфиденциальная информация. Если говорить о трудовом праве, то специальная глава кодекса посвящена защите персональных данных.

Сведения относящиеся к персональным данным работника таким профессиям:

  • отсутствие судимости и уголовного преследования;
  • отсутствие неоднократного привлечения к административной ответственности в течение года;
  • о дееспособности;
  • о несостоянии на учете в наркологическом и психоневрологическом диспансерах;
  • отсутствие заболеваний;
  • другие медицинские заключения (об уходе за больным, о переводе на другую работу, текущие заключения);
  • отсутствии заключения специального органа о невозможности исполнять обязанности, связанные с объектами, характеризующимися повышенной опасностью;
  • о том, что человек не лишен права занимать должность, на которую претендует.
Читайте также  Работник заболел в отпуске как продлить отпуск

Служащие в некоторых государственных органах и силовых структурах, кроме того, обязаны проходить дактилоскопическую экспертизу при приеме на работу.

Процедура лицензирования МЧС: назначение и этапы Арендатор, победившего в аукционе по продаже права на заключение договора аренды земельного участка, вправе осуществлять строительство на данном земельном участке ЕНВД: монтаж пластиковых окон Налог на прибыль: учет расходов на рассылку смс-сообщений рекламного характера Порядок проведения банком идентификации клиента Представление налоговой отчетности по НДС филиалами и представительствами иностранных организаций, состоящими на учете в налоговых органах Налогообложение НДС в РФ услуг по созданию и размещению рекламно-информационных материалов в печатных изданиях, на радио и телевидении, приобретаемых представительством российской организации, состоящим на налоговом учете в Республике Казахстан, у казахстанской организации Официальные документы Об НДФЛ при получении подарков от организаций и ИП.

Источник: http://1privilege.ru/chto-vhodit-v-personalnye-dannye-sotrudnikov/

1. Общие положения

«УТВЕРЖДАЮ»

Генеральныйдиректор

_____________________

_____________________

_____________________

«___»____________ г.

ПОЛОЖЕНИЕ

обобработке и защите персональных данныхработников

1.1.Настоящее Положение устанавливаетпорядок получения, учета, обработки,накопления и хранения документов,содержащих сведения, отнесенные кперсональным данным работниковпредприятия. Под работниками подразумеваютсялица, заключившие трудовой договор спредприятием.

1.2.Цель настоящего Положения — защитаперсональных данных работниковпредприятия от несанкционированногодоступа и разглашения. Персональныеданные всегда являются конфиденциальной,строго охраняемой информацией.

1.3.Основанием для разработки настоящегоПоложения являются Конституция РФ,Трудовой кодекс РФ, другие действующиенормативно-правовые акты РФ.

1.4.Настоящее Положение и изменения к немуутверждаются Генеральным директороми вводятся приказом по предприятию. Всеработники предприятия должны бытьознакомлены под расписку с даннымПоложением и изменениями к нему.

2. Понятие и состав персональных данных

2.1.Под персональными данными работниковпонимается информация, необходимаяработодателю в связи с трудовымиотношениями и касающаяся конкретногоработника, а также сведения о фактах,событиях и обстоятельствах жизниработника, позволяющие идентифицироватьего личность.

2.2.Состав персональных данных работника:

-анкета;

-автобиография;

-образование;

-сведения о трудовом и общем стаже;

-сведения о предыдущем месте работы;

-сведения о составе семьи;

-паспортные данные;

-сведения о воинском учете;

-сведения о заработной плате сотрудника;

-сведения о социальных льготах;

-специальность;

-занимаемая должность;

-размер заработной платы;

-наличие судимостей;

-адрес места жительства;

-домашний телефон;

-содержание трудового договора;

-содержание декларации, подаваемой вналоговую инспекцию;

-подлинники и копии приказов по личномусоставу;

-личные дела и трудовые книжки сотрудников;

-основания к приказам по личному составу;

-дела, содержащие материалы по повышениюквалификации и переподготовке сотрудников,их аттестации, служебным расследованиям;

-копии отчетов, направляемые в органыстатистики;

-копии документов об образовании;

-результаты медицинского обследованияна предмет годности к осуществлениютрудовых обязанностей;

-фотографии и иные сведения, относящиесяк персональным данным работника;

-рекомендации, характеристики и т.п.

2.3.Данные документы являются конфиденциальными.Режим конфиденциальности персональныхданных снимается в случаях обезличиванияили по истечении ____ лет срока хранения,если иное не определено законом.

3. Обязанности работодателя

3.1.В целях обеспечения прав и свободчеловека и гражданина работодатель иего представители при обработкеперсональных данных работника обязанысоблюдать следующие общие требования:

3.1.1.Обработка персональных данных работникаможет осуществляться исключительно вцелях обеспечения соблюдения законови иных нормативных правовых актов,содействия работникам в трудоустройстве,обучении и продвижении по службе,обеспечения личной безопасностиработников, контроля количества икачества выполняемой работы и обеспечениясохранности имущества.

3.1.2.При определении объема и содержанияобрабатываемых персональных данныхработника работодатель долженруководствоваться КонституциейРоссийской Федерации, Трудовым кодексомРФ и иными федеральными законами.

3.1.3.Все персональные данные работникаследует получать у него самого. Еслиперсональные данные работника возможнополучить только у третьей стороны, тоработник должен быть уведомлен об этомзаранее и от него должно быть полученописьменное согласие.

Работодательдолжен сообщить работнику о целях,предполагаемых источниках и способахполучения персональных данных, а такжео характере подлежащих получениюперсональных данных и последствияхотказа работника дать письменноесогласие на их получение.

3.1.4.Работодатель не имеет права получатьи обрабатывать персональные данныеработника о его политических, религиозныхи иных убеждениях и частной жизни. Вслучаях, непосредственно связанных свопросами трудовых отношений, всоответствии со ст. 24 КонституцииРоссийской Федерации работодательвправе получать и обрабатывать данныео частной жизни работника только с егописьменного согласия.

3.1.5.Работодатель не имеет права получатьи обрабатывать персональные данныеработника о его членстве в общественныхобъединениях или его профсоюзнойдеятельности, за исключением случаев,предусмотренных федеральным законом.

3.1.6.При принятии решений, затрагивающихинтересы работника, работодатель неимеет права основываться на персональныхданных работника, полученных исключительнов результате их автоматизированнойобработки или электронного получения.

3.1.7.Защита персональных данных работникаот неправомерного их использования илиутраты должна быть обеспечена работодателемза счет его средств в порядке, установленномфедеральным законом.

3.1.8.Работники и их представители должныбыть ознакомлены под расписку сдокументами организации, устанавливающимипорядок обработки персональных данныхработников, а также об их правах иобязанностях в этой области.

3.1.9.Работники не должны отказываться отсвоих прав на сохранение и защиту тайны.

Источник: https://StudFiles.net/preview/5279113/

Персональные данные: закон суров..

02 августа 2011

*Данный материал старше трёх лет. Вы можете уточнить у автора степень его актуальности.

Федеральный закон «О персональных данных» от 27 июля 2006 года №152-ФЗ в полном объеме вступил в силу с 1 июля 2011 года

Об изменениях св правовом регулировании обращения информации, являющейся персональными данными, читайте в нашей новой статье «152-ФЗ или Персональные данные на сайте».

Roman Rechkin
Senior partner

Если вы делаете бизнес в России, вы должны постоянно отслеживать изменения законодательства. То, что еще вчера было нормальным и допустимым, сегодня может быть уже за гранью закона. Типичный пример новых жестких требований к бизнесу — нормы законодательства о персональных данных.

Важность этого закона безусловна: он касается каждого предпринимателя. Если в вашей организации есть хотя бы один работник или один клиент — физическое лицо, то законодательство о персональных данных налагает на вас серьезные обязательства.

Персональные данные — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация [1].

Andrey Tishkovsky
Head of department

Главное требование закона — соблюдение конфиденциальности при обработке любых персональных данных, позволяющих идентифицировать лицо, которому принадлежат эти данные. Как правило, для идентификации достаточно дополнения сведений о фамилии, имени и отчестве любой иной персональной информацией (дата рождения, адрес, номер телефона и др.).

Например, такие сочетания данных как Ф.И.О. и дата рождения или Ф.И.О. и номер телефона являются персональными данными, позволяющими идентифицировать лицо.

А вот сочетание даты рождения и номера телефона персональными данными являться не могут, поскольку их принадлежность к определенному лицу не установлена, и идентифицировать по этим данным конкретное лицо невозможно.

Если в вашей организации накапливаются, хранятся или каким-то образом используются в работе персональные данные, хотите вы этого или нет, с точки зрения закона вы признаетесь оператором персональных данных.

Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных [2].

1. Согласие физического лица на обработку персональных данных

Закон о персональных данных ввел новое и очень жесткое правило о том, что обработка персональных данных (фактически, любые операции с ними: получение, хранение, создание баз данных и т.п.) допускается только с согласия субъекта персональных данных (человека, данные которого обрабатываются).

Исключений из этого правила предусмотрено всего семь. Из них только одно применимо к обычной предпринимательской деятельности: обработка персональных данных возможна без получения согласия субъекта персональных данных, если такая обработка осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных (например, договор с потребителем).

Законодатель, казалось бы, преследовал благую цель — повысить уровень защиты данных о частной жизни человека, привести правила делового оборота в соответствие с европейскими стандартами (федеральный закон принят во исполнение Конвенции Совета Европы «О защите личности в связи с автоматической обработкой персональных данных»).

Но к сожалению, введение такого жесткого правила одномоментно, без учета специфики различных сфер бизнеса, сильно усложнило жизнь предпринимателей. Например, это ощутимо ударило по рекрутинговому бизнесу: кадровые агентства теперь формально не имеют права пользоваться открытыми базами данных в сети Интернет, поскольку потенциальный работник не давал им согласия на обработку персональных данных.

Читайте также  Как перевести работника на другую должность

Закон дополнительно ограничил возможность обработки персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.

Ведение базы номеров телефонов и электронных адресов клиентов с целью проведения рекламных рассылок теперь допускается только при условии предварительного согласия клиентов. Причем предполагается, что такое согласие потребителей отсутствует, если оператор не докажет, что оно было получено.

Законом также предусмотрено, что клиент в любой момент по своему усмотрению может отозвать ранее данное согласие на обработку персональных данных. И оператор обязан по требованию клиента немедленно прекратить обработку его персональных данных [3].

По общему правилу, согласие физического лица на обработку персональных данных не должно быть письменным. (Но есть несколько исключений которые мы рассмотрим ниже). Однако на случай проверки госоргана или судебного спора с субъектом персональных данных предприниматель должен быть готов доказать наличие этого согласия.

Поэтому во избежание претензий со стороны проверяющих органов или физических лиц, информация о которых обрабатывалась, рекомендуется получать такое согласие именно в письменной форме.

Для этих целей можно использовать специальные формы документов, подписываемые субъектами персональных данных, а также включать соответствующие условия в трудовые договоры с работниками и в договоры с клиентами.

Обязательное письменное согласие от физического лица требуется для обработки так называемых специальных персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Обязательное письменное согласие также требуется для опубликования информации о физическом лице (Ф.И.О., год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные).

Это требование создает дополнительные ограничения для включения персональных данных в общедоступные источники (справочники, адресные книги, деловые базы данных и т.п.).

Но даже при наличии письменного согласия сведения о субъекте персональных данных могут быть удалены из общедоступных источников по решению суда или иных уполномоченных государственных органов, а также по требованию самого субъекта персональных данных.

Еще одно принципиальное правило состоит в том, что оператор обязан использовать персональные данные только в соответствии с теми целями, для которых он их получил, использование информации в иных целях незаконно.

1 июля 2017 года вступают в силу изменения в статью 13.11 Кодекса об административных правонарушениях (КоАП РФ), регулирующую ответственность за соблюдение законодательства о персональных данных. 

2. Безопасность обработки персональных данных

Любой оператор персональных данных теперь должен принимать «необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий» (п.1 ст.19 Федерального закона «О персональных данных»). Это требование является еще более сложным с организационной и финансовой точки зрения, чем рассмотренное выше.

Правительством РФ было принято Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных [4].

Во исполнение этого документа было разработано также Положение о методах и способах защиты информации в информационных системах персональных данных [5], которое устанавливает организационно-технические меры по защите информации в информационных системах.

При этом выбор и реализация конкретных методов и способов защиты информации в информационной системе определенной организации осуществляются на основе выявленных оператором угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы [6].

Указанные нормативные акты предусматривают следующие организационные и технические мероприятия по защите персональных данных:

  • Уведомление уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор [7]) о намерении осуществлять обработку персональных данных. На основании такого уведомления лицо включается в реестр операторов персональных данных, находящемся в общем доступе на сайте Роскомнадзора.
  • Разработка документов, регламентирующих обработку персональных данных в организации: положение по обработке персональных данных, регламенты, положения по защите персональных данных. Эти документы должны быть направлены на создание условий, обеспечивающих реализацию технических мер защиты конфиденциальной информации.
  • Контроль действий персонала в защищенных информационных системах.
  • Определение порядка финансирования деятельности системы обеспечения информационной безопасности.
  • Создание системы защиты персональных данных, в том числе, выполнение требований по инженерно-технической защите помещений.
  • Повышение квалификации сотрудников в области защиты персональных данных.
  • Использование технических, программных, криптографических и аппаратных средств для защиты информации от несанкционированного доступа, копирования, модификации или уничтожения.

Даже на первый взгляд описанная система выглядит громоздкой и чрезмерно усложненной. А отдельные ее положения являются откровенно не нужными ни государству, ни даже самим физическим лицам (субъектам персональных данных).

Например, с учетом того, что обработку персональных данных осуществляет фактически любая организация, неясен смысл «письменного уведомления уполномоченного органа о своем намерении осуществлять обработку персональных данных», а также «включение в реестр операторов персональных данных».

При этом ответственность за неуведомление уполномоченного органа законодательством не установлена.

Еще более абсурдна предусмотренная пп.4, 5 ст.21 Федерального закона «О персональных данных» обязанность оператора «уведомлять субъекта персональных данных о прекращении обработки и об уничтожении персональных данных».

Вряд ли такая громоздкая и излишне бюрократизированная система охраны персональных данных в полном объеме будет работать даже на больших государственных предприятиях. А между тем в дополнение к многочисленным административным барьерам и налоговому бремени на бизнес возложили еще и обязанность по внедрению этой системы.

Для ее реализации явно нужны специальные ресурсы и дополнительные финансовые вложения. Показательно, что рынок «консультантов в области защиты персональных данных» уже полон предложениями «обеспечить защиту персональных данных в соответствии со всеми требованиями закона». Естественно — за соответствующее вознаграждение.

3. Ответственность за нарушение требований законодательства о персональных данных

Установив требования к защите персональных данных, государство предусмотрело и ответственность за их несоблюдение.

Правда, несмотря на оговорку в законе о возможности привлечения к «гражданской, уголовной, административной, дисциплинарной и иной предусмотренной законодательством РФ ответственности» (ст.

24 Федерального закона «О персональных данных»), фактически законодательно установлена только административная ответственность.

За нарушение «установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» статья 13.11 Кодекса РФ об административных правонарушениях предусматривает наказание в форме предупреждения или административного штрафа в размере от 500 до 1 000 рублей (для должностных лиц организации), от 5 000 до 10 000 рублей (для юридических лиц).

Столь небольшой размер ответственности, с одной стороны, и организационная сложность системы охраны персональных данных, с другой, позволяют прогнозировать, что ситуация будет развиваться в соответствии со старой отечественной традицией: «Суровость российских законов смягчается необязательностью их исполнения».

Но нельзя забывать о другом негативном для бизнеса аспекте: к длинному списку «уполномоченных государственных органов», которые вправе проверять бизнес, теперь нужно добавить еще один — Роскомнадзор. Именно это ведомство уполномочено осуществлять контроль за соблюдением законодательства о персональных данных.

Поэтому проверок Роскомнадзора не избежать, которые, кстати, должны проводиться с соблюдением требований и ограничений, установленных Федеральным законом «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» от 26 декабря 2008 г.

№294-ФЗ.

Административная ответственность за нарушение требований законодательства о персональных данных (ст.13.11 КоАП РФ)

Правонарушение: нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Наказание: предупреждение или административный штраф от 500 до 1000 рублей (для должностных лиц организаций), от 5 000 до 10 000 рублей (для юридический лиц).

в журнале «ИНТЕЛЛЕКТ-ПРЕСС» (№18/2011)

[1] Статья 3 Федерального закона «О персональных данных» от 27 июля 2006 года №152-ФЗ.

[2] Там же.

[3] Необходимо отметить, что СМС-рассылки и рекламные объявления с использованием иных средств связи («спам») без согласия абонента были запрещены законом и раньше (ст.18 Федерального закона «О рекламе» от 13 марта 2006 года №38-ФЗ).

[4] Утв. Постановлением Правительства РФ от 17 ноября 2007 г. №781.

[5] Утв. Приказом Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. №58.

[6] Класс информационной системы определяется в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным Приказом Федеральной службы по техническому и экспортному контролю России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. №55/86/20.

[7] Полное наименование — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

интеллектуальная собственность, коммерческое право, медиа

Источник: https://www.intellectpro.ru/press/works/personalnye_dannye_zakon_surov/

Понравилась статья? Поделить с друзьями: