Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные работника: что важно знать об этом». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Что такое согласие на обработку персональных данных?
Согласие на обработку ПД – это добровольно принятое вами решение о предоставлении своих данных оператору для обработки в тех целях, которые им определены.
Согласие на обработку ПД должно быть оформлено:
- письменно, если того требует закон (см. выше);
- в остальных случаях закон допускает оформление согласия в любой иной форме, позволяющей подтвердить факт его получения оператором, например проставление галочки напротив текста о предоставлении согласия на сайте при регистрации (☑).
Пункты, которые обязательно должно содержать письменное согласие:
- Ф.И.О., адрес, реквизиты паспорта или иного документа, удостоверяющего личность;
- название организации или Ф.И.О. и адрес оператора;
- цель обработки ПД – вы должны понимать, для чего вы даете согласие на обработку данных; если оператор станет обрабатывать ПД в иных целях, это будет считаться нарушением закона;
- перечень ПД, которые будет обрабатывать оператор;
- информация о лице, которое будет обрабатывать ваши ПД по поручению оператора. Например, работодатель передает ваши данные сторонней организации, которая оказывает бухгалтерские или кадровые услуги, – для этого вы должны предоставить свое согласие;
- перечень действий, которые будет осуществлять оператор, т.е. что конкретно он может делать с ПД: собирать и хранить или собирать, хранить и передавать и т.д.;
- срок, на который выдано согласие;
- способ отзыва согласия;
- подпись.
Согласие на обработку персональных данных
В соответствии со ст. 9 закона «О персональных. » от 27.07.2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).
Необходимость в предоставлении личной информации возникает постоянно: при медицинском осмотре в поликлинике, трудоустройстве на работу и даже оформлении заказа в интернет-магазине.
Сторона, получающая личные сведения, обязана:
- заручиться согласием их владельца на обработку и использование;
- обеспечивать конфиденциальность;
- хранить документ, подтверждающий, что владелец разрешил работать с ними.
ВАЖНО! Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных.
Нарушение этих требований влечет за собой применение к оператору персональных данных мер ответственности.
В процессе установления уровня защищенности и организации мероприятий, направленных на нейтрализацию угроз безопасности, приоритетное значение имеет классификация ПДн, предусмотренная ФЗ-152 и Постановление Правительства № 1119. В них прописано четыре категории ПДн, которые обрабатываются в ИС:
- Общедоступные — те, которые опубликованы в открытых источниках с согласия владельца (если субъект хочет удалить сведения, он может подать заявление оператору либо обратиться в суд). К таким относятся дата, место рождения, адрес прописки и проживания, профессия и место работы, адрес электронной почты, телефонный номер, образование.
- Специальные — ПДн, которые касаются сексуальной жизни субъекта, его политических, философских и религиозных воззрений, а также расовой и половой принадлежности. Доступ к такой информации предоставляется только по решению суда, в рамках работы органов правосудия, при реализации международных соглашений либо после получения письменного разрешения владельца.
- Биометрические — любые биологические либо физиологические особенности, которые дают возможность определить личность субъекта, к примеру, ДНК, фотографии, группа крови, рисунок сетчатки глаза, отпечатки пальцев и т.д. Оператору для обработки подобных ПДн нужно предварительно получить разрешение (за исключением случаев, когда есть судебное решение либо речь идет о расследовании преступлений). Однако если хранение осуществляется не с целью установления личности, то сведения не относятся к категории биометрических ПДн (в зависимости от ситуации их можно определить как специальные либо общедоступные).
- Иные — ПДн, которые нельзя определить ни в одну из других групп. Фактически, это дополнительная информация о человеке, которая часто меняется: размер зарплаты, социальный статус, рабочий стаж, длительность и даты отпуска и т.д.
Помимо того, можно выделить несколько разновидностей персональных данных в зависимости от целей и способа их обработки:
- сведения в муниципальных и государственных ИС;
- личные сведения в полностью автоматизированных системах;
- ПДн, необходимые для агитации политических сил, раскрутки товаров и услуг;
- трансграничная передача данных (когда информация передается за пределы страны).
Еще одним отличием персональных данных от иной информации является то, что появляется возможность их перехода в разряд общедоступных. Обратившись к ст. 8 ФЗ «О персональных данных» мы можем понять, что относится к общедоступным персональным данным. Речь в частности идёт о тех данных, «доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности». Примером таких данных могут служить справочники, частные объявления и т.п. Аналогичные положения содержаться в Указе Президента РФ от 06.03.1997 N 188 «Об утверждении Перечня сведений конфиденциального характера», в котором говориться о том, что не являются конфиденциальными сведения, которые распространяются в средствах массовой информации.
Но здесь следует обратить внимание на весьма интересную позицию, которая сложилась в судебной практике относительно данных пользователей социальных сетей, таких как, например, «ВКонтакте», «Одноклассники», Instragram, Twitter. Пользователи данных интернет-сетей при регистрации оставляют немало своих личных данных, непосредственным образом относящихся к данным персонального характера. Примечательно и то, что при регистрации у таких пользователей не получается согласие на дальнейшую обработку соответствующих данных. И несмотря на то, что такие данные пользователей зачастую не скрыты и находятся в открытом доступе для других пользователей конкретно-определённой социальной сети, суды полагают, что не являются общедоступными обрабатываемые организациями персональные данные, которые находятся в открытых источниках, а именно социальных сетях. Данное обстоятельство предопределяет вывод, согласно которому важно получить согласие граждан на использование таких данных.
Является ли фио и инн персональными данными
Налоги » ИНН »
Само по себе ФИО — является персональными данными?
В интернете написано Иванова Ксения Андреевна — мошенница. Нарушен ли закон О Защите персональных данных?
Ответы юристов ( 2 )
К персональным данным гражданина относятся его Ф. И. О., адрес фактического проживания и прописки, дата и место рождения, номер и серия паспорта, дата его выдачи, серийные номера других документов (медицинский полис, ИНН, СНИЛС, пенсионное удостоверение), информация из трудовых и медицинских книжек, а также другие данные, относящиеся к конкретному физическому лицу.
Но этот человек не брал на себя обязательство хранить эти данные, а значит он иожет быть привлечен к ответственности за клевету, оскорбление. Так что напишите заявление в полицию и она приймет решение
Что такое персональные данные (ПДн) и как этот термин трактуется с позиции российского законодательства? В этой статье мы уделили внимание тонкостям определений и подготовили развернутый пост-ответ, который поможет во многом разобраться.
Серия и номер в паспортных данных
Для того, чтобы узнать серию и номер паспорта откройте вторую страницу вашего документа. Вверху страницы вы увидите ряд цифр в формате 2 цифры — пробел – 2 цифры – пробел – 6 цифр. Первые 4 цифры – это серия вашего паспорта. Тут можно отметить, что законодательно не закреплено такое понятие, как «серия паспорта». Само разделение чисел в таком формате является аналогичным с документами, выдаваемых во времена СССР.
Следующие 6 цифр являются номером паспорта гражданина РФ. Именно их нужно переписать при заполнении документов в графу номер паспорта. В ряде случаев, например, при покупке билетов в электронных терминалах, под номером будет подразумеваться все 10 цифр, включая серию документа.
Разберем на конкретном примере. Если в вашем паспорте написаны цифры «65 09 143552», то цифры «65 09» — будут серией документа, а «143552» — его номером. Как мы уже писали, серия документа зависит от региона. С помощью специальной таблицы, можно определить по цифрам из серии – регион, в котором был выдан документ. В нашем примере, 65 означает Свердловскую область, а 09 – год изготовления бланка, в нашем, примере, это 2009 год.
Полномочия Роскомнадзора в вопросе защиты данных
Следует учитывать, что к ответственности за нарушение законодательства в сфере ПДн операторов может привлекать регулятор – Роскомнадзор. Причем претензии к работе организации в этом направлении могут появиться у него после плановой проверки организации либо после получения жалобы от субъектов.
К слову о проверках. Они бывают плановыми и внеплановыми. Первые проводятся не чаще одного раза в три года (для одной организации). Причем список организаций, к которым инспекторы придут с проверкой в ближайший год можно найти на официальном сайте Роскомнадзора. Внеплановые проверки проводятся по случаю, например, в целях разобраться в ситуации после получения жалобы от субъекта.
Поводом для проведения инспекции может стать и желание регулятора развеять собственные подозрения. Дело в том, что третьей формой проверки является систематическое наблюдение за деятельностью операторов.
Обо всех проверках регулятор уведомляет организацию заранее: за три дня в случае плановой и за 24 часа в случае внеплановой. Кроме того, по типу инспекции могут быть документарными и выездными. В первом случае достаточно предоставить регулятору полный пакет запрашиваемых им документов, которые доказывают, что оператор ведет работу с ПДн строго по закону. Во втором, инспекторы могут пройти по компании с экскурсией, чтобы изучить и технический аспект защиты информации.
Полномочия Роскомнадзора:
- может потребовать уничтожения недостоверных или полученных незаконным путем ПДн;
- может ограничить доступ к информации, обрабатываемой с нарушением законодательства;
- может направить исковое заявление в защиту прав субъектов ПДн и представлять их в суде;
- наделен полномочиями по привлечению к административной ответственности лиц, виновных в нарушении закона «О персональных данных»;
- рассматривает жалобы и обращения по вопросам обработки данных и принимает по ним решения.
Судебная практика и практика проверок Роскомнадзора, однако, показывает, что большинство нарушителей ограничиваются штрафами. В редких случаях регулятор может потребовать через суд блокировки ресурса, который уличили в распространении закрытой информации.
Почему так важно защищать персональную информацию?
Как вы понимаете, мало кому бы понравилось, если бы его индивидуальные данные были доступны всем и каждому. Именно по этой причине, практически все анкеты, которые приходится заполнять человеку, содержат в себе дополнительную графу, в которой указано, что подписывая данный документ, человек, дает разрешение на использование и обработку его персональных данных. Но, это не значит, что такие данные могут стать общедоступными. Все гораздо сложнее. Это значит, что данные субъекта могут быть применены четко определенной компанией для определенных целей. Скажем, для рассылки сообщений и пр. В тоже время, данная информация не может быть применена в качестве элемента нарушения закона в виде формирования некой общедоступности.
Федеральное законодательство по данному вопросу содержит весьма исчерпывающую информацию. Причем, за распространение личной информации порой, могут быть назначены, весьма существенные штрафы и наказания. Так что, если вам периодически или же систематически приходится сталкиваться с личной информацией граждан страны, вам нужно весьма детально изучить данное законодательство, чтобы избежать определенных неприятностей в дальнейшем.
Понятие обратной силы закона в нашей стране существует достаточно давно и определяет устранение определенных нюансов в судебной системе. Обратная сила закона имеет еще…
Статья 19.22 КоАП определяет, что в случае отсутствия постановки транспортного средства на государственный учет в течение десяти дней, владелец транспортного средства получает…
Это информация, с помощью которой можно идентифицировать человека: ФИО, место и год рождения, адрес прописки, паспортные данные и т.д.
История вопроса о защите личных (персональных) данных начинается в 1976 году, когда комитет министров Совета Европы принял решение разработать Конвенцию «О защите физических лиц при обработке персональных данных, осуществляемой на международном уровне», которая в 1981 году была открыта для подписания странами Европы. В Украине данная Конвенция была подписана и ратифицирована лишь в начале двухтысячных годов, после чего началось формирование нормативно-законодательной базы в сфере использования и защиты персональных данных. В 2010 году был принят , который четко регламентировал все вопросы, касающиеся получения, использования, передачи и других действий с персональными данными, а также вопросы их защиты.
Согласно Закону персональными данными является абсолютно любая информация, которая относится к определенному или определяемому (прямо или косвенно) физическому лицу. Основными персональными данными, которые встречаются в повседневной жизни, являются фамилия, имя, отчество субъекта (физического лица), дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии и т.п.
Пример персональных данных
Законодательством не установлен и не может быть установлен четкий перечень сведений о физическом лице, которые являются персональными данными , с целью возможности применения положений к различным ситуациям, в том числе при обработке персональных данных в информационных (автоматизированных) базах и картотеках персональных данных, которые могут возникнуть в будущем, в связи с изменением в технологической, социальной, экономической и других сферах общественной жизни.
База персональных данных
Следует обратить внимание на то, что согласно , объектом защиты являются только персональные данные при их обработке в базах персональных данных .
При этом под «базой персональных данных» в Законе понимается именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных, а под «обработкой персональных данных» понимается определенное действие или совокупность действий, совершенных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (распространением, реализацией, передачей), обезличиванием, уничтожением сведений о физическом лице.
Использование личной информации в компании
Часто возникает вопрос о том, что входит в состав персональных данных работника юридического лица и как осуществлять хранение подобной информации. Согласно Трудовому Кодексу, к ПДн сотрудника относится информация, позволяющая составить представление о нем как о работнике, то есть стаж деятельности, уровень квалификации и зарплаты, пенсионные и налоговые отчисления и т.д. Обязанность предприятия — позаботиться об их защите и использовании для создания оптимальных условий развития профессиональных навыков и повышения квалификации. Кроме того, работодатель должен сообщить, как именно будут использоваться персональные данные физического лица. Предварительно создаются и внедряются специальные распорядительные документы внутреннего использования, в частности, требуется Инструкция либо Положение о ПДн.
Сбор сведений производится для выполнения следующих задач:
- профилактики разглашения корпоративной тайны и обеспечения сохранности имущества;
- приема на работу и документального закрепления этого события;
- получения оснований для установления той или иной заработной платы;
- проверки выполнения персоналом возложенных на них обязанностей;
- выявления и подтверждения причин для перевода сотрудника на более высокую должность.
При нарушениях законодательства либо утечке персональных данных (намеренной либо из-за недостаточно эффективной системы защиты) предприятие может быть привлечено к административной ответственности в виде штрафа до 18 миллионов рублей. Выявить недоработки и своевременно их исправить позволит аудит, проведенный специалистами нашего Центра — наши специалисты помогут установить, насколько защищены частные данные, и составят рекомендации по оптимизации.
Персональные данные – использование на предприятии
В главе 14 Трудового кодекса РФ раскрывается понятие ПД работника. Это данные, которые позволяют получить определенные характеристики человека в качестве сотрудника конкретной компании (стаж работы, профессиональная квалификация, заработная плата, данные по ФНС, ПФР и пр.).
Такие ПД должны храниться должным образом и применяться для того, чтобы помочь работнику выполнять его обязанности в соответствии с его должностью и профессией, продвигаться по служебной лестнице, повышать свою квалификацию и получать новые профессиональные знания. Также ПД используются с целью защиты сотрудников и имущества компании.
Личная информация сотрудника может содержать только те данные, которые относятся к его профессиональным качествам, особенностям, позволяющим ему выполнять трудовые обязанности. По Конституции Российской Федерации, личная жизнь считается неприкосновенной и конфиденциальной, ее частью являются ПД.
В Трудовом кодексе узко определено данное понятие. В нем говорится, что ПД работника являются сведениями, необходимыми руководству предприятий для выполнения им своих профессиональных обязанностей, эта информация относится к конкретному работнику.
Какие данные являются персональными: позиция суда
Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр.
Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах.
Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.
А как насчет возмещения вреда?
По закону пострадавшее лицо может добиваться возмещения не только материального ущерба, но и морального вреда. В частности, Верховный суд подтвердил возможность гражданина требовать взыскания с коллекторского агентства, неоднократно звонившего и отправлявшего СМС на его мобильный номер с требованием «в грубой форме» погасить задолженность по кредиту, не получив согласия на обработку его персональных данных (см. определение №5-КГ17–256 от 27.02.2018).
Как отметил старший юрист группы технологий и инвестиций юридической фирмы Vegas Lex Дмитрий Бородин, существующая судебная практика не позволяет гражданам рассчитывать на значительные суммы. Обычный размер возмещения составляет 3–5 тыс. руб. К примеру, в одном подобном деле гражданин пожаловался в суд на администратора группы «ВКонтакте» в связи незаконным опубликованием его персональных данных в соцсети. Суд присудил истцу 5 тыс. руб. вместо требуемых 100 тыс., даже несмотря на то, что персональные данные были опубликованными в порочащем честь гражданина ключе (Определение Кемеровского областного суда от 19.07.2018 по делу №33-7157/2018).
Кейс Retail Rocket: почему сервис-провайдер может не быть оператором персональных данных
Казалось бы, платформа для мультиканальной персонализации должна также подпадать под действие закона. Как можно давать пользователям персональные рекомендации, не используя персональные данные?
Но Retail Rocket получает с сайта интернет-магазина обезличенную информацию, по которой невозможно идентифицировать конкретное физическое лицо.
Схема взаимодействия между Retail Rocket и интернет-магазинами выглядит так:
-
Пользователь предоставляет информацию о себе для исполнения заказа на сайте интернет-магазина.
-
Информация сохраняется на сервере интернет-магазина.
-
Размещённый на сайте интернет-магазина трекинг-код формирует поведенческую статистику пользователя.
-
Методом выборки информации с сайта интернет-магазина у исполнителя на основании статистики поведения пользователя формируется база товарных рекомендаций.
-
Статистика поведения пользователя сохраняется на сервере исполнителя и содержит обезличенную информацию о пользователе и иных идентификаторах.
Таким образом, для формирования товарных рекомендаций наша платформа не использует персональные данные.
Что подразумевается под конфиденциальностью персональных данных?
Ответ на этот вопрос содержится в ст. 7 ФЗ-152: «Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом».
Ранее законодательство не обязывало получать согласие на обработку ПДн, если человек разместил их в общем доступе в интернете (п. 10 ч. 1 ст. 6 Закона № 152-ФЗ). Теперь эту норму убрали (п. 2 ст. 1 Федерального закона от 30.12.2020 № 519-ФЗ). Любые данные о человеке можно публиковать только с его прямого согласия. Кроме того, поправки коснулись и самого согласия субъекта на обработку персональных данных. Так, в законе сказано «Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения«. Теперь само согласие (в письменном или электронном виде) должно иметь чёткие формулировки, о каких сведениях субъекта будет идти речь. Формулировка «все персональные данные», используемая ранее для простоты, недопустима. Важно отметить, что после дачи согласия на обработку персональных данных, оператор ПДн не имеет права предоставлять персональные данные для обработки третьим лицам без прямого согласия субъекта.