Персональные данные работника: что важно знать об этом
Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные работника: что важно знать об этом». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
В процессе установления уровня защищенности и организации мероприятий, направленных на нейтрализацию угроз безопасности, приоритетное значение имеет классификация ПДн, предусмотренная ФЗ-152 и Постановление Правительства № 1119. В них прописано четыре категории ПДн, которые обрабатываются в ИС:
- Общедоступные — те, которые опубликованы в открытых источниках с согласия владельца (если субъект хочет удалить сведения, он может подать заявление оператору либо обратиться в суд). К таким относятся дата, место рождения, адрес прописки и проживания, профессия и место работы, адрес электронной почты, телефонный номер, образование.
- Специальные — ПДн, которые касаются сексуальной жизни субъекта, его политических, философских и религиозных воззрений, а также расовой и половой принадлежности. Доступ к такой информации предоставляется только по решению суда, в рамках работы органов правосудия, при реализации международных соглашений либо после получения письменного разрешения владельца.
- Биометрические — любые биологические либо физиологические особенности, которые дают возможность определить личность субъекта, к примеру, ДНК, фотографии, группа крови, рисунок сетчатки глаза, отпечатки пальцев и т.д. Оператору для обработки подобных ПДн нужно предварительно получить разрешение (за исключением случаев, когда есть судебное решение либо речь идет о расследовании преступлений). Однако если хранение осуществляется не с целью установления личности, то сведения не относятся к категории биометрических ПДн (в зависимости от ситуации их можно определить как специальные либо общедоступные).
- Иные — ПДн, которые нельзя определить ни в одну из других групп. Фактически, это дополнительная информация о человеке, которая часто меняется: размер зарплаты, социальный статус, рабочий стаж, длительность и даты отпуска и т.д.
Помимо того, можно выделить несколько разновидностей персональных данных в зависимости от целей и способа их обработки:
- сведения в муниципальных и государственных ИС;
- личные сведения в полностью автоматизированных системах;
- ПДн, необходимые для агитации политических сил, раскрутки товаров и услуг;
- трансграничная передача данных (когда информация передается за пределы страны).
Обработка персональных данных
В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)
Хранение и использование персональных данных
В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.
Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).
Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.
Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.
Персональные данные умершего
Информация об умерших по общему правилу не относится к персональным данным и не охраняется GDPR. Тем не менее, в контексте этого вопроса целесообразно рассмотреть несколько специальных случаев.
Например, если контроллеру неизвестно, жив ли субъект персональных данных, то он обязан обрабатывать персональные данные такого субъекта в соответствии с требованиями GDPR.
WP29 также отмечает, если информация об умерших может одновременно касаться и живых, то такая информация составляет персональные данные.
Например, если умерший болел гемофилией (болезнь, обусловленная мутацией X-хромосомы, которая передается генетически), то его дети в абсолютном большинстве случаев также будут болеть гемофилией. В этом случае, сведения о том, что умерший болел гемофилией, будут считаться персональными данными даже после смерти человека.
Обработка персональных данных физических лиц с момента рождения и до смерти, а в отдельных случаях — после смерти, подпадает от регулирования GDPR.
Персональные данные сегодня мало чем отличаются от банального физического кошелька. Да, это собственность человека, которой он волен распоряжаться по своему усмотрению. Даже если некоторые могут как-то взаимодействовать, все происходит с согласия или разрешения владельца, а за нарушения предусматривается ответственность вплоть до уголовной. Но разве это мешает карманникам в транспорте вытаскивать портмоне с наличными и кучей банковских карт?
Учитывая распространенность мошенническим схем, современникам стоит внимательнее относиться к любым сведениям о себе, выкладываемым в общий доступ. И хотя спрятаться от государства в интернете очень сложно (если вообще возможно), то для любых незнакомцев из социалок лучше оставаться максимально анонимными.
Как минимум, это снизит риск потерять сбережения на банковской карте, как максимум – от полного разорения или вовлечения в уголовные схемы.
Законодательное регулирование в сфере персональных данных и меры ответственности за их разглашение
Закон “О персональных данных” (ФЗ №152-ФЗ от 27 июня 2006 года) —ключевой нормативный документ в сфере персональных данных граждан РФ, который декларирует основные термины, регламент, условия обработки информации, касающейся физических лиц, права и обязанности субъектов персональных данных, положения, касающиеся защиты личных сведений, а также порядок наступления ответственности за нарушения норм их обработки.
Меры административной ответственности за нарушение порядка обработки персональных данных содержатся в Статье 13.11 КоАП РФ — документ дает классификацию и пояснения правонарушений при сборе, систематизации, передаче персональных данных, совершенных заинтересованной стороной. В зависимости от обстоятельств и состава правонарушения (излагается в 7 частях Статьи), виновное лицо может быть наказано штрафными санкциями в размере от 1 до 30 тысяч рублей.
Статья 137 Уголовного кодекса РФ декларирует меры ответственности за неправомерное использование личной информации, а также умышленное их распространение без разрешения субъекта персональных данных. Если же данные деяния вредят личной жизни гражданина, виновника могут привлечь к уголовной ответственности — исправительным работам и даже лишению свободы на срок до 6 лет.
Защита персональных данных
Законом предусмотрено, что до начала обработки персональных данных, оператор обязан уведомить компетентный орган (Роскомнадзор) своем намерении осуществлять обработку персональных данных.
К исключениям относятся:
- только ФИО субъектов;
- трудовые отношения;
- договорные отношения;
- общедоступные персональные данные;
- однократные пропуска на территорию;
- когда данные обрабатываются без использования средств автоматизации (ЭВМ, компьютеры);
- транспортная безопасность.
Прим. Роскомнадзор разъяснил, что под автоматизацией понимается непосредственное отсутствия деятельности человека. В случае если данные клиента просто забиты в компьютерную программу и сами по себе не рассылаются/уничтожаются/обрабатываются/обновляются и т.д., это нельзя считать автоматизацией.
Вместе с тем, при возникновении спорных вопросов относительно способа обработки данных, лучше этот момент уточнять непосредственно в Роскомнадзоре.
Уведомление о начале обработке персональных данных должно быть оформлено в соответствии с методическими рекомендациями по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94).
Если обработка данных будет осуществляться без уведомления Роскомнадзора, или в уведомлении будут содержаться недостоверные сведения, то организация будет привлечена к административной ответственности.
Важно помнить о том, что в случае, когда договорные отношения у компании с клиентом прекратились, а уведомления об обработки персональных данных не было подано в Роскомнадзор, и клиент не давал своего согласия на обработку, то его данные необходимо уничтожать, а не хранить. В противном случае организация уже не попадает под исключение и может быть оштрафована.
Далее оператору необходимо разработать необходимую документацию по обработке персональных данных. Перечень может разниться от размера организации, специфики её деятельности и т.д., но примерный перечень следующий:
- Положение о персональных данных;
- Приказ об утверждении положения;
- Приказ о назначении ответственного лица;
- Политика в отношении обработки и безопасности персональных данных;
- Пользовательское соглашение в приложении и на сайте;
- Инструкция ответственного за организацию обработки персональных данных;
- Приказ о выделении помещений для обработки персональных данных + правила доступа;
- Журнал учета машинных носителей информации с персональными данными.
Также если в организации есть Интернет-сайт, то он тоже должен соответствовать определенным требованиям: содержать в себе Политику конфиденциальности и Пользовательское соглашение, в которыми пользователь согласится, заполнив форму обратной связи или при осуществлении заказа.
Если же сервис компании ориентирован на международный рынок, но необходимо учитывать дополнительные требования международных правовых актов, и в частности, закон той организации, для населения которой осуществляется деятельность компании.
Требования к процедуре
Общие требования устанавливает ст. 86 Трудового кодекса РФ и ст. 5 Закона о персональных данных:
- обработка персональных данных производится только с целью, связанной с трудовой деятельностью. Например, в целях трудоустройства, повышения квалификации, прохождении аттестации и т.п.
- персональные данные работодатель получает только от работника. Если эти сведения можно получить только от третьих лиц, то получите письменное согласие работника.
- работодатель обязан ознакомить работника с локальными актами, которые касаются работы с персональными данными. Это приказ об утверждении положения о персональных данных, о допуске к данным и т.п.
- хранятся данные только до достижения целей обработки (действие трудового договора и требования по срокам хранения личных дел)
- меры по защите персональных данных работодатель вырабатывает совместно с работниками
Огромное значение правильной обработки персональных данных является издание локальных актов работодателя. Образцы и примеры составления которых мы разместили на нашем сайте.
По общему правилу специальные и биометрические категории персональных данных работодатель не обрабатывает.
В настоящее время грань между персональными данными и «не персональными данными» заметно истончилась. В первую очередь это связано с появлением современных технологий и различных гаджетов. С появлением интернета большинство сведений о человеке стали общедоступными, а расплывчатое объяснение в Федеральном законе №-152 «О персональных данных» не дает точного ответа на вопрос «Что такое персональные данные?».
Многие юристы и по сей день спорят о том, что из представленной информации в интернете попадает под это определение, а что можно отнести к «не персональным данным». С полной уверенностью можно сказать, что IP-адрес компьютера не считается ПДн физического лица, так как он не может напрямую идентифицировать человека.
Тоже касается и доменного имени и сетевых адресов. Также прочую техническую информацию невозможно отнести к этой категории.
Средства защиты и охраны персональных данных
Надежность ПД обеспечивается:
- установлением рисков при обработке ПД в ИС;
- постоянное использование технических и организационных мер для установления защищенности, согласно установленным Правительством РФ уровням безопасности;
- процедура совершенствования средств и результативности защиты;
- постоянное рассмотрение машинных носителей ПД;
- мгновенное установление неразрешенного проникновения;
- восстановление ПД, которые были заражены вирусом или уничтожены при взломе базы данных;
- фиксация и учет всех действий, которые совершаются в ИС;
- используется сотрудничество с вневедомственной охраной;
- база данных защищена паролями, известными только людьми, у которых есть право доступа;
В первую очередь разберемся с вопросом, зачем необходима такая защита? Согласитесь, мало кому из нас было бы приятно, если бы наши данные были в открытом доступе, даже несмотря на то, что большинство из нас самостоятельно выкладывает их в социальных сетях. Но одно дело Одноклассники или Facebook — информацию, которую мы там предоставляем, невозможно проверить. Кроме того, мы имеем возможность вместо ФИО писать ники, а информацию о дате рождения, месте проживания и пр. можем просто игнорировать.
Заполняя различные анкеты в госучреждениях, торговых точках и т. д., мы указываем много личной информации, которая могла бы стать доступной, если бы не одно «но» – в таких анкетах всегда присутствует пункт о разрешении на обработку данных в определенных целях. Нецелевое использование такой информации карается законом.
Закон о защите персональных данных заботится не только о физических, но и о юридических лицах. Мало кому понравится, если информация о финансовом состоянии дел или данных сотрудников компании будет доступна каждому желающему. Это значительно бы упростило жизнь мошенникам, чего не желают ни простые граждане, ни сотрудники правоохранительных органов.
Какая информация относится к персональным данным?
Ст. 3 Федерального закона от 27 июля 2006 года 152-ФЗ «О персональных данных» определяет персональные данные как любую информацию, относящуюся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Конкретного перечня в законе нет, что оставляет некоторый простор для толкования. Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность.
Ст. 10 закона вводит понятие специальных категорий персональных данных, к которым относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
Ст. 11 определяет биометрические персональные данные как физиологические и биологические особенности человека, на основе которых можно установить его личность (физиологические параметры, фото- и видеоизображения).
Законно ли собирать данные людей? Что говорит об этом закон
Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» не регламентирует объём той информации, которую можно считать персональными данными. В связи с чем на практике при сборе определённой информации, представители тех структур, в которые обратился потребитель, сами того нехотя, переходят ту невидимую грань, когда определённые запрашиваемые ими сведения являются персональными данными, которые нуждаются в особой правовой защите.
Часто от потребителя требуют сообщить достаточно исчерпывающую информацию, непосредственным образом относящуюся к его личности. Примером может стать примитивная анкета для получения бонусной или дисконтной карты, которую выдают сейчас практически все сферы услуг, будь то это простой продуктовый магазин, магазин детских товаров, зоомагазин, салон красоты, SPA-центр, медицинская клиника или дилерский центр по обслуживанию автовладельцев. Как правило, в таких анкетах стандартный набор вопросов, характер которых разнообразный — семейное положение, состояние здоровья, место жительства, данные, касающиеся имени и фамилии, количества детей в семье и их данные и т.д.
Вместе с тем зачастую запрашиваемая информация никаким образом не относится к непосредственной деятельности представителя той или иной услуги для потребителя. Тем самым представитель конкретной услуги переходит тонкую грань, отделяющую персональные данные от сведений, составляющих тайну частной жизни, личную или семейную тайну потребителя.
Проблема, касающаяся непосредственно объёма той информации, которую можно считать персональными данными, значима еще и потому, что в разных видах деятельности под персональными данными понимаются очень часто не совпадающие наборы данных. А разрозненность законодательной базы в данной области – также создаёт дополнительные трудности, при определении той информации, которая даёт возможность идентифицировать лицо. Так, например, в Федеральном законе от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» к персональным данным отнесены сведения, касающиеся инициалов лица-потребителя той или иной медицинской услуги, его пола, даты и места рождения, гражданства, сведения о документе, удостоверяющем личность, данные о страховом номере индивидуального лицевого счета в системе обязательного пенсионного страхования, сведения, касающиеся анамнеза, диагноза и т.п.
Персональными данными в соответствии с Федеральным законом от 15.11.1997 N 143-ФЗ «Об актах гражданского состояния» считаются любые сведения, ставшие известными работнику органа записи актов гражданского состояния при регистрации актов гражданского состояния. Максимально подробно регламентированы правоотношения относительно персональных данных работника в Трудовом кодексе РФ (глава 14). Вместе с тем объем персональных данных определяется здесь достаточно широко: это информация, которая требуется работодателю в связи с трудовыми отношениями и касающаяся конкретно-определённого работника. Однако трудовое законодательство содержит прямое указание на то, что требовать от лица, поступающего на работу, документы или данные помимо регламентированных ТК РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ – запрещено.
Еще одним отличием персональных данных от иной информации является то, что появляется возможность их перехода в разряд общедоступных. Обратившись к ст. 8 ФЗ «О персональных данных» мы можем понять, что относится к общедоступным персональным данным. Речь в частности идёт о тех данных, «доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности». Примером таких данных могут служить справочники, частные объявления и т.п. Аналогичные положения содержаться в Указе Президента РФ от 06.03.1997 N 188 «Об утверждении Перечня сведений конфиденциального характера», в котором говориться о том, что не являются конфиденциальными сведения, которые распространяются в средствах массовой информации.
Но здесь следует обратить внимание на весьма интересную позицию, которая сложилась в судебной практике относительно данных пользователей социальных сетей, таких как, например, «ВКонтакте», «Одноклассники», Instragram, Twitter. Пользователи данных интернет-сетей при регистрации оставляют немало своих личных данных, непосредственным образом относящихся к данным персонального характера. Примечательно и то, что при регистрации у таких пользователей не получается согласие на дальнейшую обработку соответствующих данных. И несмотря на то, что такие данные пользователей зачастую не скрыты и находятся в открытом доступе для других пользователей конкретно-определённой социальной сети, суды полагают, что не являются общедоступными обрабатываемые организациями персональные данные, которые находятся в открытых источниках, а именно социальных сетях. Данное обстоятельство предопределяет вывод, согласно которому важно получить согласие граждан на использование таких данных.