Что является персональными данными работника

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что является персональными данными работника». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

• В 2022 году нужно использовать ФСБУ 27/2021: как по-новому работать с документами

  2,1 тыс. 0

  О персональных данных в РФ информируют:

  • Конституция России.
  • Трудовой кодекс.
  • Федеральный закон «О персональных данных» №152-ФЗ.
  • Кодекс об административных правонарушениях.
  • Уголовный кодекс.

  Конституция гарантирует, что каждый гражданин имеет право на личную, семейную или профессиональную тайну, имеет право контролировать распространение информации об этом, пресекать это распространение. Если же данные распространяются недобросовестно, то гражданин вправе рассчитывать на защиту чести и достоинства.

  Трудовой кодекс говорит о том, что сбор персональных данных работника кадровиком или руководителем может проводиться исключительно с ясными и адекватными целями. ТК РФ однозначно запрещает хранение избыточного количества данных «на всякий случай».

  В федеральном законе №153-ФЗ отмечена необходимость соблюдения полной безопасности данных, обозначены права, обязанности и ответственность граждан и операторов обработки.

  КоАП РФ и УК устанавливают ответственность за нарушение указанных норм.

  Об общих требованиях к обработке персональных данных и основных нормативных актах читайте в этом материале.

  Обычно выделяют четыре вида персональных данных, хотя в законах такой классификации нет:

  1. Категория биометрических персональных данных. Позволяют идентифицировать человека по физиологическим параметрам. Данные собираются исключительно с согласия гражданина и в обоснованных законом целях.
  2. В специальную категорию персональных данных входят раса, национальность, политические и религиозные взгляды, философские воззрения и подробности интимной жизни. Обработка таких данных запрещена, кроме случаев, когда субъект согласился на это письменно.
  3. Иные. Не вошедшие в эти категории.

  Важно! До 1.03.2021 года в законе существовало понятие «общедоступные персональные данные». Это понятие упразднено. Теперь это звучит так — «персональные данные, разрешенные субъектом для распространения». То есть — никто не вправе распространять личную информацию о субъекте без его согласия на это. Более того, даже если сам субъект распространит свои персональные данные или они будут опубликованы в другом источнике, транслировать их можно только с его прямого согласия.

  Персональные данные работников: как работодателю не нарушить закон

  Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.

  В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.

  Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы. Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников?

  На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.

  В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.

  Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.

  На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.

  Для этого ему обязательно нужно заручиться согласием соискателя.

  Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно.

  При этом важно, чтобы:

  • перечень персональных данных строго соответствовал тому, что передается в банк;
  • была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.

  В этом случае нужно обязательно внести изменения в трудовой договор. Главное — сделать это правильно.

  Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.

  Правильно будет внести изменение непосредственно в текст трудового договора, вручную.

  Персональные данные сотрудников

  Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна.

  Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.

  Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.

  Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.

  Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.

  За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.

  Административная ответственность: штрафы

  Работу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.

  Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

  Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.

  Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.

  Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.

  Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

  Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.

  Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:

  🔐 Персональные данные работника обрабатывают только с его письменного согласия.

  🔐 Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.

  🔐 Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ.

  О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.

  🔐 Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.

  🔐 Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.

  🔐 Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.

  🔐 Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.

  Обработка персданных — это действия с личной информацией работника, когда работодатель принимает сотрудника в штат или заключает договор ГПХ; работник продвигается по карьерной лестнице и т. д. Во время обработки соблюдайте требования ст. 5 Закона о персональных данных:

  • у обработки должны быть конкретные и законные цель и основание;
  • нельзя объединять базы данных, которые содержат персональные данные, обрабатываемые в несовместимых целях;
  • обрабатывать можно только те данные, которые соответствуют цели обработки;
  • форма хранения персональных данных должна позволять определять субъекта этих данных, а хранить их можно только в течение необходимого срока, после чего следует обезличить или уничтожить;
  • запрещена передача личных сведений работника третьим лицам без его письменного согласия;
  • персональные сведения передает сам гражданин.

  Работодатель должен действовать в целях соблюдения законов и других нормативных актов, содействия работникам в трудоустройстве, получении образования, продвижении по службе, обеспечения безопасности, контроля работы, сохранности имущества компании. Работодатель имеет право получать персональные данные только у работника, если же их можно получать от третьих лиц, необходимо уведомить работника и получить его письменное согласие.

  Работодатель обязан обеспечить защиту персональных данных, поэтому в локальных актах предприятия нужно прописать Правила защиты личных сведений о работниках. Работники обязаны ознакомится с этими правилами и расписаться о согласии с документом. Для порядка и безопасности организации нужно создать положения и приказы для работы с персданными. Во время проверки у вас должны быть подготовлены: Положение о персональных данных, Заявление работника с согласием на обработку личных данных, Приказ о назначении ответственных за работу с личной информацией работников, Приказ об обеспечении безопасности личных сведений работников.

  С 1 сентября 2021 года появились требования к согласию на обработку персональных данных, разрешенных для распространения. Оно должно содержать следующую информацию (Приказ Роскомнадзора от 24.02.2021 № 18):

  • Ф.И.О. субъекта;
  • контактная информация;
  • сведения об операторе (организации, физлице, ИП);
  • сведения об информационных ресурсах оператора, на которых будут раскрыты персональные данные субъекта;
  • цель обработки персональных данных;
  • категории и перечень персональных данных, на обработку которых дано согласие;
  • категории и перечень персональных данных, на обработку которых субъект устанавливает условия и запреты;
  • условия передачи полученных персональных данных;
  • срок действия согласия на обработку.

  Это согласие нужно именно работодателю, так как в случае спора он обязан доказать, что имел согласие на обработку. Например, оно точно потребуется при получении данных работника у третьей стороны, при передаче его персональных данных третьим лицам для предупреждения угрозы жизни и здоровью и пр., для обработки специальных категорий данных.

  По Методическим рекомендациям Роскомнадзора все категории персональных данных делятся на три:

  Персональные данные — любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. Это Ф.И.О., дата рождения, адрес, номер телефона, семейное положение, прежнее место работы и т.д.

  Специальная категория — раса и нация, политические взгляды, религия, состояние здоровья, интимная жизнь.

  Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека и позволяют установить его личность.

  В соответствии с ТК РФ, нарушители норм обработки и защиты личных сведений работника привлекаются к разным видам ответственности.

  Работодателя могут привлечь к административной ответственности по ст. 13.11 КоАП РФ. Так, за обработку персональных данных без письменного согласия работника или с нарушением требований к нему будет наложен штраф:

  Категория	Первое нарушение	Повторное нарушение
  Гражданин	6 000 — 10 000 рублей	10 000 — 20 000 рублей
  Должностное лицо	20 000 — 40 000 рублей	40 000 — 100 000 рублей
  ИП		100 000 — 300 000 рублей
  Юридическое лицо	30 000 — 150 000 рублей	300 000 — 500 000 рублей

  Для работников, имеющих доступ к персональным данным, предусмотрены различные виды ответственности за их разглашение:

  • К дисциплинарной ответственности относятся замечание, выговор, увольнение.
  • К административной ответственности относится штраф: для граждан — 500-1000 рублей, для должностных лиц — 4000-5000 рублей,
  • К материальной ответственности привлекаются работники, которые непосредственно обрабатывают персональную информацию. В случае незаконного распространения информации сотрудник организации может заявить о моральном вреде и потребовать его возмещения у работодателя.
  • Гражданско-правовая ответственность также накладывается за причинение морального вреда гражданину, чьи права были нарушены. На нарушителя может быть наложена обязанность компенсации вреда по ст. 151, 152 ГК РФ.
  • Уголовная ответственность по ст. 137 УК РФ за незаконное собирание и распространение сведений о лице без его согласия предусматривает штраф в сумме до 200 000 рублей или в размере зарплаты за период до 18 месяцев, либо обязательные работы на срок до 360 часов, либо исправительные работы на срок до года, либо принудительные работы на срок до двух лет, либо арест до 4 месяцев или лишение свободы на срок до двух лет.

  Работа с личными сведениями требует высокого уровня ответственности. Соблюдайте правила и помните о контроле Трудовой инспекции.

  Автор статьи: Александра Аверьянова

  Ведите простой кадровый учет в веб-сервисе Контур.Бухгалтерия. Начисляйте зарплату, легко считайте пособия, удержания и командировочные, автоматически готовьте отчеты по сотрудникам и отправляйте их через интернет. А еще — ведите учет, платите налоги, сдавайте налоговую и бухгалтерскую отчетность и пользуйтесь поддержкой наших экспертов. Первый месяц работы в сервисе — бесплатно.

  Защите личной информации посвящен закон «О персональных данных» от 27.07.2006 № 152-ФЗ. В п. 1 ст. 3 закреплено определение термина.

  Персональные данные — это любые сведения, которые прямо или косвенно относятся к определенному или определяемому физическому лицу, иначе говоря, субъекту персональных данных.

  Однако в законе не конкретизируется, какая именно информация может быть отнесена к личной. Нет ответа и на один из самых распространенных вопросов: являются ли ФИО персональными данными?

  Частично конкретизируют расплывчатое определение Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора от 30.05.2017 № 94.

  На основании п. 2.5 указанного документа к личным данным относятся:

  • имя, отчество и фамилия гражданина;
  • дата его рождения (число, месяц и год);
  • место рождения;
  • адрес регистрации или место фактического проживания;
  • сведения о семейном положении и детях;
  • социальное положение;
  • данные об имуществе;
  • размер и источники дохода;
  • сведения об оконченных учебных заведениях;
  • профессия и занимаемая должность.

  При этом Роскомнадзор приводит только примерный перечень, указывая, что любые другие сведения, относящиеся к субъекту, также являются персональными.

  Персональные данные сотрудников: обеспечение сохранности

  Поскольку ни в одном нормативном документе не фигурирует полный перечень персональных сведений о человеке, важно определить критерии, по которым можно понять, является информация персональной или нет.

  Основной критерий закреплен в уже упомянутом п. 1 ст. 3 закона № 152-ФЗ. Таковой является информация, если по ней можно сделать вывод, какому физическому лицу она принадлежит.

  Кроме того, законом (п. 9 ст. 3 закона № 152-ФЗ) введено такое понятие, как обезличивание личных сведений. Это совершение с личной информацией таких действий, после которых невозможно будет установить, к какому лицу она относится. Соответственно, персональные данные — это любые сведения, которые могут прямо или косвенно указать на человека, которому они принадлежат.

  В этой связи рассмотрим подробнее вопрос об отнесении к личным сведениям некоторых видов данных.

  Чтобы понять, является ли номер телефона персональными данными, обратимся к закону «О связи» от 07.07.2003 № 126-ФЗ. На основании п. 1 ст. 53 этого закона Ф. И. О. и абонентские номера гражданина — это информация ограниченного доступа. Такие сведения охраняются законодательством, в том числе законодательством о персональных данных.

  Более того, норма прямо указывает, что предоставление любых сведений, позволяющих идентифицировать пользователя, без согласия самого абонента запрещено.

  Таким образом, можно сделать вывод, что номер телефона, принадлежащий физическому лицу, — это косвенная информация о конкретном человеке, соответственно, в силу п. 1 ст. 3 закона № 152 и с учетом положений п. 1 ст. 53 закона № 126 телефонный номер можно отнести к персональным данным в случае, если по номеру можно определить его принадлежность. Разумеется, по набору чисел сделать это нельзя. Соответственно, если нет совокупности данных, например номера телефона и имени, нельзя говорить о том, что номер телефона —это персональные сведения.

  В отношении перечисленных сведений ответ очевиден: они подлежат защите в соответствии с законодательством о персональных данных, поскольку прямо относятся к конкретным лицам. Такой вывод подтверждается и судебной практикой, например апелляционным определением Московского городского суда от 20.10.2014 по делу № 33-35747.

  Номера ИНН, СНИЛС и паспортные данные однозначно позволяют идентифицировать конкретного человека.

  Таким образом, хотя закон и дает определение персональных данных, но не приводит их исчерпывающий перечень, что вызывает много вопросов как у субъектов персональных данных, так и у операторов. Тем не менее законодательство содержит критерий, позволяющий определить, относится ли конкретная информация к личной. Этим критерием является возможность идентифицировать личность лица, к которому такие сведения относятся.

  Далее потребуется утвердить документ, содержащий перечень персональных данных, которые реально используются в деятельности организации. Составляя такой документ, не забудьте включить в него все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

  В этом перечне должны быть:

  • заявление о приеме на работу;
  • анкета сотрудника;
  • личная карточка;
  • личное дело;
  • трудовой договор;
  • приказы;
  • трудовая книжка;
  • материалы аттестационных комиссий.

  Если в организации имеется внутренний документооборот, содержащий сведения о сотрудниках (например, отчеты и материалы, которые составляются для акционеров, учредителей, головной организации и т. п.), то эти отчеты тоже нужно включить в перечень. Помимо этого, в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

  Обратите внимание

  Штрафы начисляются за одно нарушение, а там, где система защиты персональных данных начисто отсутствует, проверяющая комиссия чаще всего сталкивается с массовыми нарушениями, вследствие чего общая сумма штрафования становится довольно внушительной.

  Следующий этап работы – подготовка и утверждение списка лиц, допущенных к работе с персональными данными. Этот документ утверждается приказом руководителя и доводится под подпись до всех указанных в нем сотрудников. Кстати, приказ руководителя о назначении ответственного за работу с персональными данными и обеспечение их защиты – первое, что захотят увидеть проверяющие. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.

  Ведомством, полномочным контролировать соблюдение режима персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно – Роскомнадзор). Все материалы по тем проверкам, где обнаружены нарушения, ведомство передает в прокуратуру.

  Ознакомьте будущего сотрудника с Положением о персональных данных до подписания трудового договора (ст. 68 ТК РФ). Подтвердить, что работник прочитал Положение, можно его подписью:

  • в тексте трудового договора;
  • в листе ознакомления с Положением о персональных данных;
  • в журнале ознакомления с локальными актами.

  Положение о персональных данных – это локальный нормативный акт, который обязательно должен быть в организации (ст. 87 ТК РФ). Иначе компанию могут привлечь к административной ответственности (ст. 5.27 КоАП РФ).

  Получить согласие нужно, если:

  • запрос информации о сотруднике поступил от сторонней организации;
  • работодатель направляет запросы в другие организации;
  • работодатель обрабатывает сведения о включенных в кадровый резерв;
  • обработка персональных данных родственников сотрудника превышает установленный объем (данных требуется больше, чем указано в личной карточке).

  Персональные данные являются конфиденциальной информацией, а значит, к ней не должно быть свободного доступа, иначе она уже перестает быть таковой. В связи с этим передавать такие сведения о сотрудниках другим лицам работодатель вправе только с их письменного согласия.

  Исключение из правил – ситуации, когда под угрозу ставятся жизнь и здоровье работников. Кроме того, законом предусмотрена обработка персональных данных сотрудника без согласия проверяемого, если он является сотрудником правоохранительных органов.

  Заявление-согласие адресуется работодателю в лице генерального директора. Однако последний вправе поручить обработку персональных данных другим сотрудникам организации (ч. 3 ст. 6 Закона о персональных данных). Чаще всего это кадровики и бухгалтеры. Согласие может быть оформ­лено как на бумажном носителе, так и в электронном виде. Однако в этом случае его нужно подписать электронной подписью (ч. 4 ст. 9 Закона о персональных данных). Унифицированной формы согласия нет. Оно может быть оформлено в произвольной форме.

  Если работник не согласен на обработку персональных данных, разъясните последствия.

  Объясните работнику, что без его согласия нельзя оформить полис ДМС, поздравить с днем рождения, сделать подарки детям на праздники, использовать его Ф. И. О. при создании адреса электронной почты, на визитках, размещать информацию на портале компании. Как правило, при таких аргументах сотрудники меняют позицию и дают согласие на обработку данных.

  Работодатель вправе обрабатывать персональные данные сотрудника без его согласия при условии, что их объем не превышает установленный законом. Например, чтобы исполнять условия трудового договора. Без согласия сотрудника можно обрабатывать его персональные данные в случаях, которые предусматривают коллективный договор, локальные акты работодателя, принятые в порядке, установленном статьей 372 Трудового кодекса РФ.

  Какие данные являются персональными: позиция суда

  Оператор ПД – любой человек, ИП, компания, органы и учреждения государственной и муниципальной власти, которые осуществляют действия с ПД.

  Примеры:

  • работодатель, обрабатывающий ПД своих работников;
  • продавец, обрабатывающий ПД клиентов-граждан;
  • госорганы, обрабатывающие ПД граждан при предоставлении государственных услуг;
  • владельцы сайтов, собирающие ПД пользователей сайта.

  Согласие на обработку ПД – это добровольно принятое вами решение о предоставлении своих данных оператору для обработки в тех целях, которые им определены.

  Согласие на обработку ПД должно быть оформлено:

  • письменно, если того требует закон (см. выше);
  • в остальных случаях закон допускает оформление согласия в любой иной форме, позволяющей подтвердить факт его получения оператором, например проставление галочки напротив текста о предоставлении согласия на сайте при регистрации (☑).

  Пункты, которые обязательно должно содержать письменное согласие:

  • Ф.И.О., адрес, реквизиты паспорта или иного документа, удостоверяющего личность;
  • название организации или Ф.И.О. и адрес оператора;
  • цель обработки ПД – вы должны понимать, для чего вы даете согласие на обработку данных; если оператор станет обрабатывать ПД в иных целях, это будет считаться нарушением закона;
  • перечень ПД, которые будет обрабатывать оператор;
  • информация о лице, которое будет обрабатывать ваши ПД по поручению оператора. Например, работодатель передает ваши данные сторонней организации, которая оказывает бухгалтерские или кадровые услуги, – для этого вы должны предоставить свое согласие;
  • перечень действий, которые будет осуществлять оператор, т.е. что конкретно он может делать с ПД: собирать и хранить или собирать, хранить и передавать и т.д.;
  • срок, на который выдано согласие;
  • способ отзыва согласия;
  • подпись.

  Можно. Предоставление согласия – дело добровольное. Исключением являются те случаи, когда оператор может обрабатывать ПД без вашего согласия (см. выше).

  Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?

  На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.

  • Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
  • Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.

  С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.

  • Вас могут не пустить в здание, особенно если это режимный объект. Если на территории организации установлен особый пропускной режим, то отказ в пропуске может считаться законным, в том числе если вы не желаете дать согласие на обработку ПД.

    Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:

    • считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
    • считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.

  Однако оба довода являются спорными.

  Причин может быть несколько:

  • оператор хочет получить возможность обрабатывать ПД в целях, не связанных с выполнением договора; самый распространенный случай – нужно согласие на рассылку рекламных материалов;
  • оператор не понимает или не знает о случаях, в которых не требуется получение согласия;
  • оператор хочет перестраховаться.

  К «классическим» персональным данным относятся Ф.И.О. физического лица, ведь они позволяют его идентифицировать среди остальной массы людей, поэтому без согласия человека обработка таких персональных данных не допускается.

  Судебная практика

  Банки не могут распространять платежные карты с открытыми данными клиентов, а управляющие компании рассылать в открытом виде платежные документы, поскольку в таком случае персональные данные людей не защищены от случайного к ним доступа со стороны третьих лиц (апелляционное определение Самарского областного суда от 17.10.2019 № 33-12118/2019).

  Помимо Ф.И.О. к числу персональных данных физического лица также относится и конкретный адрес его проживания, включающий город, улицу, номера дома и квартиры, а вот неполный адрес (без указания определенной квартиры) уже не позволяет установить конкретного субъекта персональных данных. В многоквартирном доме находится много квартир, поэтому такой общий адрес нельзя соотнести с конкретным человеком.

  Судебная практика

  Типичным нарушением со стороны управляющей компании, под управлением которой находится жилой дом, является размещение на входной двери, ведущей в подъезд, на стендах и в иных местах, открытых для всеобщего доступа, информации о наличии задолженности по оплате электроэнергии и коммунальных платежей в отношении конкретных граждан с указанием номеров их квартир. Указанные сведения относятся к частной жизни конкретных лиц, поэтому их разглашение будет считаться нарушением, что дает пострадавшему лицу право требовать взыскания денежной компенсации морального вреда на основании ст. 151 ГК РФ (решение Московского районного суда г. Калининграда от 19.04.2017 по делу № 2-688/2017).

  Некоторые особо восприимчивые граждане в такой ситуации могут вообще посчитать, что информация о наличии у них задолженности является оскорбительной и задевает их честь, достоинство и доброе имя. Однако порочащий характер сведений должен выражаться в оскорбительных высказываниях, а не в фиксации долга. Нарушение в данном случае состоит только в разглашении персональных данных (апелляционное определение Саратовского областного суда от 23.07.2019 по делу № 33-5366).

  Здесь стоит отметить, что судебная практика по вопросу отнесения номеров квартир к числу персональных данных не является единообразной, есть примеры случаев, когда суды полагали возможным указание номеров квартир с информацией о наличии задолженности.

  Судебная практика

  Суд указал, что не будет считаться нарушением размещение информации о наличии задолженности по оплате электроэнергии и коммунальных услуг с перечнем соответствующих квартир, но без указания таких персональных данных, как Ф.И.О. (апелляционное определение Свердловского областного суда от 19.09.2019 по делу № 33-15137/2019).

  Жители многоквартирного дома, проживающие в конкретном подъезде, скорее всего, знают друг друга в лицо и по имени, поэтому хоть и не всегда, но в определенных случаях могут соотнести данные о номере квартиры со своими соседями, что позволяет рассматривать номер квартиры как персональные данные конкретных лиц. При таких обстоятельствах можно сделать однозначный вывод: размещение информации о наличии задолженности на стенде подъезда многоквартирного дома с указанием конкретных номеров квартир может рассматриваться как нарушение законодательства о защите персональных данных. Иным образом будет обстоять дело в случае, когда на информационном стенде вывешивается не объявление, а индивидуальное обращение к конкретному лицу по вопросу, представляющему определенную значимость.

  Судебная практика

  Гражданин при входе в подъезд своего жилого дома неожиданно для себя увидел требовательную надпись о том, что ему надлежит вернуть аннулированную доверенность конкретному человеку. Гражданин полагал, что вывешивание такого объявления нарушает требования законодательства по защите персональных данных. Однако суд его требования не поддержал, отметив, что само по себе размещение информации не является обработкой персональных данных и не требует получения разрешения (апелляционное определение Волгоградского областного суда от 09.01.2019 по делу № 33-774/2019).

  В состав персональных данных гражданина также входят год, дата, месяц и место его рождения, семейное и имущественное положение, уровень образования, размер доходов, а также иная информация, посредством которой можно идентифицировать конкретное физическое лицо. В качестве персональных данных можно также рассматривать серию и номер паспорта гражданина, которые представляют собой уникальную комбинацию цифр, указываемых в основном документе, удостоверяющем его личность. У другого гражданина реквизиты основного документа, удостоверяющего личность, будут другими, поэтому реквизиты паспорта также могут быть отнесены к числу персональных данных.

  Как работать с персональными данными работника, чтобы не оштрафовали

  Профессию и образование, а также социальное положение в качестве персональных данных предлагает рассматривать Пермский краевой суд ¹. По нашему мнению, профессию и образование нельзя считать персданными, поскольку сами по себе они могут быть относимы к большому количеству людей.

  Как нам представляется, те или иные разрозненные сведения, рассматриваемые отдельно,…

  • Свежие
  • Посещаемые

  Статья 86 ТК РФ обязывает работодателя принять локальный нормативный акт (далее – ЛНА), который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является положение о защите персональных данных работников.

  Согласно п. 8 ст. 86 ТК РФ работники должны быть ознакомлены под роспись с таким положением. Если работник принимается на работу и в организации уже есть такое положение, то он знакомится с ним до подписания трудового договора в силу ч. 3 ст. 68 ТК РФ.

  Обязательное наличие в организации ЛНА, закрепляющего порядок хранения и использования персональных данных, подтверждается также судебной практикой (см. постановление Мирового судьи Судебного участка № 1 Воробьевского района Воронежской области от 30.06.2017 по делу № 5-209/2017).

  Пример положения о защите персональных данных приведен в Приложении.

  Согласно п. 1 ст. 22.1 Федерального закона № 152-ФЗ работодателю необходимо назначить лицо, ответственное за обработку персональных данных. Он будет следить за сохранностью персональных данных как на бумажных носителях, так и в электронном виде.

  Можно назначить двух ответственных: одного – за работу с персональными данными на бумажных носителях (например, специалиста отдела кадров), другого – за работу с персональными данными в электронном виде (например, системного администратора).

  Назначение ответственного лица оформляется приказом (Пример 1). Данная обязанность отражается в должностной инструкции работника.

  Шаг 4. Закрепляем права доступа к персональным данным в приказе

  Согласно ст. 88 ТК РФ работодатель обязан разрешить доступ к персональным данным работников только специально уполномоченным на это лицам. Необходимо определить, кто работает с персональными данными работников. Именно этим специалистам и необходимо дать доступ к «секретным материалам», оформив приказ (Пример 2).

  В приказе согласно закону необходимо отразить, кто (должности, Ф.И.О.), к каким персональным данным и с какой целью (какие функции выполняет с использованием персональных данных работников) имеет доступ; отразить данные о сотрудниках, имеющих доступ к персональным данным как на бумажных носителях, так и в электронном виде.

  ---

  [1] См. также Куролес И.И. Конфиденциальность информации. Что нужно знать секретарю // Секретарь-референт 2018. № 1. С. 78.

  [2] В ред. от 29.07.2017, далее – Федеральный закон № 152-ФЗ.

  [3] Пункт 1 части первой ст. 3 Федерального закона № 152-ФЗ.

  Ю.Ю. Жижерина, независимый консультант по трудовому праву

  Материал публикуется частично. Полностью его можно прочитать в журнале «Секретарь-референт» № 5, 2018.

  Легитимным, с точки зрения официальных законодательных документов, принятых в нашей стране, является только один способ получения конфиденциальной информации – от самого гражданина, пожелавшего добровольно ее сообщить в устной или письменной форме.

  Косвенные способы получения персональных сведений о человеке (например, запрос на прежнее место работы) могут использоваться только в том случае, если сотрудник дал на это свое письменное согласие.

  К СВЕДЕНИЮ! Чтобы иметь возможность получать информацию о сотруднике не только непосредственно от него, кадровые работники иногда используют не запрещенный законом прием. В анкете, заполняемой при трудоустройстве, может иметься пункт «Не возражаю против проверки предоставленных данных» или «Разрешаю получить информацию обо мне в следующих источниках (указать, в каких)».

  Если к работодателю пришел запрос о сотруднике, который когда-то у него работал, лучше перестраховаться и потребовать письменное разрешение на предоставление персональных данных, подписанное самим физическим лицом. Это касается даже ситуаций, когда эти сведения требуют работники правоохранительных органов (вместо разрешения может быть подписанный их руководством приказ).

  Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:

  • сбор;
  • фиксация;
  • систематизация;
  • накопление;
  • сбережение;
  • защита;
  • передача;
  • использование.

  Лицо или орган, производящее эти действия, называется оператором. При любых операциях с персональными данными он должен соблюдать следующие принципы:

  1. Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
  2. Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
  3. Выбирать способы обработки нужно в соответствии с заявленными целями.
  4. Все требования касаются только полных и достоверных персональных данных.
  5. Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.

  Использование конфиденциальной информации о сотрудниках внутри самой компании регламентировано Положением о персональных данных, которое принимается руководителем. Сотрудники непременно должны быть ознакомлены с этим порядком, что подтверждается их личными подписями.

  Организация должна предусмотреть круг лиц, которым предоставляется по долгу службы санкционированный доступ к персональным сведениям. Этими лицами должно быть подписано Обязательство о неразглашении, форма которого также разрабатывается в рамках организации.

  1. Запрещение предоставления данных любым третьим лицам или органам без наличия письменного согласия самого физического лица (исключение – угроза жизни и/или здоровью).
  2. Запрет на коммерческое использование полученных данных.
  3. При передаче четко регламентировать цель сообщения сведений и предупредить о ней получающее лицо.
  4. То или иное лицо, которому разрешено использовать персональные данные, может это делать только в объеме должностной инструкции.
  5. Отклонение от установленного порядка предусматривает серьезную ответственность виновного лица.

  Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

  На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

  К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

  Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

  К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

  Персональные данные для digital-маркетинга: полный гайд и шаблоны документов

  С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

  При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

  К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

  Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

  В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.

  Это согласие работодатели уже давно должны были запросить у работников.

  К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).

  В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.

  Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.

  Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.

  Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

  Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

  В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

  Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

  Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

  Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

  Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

  Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

  Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

  Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

  • в течение трех рабочих дней с момента обращения;

  • или в срок, указанный в постановлении суда;

  • или в течение трех рабочих дней с момента вступления решения суда в законную силу.

  Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.

  К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).

  Выделяют несколько видов персональных данных:

  • Общие персональные данные. Например, Ф. И. О., место работы, место регистрации, номер телефона, электронная почта. Такие данные и так могут быть известны некоторым людям, например родственникам, или опубликованы на общедоступных площадках, например в интернете.
  • Специальные персональные данные. Они находятся в закрытом доступе, и узнать их можно, только получив согласие человека (субъекта персональных данных) либо в установленном законом порядке (через суд или полицию) при наличии оснований. Как правило, это сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
  • Биометрические персональные данные. Это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Например, группа крови, отпечатки пальцев, фотографии или использование функции Face ID. Важный нюанс: такие данные считаются персональными, только если благодаря им можно идентифицировать личность. Если на входе в офис стоит камера с распознанием лиц, то фотография сотрудника — это биометрические персональные данные, так как фото служит, чтобы определить личность.
  • Иные персональные данные. Служат дополнением к общим персональным данным и могут часто меняться. Например, данные, которые хранятся в бухгалтерии: информация о заработной плате, период отпуска, трудовой стаж.

  Чтобы решить эту проблему, в 2021 году Госдума в 10 раз подняла штрафы за разглашение персональных данных. Для граждан — с 500–1000 рублей до 5000–10 000 рублей, для должностных лиц — с 4000–5000 рублей до 40 000–50 000 рублей. Помимо этого, систематически вносимые в законодательство поправки довели ответственность юрлиц за мелкие нарушения до 200 000 рублей.

  
  

  Похожие записи:

  • При временной регистрации забирают паспорт в МФЦ зачем
  • Впд военнослужащим в 2022 году на сколько человек
  • Сколько платят донорам крови в России в 2022 году