Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как работать с персональными данными работников в 2022». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Общий термин, определяющий персональные данные, звучит как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Термин присутствует в законе «О персональных данных», а также упоминается в других нормативных актах. Так, закон «О связи» относит к сведениям об абонентах – физических лицах – фамилию, имя, отчество или псевдоним, а также домашний адрес и другие данные, позволяющие идентифицировать личность.
В каких случаях ФИО относятся к персональным данным
Регулятор склонен считать ПД любые сведения, обрабатываемые оператором и предоставляемые ему субъектом при условии подписания согласия на обработку. Такой информацией будут и полные анкетные данные, и краткие сведения в интернет-магазине, по которым невозможно установить их реального обладателя. В любом случае все сведения должны защищаться с применением организационных, программных и технических способов обеспечения конфиденциальности.
Часто оператор, считая фамилию, имя, отчество общеизвестной информацией, хочет сократить расходы, связанные с их обработкой. Но в итоге такие манипуляции не приводят к достижению соглашения с регулятором. При проверке организация будет оштрафована, если защита имен граждан обеспечена программными решениями низкого уровня.
В инструкции об обработке ПД, с которыми работает Центробанк, это сведения о сотрудниках, аудиторах, руководстве коммерческих банков и других категориях лиц. В п. 5.1. четко указано: такие сведения, как фамилия и имя, отчество при его наличии, пол, являются персональными данными. На качество и степень обработки категория сведений не влияет. При этом Банк России уточняет, что только фамилии и имени для идентификации недостаточно, они должны быть использованы совместно с реквизитами паспорта или другой идентифицирующей информацией.
Подотчетным станет сбор персональных данных:
- в ходе трудовых отношений,
- при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
- уже упомянутых ФИО,
- даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
- для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Исключения из общего правила
Если организация захочет поспорить с регулятором и счесть ФИО сведениями, прямо не относящимися к ПД, она может привести ряд аргументов:
Однако эти аргументы не всегда принимаются, поскольку прямое прочтение закона относит к ПД любую информацию о человеке. Такая позиция связана с одномерным принятием требований международного законодательства, которые нужно было отразить в национальном для вступления в ВТО. Существующее в среде экспертов мнение о том, что имя относится к категории обезличенных данных, неверно. Закон под обезличиванием понимает определенный процесс, происходящий при помощи программных и технических средств и позволяющий превратить конкретные записи в общий массив информации, из которого невозможно вычленить сведения, относящиеся к конкретному лицу. Существуют разъяснения регулятора (Приказ Роскомнадзора № 996), которыми определяются требования к методам проведения обезличивания. Они предельно конкретны, очевидно, что само по себе отсутствие возможности идентифицировать лицо по кратким сведениям о нем не делает эти данные обезличенными.
Среди характеристик методов преобразования сведений:
Регулятор называет четыре типа методов устранения высокой степени идентифицированности персональных данных, не отказывая оператору в возможности предложить собственное решение:
Вне зависимости от выбранного метода обезличивания ФИО хранятся и защищаются на тех же основаниях, что и другие категории ПД.
Ответственность за распространение номера телефона и адреса электронной почты
Распространение персональных данных представляет собой действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3 Закона N 152-ФЗ).
Лица, виновные в нарушении требований Закона N 152-ФЗ, несут предусмотренную законодательством РФ ответственность (ч. 1 ст. 24 Закона N 152-ФЗ).
Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, влечет наложение административного штрафа (ч. 2 ст. 13.11 КоАП РФ):
• на граждан в размере от 3 000 до 5 000 руб.;
• на должностных лиц — от 10 000 до 20 000 руб.;
• на юридических лиц — от 15 000 до 75 000 руб.
Причиненный вследствие нарушения прав субъекта персональных данных моральный вред также подлежит возмещению в соответствии с законодательством РФ (ст. ст. 1099 — 1101 ГК РФ, ст. 24 Закона N 152-ФЗ).
СНИЛС – это страховой номер индивидуального лицевого счета. В Федеральном законе №27 сказано, что Пенсионный фонд и страхователи должны обеспечить защиту данных, которые входят в индивидуальный лицевой счет. Однако сам номер СНИЛС не позволяет идентифицировать физическое лицо, поэтому в перечень ПДн не входит.
СНИЛС становится общедоступной информации при создании электронной подписи. Квалифицированные центры, а их деятельность регламентируется законом ФЗ №63 «Об электронной подписи», используют номер СНИЛС или ИНН для проведения операций с сертификатами.
Как видите, СНИЛС по аналогии с ИНН не позволяет конкретизировать субъект информации, хотя и является кодом другой информации. Это привело к тому, что на правительственные органы наложили обязательства сохранять конфиденциальность данных, поданных для получения СНИЛС, при этом сам код остается общедоступным.
Можно ли обрабатывать персональные данные без согласия людей?
Законодательство допускает обработку ПДн без согласия субъекта в следующих случаях:
- если лицо является участником судебного разбирательства;
- если данные необходимы для исполнения госорганами своих полномочий в области предоставления государственных и муниципальных услуг, в том числе для регистрации гражданина на портале «Госуслуги»;
- для исполнения договора, выгодоприобретателем или поручителем по которому выступает лицо (или для заключения такого договора от его имени);
- если ситуация требует немедленных действий, необходимых для сохранения жизни и здоровья гражданина, а получить его согласие невозможно (например, человек находится без сознания);
- собранные личные данные будут использованы в целях проведения статистического или иного исследования, при условии что они будут обезличены;
- лицо ранее самостоятельно сделало свои данные доступными для неограниченного количества пользователей;
- данные должны быть раскрыты в соответствии с действующими законодательными требованиями;
- информация используется для журналистской, творческой или научной деятельности, а также для работы СМИ, при условии, что это не нарушает права и законные интересы гражданина.
Является ли фио и инн персональными данными
Налоги » ИНН »
Само по себе ФИО — является персональными данными?
В интернете написано Иванова Ксения Андреевна — мошенница. Нарушен ли закон О Защите персональных данных?
Ответы юристов ( 2 )
К персональным данным гражданина относятся его Ф. И. О., адрес фактического проживания и прописки, дата и место рождения, номер и серия паспорта, дата его выдачи, серийные номера других документов (медицинский полис, ИНН, СНИЛС, пенсионное удостоверение), информация из трудовых и медицинских книжек, а также другие данные, относящиеся к конкретному физическому лицу.
Но этот человек не брал на себя обязательство хранить эти данные, а значит он иожет быть привлечен к ответственности за клевету, оскорбление. Так что напишите заявление в полицию и она приймет решение
Что такое персональные данные (ПДн) и как этот термин трактуется с позиции российского законодательства? В этой статье мы уделили внимание тонкостям определений и подготовили развернутый пост-ответ, который поможет во многом разобраться.
Подробное разъяснение, является ли ФИО персональными данными
В соответствии со ст.28.4 КоАП РФ, дела об административных правонарушениях, предусмотренных ст. 13. И КоАП РФ, возбуждаются прокурором.
В связи с вышеизложенными фактами ОАО «МТС» выдано предписание об устранении выявленных нарушений в части неправомерной обработки персональных данных.
Результаты проверки направлены в органы прокуратуры городов Москвы и Петрозаводска для принятия мер прокурорского реагирования.
3. По обращению гражданки Г. в отношении ЗАО «Банк Русский стандарт» по вопросу защиты прав субъектов персональных данных — внеплановая проверка не проводилась, не представлены документы, подтверждающие нарушения законодательства в области персональных данных. Заявителю даны разъяснения.
На основании ч.2 ст.7 Федерального закона от 02.05.2006г. №59-ФЗ, «В случае необходимости в подтверждение своих доводов гражданин прилагает к письменному обращению документы и материалы либо их копии». У гражданки Г. к обращению не приложены документы подтверждающие факты нарушения требований законодательства в области персональных данных граждан (уведомление ООО «Агентство по сбору долгов» или других доказательств передачи Банком «Русский стандарт» персональных данных гражданки Г. третьим лицам). Управлением Роскомнадзора по Республике Карелия 21.05.2012г. (исх.№АД-04/10-958) делался запрос в адрес гражданки Г. о представлении копий документов, подтверждающих доводы, изложенные в обращении. Однако до настоящего времени не представлены документы, подтверждающие нарушения законодательства в области персональных данных.
Часть 1 и 5 статьи 5 Федерального закона «О порядке рассмотрения обращений граждан Российской Федерации» гарантируют гражданину следующие права:
«1) представлять дополнительные документы и материалы либо обращаться с
просьбой об их истребовании…».
Управление Роскомнадзора по Республике Карелия не наделено полномочиями осуществлять оперативно-розыскные мероприятия. Право осуществлять оперативно-розыскную деятельность предоставляется только оперативным подразделениям, перечисленным в статье 13 Федерального закона от 12.08.1995г. №144-ФЗ «Об оперативно-розыскной деятельности» (с изменениями).
4. По обращению гражданина К. в отношении МУЗ «Городская поликлиника №3» по вопросу обработки избыточных персональных данных — внеплановая проверка не проводилась, не представлены документы, подтверждающие нарушения законодательства в области персональных данных.Заявителю даны разъяснения.
При рассмотрении обращения гражданина К., поступившего из прокуратуры г. Петрозаводска, Управление Роскомнадзора по Республике Карелия руководствовалось требованиями Федерального закона от 02.05.2006г. №59-ФЗ «О порядке рассмотрения обращений граждан» (с изменениями). В соответствии с ч.2 статьи 7 Федерального закона от 02.05.2006 №59-ФЗ, «В случае необходимости в подтверждение своих доводов гражданин прилагает к письменному обращению документы и материалы либо их копии». В обращении недостаточно конкретной информации, которая позволила бы объективно и своевременно рассмотреть его по существу. В обращении гражданина К. написано про «различные персональные данные», при этом не указано какие именно категории персональных данных по мнению гражданина К. собираются не правомерно.
Управление Роскомнадзора по Республике Карелия не наделено полномочиями осуществлять оперативно-розыскные мероприятия. Право осуществлять оперативно-розыскную деятельность предоставляется только оперативным подразделениям, перечисленным в статье 13 Федерального закона от 12.08.1995г. №144-ФЗ «Об оперативно-розыскной деятельности». 29.05.2012г. направлялся запрос в адрес гражданина К. о представлении конкретной информации, а именно какие категории персональных данных собираются не правомерно. Ответа до настоящего времени не поступало.
Поэтому вопрос об избыточности сбора персональных данных поликлиникой №3 в настоящее время оставлен без рассмотрения.
По вопросу сертификации информационной системы базы персональных данных поликлиники №3 г. Петрозаводска, Управление Роскомнадзора по Республике Карелия направило обращение гражданина К. руководителю ФСТЭК по СЗФО.
5. По обращению гражданина М. по вопросу нарушения прав субъекта персональных данных — внеплановая проверка не проводилась, информация не подтвердилась. Заявителю даны разъяснения.
При рассмотрении обращения гражданина М., поступившее из Управление Федеральной антимонопольной службы по Республике Карелия Управление Роскомнадзора по Республике Карелия руководствовалось требованиями Федерального закона от 02.05.2006г. №59-ФЗ «О порядке рассмотрения обращений граждан» (с изменениями).
На основании ч.15 ст. 155 ЖК РФ «Наймодатель жилого помещения, управляющая организация, иное юридическое лицо или индивидуальный предприниматель, которым в соответствии с настоящим Кодексом вносится плата за жилое помещение и коммунальные услуги, а также их представитель вправе осуществлять расчеты с нанимателями жилых помещений государственного и муниципального жилищных фондов и собственниками жилых помещений и взимать плату за жилое помещение и коммунальные услуги при участии платежных агентов, осуществляющих деятельность по приему платежей физических лиц, а также банковских платежных агентов, осуществляющих деятельность в соответствии с законодательством о банках и банковской деятельности».
В данном случае ООО «Энергокомфорт» в качестве агента выбрало Акционерный коммерческий Сберегательный банк Российской Феде��ации (ОАО) и заключило с ним договор №8628-16/16 от 17.12.2010г. о приёме платежей физических лиц в валюте Российской Федерации с использованием Интегрированной системы приёма платежей населения.
В соответствии с п.4.1.7 указанного выше договора, Банк обязуется не разглашать и не передавать другим лицам (обеспечить конфиденциальность) информацию, связанную с использованием системы.
Для предотвращения информации от несанкционированного доступа используется криптографическая защита информации, СКЗИ «Бискрипрт-КСБ-С», которая удовлетворяет требованиям к стойкости СКЗИ класса КС1.
По результатам рассмотрения заявления гражданина М., Управление Роскомнадзора по Республике Карелия не выявило нарушений действующего законодательства в области персональных данных.
6. По обращению гражданина М-ва в отношении МКП «Петрозаводская паспортная служба» по вопросу распространения персональных данных без согласия субъекта — внеплановая проверка не проводилась, информация не подтвердилась. Заявителю даны разъяснения.
Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия в соответствии с полномочиями, определёнными Положением об Управлении, рассмотрело обращение гражданина М-ва, поступившее из прокуратуры г. Петрозаводска.
Управлением сделан запрос в МКП «Петрозаводская паспортная служба» и был получен ответ, что справка №040492 о регистрации была выдана по запросу Петрозаводского городского суда от 10.11.2011г. №2-8080/5 (судья Овчинникова О.В.).
В соответствии с п.2 ст. 13 ГПК РФ, законные распоряжения, требования, поручения, вызовы и обращения судов являются обязательными для всех без исключения должностных лиц, граждан, организаций и подлежат неукоснительному исполнению на всей территории Российской Федерации.
На основании п.п.З п.1 ст.6 Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных», обработка персональных данных допускается, если она необходима для осуществления правосудия.
Из представленных в наш адрес для рассмотрения обращения материалов Управление Роскомнадзора по Республики Карелия не выявило нарушения требований Федерального закона от 27 июля 2006 г.
N 152-ФЗ.
Образец согласия на предоставление персональных данных
Предоставление ПД – действия определенного характера, благодаря которым раскрываются ПД какому-либо лицу или группе лиц.
Если вам необходимо составить согласие о предоставлении своих ПД, то в письменной форме вы должны указать следующее:
- ФИО, местожительства, данные, изложенные в паспорте;
- ФИО и местожительства представителя владельца ПД, данные, изложенные в паспорте, доверенность;
- наименование или ФИО оператора, который получает согласие;
- цели, из-за которых производится обработка ПД;
- перечень ПД, на доступ к которым вы даете согласие;
- наименование или ФИО и адрес того, кто по назначению оператора будет обрабатывать данные;
- период, на протяжении которого будет действовать разрешение на доступ к сведениям их владельца;
- подпись владельца ПД.
Какие отношения регулируются законом
Речь идет об отношениях субъекта – то есть человека, чьи личностные данные были получены, и оператора, который будет осуществлять их обработку и хранение. Если с гражданином все понятно, то вот с оператором не совсем.
Под это понятие попадают государственные учреждения, частные организации, даже физические лица. Оператором ПД можно назвать любую компанию, даже физическое лицо, в случае если оно получило определенные сведения от гражданина, касающиеся его частной жизни.
Суть отношений:
- человек предоставляет определенные сведения, которые подтверждены документально, дает расписку о том, что разрешает хранить эти данные и обрабатывать их;
- оператор получает информацию, обрабатывает ее и хранит, но при этом ему запрещается использовать сведения, полученные от гражданина, с целью достижения выгоды или предоставления ее третьим лицам.
Отказ в предоставлении ПД
Если ранее предоставленное разрешение на предоставление данных начинает тем или иным образом мешать человеку, он имеет право отозвать его. Отказ нужно оформить в виде специального заявления. Отправляется оно не только на фактический адрес организации, но также на юридический.
Чтобы переслать письменное заявление на отказ, рекомендуется использовать обычную почту РФ. К заказному письму следует приложить копию паспорта и иных имеющих отношение к делу документов. Одновременно с этим нужно помнить, что каждая ситуация требует использования индивидуальных мер. Довольно часто требуется участие полиции.
Если перечисленные меры не будут соблюдены, если незаконное разглашение продолжается и причиняет моральный вред владельцу персональных данных, он может подать иск в суд. При доказанном нарушении организациям будет грозить уголовная ответственность. Пострадавший же получит возмещение морального ущерба и имущественного, а также получит компенсацию по убыткам, которые были понесены в результате разглашения ПД.
Чиновники разъяснили, что не является персональными данными
Роскомнадзор прокомментировал некоторые вопросы, касающиеся отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки.
Роскомнадзор прокомментировал некоторые вопросы, касающиеся отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки.
В соответствии с Федеральным законом «О персональных данных» к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, пишет .
В этой связи , что не является биометрическими персональными данными фотографическое изображение, содержащиеся в личном деле работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы.
Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека, и находящиеся в истории болезни (медицинской карте) пациента (бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами — органами следствия и дознания в целях установления личности конкретного лица.
Аналогично с материалами видеосъемки в публичных местах и на охраняемой территории. До передачи их для установления личности снятого человека они не являются биометрическим персональными данными, обработка которых регулируется общими положениями Федерального закона «О персональных данных», поскольку не используются оператором (владельцем видеокамеры или лицом, организовавшим ее эксплуатацию) для установления личности. Однако указанные материалы, используемые органами, осуществляющими оперативно-розыскную деятельность, дознание и следствие в рамках проводимых мероприятий, являются биометрическими персональными данными, в случае, если целью их обработки является установление личности конкретного физического лица.