Что относится к персональным данным?

Что входит в понятие персональных данных

Подтвердить разрешение на обработку персональных данных сейчас просят при заключении договоров, заполнении анкет, регистрации на сайтах. Большинство граждан соглашаются автоматически, хотя личная информация о человеке в руках недобросовестных лиц — мощное и опасное оружие. Статья рассказывает о том, что нужно знать о персональных данных, открывая доступ к ним 3-м лицам.

Персональные данные: что это, нормативная база

Государство регулирует сферу персональных данных посредством целого ряда нормативных актов. Основу составляет Конституция РФ, базис — ФЗ № 152 от 27.01.2006 г.

Закон разъясняет, что такое персональные данные, что к ним относится. Этот термин означает сведения, напрямую или косвенно характеризующие субъекта ПД — физическое лицо.

Говоря простым языком, по ним можно точно определить, что речь идет о конкретном человеке.

Косвенное упоминание о персональных данных есть в российской Конституции. Статьи 23–24 основного закона дают гражданам право на тайну частной жизни, ее неприкосновенность и защиту.

Все, что входит в понятие персональные данные, принадлежит только их носителю и не может контролироваться правительством или 3-ми лицами. Граждане сами вольны распоряжаться этой информацией, препятствовать распространению или, наоборот, передавать ее другим.

Государство, со своей стороны, гарантирует и защищает эту возможность.

ФЗ № 152 определяет, кто вправе использовать персональные данные кроме их носителя, на каких условиях, по каким правилам. Получать и обрабатывать личную информацию о субъекте могут только операторы с его разрешения. Гражданин подписывает согласие на проверку ПД при оформлении заявок на кредит, заполнении анкет или поступлении на работу.

Операторы получают доступ к тому объему данных, который требуется для решения их задач. Они не имеют права хранить и использовать их после того, как цель достигнута. Например, наниматель должен уничтожить записи, анкеты — все, что относится к персональным данным работника, после его увольнения. В ином случае, грозит ответственность за разглашение персональных данных работника

Нормам ФЗ № 152 должны следовать все юридические и частные лица. Особые правила применяются, когда ПД:

1. получают для личных или семейных нужд, если это не ущемляет права 3-х лиц;
2. содержатся в архивных документах;
3. составляют гостайну;
4. собираются по судебному акту.

Другие законодательные акты уточняют положения о ПД применительно к разным ситуациям, вводят систему и классификацию средств защиты. Например, гл.14 ТК РФ раскрывает понятие персональных данных работника.

Это сведения, позволяющие охарактеризовать его как сотрудника определенной организации (размер зарплаты, стаж, квалификация, информация из ФНС и ПФР и др.), его деловые качества.

Они должны использоваться и храниться для помощи работнику в выполнении его трудовых обязанностей, повышении опыта и знаний, продвижении по службе, для защиты персонала и имущества компании.

Классификация персональных данных

ФЗ № 152 выделяет несколько видов персональных данных. Можно расположить их по степени «секретности», сложности в сборе и использовании 3-ми лицами:

• обезличенные;
• общие;
• биометрические;
• специальные.

Общие персональные данные

Общие персональные данные — это основная информация о человеке. К ним относят:

Обработка персональных данных в организации

Цель обработки ПД в организации — оформление трудовых отношений с работником. Без подписанного согласия на обработку ПД работодатель не имеет права заключать трудовой договор. Подробнее читайте в этой статье

• ФИО;
• место прописки и проживания;
• паспортные данные;
• образование;
• ИНН;
• контактные данные;
• сведения о работе;
• размер доходов и т. д.

Не все из них по отдельности можно отнести к ПД. Например, закон точно не определяет, является ли номер телефона персональными данными.

Роскомнадзор в ответе на обращения граждан пояснил, что только по номеру невозможно точно идентифицировать человека. Сам по себе он не персонален, а в связке с ФИО владельца и городом проживания относится к ПД.

Поэтому неперсонифицированная рассылка смс-сообщений не считается нарушением ФЗ № 152.

Общие ПД содержатся в паспорте, военном билете, дипломе, личной карточке сотрудника, трудовой книжке и т. д.

Письменное разрешение не обязательно для получения этих данных, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты.

Относительная простота доступа часто приносит проблемы субъектам ПД — обычным гражданам: от навязчивой рекламы до шантажа и подделок кредитных заявок.

Личная жизнь гражданина, которая включает в себя также различные виды тайн (врачебная, налоговая, тайна усыновления и другие) защищена от разглашения статьей 137 УК РФ. Подробнее можно прочитать в этой статье.

Биометрические ПД

Биометрические данные — это физиологические и биологические характеристики субъекта: дактилоскопические изображения, группа крови, рост, цвет глаз, вес, анализ ДНК и т. д. Сюда относится и информация, которую можно получить по фото- или видеозаписи с человеком. Биометрические ПД часто необходимы при лечении или устройстве на работу в госорганы, оформлении заграничных паспортов и виз.

Специальные ПД

Раса и национальность, вероисповедание, философские убеждения, состояние здоровья, наличие судимостей, интимная жизнь, сексуальные предпочтения относятся к специальным данным. Они содержатся в медицинских справках, личных делах и т. д.

Специальные ПД требуются для участия в политической деятельности, вступления в вооруженные силы. Получить доступ к этим данным 3-и лица могут только с разрешения субъекта.

Зачем нужен закон о персональных данных? Ответ смотрите в видеосюжете:

Обезличенные ПД

Обезличенные ПД доступны для любого заинтересованного лица. Источниками информации могут быть:

• адресные книжки;
• справочники;
• реестры;
• СМИ.

Общедоступная информация, которая считается персональными данными, — это, например, доходы политических деятелей, представителей федеральной или муниципальной власти, чиновников на руководящих должностях.

В ноябре 2016 г. состоялось первое собрание рабочей группы администрации Президента РФ по проблеме использования положений ФЗ № 152 к так называемым Big Data. Это данные, которые от пользователя поступают в сеть: IP-адрес, формы авторизации, история браузера, сведения, которые накапливают о владельце гаджеты и умные бытовые приборы.

Big Data, с одной стороны, прямо или косвенно указывают на человека, то есть попадают под определение ПД. Законодатели в то же время не рассматривают интернет-данные как собственность индивида, так как он не может их контролировать.

Закон о персональных данных, понятие, хранение и обработка персональных данных работников и граждан

Не всю информацию о человеке и его жизни можно распространять и публиковать в открытых источниках.

С самого начала интернет-экспансии границы стираются и данные, которые должны передаваться только с разрешения человека, у него буквально «воруют».

Рассмотрим детальнее, что такое персональные данные, что включает в себя это понятие, как хранятся данные с пометкой «ПД», что грозит за нарушение закона и несанкционированное распространение личной информации?

Нормативная база

Перечень законов о персональных данных:

• Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации;
• Указ Президента Российской Федерации от 03 апреля 1995 г. N 334;
• Указ Президента Российской Федерации от 17 марта 2008 г. N 351;
• Постановление Правительства РФ от 26.06.1995 О сертификации средств защиты информации N 608;
• Постановление Правительства РФ от 15 августа 2006 г. N 504 О лицензировании деятельности по технической защите конфиденциальной информации;
• Постановление Правительства РФ от 31 августа 2006 г. N 532 О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации;
• Приказ ФСБ РФ от 9 февраля 2005 г. N 66 “Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)”;
• Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 г. Москва “Об утверждении Положения об обеспечении безопасности личных данных при их обработке в информационных структурах персональных данных;
• ГОСТы по информационной безопасности и защите информации;
• ГОСТ Р 34.10-2001 Информационная технология. Криптографическая защита информации;
• ГОСТ Р ИСО 7498-2-99 Информационная технология. Архитектура защиты информации;
• ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования;
• ГОСТ Р 50922-96 Защита информации. Основные термины и определения;
• ГОСТ Р 52069.0-2003 Защита информации. Система стандартов. Основные положения.;
• ГОСТ 28147-89 Системы обработки информации.

Федеральный закон “О персональных данных” можно скачать здесь:

Скачать документ бесплатно в Word [283.50 KB]

Классификация персональных данных

Согласно Федеральному закону «О персональных данных» это любая информация, которая прямо или косвенно относится к жизни субъекта. Что относится к персональным данным:

1. имя;
2. фамилия и паспортные данные;
3. место и дата рождения;
4. адрес прописки либо проживания;
5. семейное положение;
6. информация о доходах и задолженностях;
7. специальность, профессия,
8. информация о занятости;
9. доходы.

Сюда так же может относиться информация о социальных связях, контактах, личной жизни, покупках гражданина либо членов его семьи.

Согласно, части 1, статьи 85 ГК РФ, к личной информации работника предприятия относится вся информация, необходимая руководителю для регулирования всех трудовых процессов, связанных с конкретным работником.

Номер телефона является персональной информацией в РФ, так, как он привязан к паспортным данным.

Общие ПД

К общим данным можно отнести те, которые находятся “на поверхности”.

Общедоступные персональные данные – это имя, которое можно увидеть на бейджике сотрудника компании, его номер телефона в анкете на сайте, специальность и должность.

Если человек сам распространяет данные, которые не относятся к разделу “Общие”, это не даёт права гражданам распоряжаться ими или публиковать в открытых источниках.

Сюда относится вес, рост, цвет волос и глаз, отпечатки пальцев, национальность, особые приметы. Эти данные используются сотрудниками спецслужб для создания ориентировок и поиска преступников в базах данных.

Полиция и правоохранительные органы не имеют права снимать у граждан отпечатки пальцев без веской причины и заносить их информацию в базу данных.

Специальные ПД

Сюда относится расовая и национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни. Распространение этой информации не допускается, за исключением случаев, предусмотренных частью 2 ФЗ-152.

Никакие обстоятельства не обязывают гражданина разглашать эти данные сотрудникам полиции или публично. В данной просьбе можно отказать на законных обстоятельствах.

Обезличенные ПД

Это те данные, принадлежность которых невозможно установить. Обезличивание – процесс “отчуждения” данных, который делает личную информацию публичной.

Пример: В организации работают 2 сотрудника – мужчина и женщина. Мужчина соблюдает дресс-код, а женщина носит паранджу. Если работодатель подаст статистику о количестве верующих и/или религиозных людей, а конкретно – один атеист, один верующий, вычислить кто есть кто будет просто.

Такой топорный пример не является прямым нарушением закона, тем не менее передаёт личные данные (а вдобавок, специальные) третьим лицам.

Обработка персональных данных

Защита персональной информации может обеспечиваться несколькими источниками права:

• Первым источником защиты является ТК РФ, в котором закреплены гарантии, нормы, правила регуляции обмена и открытой публикации материалов работника;
• Вторым источником является система организационно-правовых отношений, устав предприятия, политика конфиденциальности, общепринятая в данной трудовой сфере;
• Третьим фактором служит право на защиту личной информации, гарантированное Конституцией РФ каждому её гражданину.

Обмен информацией и использование персональных данных возникают на протяжении всего рабочего процесса, между работодателем и сотрудником, между сотрудниками, а также третьими лицами.

Высший приоритет в урегулировании конфликтных ситуаций имеет Трудовой Кодекс Российской Федерации, за ним идёт уставо-правовые нормы организации, а потом уже право на защиту, гарантированное Конституцией РФ. Работодатель не может просто так требовать от сотрудника предоставить информацию.

Оглашению подлежит лишь та информация, которая необходима для заключения трудового договора, оформления нормативных документов, возможного урегулирования конфликтных и спорных ситуаций, коллективного или корпоративного договора с третьими лицами (согласно тексту ст. 22 ТК РФ).

Организационные:

• Ограниченный доступ к хранилищам и архивам материалов;
• Верификация запрашивающего лица перед предоставлением информации;
• Ознакомительный формат предоставления сведений;
• Санкции и штрафы за нарушения правил.

Технические:

• Криптография и шифрование данных;
• Создание отдельных серверов и каналов связи;
• Уничтожение неактуальных материалов;
• Экранировка помещений и устройств, для защиты от взлома.

Право на защиту персональной информации работник может реализовать через:

• Свободное бесплатное обращение к документам, где фигурируют его личные данные (может потребовать копию любого нормативного документа).
• Требование по отношению к работодателю, заключающееся в удалении или изменении персональных данных, либо их части.
• Путём обжалования процедуры подачи, обработки и публикации сведений, организацией.

Пошаговая инструкция по защите данных в организации:

• Разработка проекта алгоритма обработки персональных сведений;
• Разработка системы согласия и отказа на обработку личных материалов;
• Разработка проекта уведомительных сообщений о включении личных материалов в общий поток;
• Проектирование структуры, обязующейся сохранять информацию с ограниченным доступом;
• Издательство приказа о введении материалов работников предприятия в базу данных, определение порядка и способа обработки и передачи информации, назначение ответственных, обозначение санкций и штрафов за нарушение устава;
• Внесение изменений или дополнений в трудовые и должностные инструкции работников, которые ответственны за хранение, предоставление и обработку личных сведений.

В интернете, как и других открытых источниках, также хранятся и обрабатываются данные пользователей. С 2017 года сайты, которые используют технологию cookie, обязаны оповещать пользователей об этом. Эта технология позволит показывать релевантную рекламу, оптимизировать процесс работы, ускорить технические алгоритмы. Тем не менее, они собирают данные о гражданах:

• историю посещений;
• ссылки и переходы (сайт видит, с какой страницы пользователь на неё попал);
• какие аккаунты привязаны к учётной записи (если авторизоваться на сайте при помощи профиля в социальной сети);
• поисковые запросы (не только на конкретном ресурсе. Google, Yandex и прочие техно-гиганты собирают всю информацию а пользователях).

Сбор, хранение и обработка данных происходит в обязательном порядке. Если пользователь против – нужно покинуть ресурс, который собирает информацию. Продолжая работу с сайтом, пользователь даёт своё согласие на сбор данных.

Что делать, если данные используются без вашего согласия

В первую очередь просмотреть – являются ли они специальными ПД и запрещено ли их распространение. Если закон нарушен – в срочном порядке нужно обратиться в полицию с заявлением, где чётко указать обстоятельства и время кражи. Сослаться на статью 137 УК РФ.

В зависимости от классификации и элементов преступления, можно рассчитывать на возмещение в виде выплаты, размером 1 000 – 50 000 рублей. Для должностных лиц штраф намного выше.

Уголовная ответственность предусматривает лишение свободы сроком до 2 лет (максимальная мера пресечения).

Надеемся, что наша статья помогла читателю разобраться с вопросами ПД. Помните, что законы и права человека в РФ нарушаются ежедневно, а за помощью в правоохранительные органы обращаются только единицы. Если читатель стал жертвой или свидетелем кражи персональной информации – молчать нельзя. Сегодня это чужие права, завтра – ваши.

Что относится к персональным данным с точки зрения российского регулятора (персональные данные в облаке, часть 1)

Что такое персональные данные (ПДн) и как этот термин трактуется с позиции российского законодательства? В этой статье мы уделили внимание тонкостям определений и подготовили развернутый пост-ответ, который поможет во многом разобраться.

Что такое ПДн

Почему так важно определиться с понятиями? Дело в том, что, если этого не сделать сейчас, в дальнейшем будет трудно о чем-либо договариваться. Важно понимать, что относится к персональным данным и что необходимо защищать при размещении их в облаке.

Итак, законодательство РФ понимает под персональными данными (ПДн) «любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу — субъекту персональных данных».

Обратите внимание, что это определение довольно широкое и здесь не сказано про идентификацию конкретного лица.

Хотя на портале персональных данных, официальном сайте Роскомнадзора, вопрос подобного характера уже задавался и звучал так: каков минимальный набор персональных данных, достаточный для идентификации человека? На что Роскомнадзор ответил: «Указанный минимальный перечень действующим законодательством не установлен.

Более того, по результатам мониторинга законодательства, проведенного Роскомнадзором, было установлено, что 75 международных правовых актов, 13 кодексов РФ, более 100 федеральных законов и 250 актов Правительства Российской Федерации устанавливают различные перечни запрашиваемых персональных данных».

На этом также сделан акцент в научно-практическом комментарии к закону «О персональных данных». В документе поясняется, что «при буквальном трактовании рассматриваемой нормы к понятию «персональные данные» можно отнести широкий круг информации, в том числе выходящий за рамки разумно ожидаемого в данном контексте».

То есть здесь нет указания на связь между информацией, прямой или косвенной определенностью или «определяемостью» физического лица. Отсюда напрашивается вывод, что на сегодняшний день отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные относятся к персональным, а в каких — нет.

Как быть, если отсутствует однозначность определений

В таком случае следует обратиться к научно-практическому комментарию Роскомнадзора, который рекомендует использовать следующий подход:

Если совокупность данных необходима и достаточна для идентификации лица, эти данные следует считать персональными, даже если они не содержат никаких документов, удостоверяющих личность. Если же без дополнительной информации установить конкретное лицо, к которому относятся персональные данные, невозможно, их нельзя считать персональными данными.

Для лучшего понимания ситуации рассмотрим пример:

Иванов Иван Иванович — сочетание этих трех слов не является персональными данными, ведь если мы не знаем человека и не имеем о нем дополнительных сведений, невозможно определить, что это за личность. Если же говорить об Иванове Иване Ивановиче, менеджере по развитию в группе компаний «ИТ-ГРАД» — эти данные относятся к ПДн, поскольку явно определяют сотрудника, о котором идет речь.

Зачем Роскомнадзор вводит понятие “идентификатора”

И снова обратимся к научно-практическому комментарию Роскомнадзора: здесь вводится понятие идентификатора, или тех сведений, которые позволяют однозначно определить физическое лицо. Такой идентификатор присваивается каждому гражданину, носит название государственного идентификатора и представлен следующим списком:

идентификатора, или тех сведений, которые позволяют однозначно определить физическое лицо. Такой идентификатор присваивается каждому гражданину, носит название государственного идентификатора и представлен следующим списком:

• Номер и серия паспорта.
• Страховой номер индивидуального лицевого счета (СНИЛС).
• Идентификационный номер налогоплательщика (ИНН).
• Биометрические данные.
• Банковский счет, номер банковской карты.

Кроме того, Роскомнадзор выделяет в отдельную категорию данные, которые рассматриваются как персональные, несмотря на то что в их отношении остается некоторый аспект вероятностного совпадения.

К ним относятся:

• Фамилия, имя, отчество, дата рождения, место прописки.
• Фамилия, имя, отчество, дата рождения, должность.
• Фамилия, имя, отчество (возможно — фамилия и инициалы) плюс любая информация, которая однозначно выделяет среди прочих лиц для идентификации его как конкретной личности.

При этом фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения не могут в отдельности друг от друга рассматриваться как персональные данные.

Хотя в этом вопросе происходят определенные трансформации: в одном из интервью Роскомнадзора говорилось, что фамилия с электронным адресом (а иногда и электронный адрес) могут рассматриваться как персональные данные, если корпоративные правила компании предусматривают формирование электронной почты в виде сочетания полного имени, фамилии сотрудника и названия компании (например, ivanov.ivan@it-grad.ru). Такие данные с большой вероятностью позволяют определить конкретного человека. Следовательно, персональные данные считаются таковыми, когда имеются какие-либо признаки или идентификаторы, позволяющие установить конкретное лицо, к которому они относятся.

Файлы cookie и персональные данные

Также важно заметить, что за последние два года в отношении файлов cookie и следов, которые пользователь оставляет в Интернете, позиция Роскомнадзора радикально изменилась. На это стоит обратить внимание, поскольку появилась новая зона риска.

Теперь, по мнению регулятора, если используются файлы cookie и они передаются аналитическим службам типа Google Analytics, Webtrends, Яндекс.

Метрика, эти данные в совокупности после их обработки позволяют определить уникального пользователя сайта, сформировать сведения о его предпочтениях и поведении на сайте, что говорит об обработке персональных данных. Следовательно, необходимо получить согласие пользователя на обработку таких ПДн.

Теперь обратим внимание на то, что Google Analytics и Webtrends работают из американского облака, а США — это страна, не обеспечивающая адекватную защиту прав субъектов персональных данных, а значит, используя такие инструменты, нужно получить согласие в письменной форме или в форме электронного документа, подписанного в соответствии с законодательством.

Решение проблемы

Напрашивается единственный выход: если на сайте используются файлы cookie, необходимо предусмотреть пользовательское соглашение или баннер, который позволяет подтвердить, что пользователь, пусть даже анонимный, согласен с обработкой ПДн.

Пользователь должен поставить галочку в соответствующей форме, выражая тем самым согласие. В таком случае необходимо сделать раздел в отношении обработки следов в Интернете или сформировать отдельную политику в отношении файлов cookie. Чтобы понимать, какие данные, содержащие файлы cookie, относятся к персональным данным гражданина по мнению Роскомнадзора, приведем выписку:

• Операционная система.
• Часовой пояс и время браузера в 24-часовом формате.
• Язык браузера.
• Глубина цвета и разрешение экрана.
• Поддерживает ли браузер и/или включен JavaScript.
• Версия JavaScript, поддерживаемая браузером.
• Тип соединения, используемый для передачи данных.
• Размер окна браузера.

Новый европейский регламент GDPR

Правила, устанавливаемые относительно персональных данных на уровне закона, — не только российская тенденция. Так, 25 мая этого года вступает в силу новый европейский регламент GDPR (General Data Protection Regulation) — большой, сложный и подробный закон.

И, в частности, 30 пункт преамбулы к закону обращает внимание на то, что к персональным данным относятся онлайн-идентификаторы, поскольку они ассоциируются с конкретными физическими лицами, к которым относятся адреса интернет-протоколов (IP-адреса), идентификаторы cookies и другие следы, радиочастотные метки, предпочтения по выбору сайта и так далее.

В соответствии с новым европейским регламентом (как и с трактовкой российского регулятора) онлайн-идентификаторы позволяют идентифицировать конкретного интернет-пользователя. В целом же стоит признать, что однозначно определить персональные данные в полном объеме мы не можем, поскольку многие аспекты зависят от соответствующего контекста и контента.

Остались вопросы?

Проходите по ссылке на запись вебинара «Облако в соответствии с законом «О персональных данных» и следите за новыми материалами первого блога о корпоративном IaaS.

В следующих статьях мы расскажем о принципах и условиях обработки ПДн с точки зрения российского законодательства, поговорим о видах согласия со стороны субъекта ПДн и уделим внимание зонам ответственности заказчика и облачного провайдера при размещении персональных данных в облаке.

(8 5,00 из 5)
Загрузка…

Обработка персональных данных сотрудника — сроки и виды

Кадровики регулярно сталкиваются с персональными данными нанимаемых в компанию сотрудников и уже трудоустроенного штата. Закон предъявляет определённые требования к обработке подобной информации и её сохранению в архивах.

За нарушение норм законодательства должностное лицо может ожидать привлечение к соответствующей ответственности, именно поэтому специалисты рекомендуют тщательно ознакомиться с правилами работы с личными сведениями о гражданах.

Что относится к персональным данным работника?

Любые сведения о гражданине, имеющие к нему прямое или косвенное отношение, считаются персональными данными. Определение этого понятия представлено в 3 статье ФЗ № 152 от 2006 года 27 июля.

Таким образом, к личной информации о человеке относят:

• адрес его проживания;
• ФИО;
• дату рождения;
• семейное положение;
• полученное образование;
• реквизиты паспорта;
• занимаемую должность (профессию);
• уровень дохода;
• наличие какой-либо собственности;
• социальное положение в обществе;
• и т. п.

Должностное лицо, из-за которого произошло разглашение личных сведений о сотруднике, привлекаются к административной, дисциплинарной или уголовной ответственности.

Порядок обработки персональных данных сотрудника

Под обработкой сведений о работнике понимается комплекс мероприятий, установленный на законодательном уровне и включающий в себя получение данных о гражданине, их проверку, передачу, хранение, накопление, уничтожение и другие способы применения имеющейся информации.

Эта процедура необходима в следующих случаях:

• при найме лица на должность;
• при продвижении служащего по карьерной лестнице;
• при выплате сотруднику вознаграждения за труд;
• при осуществлении контроля за выполненной работой и её качеством;
• и т. д.

Другими словами, под обработкой понимается осуществление любых действий с личной информацией.

При осуществлении обработки необходимо соблюдать определённые требования, зафиксированные в 86 статье ТК РФ.

• Во-первых, данная процедура осуществляется исключительно при наличии для этого оснований и только с конкретной целью.
• Во-вторых, передача личных сведений третьим лицам без письменного разрешения самого лица недопустима.
• В-третьих, персональную информацию необходимо получать непосредственно от самого гражданина. Запрос сведений из иных источников должен сопровождаться уведомлением сотрудника.

Кроме этого, получение специальных персональных данных (о политических взглядах, отношении к религии и т. д.) по закону не допускается, так как эта информация не должна влиять на решение руководства о найме гражданина или его дальнейшем продвижении по карьерной лестнице.

Меры защиты личных сведений о сотрудниках должны быть зафиксированы в локальных актах предприятия. Сами работники обязаны быть ознакомлены с данными документами под роспись (это могут быть инструкции, положения и т. п.).

Получать данное согласие не требуется в случаях, предусмотренных законом (например, при оформлении алиментных выплат, при передаче сведений третьим лицам, если речь идёт о сохранении жизни или здоровья гражданина и т. д.).

Виды персональных данных работника

Выделяют два типа документации, формирующей личные сведения о гражданине. К первой разновидности относятся бумаги, на основании которых происходит найм сотрудника на ту или иную должность, то есть паспорт лица, СНИЛС, военный билет и т. д.

Второй тип документации формируется непосредственно руководителем работника (например, приказ о назначении на должность, расчётные документы и т. д.).

На основании этих бумаг выделяют различные виды персональных данных, ознакомиться с которыми можно с помощью приведённой ниже таблицы.

Способ классификации	Разновидности данных	Характеристика
По направлению	Обычные (иначе общие)	Большая часть личной информации о человеке (его фамилия, имя, отчество, гражданство, полученное образование, место работы и т. д.).
Специальные	Особая категория сведений о человеке (например, его политические убеждения, принадлежность к той или иной религии, состояние здоровья, национальность, наличие или отсутствие судимости, семейная и личная жизнь и т. д.).
По степени доступности данных	Конфиденциальные	Информация, не подлежащая разглашению по закону и при отсутствии соответствующего согласия самого гражданина (например, результаты медицинского осмотра).
Общедоступные	Сведения о человеке, находящиеся в общем доступе в соответствии с нормами российского законодательства или представленные для ознакомления третьих лиц в связи с письменным согласием самого гражданина.
По содержанию	Биометрические	Сведения, способные охарактеризовать человека для определения его личности (то есть его физиологические особенности). К таким данным относятся отпечатки пальцев, почерк, ДНК и т. п.
Не биометрические	Прочие данные, не относящиеся к биометрическим.
По причине появления (по документам)	Появившиеся до начала трудовой активности	Сведения, содержащиеся в паспорте гражданина, его свидетельстве о рождении, военном билете, документах о полученном образовании, СНИЛС и т. д.
Появившиеся в результате трудовой деятельности	К такой информации относятся записи о приёме лица на работу, его переводе в другое отделение, повышении, увольнении, предоставлении отпуска или больничного, уровне получаемого дохода, поощрениях и т. д.

Кроме этого, к персональным сведениям относится и информация о родственниках гражданина, например, о составе его семьи, месте проживании родных и т. д. Семейное положение – также конфиденциальные данные (факт нахождения в браке, наличие детей и их возраст, состояние здоровья членов семьи, наличие иждивенцев и т. п.).

Срок хранения персональных данных сотрудника

Сведения о работнике должны быть приобщены к его личному делу. В соответствии с 87 статьёй ТК РФ, руководитель самостоятельно определяет порядок хранения и применения данных о сотруднике, зафиксированный в локальных нормативных актах предприятия. При этом порядок должен отвечать требованиям, установленным российским законодательством.

В соответствии с 22.1 статьёй ФЗ № 125 от 2004 года 22 октября, документация о самом гражданине (например, его заявление о согласии на обработку данных, копии приказов и т. д.) должна храниться в течение:

• 75 лет, если бумаги были созданы до 2003 года;
• 50 лет, если документы были оформлены позднее этого периода.

При защите конфиденциальности информации личного характера важно уделить внимание не только бумажной документации, но и сведениям на электронных носителях.

Порядок их хранения аналогичен описанному выше.  Электронные документы предписано сохранять в течение как минимум 5 лет (по налоговому учёту бумаги не уничтожаются на протяжении 4 лет).

Особенности хранения

Документация на бумажном носителе подлежит хранению в специальных сейфах (таким образом бумаги сохраняются от случайной порчи или потери).

В электронном виде файлы с личными сведениями хранятся в персональном компьютере сотрудника, уполномоченного заниматься обработкой данных, или руководителя предприятия (т. е. у генерального директора).

После увольнения сотрудника его личное дело продолжает находиться у кадровиков до окончания года (оперативное хранение может продолжаться в течение 1–3 лет).

После этого кадровая служба должна заняться архивно-технической обработкой и направить личные дела бывших работников в архив предприятия. По общим правилам отсчёт периода хранения начинается с первого января года, в котором документ был передан в архив.
Не нашли ответа на свой вопрос?
Узнайте, как решить именно Вашу проблему – позвоните прямо сейчас или заполните форму онлайн:

+7 (499) 350-80-69 (Москва)

+7 (812) 309-75-13 (Санкт-Петербург)

Это быстро и бесплатно !

Персональные данные работника: миллионные штрафы за утечку

Депутаты одобрили поправки, предусматривающие введение новых санкций за нарушение закона № 152-ФЗ о персональной информации граждан. Законопроектом предложены следующие штрафы:

1. За невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения данных российских граждан с использованием баз данных, находящихся на территории РФ, граждан планируется штрафовать на 30 000-50 000 рублей, должностных лиц — на сумму 200 000-500 000 рублей, ИП и юридических лиц — от 2 до 6 млн рублей. При повторном нарушении штрафы на граждан увеличиваются до 50 000-100 000 рублей, на должностных лиц — до 0,5-1 млн рублей, а ИП и организации обещают наказывать на 6-18 млн рублей.
2. За повторные нарушения, предусмотренные ст. 13.31 КоАП РФ (неисполнение обязанностей организаторов распространения информации в сети Интернет), предложены штрафы для граждан — от 5000 до 30 000 рублей (в зависимости от правонарушения), для должностных лиц — от 50 000 до 500 000 рублей, для ИП и организаций — от 0,5 до 6 млн рублей.
3. Отдельные санкции вводятся для операторов поисковых систем, организаторов сервисов обмена мгновенными сообщениями, владельцев аудиовизуального сервиса информации.

Все новые штрафы подробно описаны в таблице.

Правонарушение	Штрафы (рублей)	Статья КоАП РФ, которая изменится
для граждан	для должностных лиц	для ИП и организаций
Невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения данных российских граждан с использованием баз данных, находящихся на территории РФ	30 000-50 000	200 000-500 000	2-6 млн	13.11
Повторное невыполнение обязанности по хранению персональных данных в РФ	50 000-100 000	500 000-1 млн	6-18 млн	13.11
Повторное неисполнение обязанностей организатором распространения информации в сети Интернет	От 5000 до 30 000 (в зависимости от правонарушения)	От 50 000 до 500 000 (в зависимости от правонарушения)	От 500 000 до 6 млн (в зависимости от правонарушения)	13.31
Повторное распространение владельцем аудиовизуального сервиса телеканала, телепрограммы, не зарегистрированных в качестве СМИ либо зарегистрированных, но лишенных права на вещание	10 000-20 000	100 000-200 000	700 000-1 млн	13.35
Повторное нарушение владельцем аудиовизуального сервиса правил распространения среди детей информации, причиняющей вред их здоровью и(или) развитию	5000-10 000	50 000-100 000	500 000-1 млн	13.36
Повторное распространение владельцем аудиовизуального сервиса информации и материалов, содержащих призывы к осуществлению террористической и(или) экстремистской деятельности	150 000-300 000	600 000-800 000	От 1,5 до 5 млн	13.37
Повторное неисполнение организатором сервиса обмена мгновенными сообщениями обязанностей	5000-10 000	50 000-70 000	1-2 млн	13.39
Повторное неисполнение оператором поисковой системы обязанности по подключению к информационно-телекоммуникационным сетям, доступ к которым ограничен на территории РФ	30 000-100 000	100 000-500 000	1,5-5 млн	13.40
Повторное неисполнение оператором поисковой системы обязанности по прекращению выдачи по запросам пользователей сведений о информационно-телекоммуникационных сетях, доступ к которым ограничен на территории РФ	30 000-100 000	100 000-500 000	1,5-5 млн	13.40
Повторное неисполнение оператором поисковой системы обязанности по прекращению выдачи по запросам пользователей сведений о доменном имени и об указателях страниц сайтов в сети Интернет, доступ к которым ограничен на основании решения Московского городского суда, или копий заблокированных сайтов	30 000-100 000	100 000-500 000	1,5-3 млн	13.40

Скачать

Объясняя необходимость введения новых санкций, авторы в пояснительной записке к законопроекту пишут, что только штрафы способны остановить нарушителей. Они налагают не только финансовые, но и репутационные издержки, потому являются наиболее эффективной мерой воздействия.

Законопроект пока еще обсуждается, но авторы уверены, что новые санкции заработают уже в начале 2020 года.

С какими персональными данными приходится иметь дело работодателю

Что относится к персональным данным работника организации? В соответствии со ст. 3 закона № 152-ФЗ, персональные данные работника — это любые сведения о нем.

Трудовой кодекс определяет перечень документов, которые человек предъявляет работодателю при поступлении на работу:

• фамилия, имя, отчество, дата и место рождения;
• образование (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация);
• выполняемая работа с начала трудовой деятельности (включая военную службу);
• адрес регистрации и фактического проживания;
• паспортные данные (серия, номер, кем и когда выдан);
• номер телефона, адрес электронной почты;
• отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
• ИНН;
• номер страхового свидетельства обязательного пенсионного страхования;
• результаты обязательного медосмотра при поступлении на работу;
• семейное положение, Ф.И.О. и даты рождения детей.

Также определенная информация содержится в резюме соискателя и его анкете.

В процессе работы эти данные изменяются и дополняются. Работодатель обязан хранить их в секрете. Эта мера обеспечивается определением конкретных лиц, которые имеют к ним доступ. Это должно быть зафиксировано в документальном виде, для чего необходимо издать внутренний приказ.

Образец приказа о персональных данных работников 2020

Скачать

Иногда при приеме на работу нового сотрудника кадровики снимают ксерокопии с предоставленных документов и вкладывают их в его личное дело. По мнению Роскомнадзора, это не допускается.

При проверке соблюдения требований законодательства о защите персональных данных контролирующий орган счел незаконным хранение в личных делах сотрудников ксерокопий их паспортов. Организация обратилась в Арбитражный суд с заявлением о признании этого предписания Роскомнадзора незаконным.

Судом в удовлетворении заявленного требования было отказано. По мнению суда, хранение организацией копий паспортов сотрудников является избыточным, законом не предусмотрено, нарушает права граждан и превышает объем персональных данных работников, предусмотренный ст. 86 ТК РФ (Постановление ФАС Северо-Кавказского округа от 11.03.2014 № Ф08-480/14 по делу № А53-10287/2013).