Добавлено в закладки: 0
Что такое данные персональные? Описание и определение термина.
Данные персональные, или личные данные – это сведения и информация, относящиеся к некоторому физическому лицу. Это лицо есть субъектом персональных данных.
Понятия личных данных широко может использоваться в процессе трудовых отношений – в таких данных есть отношение к конкретному работнику, и они нужны работодателю чтобы определить возможности использования этого работника в той или иной должности.
Отношения, которые возникают при использовании персональных данных, могут регулироваться в России законом «О защите персональных данных».
Этим законом как персональные данные устанавливаются ФИО, дата рождения и месяц рождения, адрес, профессия, образование, сведения о доходах и имущественном положении, а также иная информация, имеющая отношение к индивиду. Сбор и хранение персональных данных должен вестись с учетом положений данного закона, если он нарушен предусматривается ответственность.
Нормативная база
Нормативной основой защиты персональных данных есть нормы Конституции РФ, Федерального закона «О персональных данных», Указ Президента РФ «О перечне сведений конфиденциального характера» и другие акты. Правовая основа для него является Всеобщая декларация прав человека, которая провозглашена Генеральной Ассамблеей Организации Объединенных Наций в 1948 г. Согласно ст.
12 данного документа “никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь произвольным посягательством на его честь и репутацию”.
Положения Декларации имеют свое последующее развитие в других международно-правовых документах и документах Европейского союза, например в Европейской конвенции о защите прав человека и основных свобод, которая была принята 4 декабря 1950 года.
Федеральный закон Российской Федерации от 27 июля 2006 г. 152-ФЗ «О персональных данных» есть базовый в вопросах защиты персональных данных.
Этот закон принимался в целях исполнения международных обязательств РФ, которые возникли после подписания и ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года.
Конвенцию ратифицировали с поправками, которые были одобрены Комитетом министров Совета Европы 15 июня 1999 года, которая подписана от имени Российской Федерации в городе Страсбурге 7 ноября 2001 года.
Одно из главных требований Конвенции и 152-ФЗ взять с субъекта персональных данных согласие на обработку персональных данных.
Постановление принятое Правительством Российской Федерации от 1 ноября 2012 г. N 1119 г. “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных” говорит об определении уровня защищенности и новых типов информационных систем.
Документом предписывается Федеральную службу безопасности Российской Федерации и Федеральную службу по техническому и экспортному контролю заниматься утверждением в пределах своей компетенции нормативных правовых актов и методических документов, которые необходимы для выполнения требований, для тех что предусмотрены Положением.
В 2008 году принимаются следующие документы (согласно Постановлению Правительства РФ №781 – в настоящее время действие данного постановления отменено, однако методические материалы используются).
- «О персональных данных» от 27.07.2006 №152-ФЗ.
- Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» указ Президента РФ от 6 марта 1997 г. №188.
Источник: https://biznes-prost.ru/dannye-personalnye.html
Ответы на вопросы в сфере защиты прав субъектов персональных данных, Информация Роскомнадзора от 25 сентября 2015 года
Вопрос: Что такое Уполномоченный орган по защите прав субъектов персональных данных и на кого возложена реализация этих функций?Ответ: Уполномоченный орган — федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи.
В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 года N 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.Вопрос: Кто может являться оператором персональных данных?Ответ: В соответствии с п. 2 ст.
3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.Вопрос: В каких случаях операторами не должна обеспечиваться конфиденциальность персональных данных?Ответ: В соответствии с ч. 2 ст.7 Федерального закона от 27.07.
2006 N 152-ФЗ «О персональных данных» обеспечения конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.Вопрос: В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?Ответ: Согласно ч. 2 ст.6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;(п. 1.1 введен Федеральным законом от 25.11.2009 N 266-ФЗ)
- 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
- 3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- 4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- 5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
- 6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.Вопрос: Кто должен запрашивать согласие работников предприятия на обработку персональных данных при их передаче для обработки другому оператору?Ответ: Получить согласие работника на передачу его персональных данных для обработки другому оператору должна администрация предприятия, на котором работает субъект персональных данных.Вопрос: В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?Ответ: В соответствии с ч.1 ст.22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.Исключение составляют случаи, предусмотренные ч.2 комментируемой статьи, при обработке персональных данных:
- 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
- 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- 3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
- 4) являющихся общедоступными персональными данными;
- 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- 6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- 7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Роскомнадзора www.rsoc.
ru в информационно-телекоммуникационной сети «Интернет».Кроме того, на портале Персональные данные реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.
Вопрос: Вправе ли физическое лицо представлять персональные данные своих близких родственников?Ответ: Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.
Вопрос: Если при обработке персональных данных организацией нарушаются мои права, куда я могу обратиться за защитой?Ответ: Вы вправе обратиться в ближайшее территориальное управление Роскомнадзора. Адреса и контактные телефоны указаны на официальном сайте Роскомнадзора www.rsoc.ru в информационно-телекоммуникационной сети «Интернет».
Вопрос: Какая ответственность предусмотрена за нарушения оператором требований Федерального закона «О персональных данных»?Ответ: Ст.24 Федерального закона «О персональных данных» определяет ответственность за нарушение данного Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.
Административная ответственность за нарушение настоящего Федерального закона наступает за:- неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст.5.39 КоАП РФ);- нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст.13.11 КоАП РФ);- разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст.13.14 КоАП);- непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст.19.7 КоАП РФ).Кроме того, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность, предусмотренная ст.137, 272 УК РФ.Вопрос: Вправе ли кредитная организация обрабатывать персональные данные физических лиц, получивших отказ в предоставлении кредита? Возможно ли хранить формы анкет-заявок на получение кредита в формате цифровых копий?Ответ: Персональные данные субъектов персональных данных, полученные кредитной организацией при рассмотрении заявок на получение кредита, в случае отрицательного решения кредитной организации подлежат уничтожению в срок, не превышающий трех рабочих дней с даты принятия соответствующего решения.Обращаем Ваше внимание, что типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных, могут храниться в формате цифровых копий при соблюдении требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 17 ноября 2007 года N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».Вопрос: Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?Ответ: При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных, является файл электронной цифровой подписи.Кроме того, предложение оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта.Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.Вопрос: Вправе ли оператор запрашивать сведения о судимости?Ответ: В соответствии с ч.3 ст.10 Федерального закона «О персональных данных» обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.Вопрос: Какие иностранные государства обеспечивают адекватную защиту персональных данных?Ответ: До начала осуществления трансграничной передачи персональных данных оператор, осуществляющий обработку персональных данных (далее — Оператор) на территории Российской Федерации, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.Критериев, определяющих адекватность защиты прав субъектов персональных данных на территории иностранного государства, действующим законодательством Российской Федерации не предусмотрено.Оператору, осуществляющему трансграничную передачу персональных данных, необходимо руководствоваться законодательством иностранного государства, на территорию которого осуществляется передача персональных данных, законодательством Российской Федерации в области защиты прав субъектов персональных данных, а также международными нормативными актами, в том числе Конвенцией о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года ETS N 108 с учетом перечня стран, подписавших и ратифицировавших данную Конвенцию. Это Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония.Вторая группа, которые могут претендовать на статус стран, обеспечивающих адекватную защиту персональных данных, это страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных. Это Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония.Вопрос: Распространяются ли требования Федерального закона «О персональных данных» на юридическое лицо иностранного государства?Ответ: Требования Федерального закона «О персональных данных» распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации.Вопрос: Является ли веб-сайт информационной системой обработки персональных данных?Ответ: Согласно пункту 9 статьи 3 Федерального закона «О персональных данных» информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.В случае соответствия веб-сайта указанным требованиям он является информационной системой.Вопрос: Как документально оформить факт уничтожения персональных данных субъекта?Ответ: Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим Оператором.Вопрос: Существуют ли стандарты или рекомендации по исполнению Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» операторами?Ответ: Да, такие документы, разработанные отдельными представителями операторского сообщества, существуют. Ознакомиться с ними можно в разделе «Стандарты, рекомендации и концепции» Портала «Персональные данные»:- стандарты и рекомендации в области стандартизации Банка России — http://www.cbr.ru/credit/Gubzi_docs/;- концепция защиты персональных данных в информационных системах персональных данных оператора связи — http://minkomsvjaz.ru/3495/8317/8319/8322/;- методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости — http://www.minzdravsoc.ru/docs/mzsr/informatics/5, http://www.minzdravsoc.ru/docs/mzsr/informatics/4.
- Электронный текст документаподготовлен АО «Кодекс» и сверен по:
- файл-рассылка
Источник: http://docs.cntd.ru/document/420306083
Виды персональных данных
Предоставлять свои персональные данные и давать согласие обрабатывать их зачастую нужно в самых различных инстанциях – в банках, кредитных организациях, во время внесения информации в регистрационные формы на некоторых интернет-ресурсах.
Многие, не задумываясь, соглашаются указывать личные данные, не догадываясь при этом о последствиях, которые могут произойти при использовании этой информации недобросовестными лицами.
Поэтому важно знать, какие виды персональных данных существуют, кому и при каких обстоятельствах можно их предоставлять, чтобы не попасть в очень неприятную историю.
Законодательное регулирование
Персональные данные подпадают под действие многих государственных нормативов, основной из которых – Конституция РФ. Основополагающим законом в этой сфере считается ФЗ № 152, действующий с 27.01.06 г. В этом документе разъясняется термин «персональные данные», а также из чего состоит это понятие. Выполнение требований этого норматива – прямая обязанность юридических и частных лиц.
К персональным данным (ПД) относят сведения, характеризующие прямо или косвенно субъекта – физическое лицо. По таким данным можно наиболее точно установить личность конкретного гражданина.
Конституция РФ (ст. 23–24) гарантирует физлицам право на соблюдение тайны их частной жизни, создает все необходимые предпосылки для неприкосновенности и необходимой защиты. Владельцу ПД принадлежит все, из чего состоит это понятие, в связи с этим такая информация не должна контролироваться третьими лицами или правительственными органами.
Физлица самостоятельно распоряжаются своими данными и вольны решать – воспрепятствовать их распространению или предоставить по требованию. Государство предоставляет определенные гарантии и защиту для получения этой возможности. В з-не № 152-ФЗ указаны условия, правила и круг лиц, которые могут использовать ПД кроме их владельца.
Носитель ПД может разрешить операторам получать и осуществлять обработку его личной информации. Это позволит на законных основаниях выполнять определенные действия с ней.
Во время оформления заявлений на получение займа, при оформлении на работу, при проведении анкетирования физическое лицо самостоятельно предоставляет свое согласие, добровольно подписывая соглашение о разрешении проверять его личные данные.
Служебные лица могут воспользоваться доступом к определенному объему личной информации, необходимой для выполнения конкретных действий. У них нет права на хранение и применение ПД после достижения результата. В случае нарушения такого требования оператор отвечает за их намеренное разглашение.
В определенных случаях используется особое требование по работе с ПД, если они:
- необходимы для решения вопросов семейного или личного характера (в случае если распространение данных не приводит к ущемлению прав других лиц);
- находятся в архивной документации;
- принадлежат к данным, составляющим государственную тайну;
- должны быть предоставлены по судебному акту.
Разновидности ПД
В Федеральном з-не № 152 обозначены конкретные виды ПД. Они могут классифицироваться по степени секретности, сложности их сбора, возможности применения третьей стороной. Их подразделяют на следующие виды:
- общие;
- биометрические;
- специальные;
- обезличенные.
Общие
К общим относят персональную информацию, составляющую базовые данные о ее носителе:
- фамилию, имя, отчество;
- место регистрации и жительства;
- информацию из паспорта;
- сведения об имеющемся образовании;
- информацию о месте работы;
- сведения о получаемых доходах и др.
Взятые по отдельности данные общего характера не все могут быть отнесены к информации о человеке, которая может считаться персональной.
К примеру, в законе не содержится определенных трактовок относительно того, можно ли считать одной из составляющих ПД номер телефона физлица.
Как разъясняют в Роскомнадзоре, эти данные не являются информацией, позволяющей произвести точную идентификацию человека, номер не персонален. Но при совместном использовании с фамилией, именем, данными о прописке он составляет ПД.
Информация о человеке, являющаяся общей, указана в паспорте, ее вносят в военный билет, в документ об образовании, а также в личную карту сотрудника предприятия, трудовую книжку и др.
Чтобы использовать такие данные, не нужно брать у сотрудника письменное разрешение с целью их получить.
Достаточно того, чтобы человек косвенно, путем проставления галочки в соответствующем поле, подтвердил право на такие действия со стороны получателя этой информации в письменно составленной или онлайн-анкете.
Получить такие ПД очень просто, а это зачастую приводит к проблемам: начинают рассылать навязчивые рекламные предложения или, еще хуже, пытаются шантажировать, подделывать заявки на получение займа и др.
От неразглашения личные данные каждого физлица, содержащие в себе определенные разновидности секретных сведений (об усыновлении, наличии заболеваний и др.), защищаются ст. 137 УК РФ.
Биометрические
Есть персональные данные, которые характеризуют носителя по биологическому и физиологическому принципу. К ним относят:
- дактилоскопические;
- анализ ДНК;
- группу крови;
- рост, цвет глаз, вес и др.
К биометрическим персональным данным причисляют информацию, получаемую в результате видео- и фотозаписи с участием человека. Данные биометрии наиболее часто востребованы во время проведения лечения, при оформлении на работу в госструктуры, при изготовлении загранпаспорта и визовых документов.
Специальные
К специальным ПД отнесены национальная принадлежность и раса, а также вероисповедание, убеждения философского характера, информация о судимостях, состоянии здоровья, предпочтениях в сексуальной, интимной жизни.
Эти сведения можно найти в личных делах, медицинской документации и пр. Они необходимы во время проведения политических мероприятий, используются при вступлении в ряды вооруженных сил.
Чтобы третьи лица могли получить доступ и воспользоваться этими ПД, необходимо получить разрешение их владельца.
Обезличенные
К обезличенным данным относят ПД, имеющие общую доступность. Их можно найти в адресных книгах, справочной документации, в средствах массовой информации.
Информация, являющаяся общедоступной, может легко быть использована заинтересованными лицами.
Общедоступными являются данные о материальном положении политических деятелей, представителей власти, чиновников, занимающих руководящие посты.
Персональные данные – использование на предприятии
В главе 14 Трудового кодекса РФ раскрывается понятие ПД работника. Это данные, которые позволяют получить определенные характеристики человека в качестве сотрудника конкретной компании (стаж работы, профессиональная квалификация, заработная плата, данные по ФНС, ПФР и пр.).
Такие ПД должны храниться должным образом и применяться для того, чтобы помочь работнику выполнять его обязанности в соответствии с его должностью и профессией, продвигаться по служебной лестнице, повышать свою квалификацию и получать новые профессиональные знания. Также ПД используются с целью защиты сотрудников и имущества компании.
Личная информация сотрудника может содержать только те данные, которые относятся к его профессиональным качествам, особенностям, позволяющим ему выполнять трудовые обязанности. По Конституции Российской Федерации, личная жизнь считается неприкосновенной и конфиденциальной, ее частью являются ПД.
В Трудовом кодексе узко определено данное понятие. В нем говорится, что ПД работника являются сведениями, необходимыми руководству предприятий для выполнения им своих профессиональных обязанностей, эта информация относится к конкретному работнику.
Обработка ПД
Целью, которую преследует обработка и хранение ПД на предприятии, является необходимость правильно реализовать рабочую активность компании. Обработка ПД необходима для:
- фиксации факта приема сотрудника на работу;
- удостоверения оснований для продвижения по карьерной лестнице;
- подтверждения оснований для выплаты зарплаты;
- осуществления контроля выполнения производственных заданий и работ.
Работникам компании должна быть доступна информация о том, каким образом осуществляется хранение и обработка их личных данных, поэтому наниматель обязан ознакомить их с данной информацией. Подтверждением того, что сотрудники были уведомлены об этом, является личная подпись каждого из них.
Типы персональных данных на предприятии
На предприятии необходимо собрать два типа ПД:
- требуемых для заключения трудового договора;
- запрашиваемых и формируемых непосредственно работодателем.
ПД, которые хранятся на предприятии в личных делах по каждому работнику, обычно содержат данные:
- о семейном статусе и отдельных членах семьи (иждивенцы, дети, возрастные данные, количество, данные о состоянии здоровья и др.);
- копии документов по пенсионному государственному страхованию;
- о конкретном сотруднике (паспортные данные, профессия, квалификационные характеристики и др.).
Наниматель должен создать и утвердить внутренний нормативный акт, который описывает порядок хранения ПД в виде Положения о ПД или Инструкции. Данные нормативы должны быть доведены до сведения работников, которые ответственны за сбор и обработку персональной информации. Они должны неукоснительно соблюдать все требования, изложенные в таких документах.
При соблюдении всех формальностей на предприятии по сбору, хранению и использованию ПД они будут максимально защищенными.
Ответственность за разглашение
152-й закон, который призван защищать персональные данные физических лиц, предусматривает исключительно административный вид ответственности в случае разглашения ПД на предприятии.
Соответственно, если компания не способна предоставить своим наемным работникам полную защиту личных данных, работодатель может быть наказан только штрафом.
Данное наказание выражается незначительными суммами.
Штраф, который должен быть наложен на работодателя при выявлении нарушений такого характера, может составить в пределах 5–10 тысяч рублей. Но это касается единичного нарушения. Обычно при проверках выявляют значительное количество такого рода проблем, соответственно, и суммы штрафов при этом растут.
Но финансовые затраты – это не основное последствие неправильного использования и хранения ПД. Такие факты сказываются на репутационных показателях компании. Если сотрудники соглашаются на обработку персональной информации, они должны быть уверены, что предприятие гарантирует ее правильное хранение и использование.
Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/vidy-personalnyh-dannyh/
Получение и хранение информации: соблюдение прав субъекта персональных данных
24.01.2011
Бухгалтерский ДЗЕН
подписывайтесь на наш канал
Вряд ли кто сможет оспорить утверждение, что персональные данные хранятся в любой организации. В одних организациях это только информация о своих сотрудниках, в других — есть информация о клиентах, в третьих — сформированы целые информационные базы, в которых присутствует информация о физических лицах, полученная различными способами и в различных целях (например, в целях формирования базы потенциальных клиентов). Однако далеко не всегда при этом соблюдается законодательство о защите персональных данных. В каких случаях необходимо получать согласие от субъекта персональных данных, сколько времени можно хранить сведения персонального характера? В настоящей статье методисты фирмы «1С» отвечают на эти вопросы.
Содержание
В соответствии со статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.
Напомним, что согласно статье 3 указанного выше Федерального закона персональными данными (далее — ПДн) признается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его ФИО, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Рассмотрим два простых примера, иллюстрирующие обязательный и добровольный характер предоставления данных.
Специалист устраивается на работу. Работодатель требует представить ряд необходимых сведений (в том числе, паспортные данные, сведения о прописке, ИНН, номер страхового свидетельства в ПФР). Несомненно, что будущий сотрудник обязан предоставить такие сведения при оформлении трудового соглашения в целях соблюдения норм ТК РФ, а также требований налогового и пенсионного законодательства. Соответственно, в данном случае согласие на обработку персональных данных, получение которых необходимо в целях соблюдения действующего законодательства, не требуется. |
Специалист претендует на вакантное место в организации и заполняет анкету, предоставленную потенциальным работодателем. Обязан ли соискатель на должность предоставлять данные персонального характера? С одной стороны, ответ очевиден: ни один работодатель не возьмет на работу человека, не ознакомившись с его персональными данными. С другой стороны, действующее законодательство не содержит требований об обязательном предоставлении сведений кандидатом на работу. В ряде случаев может быть найден компромисс. Например, в предварительной анкете указываются фамилия, имя, отчество, возраст, город проживания и сведения, имеющие отношения к профессиональным навыкам. Такие сведения как место жительства, номер паспорта, дата рождения и т. п. не указываются. Если в анкете кандидата указываются данные, позволяющие идентифицировать человека, получать согласие от субъекта персональных данных будет необходимо. |
С учетом приведенных двух примеров можно говорить, что предоставление данных может быть обязательным и добровольным.
Обязательное предоставление данных может быть предусмотрено федеральными законами (например: Федеральным законом от 01.04.
1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования») в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (перечень приведен в пункте 2 статьи 9 Федерального закона «О персональных данных»).
В большинстве же случаев мы предоставляем персональные данные в добровольном порядке. При этом в ряде случаев получение согласия субъектов ПДн на обработку ПДн не требуется.
В соответствии с пунктом 2 статьи 6 Федерального закона № 152-ФЗ без получения согласия субъекта ПДн может осуществляться обработка персональных данных в следующих случаях:
- на основании федерального законодательства;
- в целях исполнения договора с субъектом персональных данных;
- в статистических или научных целях;
- для защиты жизни, здоровья субъекта персональных данных;
- для доставки почтовых отправлений организациями почтовой связи;
- в ходе профессиональной деятельности журналиста, ученого;
- в отношении ПДн, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПДн лиц, занимающих государственные должности, должности гражданской службы, ПДн кандидатов на выборные государственные должности.
- Вместе с тем применять приведенные выше исключения необходимо с «должной степенью осмотрительности», так как на оператора возлагается обязанность представить доказательство получения согласия субъекта персональных данных на обработку его данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными.
- Логично предположить, что наиболее часто персональные данные будут предоставляться в целях исполнения договора с субъектом персональных данных (например, при заключении договора бытового подряда).
- В соответствии с пунктом 4 статьи 9 Федерального закона № 152-ФЗ согласие субъекта ПДн на обработку своих персональных данных должно включать в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных; номер основного документа, удостоверяющего его личность; сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва;
- собственноручную подпись субъекта ПДн.
Несмотря на кажущуюся простоту, выполнить все требования, предусмотренные Федеральным законом, не так просто.
Наибольшую сложность вызывают указание информации в отношении 3-6 позиций. Проанализируем данные позиции.
Другим вопросом, имеющим отношение к документации оператора ПДн, является вопрос о сроках хранения персональных данных. В отношении персональных данных можно говорить о трех способах определения срока хранения информации, который может быть определен:
- нормативным правовым актом;
- достижением цели обработки данных;
- решением субъекта.
Наиболее простая ситуация имеет место, в случае если срок хранения установлен в согласии субъекта. В такой ситуации стоит лишь помнить, что субъект ПДн не может указать срок меньший, чем предусмотрен нормативным правовым актом, устанавливающим срок хранения информации.
Например: Перечнем типовых управленческих документов, образующихся в деятельности организаций с указанием сроков хранения, утвержденным руководителем Федеральной архивной службы России 15.08.
1988, установлены следующие сроки хранения документов в части расчетов с работниками организации:
- лицевые счета (форма Т-2) — 75 лет;
- расчетные (расчетно-платежные) ведомости — 5 лет;
- книги учета депонированной заработной платы, журналы регистрации исполнительных листов — 5 лет;
- исполнительные листы — до минования надобности; справки, представляемые в бухгалтерию на оплату учебных отпусков, получения льгот по налогам и другие — до минования надобности;
- договоры, соглашения (хозяйственные, операционные, трудовые и другие) — 5 лет.
В зависимости от сферы деятельности необходимо анализировать нормативные правовые акты, определяющие сроки хранения документов, содержащих персональные данные.
Источник: https://buh.ru/articles/documents/14684/
Определение понятия персональных данных в Российской Федерации
В последнее время, в связи с бурным развитием автоматизированных систем сбора, хранения и обработки данных, позволяющих за незначительный отрезок времени передавать большое количество данных не только внутри страны, но и за её пределы, стал актуальным вопрос о защите конституционного права на неприкосновенность частной жизни, личную и семейную тайну при использовании персональных данных.
Действительно, благодаря такому стремительному развитию обмен информацией в мире стал более быстрым и легким. Однако наряду с имеющимися преимуществами есть и недостатки.
В частности, одним из таких недостатков является: формирование принципиально новых факторов, носящих угрозы для права граждан на невмешательства в частную жизнь.
Так, к числу таких факторов можно отнести, например, появление баз и банков данных.
Для того чтобы понять, где та самая грань невмешательства необходимо правильно понимать содержание понятия «персональные данные», уметь определять какие сведения о человеке подпадают под данную категорию, а какие нет.
Понятие персональных данных в Российской Федерации
История вопроса об использовании и защите персональных данных в нашей стране началась лишь в начале 2000-ых годов, а именно, 7 ноября 2001 года, когда Россия подписала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. ETS № 108.
Тем самым, наше государство возложило на себя обязательства по приведению в соответствии с нормами европейского законодательства деятельности в области защиты прав субъектов персональных данных.
Можно сказать, что именно с этого времени в России началось бурное и стремительное формирование качественной нормативно-законодательной базы в данной сфере деятельности. Однако это вовсе не означает, что до 2000-ых годов в нашей стране не предпринимались никакие попытки урегулирования данной сферы.
Так, в частности, если говорить об определении персональных данных, то его можно было встретить во многих актах и до подписания и ратификации Конвенции.
Например, Федеральным законом от 20 февраля 1995 года № 24-ФЗ «Об информации, информатизации и защите информации» (далее Закон № 24) впервые на законодательном уровне было закреплено понятие «персональные данные».
Согласно статье 2 упомянутого закона к персональным данным относились «сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность» [1].
Однако исследуя данное определение, можно с уверенностью сказать, что оно часто подвергалось критике в научной литературе, поскольку к персональным данным могли относиться только те сведения, которые собирались в целях идентификации ранее неизвестного лица, в то время как информация может собираться и об уже известном лице [2, с. 77–86].
Кроме Закона № 24 вышеупомянутое спорное понятие также было использовано при определении персональных данных гражданского служащего в Указе Президента Российской Федерации от 30 мая 2005 г.
№ 609 «Об утверждении положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела», где под персональными данными гражданского служащего понимаются «сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле либо подлежащие включению в личное дело» [3].
Также следует отметить, что исследуемое понятие встречалось и до сих пор встречается в действующем на сегодняшний день «Перечне сведений конфиденциального характера», утвержденном Указом Президента РФ от 6 марта 1997 № 188 (ред. от 13.07.
2015), в котором установлено, что к сведениям конфиденциального характера, в частности, относятся «сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях». Необходимо обратить внимание, что согласно данному Перечню персональные данные отнесены к информации, имеющей конфиденциальный характер. Однако и это определение, точно так же, как и определение, содержащееся в Законе № 24, не является бесспорным.
Таким образом, приведя вышеуказанные примеры, преследовала своей целью разрушить сложившийся у многих в обществе стереотип по поводу того, что Россия до 2000-ых годов никак не регулировала деятельность в области защиты прав субъектов персональных данных.
Более верный и разумный подход избрали авторы принятого 27 июля 2006 года Федерального закона № 152-ФЗ «О персональных данных» (далее Закон № 152), где в статье 3 постарались дополнить и конкретизировать понятие персональных данных по сравнению с ранее существующими.
Если говорить обобщенно об этом законе, а не только об исследуемой дефиниции, можно сказать, что его принятие относится к первой попытке установления комплексного правового регулирования защиты персональных данных.
Причиной его принятия, в частности, послужили имевшиеся на тот момент многочисленные факты краж баз персональных данных в государственных и коммерческих структурах, их повсеместная продажа [4].
Можно сделать вывод, что Закон № 152 был принят для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Его основой стали: базовые принципы и условия обработки персональных данных; указание на права субъекта персональных данных, а также на обязанности оператора; механизмы контроля и надзора за обработкой персональных данных; определение ответственности за нарушение требований данного закона.
Итак, возвращаясь к исследуемой дефиниции, возникает вопрос: что получилось у авторов принятого закона? У них получилось следующее определение: «персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой данных физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация» [5]. Как видно, данное определение стало наиболее конкретизированным. Представляется, что с помощью него должны были решиться многие проблемы, встречающие в правоприменительной практике, однако, наоборот, оно в некотором роде только усугубило сложившуюся ситуацию: так, у судов наибольшую проблему стало вызывать содержание формулировки «другая информация», указываемая после перечисления конкретных данных о человеке.
Сразу хотела отметить, что несмотря на то, что на данный момент законодательное определение персональных данных претерпело некоторые изменения, а именно, в июле 2011 года были внесены поправки к Закону № 152, где, в частности, также был изменен понятийный аппарат (изменение коснулось исследуемой категории), суды при разрешении дел достаточно часто раскрывают понятие персональных данных именно через положения старой редакции закона.
Что касается новой редакции закона, то в ней понятие «персональные данные» было приведено в соответствие с понятийным аппаратом, закрепленным Конвенцией ETS № 108, и включает в себя «любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
Таким образом, видно, что законодатель существенно сократил легальное определение по словесной нагрузке (в нем стало намного меньше слов), однако по смысловой нагрузке оно стало более общим. Таким образом, теперь практически любую информацию о человеке можно определить как персональные данные.
Также «кануло в лету» не менее спорная часть понятия «позволяет идентифицировать», что, на мой взгляд, ставит перед правоприменителями проблему следующего характера: отнесение к персональным данным тех или иных сведений, которые, по сути, не всегда позволяют идентифицировать конкретного человека, например, совпадение ФИО у нескольких лиц.
Представляется, что подобной поправкой Закона № 152 законодатель пытался устранить возможные ограничения в толковании понятия персональных данных. Однако, на мой взгляд, эта попытка была безуспешна.
Проблемы толкования определения персональных данных вРоссийской Федерации
Для выявления проблем, встречающихся при толковании понятия «персональные данные», было проанализировано 20 решений судов общей юрисдикции, включая решения судебных коллегий по гражданским делам, а также решения мировых судей по делам об административной ответственности.
12 решений были вынесены в городе Санкт-Петербург и Ленинградской области, 8 решений были вынесены преимущественно в городе Москва, а также в других регионах нашей страны.
Решения подобраны с учетом возможной разнообразности в понимании судами понятия «персональные данные» за период 2012–2015 годов.
Итак, что же получилось? К сожалению, не было выявлено ни одного судебного решения, в котором бы у суда или сторон возникал вопрос о том, является ли некоторая информация персональными данными или нет. Суды достаточно уверенно относят всё, что прямо или косвенно относится к определенному или определяемому физическому лицу, к персональным данным.
Например: содержание кадастрового паспорта (Апелляционное определение от 28 апреля 2014 г. по делу № 33–3718); адрес индивидуального предпринимателя (Апелляционное определение от 24 апреля 2014 г. по делу № 33–4427/2014); информацию об имуществе лица (Апелляционное определение от 27 декабря 2013 г.
по делу № 33–5805/2013); информацию о пересечении государственной границы гражданином (Апелляционное определение от 10 апреля 2014 г. по делу № 33–11688); условия трудового договора работника (Апелляционное определение от 23 октября 2013 г. по делу № 33–4172/2013); идентификационный номер налогоплательщика (Решение от 13 августа 2014 г.
№ 2–3097/2014); реквизиты банковской карты лица (Решение от 11 марта 2014 г. по делу № 2–592/2014) и т. п. Нельзя сделать вывод, говорящий о том, что суды уверенно и обоснованно толкуют легальное определение персональных данных, так как каждый суд использует свои способы толкования.
При этом нынешнее толкование судами понятия персональных данных в большинстве своём представляет не что иное как цитирование устаревшей редакции Закона № 152. Это можно проследить в следующих судебных решениях: Кассационное определение от 1 августа 2011 г. по делу № 33–7668; Определение от 9 декабря 2014 г. № 3–1241/2014.
Исходя из этого, представляется логичным вывод о том, что осуществлённое законодателем изменение (внесение в текст закона поправок) практически не повлияло на практику судов в части толкования понятия персональных данных, так как фактически бывшая легальная часть определения теперь стала частью толкования.
Неудачность нынешнего легального понятия состоит также в том, что оно настолько широко, что может включать в себя как данные, являющиеся информацией ограниченного доступа о субъекте, так и данные, по сути, не являющиеся персональными данными ввиду каких-либо особенностей.
Такое широкое толкование, часто используемое судами, далеко не всегда свидетельствует о повышении уровня защиты прав субъекта персональных данных, поскольку формальное обращение к защите таких сведений способно привести к существенному нарушению прав, гарантированных другими законодательными актами, зачастую более важными, нежели право на защиту персональных данных.
Всё же, не смотря на достаточно смелое отнесение судами той или иной информации к персональным данным, у судов существуют некоторые критерии, по которым можно распознать персональные данные.
Самым важным и часто встречающимся критерием является возможность идентификации по соответствующим данным конкретного лица.
Не могу согласиться с тем, что данный критерий всегда работает и позволяет судам делать логичные выводы, потому что зачастую данные выводят на совокупность людей, а не конкретное лицо, в этом случае иногда суд не признает это персональными данными.
В конкретных же случаях это оказывается достаточно нелогично, так как не учитываются некоторые субъективные критерии, по которым даже не полно опубликованные данные позволяют большому количеству людей идентифицировать конкретное лицо.
Намного проще ситуация обстоит с теми делами, в которых истцы запрашивают некие данные, касающиеся интересующего их лица. Примером может служить Апелляционное определение от 22 мая 2014 г. по делу № 33–14709. Гражданин подал заявление мировому судье в порядке частного обвинения, в связи, с чем запросил в отделе МВД РФ по району Соколиная гора по г.
Москве паспортные данные граждан, в отношении которых подал исковое заявление. В данном случае необходимое лицо уже идентифицировано и требуется лишь заполучить нужную информацию.
Практика по таким случаям достаточно однозначна — запрашивающим отказывают в предоставлении данных на основании того, что они являются персональными и защищены Федеральным законом № 152-ФЗ «О персональных данных». Указанное ранее Апелляционное определение не стало исключением. В нем также последовал отказ.
В таких ситуациях информация может быть предоставлена только с согласия лица, чьи персональные данные подлежат разглашению. Исключением являются случаи, когда соответствующие данные уже находятся в свободном доступе или принадлежат должностному лицу и связаны с его деятельностью по осуществлению своих полномочий.
В итоге хочу подчеркнуть, что сама практика обращения судов к понятию персональных данных достаточно велика, а значит, мой анализ судебных решений на выявление проблем толкования понятия является достаточно узкой выборкой.
Несомненно, для более уверенных выводов необходимо исследование сотен решений различных судов, тогда полученные результаты будут носить достаточно уверенный и непротиворечивый характер.
И всё же, полагаю, что с большой уверенностью можно заявить об одном важном моменте, встречающемся в большинстве решений — это прямое заимствование судами в своих решениях определения персональных данных из старой редакции Федерального закона № 152 «О персональных данных» без указания каких-либо ссылок.
То есть, в этом случае мы видим достаточно неудачное введение изменений законодателем в столь важное понятие.
Преследовалась цель — лишить суды возможности ограниченно толковать понятие персональных данных, а в результате получили настолько более широкое понятие, что судами во многом весьма целесообразно сужается данное понятие.
Персональные данные очень важно разграничивать с другой информацией, поэтому определяющее их понятие должно быть чётким настолько, чтобы не вызывало проблем определить и назвать его границы с другими данным, как ограниченными в распространении, так и свободными и общедоступными данными.
Литература:
- Собрание законодательства Российской Федерации. 1995. № 8. Ст.609.
- Калятин В. О. Персональные данные в Интернете // Журнал российского права. 2002. № 5. С. 77–86.
- Собрание законодательства Российской Федерации. 2005. № 23. Ст. 2242.
- Богатыренко З. С. Новейшие тенденции защиты персональных данных работника в российском трудовом праве // Трудовое право. — М.: Интел-Синтез, 2006, № 10.
- Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» // Собрание законодательства Российской Федерации. 2006. № 31 (ч.1). Ст. 3451.
Основные термины (генерируются автоматически): данные, суд, ETS, информация, дело, Россия, частная жизнь, конфиденциальный характер, Российская Федерация, сведение.
Источник: https://moluch.ru/archive/144/40424/