Персональные данные работников

Понятие и виды персональных данных

Подтвердить разрешение на обработку персональных данных сейчас просят при заключении договоров, заполнении анкет, регистрации на сайтах. Большинство граждан соглашаются автоматически, хотя личная информация о человеке в руках недобросовестных лиц — мощное и опасное оружие. Статья рассказывает о том, что нужно знать о персональных данных, открывая доступ к ним 3-м лицам.

Персональные данные: что это, нормативная база

Государство регулирует сферу персональных данных посредством целого ряда нормативных актов. Основу составляет Конституция РФ, базис — ФЗ № 152 от 27.01.2006 г. Закон разъясняет, что такое персональные данные, что к ним относится. Этот термин означает сведения, напрямую или косвенно характеризующие субъекта ПД — физическое лицо. Говоря простым языком, по ним можно точно определить, что речь идет о конкретном человеке.

Косвенное упоминание о персональных данных есть в российской Конституции. Статьи 23–24 основного закона дают гражданам право на тайну частной жизни, ее неприкосновенность и защиту. Все, что входит в понятие персональные данные, принадлежит только их носителю и не может контролироваться правительством или 3-ми лицами. Граждане сами вольны распоряжаться этой информацией, препятствовать распространению или, наоборот, передавать ее другим. Государство, со своей стороны, гарантирует и защищает эту возможность.

ФЗ № 152 определяет, кто вправе использовать персональные данные кроме их носителя, на каких условиях, по каким правилам. Получать и обрабатывать личную информацию о субъекте могут только операторы с его разрешения. Гражданин подписывает согласие на проверку ПД при оформлении заявок на кредит, заполнении анкет или поступлении на работу.

Операторы получают доступ к тому объему данных, который требуется для решения их задач. Они не имеют права хранить и использовать их после того, как цель достигнута. Например, наниматель должен уничтожить записи, анкеты — все, что относится к персональным данным работника, после его увольнения. В ином случае, грозит ответственность за разглашение персональных данных работника

Нормам ФЗ № 152 должны следовать все юридические и частные лица. Особые правила применяются, когда ПД:

  1. получают для личных или семейных нужд, если это не ущемляет права 3-х лиц;
  2. содержатся в архивных документах;
  3. составляют гостайну;
  4. собираются по судебному акту.

Другие законодательные акты уточняют положения о ПД применительно к разным ситуациям, вводят систему и классификацию средств защиты. Например, гл.14 ТК РФ раскрывает понятие персональных данных работника. Это сведения, позволяющие охарактеризовать его как сотрудника определенной организации (размер зарплаты, стаж, квалификация, информация из ФНС и ПФР и др.), его деловые качества. Они должны использоваться и храниться для помощи работнику в выполнении его трудовых обязанностей, повышении опыта и знаний, продвижении по службе, для защиты персонала и имущества компании.

Классификация персональных данных

ФЗ № 152 выделяет несколько видов персональных данных. Можно расположить их по степени «секретности», сложности в сборе и использовании 3-ми лицами:

  • обезличенные;
  • общие;
  • биометрические;
  • специальные.

Общие персональные данные

Общие персональные данные — это основная информация о человеке. К ним относят:

Обработка персональных данных в организации Цель обработки ПД в организации — оформление трудовых отношений с работником. Без подписанного согласия на обработку ПД работодатель не имеет права заключать трудовой договор. Подробнее читайте в этой статье

  • ФИО;
  • место прописки и проживания;
  • паспортные данные;
  • образование;
  • ИНН;
  • контактные данные;
  • сведения о работе;
  • размер доходов и т. д.

Не все из них по отдельности можно отнести к ПД. Например, закон точно не определяет, является ли номер телефона персональными данными. Роскомнадзор в ответе на обращения граждан пояснил, что только по номеру невозможно точно идентифицировать человека. Сам по себе он не персонален, а в связке с ФИО владельца и городом проживания относится к ПД. Поэтому неперсонифицированная рассылка смс-сообщений не считается нарушением ФЗ № 152.

Общие ПД содержатся в паспорте, военном билете, дипломе, личной карточке сотрудника, трудовой книжке и т. д. Письменное разрешение не обязательно для получения этих данных, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты. Относительная простота доступа часто приносит проблемы субъектам ПД — обычным гражданам: от навязчивой рекламы до шантажа и подделок кредитных заявок.

Личная жизнь гражданина, которая включает в себя также различные виды тайн (врачебная, налоговая, тайна усыновления и другие) защищена от разглашения статьей 137 УК РФ. Подробнее можно прочитать в этой статье.

Биометрические ПД

Биометрические данные — это физиологические и биологические характеристики субъекта: дактилоскопические изображения, группа крови, рост, цвет глаз, вес, анализ ДНК и т. д. Сюда относится и информация, которую можно получить по фото- или видеозаписи с человеком. Биометрические ПД часто необходимы при лечении или устройстве на работу в госорганы, оформлении заграничных паспортов и виз.

Специальные ПД

Раса и национальность, вероисповедание, философские убеждения, состояние здоровья, наличие судимостей, интимная жизнь, сексуальные предпочтения относятся к специальным данным. Они содержатся в медицинских справках, личных делах и т. д.

Специальные ПД требуются для участия в политической деятельности, вступления в вооруженные силы. Получить доступ к этим данным 3-и лица могут только с разрешения субъекта.

Зачем нужен закон о персональных данных? Ответ смотрите в видеосюжете:

Обезличенные ПД

Обезличенные ПД доступны для любого заинтересованного лица. Источниками информации могут быть:

  • адресные книжки;
  • справочники;
  • реестры;
  • СМИ.

Общедоступная информация, которая считается персональными данными, — это, например, доходы политических деятелей, представителей федеральной или муниципальной власти, чиновников на руководящих должностях.

В ноябре 2016 г. состоялось первое собрание рабочей группы администрации Президента РФ по проблеме использования положений ФЗ № 152 к так называемым Big Data. Это данные, которые от пользователя поступают в сеть: IP-адрес, формы авторизации, история браузера, сведения, которые накапливают о владельце гаджеты и умные бытовые приборы.

Big Data, с одной стороны, прямо или косвенно указывают на человека, то есть попадают под определение ПД. Законодатели в то же время не рассматривают интернет-данные как собственность индивида, так как он не может их контролировать.

СНИЛС — общедоступные ПДн?

Статья об обработке персональных данных удостоверяющими центрами.
Начнем с утверждений:
«персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).»
Статья 3. ФЗ от 27.07.2006 г. № 152-ФЗ «О персональных данных»СНИЛС — страховой номер индивидуального лицевого счета.
«На территории Российской Федерации на каждое застрахованное лицо Пенсионный фонд Российской Федерации открывает индивидуальный лицевой счет с постоянным страховым номером …»
Статья 6. ФЗ от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»Исходя из этих утверждений, СНИЛС является персональными данными и подлежит защите.
В том же 27-ФЗ предъявляются требования к Пенсионному фонду и страхователям обеспечить защиту сведений, входящих в индивидуальный лицевой счет застрахованного лица в соответствии с законодательством о ПДн (Статьи 6 и 17).
Несмотря на вышеописанное, аккредитованные удостоверяющие центры требуют указывать СНИЛС заявителя при подготовке квалифицированной электронной подписи. Причем, СНИЛС используется не только для нужд удостоверяющего центра, он является частью открытого ключа, а значит, доступен широкому кругу лиц.
name=’more’>

Пример:

Удостоверяющий центр Информационного аналитического центра Санкт-Петербурга ( http://ca.iac.spb.ru ).

  1. Заходим в раздел Реестр сертификатов пользователей.
  2. Скачиваем сертификат интересующего нас пользователя.
    Стоит отметить что наличие капчи не позволяет автоматизированно выгрузить все сертификаты, но и считать это ограничением доступа к ПДн нельзя.
  3. 3. В сертификате во вкладке Состав находим поле Субъект:
  4. Вот они, ПДн.

Не берусь судить о возможности нанесения практического ущерба субъекту ПДн из за разглашения его СНИЛС, но факт нарушения 152-ФЗ удостоверяющими центрами на лицо.

А почему так? — а по законодательству.

«Квалифицированный сертификат должен содержать следующую информацию:

страховой номер индивидуального лицевого счета владельца квалифицированного сертификата — для физического лица либо идентификационный номер налогоплательщика владельца квалифицированного сертификата — для юридического лица;»

Статья 17 ФЗ от 06.04.2011 № 63-ФЗ «Об электронной подписи»Те же требования продублированы в нормативных документах ФСБ, регламентирующих деятельность, в том числе, удостоверяющих центров:
«6. В соответствии со статьями 14 и 17 Федерального закона квалифицированный
сертификат должен содержать следующую информацию:

— страховой номер индивидуального лицевого счета (далее — СНИЛС) владельца квалифицированного сертификата — для физического лица;»
Приказ ФСБ от 27.12.2011 № 795 «Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи»Вот и получается, что законодательство делает общедоступными ПДн СНИЛС всех граждан, кто хоть раз получал квалифицированную электронную подпись.
В качестве завершения статьи вопрос, риторический
— если удостоверяющие центры вполне легально публикуют ПДн субъектов ПДн (в частности СНИЛС), надо ли другим операторам ПДн у себя продолжать обеспечивать защиту этих ПДн?

Кто и какую ответственность несет за нарушение законодательства о персональных данных

ООО «РИЦ КонсультантПлюс Пермь» » Правовая поддержка » Новости законодательства » Кто и какую ответственность несет за нарушение законодательства о персональных данных

Если вы обрабатываете персональные данные граждан (клиентов, сотрудников), то за нарушения по работе с этими данными вас могут привлечь прежде всего к административной ответственности. Например, административный штраф может быть назначен за сбор персональных данных в ненадлежащих целях.

Гражданско-правовая ответственность наступит, если вы причинили убытки или моральный вред гражданину. Своих сотрудников, допустивших нарушение, вы можете привлечь к дисциплинарной и материальной ответственности. Как работодатель вы отвечаете за нарушение правил работы с персональными данными работников.

Если действия физлица содержат признаки преступления, то его могут привлечь к уголовной ответственности.

1. Какая административная ответственность грозит за нарушение законодательства о персональных данных

2. В чем состоит гражданско-правовая ответственность

3. Какую ответственность несут работник и работодатель за нарушения законодательства о персональных данных

4. В каких случаях нарушение законодательства о защите персональных данных может повлечь уголовную ответственность

1. Какая административная ответственность грозит за нарушение законодательства о персональных данных

Административная ответственность установлена:

  • за нарушение правил обработки персональных данных;
  • неисполнение обязанностей при взаимодействии с гражданином — субъектом персональных данных;
  • невыполнение требований по защите персональных данных;
  • неисполнение обязанностей при взаимодействии с Роскомнадзором.

Если в ходе проверки будет выявлено несколько нарушений, к ответственности вас привлекут за каждое из них. Также обратите внимание, что к ответственности за нарушение могут одновременно привлечь и организацию, и виновное физическое лицо (ч. 3 ст. 2.1 КоАП РФ).

Основной вид административного наказания за нарушение законодательства о персональных данных — штраф, размер которого зависит от конкретного нарушения. Максимально возможный — 75 000 руб. Он предусмотрен для организации за обработку персональных данных без письменного согласия гражданина, когда такое согласие требуется, или за отсутствие в нем всех необходимых сведений (ч. 2 ст. 13.11 КоАП РФ).

Далее рассмотрим подробнее группы нарушений и размеры штрафов за них.

Когда вместо административного штрафа возможно предупреждение

Это возможно, если такая санкция предусмотрена за ваше нарушение, вы совершили его впервые и при этом соблюдены условия, перечисленные в ч. 2 ст. 3.4 КоАП РФ. Если вы субъект малого и среднего предпринимательства, штраф вам и вашим работникам могут заменить на предупреждение, даже если норма этого не предусматривает (ч. 3 ст. 3.4 КоАП РФ).

1.1. Административная ответственность за нарушение правил обработки персональных данных

К административной ответственности за нарушение правил обработки вашу организацию и ее должностных лиц могут привлечь, если вы будете обрабатывать персональные данные:

1) в не предусмотренных законом случаях (ч. 1 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц — 10 000 руб., для организации — 50 000 руб.

Перечень случаев, в которых допускается обработка персональных данных, установлен в ч. 1 ст. 6 Закона о персональных данных. К их числу относится и обработка с согласия физлица, но обратите внимание, что под него состав отдельный — по ч. 2 ст. 13.11 КоАП РФ;

См. также: Что считается обработкой персональных данных

2) в целях, несовместимых с целями сбора (ч. 1 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц — 10 000 руб., для организации — 50 000 руб.

Учтите, что у вас должны быть заранее определены законные и конкретные цели обработки персональных данных и все ваши действия с персональными данными должны им соответствовать (ч. 2, 5 ст. 5 Закона о персональных данных);

См. также: Что такое целевая обработка персональных данных и как ее обеспечить

3) без согласия, когда оно требуется, или с согласия, но с неполными сведениями (ч. 2 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц — 20 000 руб., для организации — 75 000 руб.

Обратите внимание, что согласие требуется далеко не всегда, есть большой перечень случаев, когда в нем нет необходимости.

См. также: Случаи, когда согласие не нужно и когда оно требуется

1.2. Административная ответственность за неисполнение оператором обязанностей при взаимодействии с гражданином

Вас могут привлечь к ответственности, если вы:

1) в определенный срок не представите гражданину запрошенную им информацию (ч. 4 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц — 6 000 руб., для организации — 40 000 руб., для ИП — 15 000 руб.

Вас могут привлечь к ответственности, если вы, например, не подтвердите, что вы обрабатываете персональные данные, в течение 30 дней с получения соответствующего запроса гражданина (ч. 7 ст. 14, ч. 1 ст. 20 Закона о персональных данных);

2) не выполните требование об уточнении, блокировании или уничтожении его персональных данных, если они неполные, неточные, устарели, были незаконно получены или не являются необходимыми для целей обработки (ч. 5 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц — 10 000 руб., для организации — 45 000 руб., для ИП — 20 000 руб.

В частности, к ответственности вас могут привлечь, если вы не уточните персональные данные в течение семи рабочих дней со дня представления субъектом актуальных сведений (ч. 2 ст. 21 Закона о персональных данных).

1.3. Административная ответственность за невыполнение требований по защите персональных данных

К такой ответственности вас могут привлечь, если вы:

1) не опубликуете необходимые документы о вашей политике в отношении обработки персональных данных и о том, какие требования по их защите вы реализуете, или не обеспечите иным образом неограниченный доступ к ним (ч. 3 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц — 6 000 руб., для организации — 30 000 руб., для ИП — 10 000 руб.;

См. также: Какой комплект документов необходим для защиты персональных данных

2) не обеспечите сохранность данных при их неавтоматизированной обработке, если это повлечет неправомерный или случайный доступ к ним, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия (ч. 6 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц — 10 000 руб., для организации — 50 000 руб., для ИП — 20 000 руб.

См. также: Какие действия нужно совершить, чтобы обеспечить защиту персональных данных физлиц при их обработке

1.4. Административная ответственность за неисполнение оператором обязанностей при взаимодействии с Роскомнадзором

К административной ответственности при взаимодействии с Роскомнадзором — уполномоченным органом по защите прав субъектов персональных данных вас могут привлечь, если вы, в частности:

  • не представите информацию, запрошенную им в порядке ч. 3 ст. 23 Закона о персональных данных (ст. 19.7 КоАП РФ);
  • не выполните в срок законное предписание Роскомнадзора об устранении нарушений (ч. 1 ст. 19.5 КоАП РФ);
  • будете препятствовать проведению проверки либо уклоняться от нее (ч. 1 ст. 19.4.1 КоАП РФ);
  • не выполните требование Роскомнадзора об уточнении, блокировании или уничтожении персональных данных, если они неполные, неточные, устарели, были незаконно получены или не являются необходимыми для целей обработки (ч. 5 ст. 13.11 КоАП РФ).

2. В чем состоит гражданско-правовая ответственность

Нарушение законодательства в области персональных данных может повлечь гражданско-правовую ответственность в форме компенсации морального вреда, возмещения убытков, взыскания неустойки, если она была предусмотрена вашим договором.

Обратите внимание, что моральный вред вы обязаны возместить вне зависимости от того, возмещали ли вы имущественный вред физлицу и понесенные им убытки (ч. 2 ст. 24 Закона о персональных данных).

Ваша ответственность может наступить, если вы нарушаете:

  • права субъекта, установленные Законом о персональных данных;
  • правила обработки персональных данных;
  • требования к их защите.

См. также:

  • В каком порядке должна осуществляться обработка персональных данных физлиц
  • Какие меры по защите персональных данных физлиц должны приниматься при обработке этих данных

Компенсировать моральный вред вы будете в денежной форме, размер компенсации определит суд с учетом степени вашей вины и степени страданий гражданина (ст. ст. 151, 1101 ГК РФ).

Убытки суд взыщет, если будут доказаны наступление вреда, противоправность вашего поведения и ваша вина, а также причинно-следственная связь между ними (см. Позицию КС РФ, ВС РФ, ВАС РФ). Учтите, что вина презюмируется и ее отсутствие придется доказывать вам (п. 2 ст. 1064 ГК РФ).

Обратите внимание, что возмещать вред будет организация, а не должностные лица, поскольку вред, причиненный работником, должен возмещать работодатель (п. 1 ст. 1068 ГК РФ).

3. Какую ответственность несут работник и работодатель за нарушения законодательства о персональных данных

Работодатель в этом случае может понести материальную ответственность перед своими сотрудниками.

Работника можно привлечь как к дисциплинарной, так и к материальной ответственности, если по его вине при обработке персональных данных произошло нарушение законодательства в области персональных данных.

Далее расскажем об этом подробнее.

3.1. Какую ответственность несет работодатель перед своими работниками

Вы несете материальную ответственность перед своими работниками, если, нарушив по своей вине законодательство в области персональных данных, причините им материальный ущерб и (или) моральный вред (ст. 90, ч. 1 ст. 232, ч. 1 ст. 233 ТК РФ).

Например, такое возможно, если вы не обеспечили защиту персональных данных работника (не организовали особый режим доступа, хранение в особых местах и так далее), из-за чего они стали доступны посторонним лицам.

В таком случае вы обязаны возместить работнику ущерб в полном объеме, а моральный вред — в той сумме, о которой договоритесь с работником или которую определит суд (ч. 1 ст. 235, ст. 237 ТК РФ).

Дисциплинарная ответственность для работодателя законодательством не предусмотрена.

3.2. К какой ответственности работодатель может привлечь работника

Вы можете привлечь работника к дисциплинарной и материальной ответственности, если он по своей вине нарушил нормы, регулирующие обработку и защиту персональных данных других работников. Но потребуется соблюсти определенные условия (ч. 1 ст. 22, ст. 90 ТК РФ).

3.2.1. Дисциплинарная ответственность работника

Работника можно привлечь к дисциплинарной ответственности, если он виноват в неисполнении (ненадлежащем исполнении) своих трудовых обязанностей по обработке персональных данных (ч. 1 ст. 192 ТК РФ). Например, такое возможно, если работник отдела кадров разгласит персональные данные других лиц, которые стали ему известны в связи с исполнением своих трудовых обязанностей и которые он обязался не разглашать.

Такие действия могут быть признаны однократным грубым нарушением работником трудовых обязанностей. И в этом случае вы вправе применить к нему дисциплинарное взыскание вплоть до увольнения по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ.

Учтите только, что нельзя уволить по этому основанию беременную женщину, работника, который находится в отпуске или на больничном, а также несовершеннолетнего, если нет на это согласия трудинспекции и комиссии по делам несовершеннолетних и защите их прав (пп. «в» п. 6 ч. 1, ч. 6 ст. 81, ч. 1 ст. 261, ст. 269 ТК РФ).

Чтобы привлечь работника к дисциплинарной ответственности, в том числе в виде увольнения, вам потребуется соблюсти специальный порядок, в частности: затребовать у него письменное объяснение, составить акт, если работник не представит его по истечении двух рабочих дней, оформить приказ о наложении дисциплинарного взыскания и ознакомить с ним работника (ч. 1, 2 ст. 192, ч. 1, 6 ст. 193 ТК РФ).

См. также:

  • Что делать, если работник допустил грубое нарушение трудовых обязанностей
  • Как привлечь к ответственности за невыполнение работником должностных обязанностей

3.2.2. Материальная ответственность работника

Вы можете привлечь работника, ответственного за обработку персональных данных, в том числе за их неразглашение, если он нарушил свои обязанности и причинил вам тем самым ущерб (ст. 90, ч. 1 ст. 238 ТК РФ). То есть если вам пришлось возмещать материальный ущерб и (или) моральный вред пострадавшим по его вине работникам или третьим лицам.

Взыскать можно только прямой действительный ущерб, в том числе сумму ущерба и (или) морального вреда, выплаченную вами пострадавшим по его вине работникам или третьим лицам (ст. 90, ч. 1 ст. 238 ТК РФ).

Но сначала обязательно проведите проверку для определения размера ущерба и причин его возникновения, истребуйте от работника письменное объяснение, а также учтите другие обязательные требования, предусмотренные ст. ст. 246, 247, 248 ТК РФ.

См. также: Как провести служебное расследование в случае причинения работником ущерба

4. В каких случаях нарушение законодательства о защите персональных данных может повлечь уголовную ответственность

Специальной нормы об ответственности за нарушение Закона о персональных данных в Уголовном кодексе РФ нет. Однако действия лица, нарушившего правила работы с персональными данными, могут образовать состав преступления из числа предусмотренных Уголовным кодексомРФ.

В частности, уголовная ответственность установлена:

  • за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия (ч. 1 ст. 137 УК РФ);
  • неправомерный доступ к компьютерной информации, в результате которого произошло уничтожение, блокирование, модификация (изменение) или копирование информации (ч. 1 ст. 272 УК РФ);
  • неправомерный отказ должностного лица в представлении гражданину документов и материалов, собранных в установленном порядке и непосредственно затрагивающих его права и свободы гражданина (ст. 140 УК РФ).

Учтите, что к уголовной ответственности могут привлечь только физическое лицо (ст. 19 УК РФ). Однако привлечение виновного физического лица к уголовной ответственности не освобождает от административной ответственности организацию (ч. 3 ст. 2.1 КоАП РФ).

Персональные данные: в чём суть закона?

Мы все в самых разных ситуациях вынуждены делиться сведениями о себе, а практически в каждой компании вынуждены их обрабатывать.

Порядок использования данных о физических лицах определён в федеральном законе № 152 «О персональных данных». Он был принят в июле 2016 года. С тех пор в этот закон было внесено немало поправок и дополнений.

Ознакомиться с его текстом можно в «Российской газете», месте официальной публикации правовых актов. И конечно, он имеется во всех популярных правовых информационных системах.

Многие из наших клиентов, разместивших свои информационные системы в облаке 1cloud, так или иначе обрабатывают чьи-то личные данные: клиентов, работников или кого-то ещё. Однако несмотря на уже продолжительный период действия закона о персональных данных, регулярно возникают вопросы о порядке их обработки по нормам российского законодательства.

Мы решили подготовить краткий обзор нормативных документов по этой теме. В том числе, с учётом особенностей размещения информационных систем в публичном облаке. Этому посвящены три статьи: 1) обзор закона; 2) меры защиты; 3) особенности защиты в публичном облаке.

О каких данных идёт речь?

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

Общо? — Очень! Но так мыслил законодатель, принимая и изменяя рассматриваемый закон.

Вообще, в полицейско-правовом отношении физическое лицо идентифицируется тремя параметрами: полным именем, датой рождения и местом рождения. Они именуются краткими установочными данными.

Всё остальное — номер паспорта, номер пенсионного страхового свидетельства, индивидуальный номер налогоплательщика, различные документальные удостоверения, отпечатки пальцев, радужная оболочка глаза и прочее — это дополнительные идентификаторы.

Кого касается закон?

Он касается так называемых операторов — государственных и муниципальных учреждений, юридических и физических лиц, которые производят обработку персональных данных.

Под обработкой данных законодатель понимает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Следует обратить внимание на то, что под обработкой понимается не только автоматизированная (компьютерная) обработка, но и любая другая, включая, например, картотеки или журналы на бумажных носителях.

Кого этот закон не касается?

Действие закона о персональных данных не распространяется на ситуации, когда:

  • данные обрабатывает физическое лицо исключительно для личных и семейных нужд (если при этом не нарушаются права других лиц);
  • данные обрабатывают в официальных архивах;
  • данные отнесены к государственной тайне.

Согласие на обработку персональных данных

В ряде случаев согласие на обработку таких данных не требуется, например, если:

  • обработка нужная для журналистской, научной, литературной или иной творческой деятельности при условии, что это не нарушаются права и законные интересы других лиц;
  • обработка производится в судах;
  • обработка необходима для исполнения договора, в котором владелец персональных данных является стороной;
  • обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получить его согласие невозможно.

При необходимости согласия оно должно включать в себя следующие сведения:

  • фамилию, имя, отчество, адрес, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование и адрес оператора, получающего согласие;
  • цель обработки;
  • перечень данных, на обработку которых даётся согласие;
  • перечень действий с данными, на совершение которых даётся согласие, общее описание используемых оператором способов обработки данных;
  • срок, в течение которого действует согласие, а также способ его отзыва;
  • личную подпись.

Уведомление об обработке персональных данных

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов этих данных о своем намерении осуществлять такую обработку. О том, что это за орган, будет сказано далее.

Такое уведомление не требуется, когда данные:

  • обрабатываются в соответствии с трудовым законодательством;
  • получены в связи с заключением договора, стороной которого является физическое лицо, если его данные не распространяются и не предоставляются третьим лицам, а используются оператором исключительно для исполнения указанного договора;
  • относятся к членам общественного объединения и обрабатываются соответствующим общественным объединением, действующими в соответствии с законодательством Российской Федерации, при условии, что данные не будут распространяться или раскрываться третьим лицам;
  • сделаны самим владельцем персональных данных общедоступными;
  • включают в себя только фамилию, имя и отчество субъекта;
  • необходимы в целях однократного пропуска субъекта на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в государственные автоматизированные информационные системы для защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации;
  • обрабатываются в целях транспортной безопасности.

Сняты ли все вопросы? — Нет. Например, является ли интернет-магазин оператором персональных данных? — Изначально, вроде, нет, так как данные клиента используются только «в связи с заключением договора, стороной которого является субъект». Но ведь при отправке заказа почтой или транспортной компанией сведения о клиенте предоставляются третьей стороне.

Кто контролирует исполнение норм?

В настоящее время уполномоченным органом по защите прав субъектов персональных данных назначена Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Непосредственно этим направлением занимается одно из её подразделений — Управление по защите прав субъектов персональных данных.

Деятельность Роскомнадзор направлена на организационно-документальную сторону дела. Технические аспекты защиты персональных данных курирует Федеральная служба по техническому и экспортному контролю (ФСТЭК).

Если в технических средствах защиты информации используется криптография (шифрование), к регулированию подключается Федеральная служба безопасности РФ (ФСБ).

Общая схема обработки персональных данных

Для упрощения восприятия порядка обработки данных, установленного в законе о персональных данных, мы решили представить его в виде схемы.

Безопасность персональных данных

Оператор персональных данных обязан обеспечить их защиту от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении них.

Под мерами по обеспечению безопасности персональных данных при их обработке законодатель понимает следующие действия.

  1. Определение угроз безопасности.
  2. Применение организационных и технических мер по обеспечению безопасности.
  3. Применение средств защиты информации.
  4. Оценка эффективности принимаемых мер по обеспечению безопасности до ввода в эксплуатацию информационной системы.
  5. Учёт съёмных носителей персональных данных.
  6. Обнаружение фактов несанкционированного доступа к данным.
  7. Восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
  8. Установление правил доступа к обрабатываемым данным, а также обеспечение регистрации и учёта всех действий, совершаемых с ними.
  9. Контроль за принимаемыми мерами по обеспечению безопасности данных и уровня защищенности информационных систем.

Этот список не является исчерпывающим, то есть законом допускаются иные действия, направленные на обеспечение безопасности персональных данных.

Ответственность за регламентацию уровней защиты данных разных категорий и мер защиты законодатель возложил на Правительство Российской Федерации.

Сейчас по этому вопросу действует постановление Правительства № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Подробнее организационно-технические аспекты защиты персональных данных при их автоматизированной (компьютерной) обработке мы рассмотрим в нашей следующей статье.

Нужны ли лицензии или сертификаты?

Непосредственно для обработки персональных данных никакие лицензии не нужны. Но при обеспечении их безопасности могут потребоваться сертифицированные технические средства.

Кроме того, по действующему российскому законодательству, обязательно должны быть сертифицированы средства защиты информации, если в них применяется криптография (шифрование).

Оказание услуг по защите информации является лицензируемым видом деятельности. Но если юридическое лицо или индивидуальный предприниматель применяет криптографические средства защиты для собственных нужд, наличие у него лицензии не требуется.

Заключение

Задача обеспечения безопасности и сохранности персональных данных является вполне реальной, весьма актуальной и многогранной. Она касается очень и очень многих. Поэтому нормативные акты, регламентирующие порядок и методики обработки персональных данных на государственном уровне, нужны и полезны. В этой статье мы попытались кратко осветить содержание и общую логику этих актов.

Один из главных посылов закона заключается в том, что лицо, обрабатывающее персональные данные, должно осознавать угрозы этим данным и принимать меры по предотвращению и преодолению их возможных последствий. И это — бесспорно позитивная цель!

Однако в целом этот закон весьма далёк от совершенства. В нём присутствуют неясные формулировки, недостаточно полные нормы. По очень многим важным вопросам имеются отсылки к иным правовым актам, которые, в свою очередь, ясности не добавляют.

О конкретных мерах по обеспечению безопасности данных мы расскажем в нашей следующей статье.

Персональные данные в трудовом договоре

В действующий ТК РФ впервые в истории трудового законодательства включена отдельная глава (14) «Защита персональных данных работника», состоящая из шести статей (85—90). Статья 85 ТК РФ формулирует два основных для данной главы понятия: персональные данные работника; обработка персональных данных работника. Персональные данные — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Обработка персональных данных — получение, хранение, комбинирование, передача или любое другое использование персональных данных работников.

Структурное выделение в Трудовом кодексе РФ персональных данных вызвано необходимостью упорядочения отношении по получению и использованию работодателем информации о работнике личного характера и установления правил защиты этой информации от неправомерного использования. Положения данной главы основываются на Конституции РФ, согласно ст. 23 и 24 которой каждому человеку гарантируется право на неприкосновенность частной жизни, личную и семейную тайну, при этом сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Конституция РФ, в свою очередь, восприняла положения международных актов, согласно которым право на неприкосновенность частной жизни, личную тайну относятся к числу основных прав человека: Всеобщая декларация прав человека 1948 г. (ст. 12), Конвенция о защите прав человека и основных свобод (ст. 8), Международный пакт о гражданских и политических правах 1966 г. (ст. 9), Директива Европейского сообщества № 95/46/ЕС прямо определяет персональные данные как любую информацию, относящуюся к идентифицированному лицу или к лицу, которое может быть идентифицировано. Иными словами, указывается на «информацию об идентифицируемом лице», а не на «идентифицирующую информацию», как в российском Законе1Зайцева О.Б. Персональные данные работника и их передача работодателю в связи с трудовыми отношениями // Трудовое право. 2003. № 7. С. 18..

Следует обратить внимание на то, что определенные сведения о персональных данных работодатель имеет право требовать, а работник обязан их предоставить (ст. 65 ТК РФ; Постановление Госкомстата РФ от 5 января 2004 г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», которым утверждена форма Личной карточки работника). Иные сведения можно получить только с согласия работника, что нередко важно для него самого в целях реализации прав (в том числе на льготы) и интересов; например, о членстве в профсоюзе, инвалидности, беременности. Работодатель не имеет права запрашивать информацию о состоянии здоровья работника за исключением тех сведений, которые относятся к возможности выполнения работником трудовой функции (ст. 88 ТК РФ).

Общие требования к обработке персональных данных и гарантии их защиты закреплены в ст. 86 ТК РФ. Согласно ст. 87 ТК РФ защита персональных данных от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ или иными федеральными законами.

Порядок хранения и использования персональных данных работников устанавливается самим работодателем с соблюдением требовании Трудового кодекса РФ и иных федеральных законов.

Защита персональных данных предусмотрена законом как на стадии их получения (п. 8 ст. 86 ТК РФ), так и на стадии передачи (ст. 88 ТК РФ), хранения и использования (ст. 89 ТК РФ).

Работники, которым в установленном законом порядке переданы сведения о персональных данных работника, обязаны не допускать их разглашения. В случае нарушения этого правила, когда сведения, составляющие врачебную, семейную и другую тайну, становятся достоянием других лиц, виновные несут за это ответственность.

В советском трудовом законодательстве правовой регламентации подвергались отдельные аспекты защиты персональных данных работника. «Институт защиты персональных данных работника в ТК РФ был в значительной степени рецептирован из западного законодательства. Другой причиной, вызвавшей появление в ТК РФ гл. 14 «Защита персональных данных работника», стало изменение стратегического подхода к правам человека на уровне Конституции РФ, которая провозгласила права и свободы человека высшей ценностью, а признание, соблюдение и защиту прав человека и гражданина — обязанностью государства (ст. 2). «Этому способствовало и то, что с середины 90-х гг. XX в., как уже отмечалось, начала формироваться комплексная отрасль законодательства «информационное право», одним из основных направлений которой стала защита персональной тайны»2Лушников A.M. Защита персональных данных работника: сравнительно-правовой комментарий гл. 14 Трудового кодекса РФ // Трудовое право. 2009. № 9. С. 93-101; № 10. С. 77-82..

Действующий Трудовой кодекс, как считают некоторые авторы, «с одной стороны, содержит требование уважать неприкосновенность личной сферы работника, но, с другой стороны, не содержит и запрет работодателю тотально «мониторить» работника»3Киселев А.В. Трудовой кодекс России в свете европейской Конвенции о защите прав человека и основных свобод. Подготовлен для системы «КонсультантПлюс» по состоянию на 1 ноября 2010 г..

К числу нормативных актов, входящих в правовую базу регламентации отношении по защите персональных данных работника, относятся также Федеральный закон РФ от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации», Налоговый кодекс РФ (ст. 24), Федеральный закон РФ от 27 июля 2006 г. «О персональных данных». Перечень сведений конфиденциального характера, утвержденный Указом Президента РФ от 6 марта 1997 г., и другие нормативные правовые акты, касающиеся отдельных категорий работников, например. Федеральный закон о государственной гражданской службе Российской Федерации от 27 июля 2004 г.

Между работником и работодателем складывается особое правоотношение в рамках единого трудового правоотношения по поводу информации, содержащей персональные данные работника, позволяющие идентифицировать его в качестве такового. Отсюда следует, что работодатель имеет не только обязанности, о которых говорилось выше, но и право на получение определенной информации о работнике, объем которой предусмотрен федеральным законодательством, указами Президента РФ, постановлениями Правительства РФ. Соответственно, у работника возникает обязанность представить такую информацию, которая должна быть полной и достоверной. Согласно ТК РФ (ст. 86) порядок обработки персональных данных, а также права и обязанности работников регламентируются локальными нормативными актами. Развивая эту мысль, выскажем следующие соображения.

Действительно, с развитием соответствующего законодательства отношения в сфере конфиденциальной информации все более приобретают некий обособленный, самостоятельный и, как представляется, межотраслевой характер. Имея в виду, прежде всего и главным образом, трудовое право, нельзя не заметить, что применительно к его сложному и неоднородному предмету, эти так называемые информационные отношения могут входить в состав как индивидуального трудового правоотношения (уместно вспомнить характерное название ст. 5 Закона «Об информации…»: «Информация как объект правовых отношении»), так и, очевидно, быть самостоятельным видом отношений, связанных с ним.

Информационное отношение «встроено» в трудовое как его элементарная часть, потому что между работником и работодателем существуют как отношения по персональным данным работника, так и отношения, связанные с государственной, служебной, коммерческой тайной, которые могут составлять основное содержание трудовой функции. Что касается информационных отношений как самостоятельного вида отношений, связанных с трудовыми (наряду с отношениями по трудоустройству у данного работодателя, социальному партнерству и др.), то в пользу такой идеи говорит элементарный анализ состава этого правоотношения.

На уровне Федерального закона «О персональных данных» и в целях его применения впервые в отечественной практике определены следующие основные понятия:

  • персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
  • оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
  • обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
  • распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
  • использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
  • информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
  • конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания4Богатыренко З.С. Новейшие тенденции защиты персональных данных работник в российском трудовом праве // Трудовое право. 2006. № 10..

Федеральным законом «О персональных данных» регулируются отношения, связанные с их обработкой федеральными органами государственной власти, органами государственной власти субъектов РФ, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими и физическими лицами с использованием средств автоматизации или без их использования, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Права граждан в области информации защищены Федеральными законами: ст. 81 ТК РФ, 237 УК РФ, 495, 498, 726, 732, 774, 804, 840, 853, 1031, 1032 и другими ГК РФ, регламентирующими вопросы предоставления различной информации покупателю о товаре. Кроме вопросов предоставления информации, ГК РФ регулирует отношения, связанные с конфиденциальностью информации, отношения по поводу возмещения вреда, причиненного вследствие недостоверной или недостаточной информации о товаре (работе, услуге) в случаях приобретения товара (выполнения работы, оказания услуги) в потребительских целях и возмещением убытков, вызванных разглашением служебной или коммерческой тайны.

Федеральным законом от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации», как выше уже говорилось, к основным обязанностям гражданского служащего отнесено требование не разглашать сведения, составляющие государственную или иную охраняемую федеральным законом тайну, а также сведения, ставшие ему известными в связи с исполнением должностных обязанностей, в том числе сведения, касающиеся частной жизни и здоровья граждан или затрагивающие их честь и достоинство (ст. 15).

Квалификационный справочник должностей руководителей, специалистов и других служащих (КСДС), разработанный Институтом труда и утвержденный постановлением Минтруда РФ от 21 августа 1998 г. № 37 (действующий с дополнениями и изменениями в ред. от 14.03.201 1), предусматривает, во-первых, что этот нормативный акт предназначен для решения вопросов, связанных с регулированием трудовых отношений, обеспечением эффективной системы управления персоналом организаций независимо от форм собственности и организационно-правовых форм деятельности. Во-вторых, предусмотрена регламентация трудовых функций специалистов, непосредственно связанных с использованием персональных данных работников или выполнением работ на их основе. К таким должностям относятся: заместитель директора но управлению персоналом, начальник отдела кадров, менеджер по персоналу, главный специалист по защите информации и др.5Бюллетень Минтруда РФ. 1998. № 12; Квалификационный справочник должностей руководителей, специалистов и других служащих. Изд-е офиц. 4-е изд., доп. М.: Инст. Труда, 2005. Данные положения имеют значение для рассматриваемого вопроса, поскольку права и обязанности по сохранению конфиденциальной информации могут входить в содержание трудовой функции.

Обработка персональных данных должна осуществляться на основе принципов:

  • законности целей и способов обработки персональных данных и добросовестности;
  • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
  • соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
  • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
  • недопустимости объединения созданных для несовместимых между собой баз данных информации.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *