Что не является персональными данными

Самое важнее по теме: "Что не является персональными данными" с комментариями специалиста. На странице собрана и агрегирована информация по теме и предоставлена в удобном виде. В случае возникновения каких-либо вопросов задавайте их нашему дежурному специалисту.

Часто задаваемые вопросы

В этом разделе вы можете найти основные документы, которые требуются для соответствия требованиям закона №152-ФЗ «О персональных данных» и прохождения проверок Роcкомнадзора.

Согласно Федеральному закону № 152-ФЗ «О персональных данных» под персональными данными подразумевается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

  • фамилия, имя, отчество;
  • год, месяц, дата и место рождения;
  • адрес места регистрации и проживания;
  • семейное, социальное, имущественное положение;
  • образование, профессия, доходы;
  • паспортные данные;
  • и т.п.

На заметку: Позиция судов такова, что даже отдельный email или номер мобильного телефона также является персональными данными, так как он позволяет косвенно определить физическое лицо (субъекта персональных данных) http://bit.ly/delo_provider.

Согласно закону №152-ФЗ «О персональных данных» под обработкой персональных данных подразумевается любое действие или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Персональные данные необходимо защищать согласно 152-ФЗ «О персональных данных», который вменяет это в обязанность каждой компании, индивидуальному предпринимателю или бюджетной организации, обрабатывающим персональные данные. Оператор персональных данных обязан принять ряд мер для выполнения требований законодательства Российской Федерации, касающихся обработки и обеспечения безопасности персональных данных.

В противном случае оператор персональных данных и его сотрудники могут понести дисциплинарную, административную и уголовную ответственность, а запрет на обработку персональных данных Роскомнадзора может привести к остановке деятельности компании.

В Российской Федерации существует три основных регулятора в данной сфере:

  • Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является уполномоченным органом по защите прав субъектов персональных данных и осуществляет контроль и надзор за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
  • Федеральная служба по техническому и экспортному контролю (ФСТЭК России) осуществляет контроль и надзор за организационными и техническими мерами защиты персональных данных.
  • Федеральная служба безопасности (ФСБ России) осуществляет контроль и надзор за защитой биометрических персональных данных и криптографическими мерами защиты персональных данных.

Регуляторы проводят как плановые, так и внеплановые проверки, о которых операторы персональных данных предупреждаются за сутки.

Для выполнения закона необходимо иметь пакет организационно-распорядительной документации, назначить ответственных лиц за организацию обработки и обеспечение безопасности персональных данных, подать уведомление об обработке персональных данных в Роскомнадзор, определить уровень защищенности информационных систем для хранения персональных данных и принять организационные и технические меры для обеспечения безопасности персональных данных.

На заметку: Выполнить требования закона можно следующими способами:

  • Заказать комплексный аудит, привести бизнес-процессы в соответствие требованиям закона №152-ФЗ и поручить разработку комплекта документов экспертам.
  • Нанять специалиста по информационной безопасности, который будет следить за выполнением закона самостоятельно. При этом за качество никто не отвечает и найти такого сотрудника весьма сложно.
  • Воспользоваться автоматизированными системами подготовки документов, одной из которых является онлайн-сервис Б-152.

Это любая информация, относящаяся к физическому лицу, по которой прямо или косвенно можно его определить.

К такой информации относится в том числе имя, данные о местоположении, факторы характерные для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица.

Email , IP -адрес, идентификатор в социальной сети – все это может быть персональными данными.

GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные граждан ЕС, не зависимо от местонахождения такой компании.
Нормы GDPR коснутся всех тех, кто так или иначе работает со странами Европы. Это финансовые компании, технологические, медиа- и телеком-компании, фармацевтические, транспортные, интернет-магазины.

GDPR также будут применяться ко всем организациям, вне зависимости от местонахождения, если они любым образом собирают, анализируют или контролируют поведение жителей Евросоюза.

Все российские компании, ориентированные на субъектов в Евросоюзе после 26 мая 2018 г. окажутся в сфере действия Регламента GDPR. В этой связи, согласно требованиям Регламента, такие компании должны назначить своего представителя в Евросоюзе.

Представитель – это физическое или юридическое лицо, созданное в Евросоюзе, которое представляет контролёра или обработчика персональных данных, в отношении их обязательств, предусмотренных Регламентом.

Представитель должен действовать от имени контролёра или обработчика, может взаимодействовать с любыми компетентными органами Евросоюза, государства-члена, включая надзорные органы.

Представитель должен выполнять свои задачи согласно предписанию, полученному от контролёра или обработчика, и осуществлять любые действия в целях обеспечения соблюдения Регламента GDPR.

Если у российских операторов персональных данных, к примеру, предоставляющие услуги через интернет для лиц в странах Евросоюза, есть представительства и филиалы в странах Евросоюза, то функции представителя могут быть возложены на них.

Представитель может не назначаться, когда обработка носит случайный характер, не включает в себя масштабную обработку конкретных категорий персональных данных, либо обработка персональных данных, связана с уголовными приговорами и правонарушениями, или если контролёр является органом или учреждением государственной власти.

Несоблюдение требований нового регламента GDPR может привести к наложению надзорным органом в области защиты персональных данных штрафа в размере до 20 млн евро или до 4 % от годового оборота компании.

Субъект персональных данных из стран-членов Евросоюза, в соответствии с Регламентом GDPR, вправе обратиться в соответствующий компетентный орган. Если решение компетентного органа не будет исполнимо на территории Российской Федерации, Европейская Комиссия, согласно Регламенту GDPR, может принять решение о недостаточности мер защиты персональных данных в отношении третьей страны. В этом случае трансграничная передача данных такой третьей стране может быть запрещена

Discovered

Деньги, банки, страхование, экономика и бизнес

Персональные данные

Что такое персональные данные?

Персональные данные — это информация, с помощью которой можно идентифицировать человека: ФИО, место и год рождения, адрес прописки, паспортные данные и т.д.

История вопроса о защите личных (персональных) данных начинается в 1976 году, когда комитет министров Совета Европы принял решение разработать Конвенцию «О защите физических лиц при обработке персональных данных, осуществляемой на международном уровне», которая в 1981 году была открыта для подписания странами Европы. В Украине данная Конвенция была подписана и ратифицирована лишь в начале двухтысячных годов, после чего началось формирование нормативно-законодательной базы в сфере использования и защиты персональных данных. В 2010 году был принят Закон «О защите персональных данных», который четко регламентировал все вопросы, касающиеся получения, использования, передачи и других действий с персональными данными, а также вопросы их защиты.

Читайте так же:  Как вернуть госпошлину в случае отказа от искового заявления

Согласно Закону персональными данными является абсолютно любая информация, которая относится к определенному или определяемому (прямо или косвенно) физическому лицу. Основными персональными данными, которые встречаются в повседневной жизни, являются фамилия, имя, отчество субъекта (физического лица), дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии и т.п.

Пример персональных данных

Законодательством не установлен и не может быть установлен четкий перечень сведений о физическом лице, которые являются персональными данными , с целью возможности применения положений Закона к различным ситуациям, в том числе при обработке персональных данных в информационных (автоматизированных) базах и картотеках персональных данных, которые могут возникнуть в будущем, в связи с изменением в технологической, социальной, экономической и других сферах общественной жизни.

Виды персональных данных

Выделяют четыре вида персональных данных, которые разделяются по степени информативности:

Первый вид — специальные категории персональных данных, которые включают в себя информацию о национальной и расовой принадлежности субъекта, о религиозных либо философских убеждениях, информацию о здоровье и интимной жизни субъекта.

Второй вид содержит информацию, по которой можно идентифицировать человека и получить о нем дополнительные сведения, например, ФИО, адрес и сведения о заработках.

Персональные данные третьего вида — это информация, позволяющая только определить субъекта, то есть, например, фамилия, имя и дата рождения.

К четвертому виду относятся общедоступные или обезличенные персональные данные. Общедоступными являются персональные, которые в соответствии с законодательством не могут подвергаться сокрытию, то есть не могут быть конфиденциальными, например, сведения о доходах представителей органов государственной власти, либо персональные данные, доступ к которым предоставлен с разрешения самого субъекта. Обезличенными персональными данными является информация, по которой невозможно определить ее принадлежность к конкретному физическому лицу.

База персональных данных

Следует обратить внимание на то, что согласно ст. 5 Закона, объектом защиты являются только персональные данные при их обработке в базах персональных данных .

При этом под «базой персональных данных» в Законе понимается именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных, а под «обработкой персональных данных» понимается определенное действие или совокупность действий, совершенных полностью или частично в информационной (автоматизированной ) системе и/или в картотеках персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (распространением, реализацией, передачей), обезличиванием, уничтожением сведений о физическом лице.

Обработка персональных данных

Базы персональных данных подлежат обязательной государственной регистрации, осуществляемой специальным государственным органом по вопросам защиты персональных данных в Государственном реестре баз персональных данных. Регистрация баз персональных данных осуществляется по заявочному принципу путем уведомления уполномоченного государственного органа. Несмотря на это, уполномоченный орган имеет право на отказ в регистрации в случае несоответствия заявления о регистрации требованиям Закона.

Согласно Закону обработка персональных данных может осуществляться для конкретных и законных целей, определенных по согласию субъекта персональных данных или в случаях, предусмотренных законодательством Украины, в порядке, установленном законодательством. Если цель обработки меняется, то от субъекта персональных данных должно быть получено согласие на обработку персональных данных с новой целью. При этом не разрешается обработка персональных данных о физическом лице без его согласия, кроме случаев, установленных законом, и исключительно в интересах национальной безопасности, экономического благополучия и прав человека.

Закон также устанавливает, что состав и содержание персональных данных должны соответствовать и не быть избыточными относительно цели их обработки. При этом объем персональных данных, которые включаются в базу персональных данных, должен соответствовать условиям согласия субъекта персональных данных. Субъект персональных данных имеет право, предоставляя такое согласие, ограничить право на обработку своих персональных данных.

Кроме того, следует отметить предоставленное Законом право субъекта персональных данных знать о местонахождении базы персональных данных, в которой содержатся его персональные данные, а также о местонахождении владельца и распорядителя такой базы данных, право на информацию о третьих лицах, которым передаются его персональные данные, а также на бесплатный доступ к своим персональным данным, которые содержатся в соответствующей базе персональных данных. Также Закон устанавливает определенные случаи, в которых субъект персональных данных должен письменно информироваться о его правах или действиях, выполненных с его персональными данными.

Владельцем базы персональных данных может быть физическое лицо-предприниматель или юридическое лицо, которому законом или по согласию субъекта персональных данных предоставлено право на обработку персональных данных. Такое лицо должно утвердить цель обработки персональных данных, установить состав обрабатываемых данных и процедуры их обработки, если иное не установлено законом.

Владелец базы персональных данных имеет право передать персональные данные для обработки распорядителю базы персональных данных на основании письменного соглашения.

Согласно Закону, банк обязан получать письменное разрешение на их обработку. Такое разрешение обычно запрашивается еще на стадии анкетирования клиента. В случае согласия персональные данные могут быть переданы третьим лицам и использованы для продвижения продуктов и услуг банка.

Если человек отказывает в обработке своих данных, то по закону кредитная организация может использовать информацию о клиенте только в целях исполнения заключенного с ним договора. Однако многие банки в случае несогласия клиента на обработку данных могут вообще отказаться предоставлять ему услуги.

Является ли номер телефона персональными данными: законодательное обоснование

Номер мобильного телефона в настоящее время требуется для подтверждения регистрации, доступа к соцсетям. Его оставляют при заключении договоров и при подписке на рассылку. В результате номер может попасть к третьим лицам, занимающимся продажей услуг по телефону. Неприятные и неуместные разговоры, постоянные звонки и настойчивые СМС – все это знакомо многим владельцам мобильных телефонов. Подробнее о том, является ли номер телефона персональными данными, и о том, как бороться с непрошенными звонками, вы сможете прочесть в этой статье.

Что такое персональные данные

Законы об обработке персональных данных постоянно ужесточаются. Что является персональными данными по закону?

На первый взгляд, это любые сведения, которые касаются человека. Но на самом деле персональными считаются только те, которые могут указать на конкретного гражданина. Это могут быть следующие данные:

  • имя с фамилией и отчество;
  • место рождения;
  • год рождения;
  • номера всех личных документов (СНИЛС, паспорт, ИНН, свидетельство о рождении и т. д.);
  • документы об образовании;
  • трудовые сведения из компании сотрудника: сюда относятся данные о зарплате, должности и трудовой договор.
Читайте так же:  Как делится наследство по закону очередность наследования

Что относится к персональным данным работника? Помочь установить личность человека может трудовой договор, сведения о доходах, заметки о деловых и личностных качествах, а также о квалификации и опыте сотрудника. Специалисты по кадрам регулярно сталкиваются с такими сведениями и не имеют право их разглашать третьим лицам без ведома сотрудника. Если вы устраиваетесь на работу, убедитесь, что в вашем договоре нет отдельного пункта, который позволяет третьим лицам пользоваться вашими персональными данными.

Является ли номер телефона персональными данными?

В телефоне могут храниться платежные данные, номера телефонов других людей и пароли от соцсетей. Но и сам номер телефона может стать ключом, который помогает узнать ваши данные. Ведь при регистрации новой сим-карты у вас неизменно просят данные паспорта. Является ли номер телефона персональными данными? Согласно закону, по одному лишь номеру злоумышленники вряд ли смогут установить вашу личность. А вот если вместе с номером идет ФИО, то вероятность этого куда больше. Но даже несмотря на это, на вопрос, является ли номер телефона персональными данными, есть четкий ответ. Пока вы арендуете его у компании, она не имеет право производить какие-либо операции или передавать его третьим лицам без вашего ведома.

Законодательное обоснование

В западных странах законы о персональных данных уже давно запрещают любое использование информации без согласия человека, а нарушение законодательства строго карается. В России ужесточать правила стали лишь недавно, но сейчас этой области уделяют все большее внимание. В 2006 году был принят закон «О персональных данных», в котором указано, что люди, получившие доступ к персональным данным, не имеют право разглашать или передавать эту информацию без согласия субъекта информации.

Принятый закон вызывает больше вопросов, чем ответов. Например, не очень ясно, какой минимальный объем информации можно считать персональными данными. Зачастую этот вопрос гражданам приходится решать в суде. Есть случаи, когда человека находили по адресу электронной почты или по ip учетной записи. В то же время, согласно судебной практике, сочетание имени и отчества на просторах интернета не позволяет достоверно установить их хозяина, поэтому эту информацию, как правило, не относят к персональным данным.

Что является персональными данными по закону? В Законе есть 3 ст., в которой написано, что это любая информация, которая косвенным или прямым образом относится к человеку и позволяет установить его личность. Таким образом, и номер телефона, и даже адрес электронной почты может считаться персональными данными.

Домашний телефон

Является ли домашний номер телефона персональными данными? Как и мобильный, домашний номер позволяет косвенно определить своего абонента, а значит, попадает под статью Закона «О персональных данных». Никто не вправе передавать ваши данные третьим лицам без вашего согласия. В настоящее время стационарными телефонами пользуется все меньше людей, но желающих продать свой товар хватает для того, чтобы беспокоить в любое время.

Согласно принятому в 2003 году Закону «О связи», если по номеру телефона можно как-то идентифицировать абонента, то для рассылки рекламы и других действий нужно его согласие. Именно поэтому является незаконным действие многих фирм, занимающихся спам-рассылкой по СМС и холодными звонками. И если ненужные письма в электронной почте мы можем легко заблокировать или отписаться от них, СМС-сообщения не дают такой возможности. Что делать, если вам настойчиво звонят и рекламируют товары компании, которой вы никогда не оставляли номер своего мобильного?

Попробуйте сначала обозначить свои права на словах. Упоминание Закона N 126-ФЗ и № 152-ФЗ, которые регулируют использование персональных данных, может оказать волшебное воздействие на звонящих. Если же это не помогает, и настойчивые продавцы продолжают вам докучать, то вы можете обратиться в суд. В судебной практике есть уже множество случаев, когда судья выносил приговор не в пользу компаний.

На вопрос о том, является ли номер мобильного телефона персональными данными, есть четкий ответ. Закон «О персональных данных» четко указывает, что только вы можете распоряжаться своим номером и давать его посторонним лицам. Если это сделали без вашего ведома, то вы имеет право подать на нарушителей в суд. Домашний номер телефона относится к той же категории, ведь по нему можно выяснить адрес абонента. Поэтому если вам названивают незнакомые люди, уговаривающие купить их продукт – не бойтесь жаловаться в соответствующие органы.

Роскомнадзором разъяснены некоторые вопросы, касающиеся отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки

Сообщается, что в соответствии с Федеральным законом «О персональных данных» к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

В этой связи, в частности, разъясняется, что не является биометрическими персональными данными фотографическое изображение, содержащиеся в личном деле работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы.

Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека, и находящиеся в истории болезни (медицинской карте) пациента (бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами — органами следствия и дознания в целях установления личности конкретного лица.

Такая же позиция и с материалами видеосъемки в публичных местах и на охраняемой территории. До передачи их для установления личности снятого человека они не являются биометрическим персональными данными, обработка которых регулируется общими положениями Федерального закона «О персональных данных», поскольку не используются оператором (владельцем видеокамеры или лицом, организовавшим ее эксплуатацию) для установления личности. Однако указанные материалы, используемые органами, осуществляющими оперативно-розыскную деятельность, дознание и следствие в рамках проводимых мероприятий, являются биометрическими персональными данными, в случае, если целью их обработки является установление личности конкретного физического лица.

Читайте так же:  Что такое и как получить квоту на операцию и лечение заболеваний

Персональные данные работника: миллионные штрафы за утечку

Хранение личной информации граждан за пределами РФ обойдется в 18 миллионов рублей

Депутаты одобрили поправки, предусматривающие введение новых санкций за нарушение закона № 152-ФЗ о персональной информации граждан. Законопроектом предложены следующие штрафы:

  1. За невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения данных российских граждан с использованием баз данных, находящихся на территории РФ, граждан планируется штрафовать на 30 000-50 000 рублей, должностных лиц — на сумму 200 000-500 000 рублей, ИП и юридических лиц — от 2 до 6 млн рублей. При повторном нарушении штрафы на граждан увеличиваются до 50 000-100 000 рублей, на должностных лиц — до 0,5-1 млн рублей, а ИП и организации обещают наказывать на 6-18 млн рублей.
  2. За повторные нарушения, предусмотренные ст. 13.31 КоАП РФ (неисполнение обязанностей организаторов распространения информации в сети Интернет), предложены штрафы для граждан — от 5000 до 30 000 рублей (в зависимости от правонарушения), для должностных лиц — от 50 000 до 500 000 рублей, для ИП и организаций — от 0,5 до 6 млн рублей.
  3. Отдельные санкции вводятся для операторов поисковых систем, организаторов сервисов обмена мгновенными сообщениями, владельцев аудиовизуального сервиса информации.

Все новые штрафы подробно описаны в таблице.

Статья КоАП РФ, которая изменится

Видео (кликните для воспроизведения).

для должностных лиц

для ИП и организаций

Невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения данных российских граждан с использованием баз данных, находящихся на территории РФ

Повторное невыполнение обязанности по хранению персональных данных в РФ

Повторное неисполнение обязанностей организатором распространения информации в сети Интернет

От 5000 до 30 000 (в зависимости от правонарушения)

От 50 000 до 500 000 (в зависимости от правонарушения)

От 500 000 до 6 млн (в зависимости от правонарушения)

[2]

Повторное распространение владельцем аудиовизуального сервиса телеканала, телепрограммы, не зарегистрированных в качестве СМИ либо зарегистрированных, но лишенных права на вещание

Повторное нарушение владельцем аудиовизуального сервиса правил распространения среди детей информации, причиняющей вред их здоровью и(или) развитию

Повторное распространение владельцем аудиовизуального сервиса информации и материалов, содержащих призывы к осуществлению террористической и(или) экстремистской деятельности

Повторное неисполнение организатором сервиса обмена мгновенными сообщениями обязанностей

Повторное неисполнение оператором поисковой системы обязанности по подключению к информационно-телекоммуникационным сетям, доступ к которым ограничен на территории РФ

Повторное неисполнение оператором поисковой системы обязанности по прекращению выдачи по запросам пользователей сведений о информационно-телекоммуникационных сетях, доступ к которым ограничен на территории РФ

Повторное неисполнение оператором поисковой системы обязанности по прекращению выдачи по запросам пользователей сведений о доменном имени и об указателях страниц сайтов в сети Интернет, доступ к которым ограничен на основании решения Московского городского суда, или копий заблокированных сайтов

Объясняя необходимость введения новых санкций, авторы в пояснительной записке к законопроекту пишут, что только штрафы способны остановить нарушителей. Они налагают не только финансовые, но и репутационные издержки, потому являются наиболее эффективной мерой воздействия.

Законопроект пока еще обсуждается, но авторы уверены, что новые санкции заработают уже в начале 2020 года.

С какими персональными данными приходится иметь дело работодателю

Что относится к персональным данным работника организации? В соответствии со ст. 3 закона № 152-ФЗ, персональные данные работника — это любые сведения о нем.

Трудовой кодекс определяет перечень документов, которые человек предъявляет работодателю при поступлении на работу:

  • фамилия, имя, отчество, дата и место рождения;
  • образование (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация);
  • выполняемая работа с начала трудовой деятельности (включая военную службу);
  • адрес регистрации и фактического проживания;
  • паспортные данные (серия, номер, кем и когда выдан);
  • номер телефона, адрес электронной почты;
  • отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
  • ИНН;
  • номер страхового свидетельства обязательного пенсионного страхования;
  • результаты обязательного медосмотра при поступлении на работу;
  • семейное положение, Ф.И.О. и даты рождения детей.

Также определенная информация содержится в резюме соискателя и его анкете.

В процессе работы эти данные изменяются и дополняются. Работодатель обязан хранить их в секрете. Эта мера обеспечивается определением конкретных лиц, которые имеют к ним доступ. Это должно быть зафиксировано в документальном виде, для чего необходимо издать внутренний приказ.

Образец приказа о персональных данных работников 2019

Иногда при приеме на работу нового сотрудника кадровики снимают ксерокопии с предоставленных документов и вкладывают их в его личное дело. По мнению Роскомнадзора, это не допускается.

Судебная практика

При проверке соблюдения требований законодательства о защите персональных данных контролирующий орган счел незаконным хранение в личных делах сотрудников ксерокопий их паспортов. Организация обратилась в Арбитражный суд с заявлением о признании этого предписания Роскомнадзора незаконным.

Судом в удовлетворении заявленного требования было отказано. По мнению суда, хранение организацией копий паспортов сотрудников является избыточным, законом не предусмотрено, нарушает права граждан и превышает объем персональных данных работников, предусмотренный ст. 86 ТК РФ (Постановление ФАС Северо-Кавказского округа от 11.03.2014 № Ф08-480/14 по делу № А53-10287/2013).

Образец заявления на обработку персональных данных работника

В соответствии с п. 1 ст. 6 закона от 27.07.2006 № 152-ФЗ «О персональных данных», обработка фирмой-работодателем таких данных производится только при соблюдении ряда условий. В числе таковых согласие субъекта персональных данных на передачу сведений о себе в обработку (подп. 1 п. 1 ст. 6 закона № 152-ФЗ). Оно оформляется в виде согласия на обработку персональных данных. Одновременно гражданин может дать согласие оператору на предоставление его сведений третьим лицам.

Физическое лицо вправе отозвать свое согласие, для этого составляется заявление об отзыве.

В соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным Приказом Минкультуры РФ от 25.08.2010 № 558, срок хранения персональных данных работника составляет 75 лет.

Обработка персональных данных

В организации необходимо разработать и утвердить локальный нормативный акт, устанавливающий порядок обработки информации о работниках. Каждого сотрудника знакомят с этим документом под подпись.

Читайте так же:  Договор купли продажи с обременением

Судебная практика

Прокурор обратился в суд с иском о понуждении организации к разработке и принятию локального правового акта, устанавливающего порядок хранения и использования персональных данных работников. Требования мотивировал тем, что в ходе проверки исполнения законодательства, регламентирующего сбор, хранение, использование или распространение персональных данных, было установлено, что в нарушение требований трудового законодательства порядок хранения и использования персональных данных работников в организации не разработан. Полагал, что отсутствие этого локального нормативного акта может привести к неправомерному доступу к персональным данным не уполномоченных на то лиц.

Решением суда требование прокурора было удовлетворено. Суд обязал организацию разработать и принять локальный правовой акт, устанавливающий порядок хранения и использования персональных данных работников в течение 30 дней с момента вступления решения суда в законную силу.

Передача персональных данных работника другому лицу допускается только с согласия этого работника, за исключением случаев, установленных законом. Например, работодатель вправе передавать сведения о работнике по официальным запросам суда, прокуратуры, органов следствия и дознания.

Судебная практика

Д. обратился в суд с иском о признании незаконной передачу работодателем его персональных данных другому лицу, взыскании морального вреда.

В судебном заседании было установлено, что организация, в которой работал Д., заключила договор с банком для реализации зарплатного проекта. Для выпуска пластиковых карт банку были переданы заполненные и подписанные работниками анкеты-заявления с их личными данными. Анкета-заявление Д. им подписана не была, согласие на передачу своих персональных данных он не давал.

Исковые требования судом были удовлетворены, несмотря на то, что полученной пластиковой карточкой Д. активно пользовался.

Когда за разглашение информации могут уволить

Уволить за разглашение информации можно только тех сотрудников, которым такие сведения стали известны в связи с исполнением ими трудовых обязанностей. Это прямо указано в пп. «в» п. 6 ч. 1 ст. 81 ТК РФ. К таким сотрудникам относятся руководители организаций, работники кадровых служб, бухгалтерии и иные лица, чья работа непосредственно связана с обработкой персональных данных. Но если работник узнал данные случайно (например, из-за халатности сотрудника, ответственного за сохранность информации), и в его должностные обязанности не входит работа с личными сведениями, увольнение по такому основанию незаконно.

Увольнение по этому основанию является мерой дисциплинарного воздействия, поэтому при его осуществлении следует соблюдать порядок наложения дисциплинарного взыскания, предусмотренный ст. 193 ТК РФ.

В случае оспаривания работником увольнения по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ работодатель обязан предоставить доказательства того, что сведения, которые трудящийся разгласил, относятся к личным данным другого сотрудника, они стали известны при исполнении работником трудовых обязанностей, и он обязывался не разглашать такие сведения (п. 43 Постановления Пленума ВС РФ «О применении судами РФ Трудового кодекса РФ»).

Судебная практика

Н. обратился в суд с иском о признании увольнения незаконным, возмещении морального вреда.

В судебном заседании было установлено, что Н. работал электромонтером и был вызван в отдел кадров для устранения порыва телефонного кабеля. Во время починки кабеля он успел прочитать соглашение об увольнении работника М. с выплатой значительной денежной компенсации, которое кадровик оставила без присмотра на своем рабочем столе. На следующий день Н. обратился к директору, заявив, что он тоже хочет уволиться по соглашению сторон с такой же денежной компенсацией. Получив отказ, электромонтер обиделся и стал рассказывать об этой ситуации другим работникам. В результате приказом директора Н. был уволен по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ за разглашение персональных данных другого работника.

Решением суда исковые требования Н. были удовлетворены. Суд пришел к выводу, что в трудовые обязанности Н. работа с личными данными других сотрудников не входила, и сведения стали ему известны в результате халатности кадровика, который не обеспечил сохранность информации.

Что такое персональные данные

Являются ли общедоступными персональные данные, размещенные в социальных сетях?

Что включает понятие персональные данные

В связи с тем, что статьей 3 Закона о персональных данных понятие персональных данных имеет очень обобщенный характер, а законодательство об использовании персональных данных ужесточается, вопрос о том, что такое персональные данные, становится еще более актуальными.

Исходя из статьи 3 Закона о персональных к персональным данным можно отности следующую информацию:

  • фамилия, имя, отчество;
  • пол, возраст;
  • дата и место рождения;
  • паспортные данные;
  • адрес регистрации по месту жительства и адрес фактического проживания;
  • номер телефона (домашний, мобильный);
  • данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации;
  • семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления мне льгот, предусмотренных трудовым и налоговым законодательством;
  • отношение к воинской обязанности;
  • сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
  • СНИЛС;
  • ИНН;
  • информация о приеме, переводе, увольнении и иных событиях, относящихся к моей трудовой деятельности в ООО » Ромашка «;
  • сведения о доходах в ООО » Ромашка «;
  • сведения о деловых и иных личных качествах, носящих оценочный характер.

Статья 3 Закона о персональных данных порождает больше вопросов, чем дает ответы на них, к примеру:

Какое сочетание указанной выше информации дает основание считать ее персональными данными?

Каков минимальный объем информации позволяет считать ее персональными данными?

Является ли фамилия (без указания имени и отчества) персональными данными?

Является ли адрес электронной почты персональными данными?

Каков минимальный объем информации позволяет считать ее персональными данными?

Начнем с простого вопроса: является ли сочетание фамилия + имя + отчество персональными данными?

Судебная практика отвечает на этот вопрос так: «. Ссылка ответчика на то обстоятельство, что фамилия, имя и отчество не являются персональными данными, не может быть принята во внимание, как противоречащая действующему законодательству, так как, исходя из положений п. 1 ст. 3 ФЗ «О персональных данных» от 27 июля 2006 г. N 152-ФЗ персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) . » (Апелляционное определение Московского городского суда от 06.09.2012 по делу № 11-17136). Подобный вывод содержит также Постановление Нижегородского областного суда от 12.05.2015 № 4а-288/2015.

Вывод: если одновременно указываются фамилия, имя и отчество, то это сочетание представляет собой персональные данные.

Вопрос посложнее: является ли сочетание имя + отчество персональными данными?

Читайте так же:  Доверенность на приватизацию частного дома

Судебная практика отвечает на этот вопрос так: «. в совокупности имя, отчество, улица и номер дома не позволяют достоверно установить, о каком именно человеке идет речь на страницах форума . Разрешая заявленные требования, суд пришел к обоснованному выводу об отказе в удовлетворении исковых требований, поскольку сведения, размещенные в Интернете по ссылке. не являются персональными данными истца, так как не содержат персонифицированных и детализированных данных, позволяющих определить в отношении какой квартиры, какого населенного пункта идет речь, а также отсутствует указание на фамилию, что не позволяет идентифицировать лицо, о котором идет речь . » (Определение судебной коллегии по гражданским делам Приморского краевого суда от 9 сентября 2013 г. по делу № 33-7063).

Вывод: сочетание имя + отчество не являются персональными данными, подлежащими защите Законом № 152-ФЗ «О персональных данных», т.к. не позволяют идентифицировать лицо. Эти данные будут подлежать защите как персональные данные, только если они сами по себе помогают идентифицировать конкретное лицо.

Вопрос посложнее: является ли сочетание фамилия + инициалы персональными данными?

[3]

Управление Роскомнадзора по Республике Карелия в своем Обзоре обращений граждан за II квартал 2012 года отвечает на этот вопрос так: «. Фамилия и инициалы гражданина — это, несомненно, персональные данные субъекта. Однако без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно. ФИО (фамилия, имя, отчество) наряду со многими другими способами используются для идентификации отдельного человека среди других. По своей природе это составной ключ, идентификатор, основанный на комбинациях трех параметров фамилии, имени и отчества, на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать.

Характер сведений, опубликованных в статье, не позволяет определить пол человека, его имя и отчество. Фамилия гражданки С. не является уникальной и довольно распространена».

На этом основании Управление Роскомнадзора не обнаружило в действиях редакции газеты признаков нарушения установленного законом порядка использования или распространения информации о гражданах (персональных данных).

Вывод: сочетание фамилия + инициалы не является персональными данными, подлежащими защите Законом № 152-ФЗ «О персональных данных».

Является ли адрес электронной почты персональным данным?

Судебной практики по этому вопросу найти не удалось.

Минкомсвязи России в своем Письме от 07.07.2017 № П11-15054-ОГ выразил следующее мнение: «. абонентский номер или адрес электронной почты могут быть признаны персональными данными в случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу».

Вывод: сам по себе адрес электронной почты не является персональными данными, подлежащими защите Законом № 152-ФЗ «О персональных данных» только если он в отдельности или в совокупности с другой информацией помогает идентифицировать конкретное лицо.

Являются ли общедоступными персональные данные, размещенные в социальных сетях?

Персональные данные являются общедоступными при выполнении двух условий:

они предоставлены владельцем

доступны неопределенному кругу лиц.

Если согласие владельца персональных данных на размещение сведений о нем в соцсетях отсутствует, то нельзя их [соцсети] отнести к общедоступным источникам. При этом оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных, в случае его отзыва, только при наличии соответствующих оснований, например, для противодействия терроризму или коррупции (ч. 2 ст. 9 Закона № 152-ФЗ).

Такой вывод делает судебная практика: Арбитражный суд города Москвы определил, что обработка персональных данных допускается в случаях, когда персональные данные доступны неопределенному кругу лиц, имеется согласие владельца данных и сведения предоставлены непосредственно самим субъектом (п. 1, п. 10 ч. 1 ст. 6 Закона № 152-ФЗ). Суд подчеркнул, что без письменного согласия субъекта персональных данных нельзя утверждать о предоставлении согласия именно указанным лицом. По его мнению, если владелец сделал персональные данные общедоступными для всех, то они могут содержаться только в общедоступных источниках (ст. 8 Закона № 152-ФЗ). По мнению суда, соцсети не являются такими источниками получения персональных данных, соответственно информация о лице, размещенная в них, не может быть отнесена к общедоступной.

[1]

В решении суда указано, что в общедоступные источники персональных данных могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные их владельца с его письменного согласия и сообщаемые им самим. Суд пришел к выводу, что владельцы персональных данных не сделали сведения общедоступными, которые обрабатывались бюро кредитных историй в социальных сетях (ч. 3 ст. 22, п. 1 ч. 1 ст. 6 Закона № 152-ФЗ).

Вышестоящие суды согласились с такими выводами, подчеркнув, что размещение персональных данных в социальных сетях не делает их автоматически общедоступными, следовательно, требуется согласие субъекта на обработку информации (постановление Девятого арбитражного апелляционного суда от 27 июля 2017 года по делу № А40-5250/17; постановление Арбитражного суда Московского округа от 9 ноября 2017 года по делу № А40-5250/2017; Определение ВС РФ от 29 января 2018 года по делу № 305-КГ17-21291).

ИНН — персональные данные?

В Определении Верховного Суда РФ от 1 марта 2006 г. по делу № 13-В05-13 указано, что ИНН по своему законодательному предназначению подлежит, наряду с другими сведениями, использованию исключительно в целях налогового учета и не заменяет имя человека.

В Апелляционном определении Санкт-Петербургского городского суда от 3 февраля 2015 г. № 33-1644/2015 по делу № 2-3097/2014 суд сделал вывод, что ИНН как таковой нельзя причислить к персональным данным. В обоснование своей позиции суд сослался на Определение Конституционного Суда РФ от 10 июля 2003 г. № 287-О, в котором отмечено, что присвоение ИНН, по сути, не нарушает свободы совести и вероисповедания.

Статья написана и размещена 14 сентября 2017 года. Дополнена 26.09.2019

Видео (кликните для воспроизведения).

Копирование статьи без указания прямой ссылки запрещено. Внесение изменений в статью возможно только с разрешения автора.

Источники


  1. Грот, Н.Я. О нравственной ответственности и юридической вменяемости / Н.Я. Грот. — Москва: ИЛ, 2017. — 144 c.

  2. Бархатова, Е.Ю. Международное публичное право в вопросах и ответах; Кнорус, 2011. — 232 c.

  3. Марченко, М.Н. Теория государства и права / М.Н. Марченко. — М.: Проспект, Велби; Издание 2-е, 2003. — 637 c.
Что не является персональными данными
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here