Как работать с персональными данными: что к ним относится, требования к обработке, хранению и использованию, какие сведения являются персональными данными

Содержание
  1. Как работать с персональными данными: что к ним относится, требования к обработке, хранению и использованию
  2. №1. Что такое персональные данные?
  3. Перечень персональных данных: что к ним относится и при каких условиях?
  4. Какие сведения являются такой информацией?
  5. Что не входит в ПД?
  6. Что может быть отнесено в данную категорию при выполнении определенных условий?
  7. Что относится к персональным данным?
  8. Какие сведения о работнике являются персональными данными?
  9. Вопрос
  10. Ответ

Как работать с персональными данными: что к ним относится, требования к обработке, хранению и использованию

Работа с персональными данными регулируется целым рядом норм, во главе которых стоит закон 152-ФЗ «О персональных данных». Параллельно ему действует Трудовой кодекс, также содержащий довольно много норм, регулирующих работу с персональными данными.

Какие сведения относятся к персональным данным

Пункт 1 ст. 3 Закона о персональных данных содержит довольно широкое определение, согласно которому персональные данные — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его:
— фамилия;
— имя;
— отчество;
— год, месяц, дата и место рождения;
— адрес;
— семейное, социальное, имущественное положение;
— образование;
— профессия;
— доходы;
— другая информация.
Как видно, данный перечень не является исчерпывающим, следовательно, и иная информация, характеризующая человека, может быть отнесена к его персональным данным.

Что об этом говорит ТК РФ? В соответствии со ст. 85 ТК РФ персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Четкого перечня персональных данных работника ТК РФ не содержит. Однако для трудовых отношений в общем перечне сведений, являющихся персональными данными, ТК РФ выделяет именно те, которые характеризуют человека в качестве работника. Как правило, эти данные необходимы для заключения трудового договора, заполнения личной карточки работника, формирования личного дела, предоставления работнику определенных льгот, выполнения работодателем иных функций, возложенных на него законодательством (уплата взносов на обязательное пенсионное страхование, налогов), и пр.

Пример 1. Иванову М.Ю. при устройстве на работу к индивидуальному предпринимателю предложили заполнить анкету, в которой он должен был указать свое социальное положение, доход, жилищные условия. Однако указанные сведения не могут характеризовать его как работника, соответственно, в контексте трудового законодательства они не являются персональными данными работника.

В соответствии со ст. 9 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» персональные данные представляют собой информацию ограниченного доступа. Кроме того, персональные данные указаны в Перечне сведений конфиденциального характера, утвержденном Указом Президента РФ от 06.03.1997 N 188 «Об утверждении Перечня сведений конфиденциального характера». Конфиденциальность персональных данных означает, что лицо, имеющее к ним доступ, не должно подвергать данные распространению без согласия субъекта персональных данных или иного законного основания.
Следовательно, персональные данные требуют особого подхода, который выражается в установлении порядка работы с ними, режима охраны этих данных. Рассмотрим более подробно, какие именно требования предъявляет действующее законодательство к работодателям при осуществлении различных действий с персональными данными работников.

Требования к обработке персональных данных работника

Согласно ст. 85 ТК РФ обработка персональных данных работника — это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника. Закон о персональных данных более подробно перечисляет действия, представляющие собой обработку таких данных, в том числе: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (включая передачу), обезличивание, блокирование, уничтожение персональных данных.

Таким образом, обработка персональных данных работника включает все этапы — от сбора до передачи третьим лицам. Требования к обработке персональных данных работника устанавливает ст. 86 ТК РФ.
В п. 1 ст. 86 ТК РФ предусмотрены цели подобной обработки, а именно она может осуществляться исключительно в следующих целях:
— обеспечения соблюдения законов и иных нормативных правовых актов;
— содействия работникам в трудоустройстве, обучении и продвижении по службе;
— обеспечения личной безопасности работников;
— контроля количества и качества выполняемой работы;
— обеспечения сохранности имущества.
При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами (п. 2 ст. 86 ТК РФ).

Как было отмечено, конкретного перечня сведений, относящихся к персональным данным работника, ТК РФ не устанавливает. Также отсутствует и список данных, которые работодатель должен собрать и обработать в отношении отдельно взятого работника. ТК РФ закрепляет лишь общие принципы. В частности, в силу требований трудового законодательства (ст. 65 ТК РФ) при приеме на работу работодатель получает персональные данные работника:
— о трудовом стаже работника (содержится в трудовой книжке работника);
— о регистрации в органах Пенсионного фонда РФ (подтверждается «пенсионным» свидетельством);
— о состоянии работника на воинском учете — для военнообязанных и подлежащих воинскому учету (содержится в документах воинского учета);
— об образовании, квалификации (подтверждаются соответствующими документами);
— о возрасте, месте жительства, семейных обязанностях (содержатся в паспорте, документе, удостоверяющем личность).

Помимо этого, работодатель получает и иные сведения, подлежащие занесению в личную карточку работника (форма личной карточки утверждена Постановлением Госкомстата России от 05.01.2004 N 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»).

Сбор сведений о родственниках работника не будет соответствовать указанным выше целям и принципам. Исключение составляет информация о детях и близких родственниках, за которыми работник осуществляет уход. Это необходимо для выполнения требований трудового законодательства и соблюдения прав работника в части установления ему особых условий труда.

Пример 2. В анкету для заполнения соискателями, устраивающимися на работу в охранное агентство, принадлежащее индивидуальному предпринимателю, были включены графы, предусматривающие представление информации о родственниках, осужденных к лишению свободы. Указанные сведения не относятся к персональным данным работника и противоречат общим целям обработки персональных данных.

Помимо перечисленных персональных данных, работодатель получает информацию, необходимую для уплаты налогов (ст. 24 Налогового кодекса РФ), а также для осуществления обязательного пенсионного страхования работника (ст. 6 Федерального закона от 01.04.1996 N 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»).
Работодатели нередко пренебрегают важным требованием к обработке персональных данных, в соответствии с которым они должны быть получены у самого работника (п. 3 ст. 86 ТК РФ).

Пример 3. В туристическом агентстве индивидуального предпринимателя И. практиковался сбор информации самого различного характера и формирование досье на работников без уведомления самих работников. В данном случае имеет место прямое нарушение положений ТК РФ — отсутствует согласие субъекта персональных данных на получение о нем данных. Кроме того, указанные сведения не относятся в соответствии с трудовым законодательством к персональным данным работников.

Однако приведенное выше правило не означает, что письменное согласие работника требуется каждый раз. Ведь, например, фамилия и имя сотрудника используются довольно часто. В данном случае следует иметь в виду, что согласно пп. 2 п. 2 ст. 6 Закона о персональных данных согласие от сотрудника не требуется, если сбор или изменение сведений проводят для исполнения договора, одной из сторон которого является сам работник. Так, передать сведения в охрану для оформления пропуска можно, не спрашивая письменного согласия работника, поскольку пропуск нужен для исполнения работником своих обязанностей по трудовому договору. Аналогичным образом обстоит дело с указанием данных сотрудника в различных рабочих документах (доверенностях, приказах, расчетно-платежных ведомостях).

Не всегда сведения, интересующие работодателя, работник может представить лично. Допустим, часть сведений работодатель может получить исключительно у третьего лица (например, предыдущего работодателя). Какова процедура их получения? Прежде всего необходимо согласие работника в письменном виде. Кроме того, в документе, где выражено согласие работника, следует указать цели, источники и способы получения персональных данных, перечень запрашиваемых сведений, лиц, у которых они будут запрашиваться, а также последствия отказа работника дать письменное согласие на их получение (в случае подобного отказа составляется акт).

Следует иметь в виду, что указанный порядок должен работать и в случаях, когда те или иные сведения, представленные работником, вызывают у работодателя сомнение. То есть не допускается тайком, за спиной работника, проверка информации, относящейся к его персональным данным.

В соответствии с п. 4 ст. 86 ТК РФ работодатель не имеет права получать и обрабатывать персональные данные работника о его религиозных и иных убеждениях и частной жизни. Однако, если для осуществления трудовых отношений необходимы такие данные, они собираются с письменного согласия работника. Примером информации о частной жизни являются сведения о наличии детей.

Работодателю запрещается получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или о его профсоюзной деятельности (п. 5 ст. 86 ТК РФ).

При принятии решений, затрагивающих интересы работника, работодатель не вправе основывать свое решение на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения (п. 6 ст. 86 ТК РФ). То есть данные, полученные в электронном виде и не подтвержденные иными материальными носителями, не могут лежать в основе решения работодателя, затрагивающего интересы работника. Это связано с тем, что персональные данные в электронном виде могут быть подвергнуты неправомерной корректировке в результате чьих-то случайных или неправомерных действий либо в результате сбоя программы. В данном случае следует сверить информацию с данными, содержащимися на бумаге, или получить подтверждение от самого работника.

Пример 4. При приеме на работу нового продавца в магазин автозапчастей, принадлежащий индивидуальному предпринимателю П., сотрудник, ведущий кадровую работу, по электронной почте обратился к предыдущему работодателю соискателя с просьбой направить краткую характеристику на него. В ответ он получил электронное сообщение с запрашиваемой характеристикой, однако с неточной информацией. Как выяснилось при проверке информации, предыдущий работодатель умышленно исказил факты для того, чтобы помешать трудоустройству квалифицированного специалиста к конкуренту.

ТК РФ возлагает на работодателя обязанность по защите персональных данных работников от неправомерного их использования или утраты. Защита должна осуществляться за счет средств работодателя (п. 7 ст. 86 ТК РФ). В данном случае имеются в виду мероприятия, направленные на защиту информации ограниченного доступа. К примеру, строгая регламентация порядка обращения с подобной информацией, установление круга лиц, имеющих к ней доступ.
Обязанностью работодателя также является разработка документов, устанавливающих порядок обработки персональных данных. Что касается работников, они должны быть ознакомлены под роспись с указанными документами, а также с их правами и обязанностями в данной области (п. 8 ст. 86 ТК РФ). Примерами подобных документов могут быть положение, инструкция. Отказ работников от своих прав на защиту и сохранение тайны не допускается (п. 9 ст. 86 ТК РФ).
Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников (п. 10 ст. 86 ТК РФ). К примеру, разрабатывать локальные нормативные акты, устанавливающие порядок доступа и работы с персональными данными работников, режим их защиты.

Хранение и использование персональных данных работников

Статья 87 ТК РФ устанавливает, что порядок хранения и использования персональных данных определяется работодателем самостоятельно. Хранение персональных данных осуществляется в документированном виде. Персональные данные работника содержатся в следующих документах:
— в документе, удостоверяющем личность работника;
— в трудовой книжке;
— в страховом свидетельстве обязательного пенсионного страхования;
— в документах воинского учета;
— в документах об образовании, квалификации или специальной подготовке;
— в иных документах, представляемых работником (резюме, справки, характеристики, грамоты и пр.);
— в докладных, служебных записках;
— в материалах служебных проверок и расследований.
Основные документы, в которых содержатся персональные данные, объединяются в личное дело, порядок ведения и хранения которого устанавливается работодателем. Отметим также иные документы, регламентирующие сроки хранения носителей, содержащих персональные данные работников.
Так, персональные данные о трудовой деятельности и трудовом стаже содержатся в трудовой книжке. Порядок хранения трудовых книжек установлен Правилами ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей (утв. Постановлением Правительства РФ от 16.04.2003 N 225).

Формы первичной учетной документации по учету труда и его оплаты утверждены Постановлением Госкомстата России от 05.01.2004 N 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты». В соответствии с данным Постановлением работодатель осуществляет хранение этих документов, содержащих в том числе и персональные данные работников.

Поскольку персональные данные относятся к закрытой информации, работодатель должен создать технические условия, направленные на охрану персональных данных работников (особый режим доступа, защита персональных данных от случайного уничтожения, утраты, несанкционированного доступа, изменений или распространения).
Обратите внимание на то, что обязанность защиты персональных данных снимается с работодателя в отношении обезличенных и общеизвестных персональных данных. Так, обезличенными являются персональные данные, которые невозможно отнести к тому или иному лицу. Говоря другими словами, неизвестно, кому именно они принадлежат. К общедоступным персональным данным относятся данные, доступ к которым с согласия гражданина может быть предоставлен широкому кругу лиц (например, информация, находящаяся в справочнике, адресной книге).

Передача персональных данных работников

Нередко перед работодателем встает вопрос о передаче персональных данных того или иного работника. Статья 88 ТК РФ устанавливает ряд правил, которыми необходимо руководствоваться при передаче персональных данных.

Прежде всего передача персональных данных третьей стороне возможна лишь с письменного согласия работника. Исключение составляют случаи, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника (а также в иных случаях, предусмотренных ТК РФ и иными федеральными законами).

Примерами указанных исключений является информирование ряда госорганов о несчастном случае на производстве (ст. 228 ТК РФ), передача персональных данных в соответствии с действующим законодательством в:
— Пенсионный фонд РФ;
— Федеральную инспекцию труда;
— налоговые органы;
— Фонд социального страхования РФ;
— органы государственного контроля и надзора за соблюдением законов о труде.
Персональные данные — информация не для свободного доступа. В связи с этим лица, которым переданы персональные данные, должны использовать полученную информацию исключительно в целях, для которых она была сообщена, и соблюдать режим секретности (конфиденциальности) информации.

Передача персональных данных в рамках одного работодателя должна происходить в соответствии с локальным нормативным актом, с которым работник подлежит ознакомлению под роспись.

При передаче персональных данных доступ к ним должен разрешаться исключительно уполномоченным лицам. В данном случае в локальном нормативном акте о персональных данных, который обязан разработать каждый работодатель, можно предусмотреть, кто именно из специалистов, в каком объеме и к какой информации имеет доступ.

Работодателю при передаче персональных данных работника запрещается запрашивать информацию о состоянии здоровья работника. Исключение составляют те сведения, которыми работодателю необходимо располагать при решении вопроса о возможности или невозможности выполнения работником трудовой функции. Кроме того, в ряде случаев необходимость получения информации о здоровье работника вызвана спецификой работы (в отношении работников, занятых в организациях общественного питания, детских учреждениях и т.п.).

Права, предоставленные работникам

Закон о персональных данных устанавливает перечень прав субъектов персональных данных, к которым в том числе относятся и работники. В контексте трудовых отношений права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя, конкретизирует ст. 89 ТК РФ. Итак, работники наделены следующими правами:
1. Получать полную информацию об их персональных данных, хранящихся у работодателя, и об обработке этих данных. В целях реализации заявленного права работника работодатель обязан ознакомить его с документами (положением, инструкцией, приказом), регламентирующими порядок работы с персональными данными. Иметь свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные. Однако указанное право работника совсем не означает, что он в любой удобный для него момент может прийти и полистать свое личное дело. Согласно ст. 14 Закона о персональных данных работник как субъект персональных данных может получить доступ к своим персональным данным на основании запроса. Отказ в предоставлении информации должен быть мотивирован и выдается работнику в письменном виде в срок, не превышающий 7 рабочих дней со дня обращения или даты получения запроса (ст. 20 Закона о персональных данных). Подробный порядок может быть прописан в локальном нормативном акте. Напомним, что в соответствии со ст. 62 ТК РФ копии документов, связанных с работой, выдаются работнику не позднее трех рабочих дней со дня подачи письменного заявления.
2. Определять своих представителей для защиты своих персональных данных (представителем работника может быть не только профсоюз, но и физическое или юридическое лицо).
3. Иметь доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору.
4. Требовать исключить или исправить неверные или неполные персональные данные, а также данные, обработанные с нарушением требований законодательства (например, данные были получены без согласия работника, и через некоторое время работник случайно узнал о том, что в них содержится ошибка). Требование следует оформлять в письменном виде. Если же работодатель откажет в выполнении данного требования, то работник вправе также в письменной форме заявить о своем несогласии с его обоснованием. С отказом в исправлении или исключении персональных данных работника необходимо ознакомить под роспись. Возможные дальнейшие варианты разрешения данного разногласия — продолжение переговоров или обращение работника в суд.
При выявлении недостоверных персональных данных работодатель должен их заблокировать (т.е. приостановить всякие действия по обработке данных). Затем необходимо подтвердить факт недостоверности и уточнить персональные данные (ст. 21 Закона о персональных данных).
Персональные данные оценочного характера (например, характеристику, в которой отмечены его профессиональные навыки) работник вправе дополнить заявлением, выражающим его собственную точку зрения.
5. Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в данных исключениях исправлениях и дополнениях. Оперируя недостоверной информацией, третьи лица могут нанести существенный вред работнику. Например, неточные сведения, переданные в Пенсионный фонд РФ, могут привести к уменьшению размера пенсии.
6. Обратиться в суд для обжалования любых неправомерных действий или бездействий работодателя при обработке и защите персональных данных.

Ответственность за нарушение правил работы с персональными данными

Статья 90 ТК РФ предусматривает, что лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных работников, могут быть привлечены к следующим видам ответственности:
— дисциплинарной;
— материальной;
— гражданско-правовой;
— административной;
— уголовной.

Сотрудник, на которого возложена ответственность за сохранность персональных данных, при нарушении правил работы с ними может быть подвергнут дисциплинарному взысканию (замечание, выговор, увольнение). Однако разглашение персональных данных может повлечь более серьезное наказание. Так, согласно пп. «в» п. 6 ст. 81 ТК РФ по инициативе работодателя может быть расторгнут трудовой договор с сотрудниками, разгласившими охраняемую законом тайну (к которой в том числе относятся персональные данные). Уволить по данному основанию можно именно за разглашение данных, за нарушение иных правил работы с персональными данными работодатель вправе наложить иное дисциплинарное взыскание.

Пример 5. Работник магазина Иванова М.А. по неосторожности повредила несколько трудовых книжек работников. Поскольку в данном случае не произошло разглашения персональных данных, Ивановой М.А. было сделано замечание.

К материальной ответственности могут быть привлечены сотрудники, нарушившие правила работы с персональными данными и причинившие ущерб субъекту персональных данных (работнику), в результате чего работодатель был обязан произвести работнику выплаты в возмещение морального вреда.

Привлечение к указанному виду ответственности возможно в виде денежной компенсации за причиненный моральный вред, обязанности опровержения сведений, порочащих честь, достоинство или деловую репутацию гражданина (ст. ст. 150, 151, 152 ГК РФ).

В соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 3 до 5 МРОТ, на должностных лиц — от 5 до 10 МРОТ, на юридических лиц — от 40 до 50 МРОТ. За нарушение правил защиты информации административная ответственность предусмотрена ст. 13.12 КоАП РФ.
Помимо этого, ст. 13.14 КоАП РФ предусматривает, что разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от 5 до 10 МРОТ, на должностных лиц — от 40 до 50 МРОТ.

Привлечение к уголовной ответственности возможно на основании ст. 137 УК РФ — за злоупотребления и незаконные действия с информационными данными о частной жизни.

Разрабатываем локальный акт о персональных данных работников

Разработка локального нормативного акта (инструкции, положения) о порядке работы с персональными данными работников — обязанность работодателя, невыполнение которой влечет наложение административного штрафа по ст. 5.27 КоАП РФ. При этом трудовое законодательство не содержит конкретных требований к структуре и содержанию данного акта, оставляя это на усмотрение работодателя.
Приведем примерную структуру положения о персональных данных.
I. Общие положения (цели и задачи компании в области защиты персональных данных работников; понятие и состав персональных данных; порядок получения персональных данных работников).
II. Порядок хранения, использования и передачи персональных данных работника (меры, предпринимаемые для защиты персональных данных работников; место хранения данных; лица, ответственные за хранение персональных данных работников; перечень лиц, имеющих доступ к персональным данным работников (кадровик (если есть), бухгалтер и пр.); общие требования к передаче персональных данных работников; порядок передачи персональных данных у индивидуального предпринимателя).
III. Обязанности работодателя по хранению и защите персональных данных работника (обеспечение защиты персональных данных работников, ознакомление работников с документами в данной сфере, обеспечение доступа к персональным данным и пр.).
IV. Права работников на защиту персональных данных.
V. Ответственность за разглашение персональных данных работников.
С положением работники должны быть ознакомлены под роспись (можно получить расписку от каждого работника или собрать их подписи в ведомости). Неознакомление работников компании под роспись с указанным локальным нормативным актом может повлечь привлечение к административной ответственности.

Судебно-арбитражная практика. Истец обратился в ФАС Московского округа с кассационной жалобой на Решение Арбитражного суда г. Москвы и Постановление Девятого арбитражного апелляционного суда. Из материалов дела следует, что постановлением государственной инспекции труда г. Москвы Истец был привлечен к административной ответственности за совершение правонарушения, предусмотренного ч. 1 ст. 5.27 КоАП РФ, выразившееся в нарушении п. 8 ст. 86 ТК РФ: работник, трудившийся у Истца, не был ознакомлен под роспись с документами, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Судом кассационной инстанции было подтверждено, что выводы судебных инстанций являются правильными, соответствуют фактическим обстоятельствам и имеющимся в материалах доказательствам. В связи с этим кассационная жалоба была оставлена без удовлетворения (Постановление ФАС Московского округа от 27.11.2006 по делу N КА-А40/11424-06).

В качестве приложения к локальному акту целесообразно составить список сотрудников, имеющих доступ к персональным данным работников.
В случае отсутствия такого локального акта работодатель может быть привлечен к административной ответственности по ст. 5.27 КоАП РФ, предусматривающей наложение административного штрафа на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от 5 до 50 МРОТ или административное приостановление деятельности на срок до 90 суток.

И.Юсупова
Юрист
«Предприниматель без образования юридического лица. ПБОЮЛ», 2009, N 8

№1. Что такое персональные данные?

История вопроса о защите личных (персональных) данных начинается в 1976 году, когда комитет министров Совета Европы принял решение разработать Конвенцию «О защите физических лиц при обработке персональных данных, осуществляемой на международном уровне», которая в 1981 году была открыта для подписания странами Европы. В России данная Конвенция была подписана и ратифицирована лишь в начале двухтысячных годов, после чего началось формирование нормативно-законодательной базы в сфере использования и защиты персональных данных. В 2006 году Государственной думой РФ был принят базовый закон — Федеральный закон № 152-ФЗ «О персональных данных», который чётко регламентировал все вопросы, касающиеся получения, использования, передачи и других действий с персональными данными, а также вопросы их защиты.

Согласно базовому закону персональными данными является абсолютно любая информация, которая относится к определённому или определяемому (прямо или косвенно) физическому лицу. Основными персональными данными, которые встречаются в повседневной жизни, являются фамилия, имя, отчество субъекта (физического лица), дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии и т.п.

Существует четыре вида персональных данных, которые разделяются по степени информативности:

Первый вид — специальные категории персональных данных, которые включают в себя информацию о национальной и расовой принадлежности субъекта, о религиозных либо философских убеждениях, информацию о здоровье и интимной жизни субъекта.

Второй вид содержит информацию, по которой можно идентифицировать человека и получить о нем дополнительные сведения, например, ФИО, адрес и сведения о заработках.

Персональные данные третьего вида — это информация, позволяющая только определить субъекта, то есть, например, фамилия, имя и дата рождения.

К четвертому виду относятся общедоступные или обезличенные персональные данные. Общедоступными являются ПДн, которые в соответствии с законодательством не могут подвергаться сокрытию, то есть не могут быть конфиденциальными, например, сведения о доходах представителей органов государственной и муниципальной власти, либо ПДн, доступ к которым предоставлен с разрешения самого субъекта. Обезличенными персональными данными является информация, по которой невозможно определить ее принадлежность к конкретному физическому лицу.

Данная статья отредактирована с учетом изменений Федерального закона «О персональных данных», вступивших в силу 27 июля 2011 года.

Перечень персональных данных: что к ним относится и при каких условиях?

В начале жизни каждый человек получает имя и свидетельство о рождении. Спустя годы, он получает внутренний паспорт, ИНН, страховое свидетельство и другие документы, в которых содержатся его персональные данные.

Во время получения каждого из вышеперечисленных документов мы соглашаемся на обработку наших персональных данных. И зачастую многие даже не подозревают об этом, так как не читают документы перед тем, как их подписывать.

Какие сведения являются такой информацией?

Согласно Федеральному закону №-152 ФЗ «О персональных данных» вступившего в силу 27 января 2007 года, целью которого является обеспечение защиты прав и свобод человека, персональными данными (далее ПДн) считается абсолютно любая информация, имеющая отношение к определяемому или определенному физическому лицу.

Этот закон регулирует всяческие отношения, которые возникают во время обработки и хранения персональных данных физических лиц. В законе они именуются не иначе, как субъекты. Обработкой и хранением занимаются государственные и муниципальные органы власти, а также физические и юридические лица.

Главные ПДн, с которыми мы постоянно сталкиваемся в повседневной жизни – это:

  • фамилия, имя, отчество;
  • место жительства или регистрация;
  • дата и место рождения;
  • семейное, социальное или имущественное положение;
  • сведения об образовании, доходах, профессии и пр.

Существует несколько видов ПДн, которые разделяются по степени информативности.

  1. К этому виду относятся специальные категории ПДн, которые включают в себя такие сведения, как: информация о расовой и национальной принадлежности субъекта; его религиозные или философские убеждения; информация о состоянии здоровья и о его интимной жизни. Эта информация может содержаться в анкете, которая заполняется сотрудниками при приёме на работу, медицинских справках и т.д.
  2. Этот вид содержит в себе информацию, которая помогает идентифицировать человека, чтобы получить о нем такие сведения, как: Ф.И.О. субъекта; адрес; сведения о доходах и пр.
  3. К этому виду относятся биометрические сведения человека: анализ ДНК, отпечаток пальцев и ладони, сетчатка глаза, особенности строения тела субъекта.
  4. К этому виду относятся все обезличенные или общедоступные ПДн. Обезличенные ПДн представляют собой информацию, из-за которой невозможно определить её принадлежность к конкретному физическому лицу. Общедоступные – это сведения, которые, согласно законодательству Российской Федерации, не могут быть сокрытыми, то есть не являются конфиденциальными.

Например: данные, доступ к которым был разрешен самим субъектом; сведения и информация о доходах представителей муниципальной и государственной власти.

У граждан

Персональными данными физических лиц считаются:

  • фамилия, имя и отчество;
  • дата рождения;
  • идентификационный номер;
  • место рождения;
  • гражданство;
  • информация о регистрации по месту жительства или месту проживания;
  • свидетельство о смерти или объявлении физического лица умершим, без вести пропавшим, недееспособным или ограничено дееспособным;
  • сведения о семейном положении (о супруге, детях и родителях);
  • информация об образовании;
  • информация о роде занятий;
  • о пенсии;
  • о ежемесячных страховых выплатах по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваниях;
  • о налоговых обязательствах;
  • об исполнении воинской обязанности.

У юридических лиц?

  • Наименование юридического лица.
  • Организационно-правовая форма.
  • Ююридический адрес.
  • Адрес местонахождения юридического лица.
  • ОГРН (основной государственный регистрационный номер).
  • ИНН (идентификационный номер).
  • КПП (код причины постановки на учет).
  • Расчетный счет.

Также в некоторых случаях учитываются ПДн руководителя юридического лица.

Что не входит в ПД?

В настоящее время грань между персональными данными и «не персональными данными» заметно истончилась. В первую очередь это связано с появлением современных технологий и различных гаджетов. С появлением интернета большинство сведений о человеке стали общедоступными, а расплывчатое объяснение в Федеральном законе №-152 «О персональных данных» не дает точного ответа на вопрос «Что такое персональные данные?».

Многие юристы и по сей день спорят о том, что из представленной информации в интернете попадает под это определение, а что можно отнести к «не персональным данным». С полной уверенностью можно сказать, что IP-адрес компьютера не считается ПДн физического лица, так как он не может напрямую идентифицировать человека.

Тоже касается и доменного имени и сетевых адресов. Также прочую техническую информацию невозможно отнести к этой категории.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Что может быть отнесено в данную категорию при выполнении определенных условий?

  1. Номер телефона может иметь отношение к персональным данным лишь в том случае, если он закреплен за конкретным физическим лицом по договору с оператором связи или находится в открытом доступе с указанием имени владельца. В таких случаях номер мобильного относится к прямо или косвенно определенному физическому лицу.
  2. В примерно таком же положении находиться и email адрес.

Большинство людей прописывают в адресе слова и символы, которые ничего не значат. Вследствие этого, по этому электронному адресу невозможно идентифицировать человека.

Некоторые email адреса, такие как «[email protected]» или «[email protected]», также не считаются ПДн, поскольку пользоваться этими адресами могут сразу несколько человек. Если же в электронной почте указаны Ф.И.О. и дата рождения, то в таком случае электронный адрес попадает под категорию персональных данных.
Логин и пароль, в свою очередь, также не попадают под эту категорию, в независимости от того, какая информация указывается в графе логина или пароля.

Страницы в социальных сетях в этом случае имеют определенные сложности, так как многие люди, несмотря на то, что они выставляют свои фотографии, подписываются под другими, зачастую выдуманными, именами.

  • Фотографии и видеозаписи считаются персональными данными только в том случае, если по ним возможно идентифицировать человека. Исключением являются фото и видеозаписи, сделанные на массовых и публичных мероприятиях, на что указывает пункт 1 статьи 152 Гражданского Кодекса Российской Федерации.
  • Защитой, хранением и обработкой персональных данных занимается определенный круг лиц.

    Например: государственные и муниципальные службы, начальник, специалисты отдела кадра и т.д. Следует быть предельно внимательным, вручая свои персональные данные тем или иным людям и уделить достаточное время этому пункту в договорах, перед тем как поставить подпись.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    +7 (812) 467-38-62 (Санкт-Петербург)

    Что относится к персональным данным?

    При рождении каждому человеку дается имя и выдается свидетельство о рождении. Спустя годы гражданин получает паспорт, страховое свидетельство, ИНН и другие документы, которые содержат его персональные данные. При получении каждого из вышеуказанных документов гражданин подписывает согласие на обработку персональных данных, порой и не прочитав документ. Хранение и обработка данных гражданина в РФ регулируется Федеральным законом «О персональных данных», вступившим в силу с 26 января 2007 года. 152-ФЗ регулирует отношения, возникающие при обработке какой-либо персональной информации физических лиц. Закон именует их субъектами персональных данных. При этом обработчиками информации являются муниципальные и государственные органы, а также физические и юридические лица (компании, фирмы). Но что относится к персональным данным? Почему для их обработки требуется согласие гражданина и что оно должно содержать?

    При трудоустройстве на работу работодатель обязан под роспись ознакомить работника с согласием субъекта на обработку персональных данных. При этом в подобном документе должны быть указаны следующие моменты:

    • Ф. И. О. субъекта (работника), его полный адрес, а также номер паспорта, дата выдачи и наименование выдавшего его органа. Если у гражданина нет паспорта, то указывается иной документ, удостоверяющий личность;
    • наименование и адрес организации, которая является оператором и осуществляет обработку персональной информации.

    Кроме этого, согласно 152-ФЗ, в письменном согласии работника должны быть указаны цель обработки и перечень персональных данных, которые работник «разрешает» хранить и обрабатывать. Также в согласии на обработку данных указывается срок его действия, порядок отзыва и описание способов обработки данных, которые будет осуществлять оператор в процессе своей деятельности.

    Итак, какие данные относятся к персональным? По степени информативности все персональные данные можно разделить на четыре вида:

    • первый вид – информация о расовой и национальной принадлежности, частной и интимной жизни гражданина, его здоровье, а также сведения о философских, политических и религиозных убеждениях;
    • второй вид – Ф. И. О. и адрес, сведения о заработной плате, паспортные данные, номер ИНН и СНИЛС;
    • третий вид – информация, содержащая только имя, фамилию и дату рождения;
    • четвертый вид – общедоступные сведения, по которым невозможно определить принадлежность персональных данных определенному физическому лицу.

    Таким образом, к персональным данным гражданина относятся его Ф. И. О., адрес фактического проживания и прописки, дата и место рождения, номер и серия паспорта, дата его выдачи, серийные номера других документов (медицинский полис, ИНН, СНИЛС, пенсионное удостоверение), информация из трудовых и медицинских книжек, а также другие данные, относящиеся к конкретному физическому лицу. К ним можно отнести как информацию о семейном и социальном положении, так и сведения об образовании и доходах.

    В соответствии с нашим законодательством любые персональные данные должны быть защищены, и доступ к ним должен быть ограничен. В связи с этим в организациях подобный доступ имеет лишь определенный круг лиц (начальник отдела кадров, делопроизводители и специалисты по кадрам, бухгалтеры). При этом личные дела работников, их трудовые книжки и вкладыши хранятся в сейфах.

    Какие сведения о работнике являются персональными данными?

    Вопрос-ответ по теме

    Вопрос

    Являются ли персональными данными сведения о работнике К., характеризующие его морально-деловые качества (1. оценка качества выполнения им трудовых обязанностей, его благонадежности, дисциплинированности, ответственности, манеры общения, исполнительности и проч.; 2. информация о поощрениях за успехи в труде, наградах, фактах нарушения законодательства, в том числе, нарушения ПДД, привлечения судом к административной ответственности, сведения о наличии судимости; фактах нарушения трудовой дисциплины на предыдущих местах работы, неисполнения или ненадлежащего исполнения трудовых обязанностей и т.д.).

    Ответ

    Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в Вашем случае, работнику (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).

    Описанная в вопросе информация имеет отношение к соответствующему работнику, поэтому при её обработки следует соблюдать законодательство об обработке персональных данных работника. В том числе, для её обработки необходимо получить письменное согласие работника по установленной форме (см. приложение к ответу ниже).

    Подробности в материалах Системы Кадры:

    Также прочитайте о видах персональных данных более подробно.

    Ситуация: Как получить согласие сотрудника на обработку его персональных данных

    По ходу деятельности у работодателя возникает необходимость в обработке персональных данных сотрудников. Обработка таких данных за исключением отдельных случаев происходит только с письменного согласия сотрудников. При этом согласие должно включать в себя следующую информацию:

    • фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
    • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
    • цель обработки персональных данных;
    • перечень персональных данных, на обработку которых дается согласие;
    • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
    • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
    • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
    • подпись сотрудника.

    Такие требования установлены в части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

    При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель: родитель, опекун (ч. 6 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

    Интересная информация о назначении ответственного за персональные данные размещена здесь.

    Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в произвольной форме. В такой ситуации организация вправе продолжить обработку персональных данных без согласия сотрудника с учетом ограничений, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в части 2 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

    Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя (ч. 3 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

    С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (ч. 3 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем (ч. 5 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ).

    Популярные вопросы

    Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей, а также от лиц, с которыми заключены в организации гражданско-правовые договоры. Об этом сказано в пункте 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

    Нина Ковязина, заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России

    С уважением и пожеланием комфортной работы, Татьяна Козлова,

    Похожих постов не найдено

    Комментариев нет, будьте первым кто его оставит