Что входит в понятие персональных данных в РФ?

Перечень персональных данных: что к ним относится и при каких условиях?

В начале жизни каждый человек получает имя и свидетельство о рождении. Спустя годы, он получает внутренний паспорт, ИНН, страховое свидетельство и другие документы, в которых содержатся его персональные данные.

Во время получения каждого из вышеперечисленных документов мы соглашаемся на обработку наших персональных данных. И зачастую многие даже не подозревают об этом, так как не читают документы перед тем, как их подписывать.

Какие сведения являются такой информацией?

Согласно Федеральному закону №-152 ФЗ «О персональных данных» вступившего в силу 27 января 2007 года, целью которого является обеспечение защиты прав и свобод человека, персональными данными (далее ПДн) считается абсолютно любая информация, имеющая отношение к определяемому или определенному физическому лицу.

Этот закон регулирует всяческие отношения, которые возникают во время обработки и хранения персональных данных физических лиц. В законе они именуются не иначе, как субъекты. Обработкой и хранением занимаются государственные и муниципальные органы власти, а также физические и юридические лица.

Главные ПДн, с которыми мы постоянно сталкиваемся в повседневной жизни – это:

  • фамилия, имя, отчество;
  • место жительства или регистрация;
  • дата и место рождения;
  • семейное, социальное или имущественное положение;
  • сведения об образовании, доходах, профессии и пр.

Существует несколько видов ПДн, которые разделяются по степени информативности.

  1. К этому виду относятся специальные категории ПДн, которые включают в себя такие сведения, как: информация о расовой и национальной принадлежности субъекта; его религиозные или философские убеждения; информация о состоянии здоровья и о его интимной жизни. Эта информация может содержаться в анкете, которая заполняется сотрудниками при приёме на работу, медицинских справках и т.д.
  2. Этот вид содержит в себе информацию, которая помогает идентифицировать человека, чтобы получить о нем такие сведения, как: Ф.И.О. субъекта; адрес; сведения о доходах и пр.
  3. К этому виду относятся биометрические сведения человека: анализ ДНК, отпечаток пальцев и ладони, сетчатка глаза, особенности строения тела субъекта.
  4. К этому виду относятся все обезличенные или общедоступные ПДн. Обезличенные ПДн представляют собой информацию, из-за которой невозможно определить её принадлежность к конкретному физическому лицу. Общедоступные – это сведения, которые, согласно законодательству Российской Федерации, не могут быть сокрытыми, то есть не являются конфиденциальными.

Например: данные, доступ к которым был разрешен самим субъектом; сведения и информация о доходах представителей муниципальной и государственной власти.

У граждан

Персональными данными физических лиц считаются:

  • фамилия, имя и отчество;
  • дата рождения;
  • идентификационный номер;
  • место рождения;
  • гражданство;
  • информация о регистрации по месту жительства или месту проживания;
  • свидетельство о смерти или объявлении физического лица умершим, без вести пропавшим, недееспособным или ограничено дееспособным;
  • сведения о семейном положении (о супруге, детях и родителях);
  • информация об образовании;
  • информация о роде занятий;
  • о пенсии;
  • о ежемесячных страховых выплатах по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваниях;
  • о налоговых обязательствах;
  • об исполнении воинской обязанности.

У юридических лиц?

  • Наименование юридического лица.
  • Организационно-правовая форма.
  • Ююридический адрес.
  • Адрес местонахождения юридического лица.
  • ОГРН (основной государственный регистрационный номер).
  • ИНН (идентификационный номер).
  • КПП (код причины постановки на учет).
  • Расчетный счет.

Также в некоторых случаях учитываются ПДн руководителя юридического лица.

Что не входит в ПД?

В настоящее время грань между персональными данными и «не персональными данными» заметно истончилась. В первую очередь это связано с появлением современных технологий и различных гаджетов. С появлением интернета большинство сведений о человеке стали общедоступными, а расплывчатое объяснение в Федеральном законе №-152 «О персональных данных» не дает точного ответа на вопрос «Что такое персональные данные?».

Многие юристы и по сей день спорят о том, что из представленной информации в интернете попадает под это определение, а что можно отнести к «не персональным данным». С полной уверенностью можно сказать, что IP-адрес компьютера не считается ПДн физического лица, так как он не может напрямую идентифицировать человека.

Тоже касается и доменного имени и сетевых адресов. Также прочую техническую информацию невозможно отнести к этой категории.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему – обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Что может быть отнесено в данную категорию при выполнении определенных условий?

  1. Номер телефона может иметь отношение к персональным данным лишь в том случае, если он закреплен за конкретным физическим лицом по договору с оператором связи или находится в открытом доступе с указанием имени владельца. В таких случаях номер мобильного относится к прямо или косвенно определенному физическому лицу.
  2. В примерно таком же положении находиться и email адрес.

Большинство людей прописывают в адресе слова и символы, которые ничего не значат. Вследствие этого, по этому электронному адресу невозможно идентифицировать человека.

Некоторые email адреса, такие как «support@..» или «help@..», также не считаются ПДн, поскольку пользоваться этими адресами могут сразу несколько человек. Если же в электронной почте указаны Ф.И.О. и дата рождения, то в таком случае электронный адрес попадает под категорию персональных данных.
Логин и пароль, в свою очередь, также не попадают под эту категорию, в независимости от того, какая информация указывается в графе логина или пароля.

Страницы в социальных сетях в этом случае имеют определенные сложности, так как многие люди, несмотря на то, что они выставляют свои фотографии, подписываются под другими, зачастую выдуманными, именами.

  • Фотографии и видеозаписи считаются персональными данными только в том случае, если по ним возможно идентифицировать человека. Исключением являются фото и видеозаписи, сделанные на массовых и публичных мероприятиях, на что указывает пункт 1 статьи 152 Гражданского Кодекса Российской Федерации.
  • Защитой, хранением и обработкой персональных данных занимается определенный круг лиц.

    Например: государственные и муниципальные службы, начальник, специалисты отдела кадра и т.д. Следует быть предельно внимательным, вручая свои персональные данные тем или иным людям и уделить достаточное время этому пункту в договорах, перед тем как поставить подпись.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему – позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    Это быстро и бесплатно !

    Понятие и виды персональных данных

    Подтвердить разрешение на обработку персональных данных сейчас просят при заключении договоров, заполнении анкет, регистрации на сайтах. Большинство граждан соглашаются автоматически, хотя личная информация о человеке в руках недобросовестных лиц — мощное и опасное оружие. Статья рассказывает о том, что нужно знать о персональных данных, открывая доступ к ним 3-м лицам.

    Персональные данные: что это, нормативная база

    Операторы получают доступ к тому объему данных, который требуется для решения их задач. Они не имеют права хранить и использовать их после того, как цель достигнута. Например, наниматель должен уничтожить записи, анкеты — все, что относится к персональным данным работника, после его увольнения. В ином случае, грозит ответственность за разглашение персональных данных работника

    Классификация персональных данных

    ФЗ № 152 выделяет несколько видов персональных данных. Можно расположить их по степени «секретности», сложности в сборе и использовании 3-ми лицами:

    Общие персональные данные

    Общие персональные данные — это основная информация о человеке. К ним относят:

    • ФИО;
    • место прописки и проживания;
    • паспортные данные;
    • образование;
    • ИНН;
    • контактные данные;
    • сведения о работе;
    • размер доходов и т. д.

    Не все из них по отдельности можно отнести к ПД. Например, закон точно не определяет, является ли номер телефона персональными данными. Роскомнадзор в ответе на обращения граждан пояснил, что только по номеру невозможно точно идентифицировать человека. Сам по себе он не персонален, а в связке с ФИО владельца и городом проживания относится к ПД. Поэтому неперсонифицированная рассылка смс-сообщений не считается нарушением ФЗ № 152.

    Общие ПД содержатся в паспорте, военном билете, дипломе, личной карточке сотрудника, трудовой книжке и т. д. Письменное разрешение не обязательно для получения этих данных, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты. Относительная простота доступа часто приносит проблемы субъектам ПД — обычным гражданам: от навязчивой рекламы до шантажа и подделок кредитных заявок.

    Биометрические ПД

    Биометрические данные — это физиологические и биологические характеристики субъекта: дактилоскопические изображения, группа крови, рост, цвет глаз, вес, анализ ДНК и т. д. Сюда относится и информация, которую можно получить по фото- или видеозаписи с человеком. Биометрические ПД часто необходимы при лечении или устройстве на работу в госорганы, оформлении заграничных паспортов и виз.

    Специальные ПД

    Раса и национальность, вероисповедание, философские убеждения, состояние здоровья, наличие судимостей, интимная жизнь, сексуальные предпочтения относятся к специальным данным. Они содержатся в медицинских справках, личных делах и т. д.

    Специальные ПД требуются для участия в политической деятельности, вступления в вооруженные силы. Получить доступ к этим данным 3-и лица могут только с разрешения субъекта.

    Зачем нужен закон о персональных данных? Ответ смотрите в видеосюжете:

    Обезличенные ПД

    Обезличенные ПД доступны для любого заинтересованного лица. Источниками информации могут быть:

    Общедоступная информация, которая считается персональными данными, — это, например, доходы политических деятелей, представителей федеральной или муниципальной власти, чиновников на руководящих должностях.

    Big Data, с одной стороны, прямо или косвенно указывают на человека, то есть попадают под определение ПД. Законодатели в то же время не рассматривают интернет-данные как собственность индивида, так как он не может их контролировать.

    Определение понятия персональных данных в Российской Федерации

    Дата публикации: 11.03.2017 2017-03-11

    Статья просмотрена: 2186 раз

    Библиографическое описание:

    Симонова Е. В. Определение понятия персональных данных в Российской Федерации // Молодой ученый. — 2017. — №10. — С. 323-326. — URL https://moluch.ru/archive/144/40424/ (дата обращения: 03.02.2020).

    В последнее время, в связи с бурным развитием автоматизированных систем сбора, хранения и обработки данных, позволяющих за незначительный отрезок времени передавать большое количество данных не только внутри страны, но и за её пределы, стал актуальным вопрос о защите конституционного права на неприкосновенность частной жизни, личную и семейную тайну при использовании персональных данных.

    Действительно, благодаря такому стремительному развитию обмен информацией в мире стал более быстрым и легким. Однако наряду с имеющимися преимуществами есть и недостатки. В частности, одним из таких недостатков является: формирование принципиально новых факторов, носящих угрозы для права граждан на невмешательства в частную жизнь. Так, к числу таких факторов можно отнести, например, появление баз и банков данных.

    Для того чтобы понять, где та самая грань невмешательства необходимо правильно понимать содержание понятия «персональные данные», уметь определять какие сведения о человеке подпадают под данную категорию, а какие нет.

    Понятие персональных данных в Российской Федерации

    История вопроса об использовании и защите персональных данных в нашей стране началась лишь в начале 2000-ых годов, а именно, 7 ноября 2001 года, когда Россия подписала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. ETS № 108. Тем самым, наше государство возложило на себя обязательства по приведению в соответствии с нормами европейского законодательства деятельности в области защиты прав субъектов персональных данных. Можно сказать, что именно с этого времени в России началось бурное и стремительное формирование качественной нормативно-законодательной базы в данной сфере деятельности. Однако это вовсе не означает, что до 2000-ых годов в нашей стране не предпринимались никакие попытки урегулирования данной сферы. Так, в частности, если говорить об определении персональных данных, то его можно было встретить во многих актах и до подписания и ратификации Конвенции.

    Например, Федеральным законом от 20 февраля 1995 года № 24-ФЗ «Об информации, информатизации и защите информации» (далее Закон № 24) впервые на законодательном уровне было закреплено понятие «персональные данные». Согласно статье 2 упомянутого закона к персональным данным относились «сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность» [1]. Однако исследуя данное определение, можно с уверенностью сказать, что оно часто подвергалось критике в научной литературе, поскольку к персональным данным могли относиться только те сведения, которые собирались в целях идентификации ранее неизвестного лица, в то время как информация может собираться и об уже известном лице [2, с. 77–86].

    Кроме Закона № 24 вышеупомянутое спорное понятие также было использовано при определении персональных данных гражданского служащего в Указе Президента Российской Федерации от 30 мая 2005 г. № 609 «Об утверждении положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела», где под персональными данными гражданского служащего понимаются «сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле либо подлежащие включению в личное дело» [3].

    Также следует отметить, что исследуемое понятие встречалось и до сих пор встречается в действующем на сегодняшний день «Перечне сведений конфиденциального характера», утвержденном Указом Президента РФ от 6 марта 1997 № 188 (ред. от 13.07.2015), в котором установлено, что к сведениям конфиденциального характера, в частности, относятся «сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях». Необходимо обратить внимание, что согласно данному Перечню персональные данные отнесены к информации, имеющей конфиденциальный характер. Однако и это определение, точно так же, как и определение, содержащееся в Законе № 24, не является бесспорным.

    Таким образом, приведя вышеуказанные примеры, преследовала своей целью разрушить сложившийся у многих в обществе стереотип по поводу того, что Россия до 2000-ых годов никак не регулировала деятельность в области защиты прав субъектов персональных данных.

    Более верный и разумный подход избрали авторы принятого 27 июля 2006 года Федерального закона № 152-ФЗ «О персональных данных» (далее Закон № 152), где в статье 3 постарались дополнить и конкретизировать понятие персональных данных по сравнению с ранее существующими.

    Если говорить обобщенно об этом законе, а не только об исследуемой дефиниции, можно сказать, что его принятие относится к первой попытке установления комплексного правового регулирования защиты персональных данных. Причиной его принятия, в частности, послужили имевшиеся на тот момент многочисленные факты краж баз персональных данных в государственных и коммерческих структурах, их повсеместная продажа [4]. Можно сделать вывод, что Закон № 152 был принят для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Его основой стали: базовые принципы и условия обработки персональных данных; указание на права субъекта персональных данных, а также на обязанности оператора; механизмы контроля и надзора за обработкой персональных данных; определение ответственности за нарушение требований данного закона.

    Итак, возвращаясь к исследуемой дефиниции, возникает вопрос: что получилось у авторов принятого закона? У них получилось следующее определение: «персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой данных физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация» [5]. Как видно, данное определение стало наиболее конкретизированным. Представляется, что с помощью него должны были решиться многие проблемы, встречающие в правоприменительной практике, однако, наоборот, оно в некотором роде только усугубило сложившуюся ситуацию: так, у судов наибольшую проблему стало вызывать содержание формулировки «другая информация», указываемая после перечисления конкретных данных о человеке.

    Сразу хотела отметить, что несмотря на то, что на данный момент законодательное определение персональных данных претерпело некоторые изменения, а именно, в июле 2011 года были внесены поправки к Закону № 152, где, в частности, также был изменен понятийный аппарат (изменение коснулось исследуемой категории), суды при разрешении дел достаточно часто раскрывают понятие персональных данных именно через положения старой редакции закона.

    Что касается новой редакции закона, то в ней понятие «персональные данные» было приведено в соответствие с понятийным аппаратом, закрепленным Конвенцией ETS № 108, и включает в себя «любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Таким образом, видно, что законодатель существенно сократил легальное определение по словесной нагрузке (в нем стало намного меньше слов), однако по смысловой нагрузке оно стало более общим. Таким образом, теперь практически любую информацию о человеке можно определить как персональные данные. Также «кануло в лету» не менее спорная часть понятия «позволяет идентифицировать», что, на мой взгляд, ставит перед правоприменителями проблему следующего характера: отнесение к персональным данным тех или иных сведений, которые, по сути, не всегда позволяют идентифицировать конкретного человека, например, совпадение ФИО у нескольких лиц. Представляется, что подобной поправкой Закона № 152 законодатель пытался устранить возможные ограничения в толковании понятия персональных данных. Однако, на мой взгляд, эта попытка была безуспешна.

    Проблемы толкования определения персональных данных вРоссийской Федерации

    Для выявления проблем, встречающихся при толковании понятия «персональные данные», было проанализировано 20 решений судов общей юрисдикции, включая решения судебных коллегий по гражданским делам, а также решения мировых судей по делам об административной ответственности. 12 решений были вынесены в городе Санкт-Петербург и Ленинградской области, 8 решений были вынесены преимущественно в городе Москва, а также в других регионах нашей страны. Решения подобраны с учетом возможной разнообразности в понимании судами понятия «персональные данные» за период 2012–2015 годов.

    Итак, что же получилось? К сожалению, не было выявлено ни одного судебного решения, в котором бы у суда или сторон возникал вопрос о том, является ли некоторая информация персональными данными или нет. Суды достаточно уверенно относят всё, что прямо или косвенно относится к определенному или определяемому физическому лицу, к персональным данным. Например: содержание кадастрового паспорта (Апелляционное определение от 28 апреля 2014 г. по делу № 33–3718); адрес индивидуального предпринимателя (Апелляционное определение от 24 апреля 2014 г. по делу № 33–4427/2014); информацию об имуществе лица (Апелляционное определение от 27 декабря 2013 г. по делу № 33–5805/2013); информацию о пересечении государственной границы гражданином (Апелляционное определение от 10 апреля 2014 г. по делу № 33–11688); условия трудового договора работника (Апелляционное определение от 23 октября 2013 г. по делу № 33–4172/2013); идентификационный номер налогоплательщика (Решение от 13 августа 2014 г. № 2–3097/2014); реквизиты банковской карты лица (Решение от 11 марта 2014 г. по делу № 2–592/2014) и т. п. Нельзя сделать вывод, говорящий о том, что суды уверенно и обоснованно толкуют легальное определение персональных данных, так как каждый суд использует свои способы толкования. При этом нынешнее толкование судами понятия персональных данных в большинстве своём представляет не что иное как цитирование устаревшей редакции Закона № 152. Это можно проследить в следующих судебных решениях: Кассационное определение от 1 августа 2011 г. по делу № 33–7668; Определение от 9 декабря 2014 г. № 3–1241/2014. Исходя из этого, представляется логичным вывод о том, что осуществлённое законодателем изменение (внесение в текст закона поправок) практически не повлияло на практику судов в части толкования понятия персональных данных, так как фактически бывшая легальная часть определения теперь стала частью толкования.

    Неудачность нынешнего легального понятия состоит также в том, что оно настолько широко, что может включать в себя как данные, являющиеся информацией ограниченного доступа о субъекте, так и данные, по сути, не являющиеся персональными данными ввиду каких-либо особенностей. Такое широкое толкование, часто используемое судами, далеко не всегда свидетельствует о повышении уровня защиты прав субъекта персональных данных, поскольку формальное обращение к защите таких сведений способно привести к существенному нарушению прав, гарантированных другими законодательными актами, зачастую более важными, нежели право на защиту персональных данных.

    Всё же, не смотря на достаточно смелое отнесение судами той или иной информации к персональным данным, у судов существуют некоторые критерии, по которым можно распознать персональные данные. Самым важным и часто встречающимся критерием является возможность идентификации по соответствующим данным конкретного лица. Не могу согласиться с тем, что данный критерий всегда работает и позволяет судам делать логичные выводы, потому что зачастую данные выводят на совокупность людей, а не конкретное лицо, в этом случае иногда суд не признает это персональными данными. В конкретных же случаях это оказывается достаточно нелогично, так как не учитываются некоторые субъективные критерии, по которым даже не полно опубликованные данные позволяют большому количеству людей идентифицировать конкретное лицо.

    Намного проще ситуация обстоит с теми делами, в которых истцы запрашивают некие данные, касающиеся интересующего их лица. Примером может служить Апелляционное определение от 22 мая 2014 г. по делу № 33–14709. Гражданин подал заявление мировому судье в порядке частного обвинения, в связи, с чем запросил в отделе МВД РФ по району Соколиная гора по г. Москве паспортные данные граждан, в отношении которых подал исковое заявление. В данном случае необходимое лицо уже идентифицировано и требуется лишь заполучить нужную информацию. Практика по таким случаям достаточно однозначна — запрашивающим отказывают в предоставлении данных на основании того, что они являются персональными и защищены Федеральным законом № 152-ФЗ «О персональных данных». Указанное ранее Апелляционное определение не стало исключением. В нем также последовал отказ. В таких ситуациях информация может быть предоставлена только с согласия лица, чьи персональные данные подлежат разглашению. Исключением являются случаи, когда соответствующие данные уже находятся в свободном доступе или принадлежат должностному лицу и связаны с его деятельностью по осуществлению своих полномочий.

    В итоге хочу подчеркнуть, что сама практика обращения судов к понятию персональных данных достаточно велика, а значит, мой анализ судебных решений на выявление проблем толкования понятия является достаточно узкой выборкой. Несомненно, для более уверенных выводов необходимо исследование сотен решений различных судов, тогда полученные результаты будут носить достаточно уверенный и непротиворечивый характер. И всё же, полагаю, что с большой уверенностью можно заявить об одном важном моменте, встречающемся в большинстве решений — это прямое заимствование судами в своих решениях определения персональных данных из старой редакции Федерального закона № 152 «О персональных данных» без указания каких-либо ссылок.

    То есть, в этом случае мы видим достаточно неудачное введение изменений законодателем в столь важное понятие. Преследовалась цель — лишить суды возможности ограниченно толковать понятие персональных данных, а в результате получили настолько более широкое понятие, что судами во многом весьма целесообразно сужается данное понятие. Персональные данные очень важно разграничивать с другой информацией, поэтому определяющее их понятие должно быть чётким настолько, чтобы не вызывало проблем определить и назвать его границы с другими данным, как ограниченными в распространении, так и свободными и общедоступными данными.

    1. Собрание законодательства Российской Федерации. 1995. № 8. Ст.609.
    2. Калятин В. О. Персональные данные в Интернете // Журнал российского права. 2002. № 5. С. 77–86.
    3. Собрание законодательства Российской Федерации. 2005. № 23. Ст. 2242.
    4. Богатыренко З. С. Новейшие тенденции защиты персональных данных работника в российском трудовом праве // Трудовое право. — М.: Интел-Синтез, 2006, № 10.
    5. Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» // Собрание законодательства Российской Федерации. 2006. № 31 (ч.1). Ст. 3451.

    Заработная плата – это персональные данные или нет?

    Федеральный Закон постоянно совершенствуется и меняется, чтобы наши свобода и права, а также частная жизнь были всегда защищены, а все подступы к персональным данным охранялись тысячью замками. Но что же это такое – персональные данные? Что находится в общем доступе и кто имеет право запрашивать их? Есть ли закон, регулирующий неразглашение личных данных?

    Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

    Если вы хотите узнать, как решить именно Вашу проблему – обращайтесь через онлайн-консультант справа или звоните по телефонам бесплатной консультации :

    Что относится к персональным данным?

    Персональные данные (далее ПД) – это всякая информация, которая непосредственно имеет отношение к определенному физлицу.

    Физического лица

    К ПД простых граждан относятся:

    • ФИО;
    • информация о месте и дате рождения;
    • местожительство;
    • данные, изложенные в паспорте;
    • СНИЛС;
    • льготы физлица.

    Работника

    К ПД работника относится та информация, которая важна для работодателя в связи с трудоустройством.

    Стоит также отметить, что на законодательном уровне до сих пор не урегулировали момент, который касается управления личных дел сотрудников, поэтому чаще всего на практике работодателем в них включаются полные сведения.

    А именно:

    • данные, указанных в паспорте;
    • СНИЛС;
    • воинский учет;
    • имеющееся образование;
    • заполненная анкета, которая выдается сотруднику при трудоустройстве;
    • договоре о трудоустройстве.

    Кроме того сведения о трудовом соглашении и прекращении трудовой деятельности:

    • данные приказов, в которых говорится об увеличении зарплаты, поощрениях, начале работы и увольнении, переводах;
    • объяснительные письма, заявления работника;
    • документы, свидетельствующие о повышении классификации, прохождении собеседования сотрудником.

    Муниципального служащего

    Согласно ФЗ от 02.03.2007 N 25-ФЗ (ред. от 03.04.2017) «О муниципальной службе в Российской Федерации» статья 29, к ПД муниципального служащего относятся:

    • некоторые данные, взятые из биографии;
    • сведения, изложенные в паспорте;
    • данные о специальности, квалификации;
    • информация о выслуге лет и стаже;
    • о составе семьи и семейном положении;
    • воинская обязанность;
    • зарплата и льготы;
    • наличие или отсутствие судимости;
    • местожительство и телефонный номер;
    • договор о трудоустройстве;
    • заявления, которые были предоставлены и подавались налоговой;
    • информация о здоровье.

    к содержанию ↑

    Гражданского служащего

    Согласно ст.24 ФЗ от 27.07.04г. N 79-ФЗ «О государственной гражданской службе РФ», поступающему на работу лицу необходимо предоставить в инспекцию следующие ПД:

    • заявление о начале рабочей деятельности или поступлении на гражданскую службу, сюда же относится заявление о замене отсутствующего сотрудника;
    • сведения о зарплате;
    • анкета, которая выдается сотруднику при трудоустройстве;
    • СНИЛС;
    • трудовую книжку;
    • копия свидетельства о постановке на учет физлица в налоговом органе по местожительстве в РФ;
    • адреса из Интернет-ресурсов, на которых госслужащий размещал информацию, имеющую общий доступ;
    • сведения об специальности, опыте работы, повышении квалификации;
    • при заключении соглашения, может потребоваться предоставление иных документов.

    Передача ПД третьим лицам может осуществляться только с написанного разрешения их владельца, исключая те случаи, когда этого требует ФЗ.

    Коммерческой тайной зарплата являться не может из-за того, что она относится к системе оплаты труда. Но это не исключает ее из списка ПД, за распространение которых работника могут уволить согласно Трудовому Кодексу.

    И если сотрудник начнет оспаривать это решение в суде, то работодатель обязан доказать, что разглашенная информация относится к тайне, сведения которой сотрудник обязывался никому не сообщать.

    Типы персональных данных можно классифицировать по:

      Заложенному в них содержанию:

    Разряд, в который входит перечень, указанный в ст.10: раса, принадлежность к нации, религия, здоровье, личная жизнь, политические убеждения.

    При этом согласно ФЗ-152 здесь существуют ограничения, а именно, доступ может быть осуществлен только с письменного разрешения владельца.

    Виду и цели обработки персональных данных:

    Что значит обработка персональных данных читайте в нашей статье.

    ПД физиологического характера, которые позволяют оператору определить личность их владельца.

    Заграничное распространение ПД. Такой вид распространения информации можно разделить на три типа:

    1. страны, относящиеся к Конвенции Совета Европы (КСЕ);
    2. страны, не относящиеся к КСЕ, но осуществляют комплекс мер, направленный на защиту прав о ПД;
    3. страны, относящиеся к КСЕ и не осуществляют комплекс мер, направленный на защиту прав о ПД.

    Если данные передаются последней группе, то необходим законный предлог, подкрепленный законом, или согласие владельца, или серьезный повод для сохранения интересов самого владельца.

    Передача ПД в государственные информационные системы и муниципальные информационные системы. Здесь обработка проходит согласно функционирующим ФЗ.

    Обработка ПД при политических выступлениях или при продвижении каких-либо товаров, услуг или работ. Ограничения, контролируемые ФЗ: несмотря на приобретение информации из источников, которые являются публичными, нужно указание на соглашение владельца, изложение которого возможно и не в письменном виде.

    к содержанию ↑

    Специальные категории

    Согласно ФЗ от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) «О персональных данных» категории ПД разделяются на четыре группы:

    • Не разрешена обработка данных, которые так или иначе затрагивают тему религии, политических воззрений, личной жизни, национальности, не считая тех отдельных моментов, которые указаны в пункте 2.
    • Обработка ПД, перечисленных в пункте 1, допускается.

    Но при условии, если:

    1. на обработку ПД получено письменное разрешение от их владельца;
    2. они общедоступны;
    3. ПД связаны с информацией, касающейся здоровья их владельца, и доступ к ним в настоящий момент нужен для сохранения его жизнедеятельности;
    4. она необходима при осуществлении судебных мер;
    5. она происходит из-за вступления в силу законодательства РФ о безопасности и розыскной деятельности.
  • Обработка ПД о судимости может осуществляться государственными или муниципальными органами в соответствии с ФЗ РФ.
  • Обработка ПД, которая указана в пунктах 2 и 3, обязана сразу же быть приостановлена при прекращении действия причин, из-за которых она осуществлялась.
  • Какие являются общедоступными?

    Сам факт включения ПД в категорию «общедоступных» возможен только после письменного соглашения их владельца.

    К данным общего доступа могут относиться (с учетом пункта 1) следующее:

    • ФИО;
    • Год и место рождения;
    • местожительство и др.

    При утрате индивидуальности ПД в разрешении их владельца во внесение сведений в общий доступ нет необходимости. Все сведения изымаются из общего доступа ПД по требованию самого владельца или по решению суда, а также других госорганов.

    Информационная система персональных данных и оператор – что это?

    Информационная система персональных данных (ИС) – система, которая представляет из себя соединение ПД, расположенных в базе данных, и различных видов оборудования, благодаря которым реальностью становится обработка ПД с употреблением средств автоматизирования.

    Очень важным понятием является «оператор». Согласно ФЗ-152, оператор – государственный или муниципальный орган, юридическое или физлицо, которое в одиночку или коллективно с другими лицами производит обработку ПД, он же определяет ее цель, необходимость и состав.

    Все процедуры, проводимые для установления защиты ПД при их обработке в ИС, должны проводиться только теми людьми или компаниями, которые состоят в списке, заранее созданном оператором. И только у них может быть разрешение, допускающее их к данным.

    Нужно также принять меры профилактики, которые помогут избежать запрещенный доступ к сведениям.

    Для этих целей все просмотры и активность регистрируются и отражаются в электронном журнале, проверять который входит в обязанности оператора.

    Постоянным наблюдением за тем, как обрабатываются ПД операторами, проверкой и контролем, порядком охраны документации, занимается Роскомнадзор.

    Средства защиты и охраны персональных данных

    Надежность ПД обеспечивается:

    • установлением рисков при обработке ПД в ИС;
    • постоянное использование технических и организационных мер для установления защищенности, согласно установленным Правительством РФ уровням безопасности;
    • процедура совершенствования средств и результативности защиты;
    • постоянное рассмотрение машинных носителей ПД;
    • мгновенное установление неразрешенного проникновения;
    • восстановление ПД, которые были заражены вирусом или уничтожены при взломе базы данных;
    • фиксация и учет всех действий, которые совершаются в ИС;
    • используется сотрудничество с вневедомственной охраной;
    • база данных защищена паролями, известными только людьми, у которых есть право доступа;

    к содержанию ↑

    Образец согласия на предоставление персональных данных

    Предоставление ПД – действия определенного характера, благодаря которым раскрываются ПД какому-либо лицу или группе лиц.

    Если вам необходимо составить согласие о предоставлении своих ПД, то в письменной форме вы должны указать следующее:

    • ФИО, местожительства, данные, изложенные в паспорте;
    • ФИО и местожительства представителя владельца ПД, данные, изложенные в паспорте, доверенность;
    • наименование или ФИО оператора, который получает согласие;
    • цели, из-за которых производится обработка ПД;
    • перечень ПД, на доступ к которым вы даете согласие;
    • наименование или ФИО и адрес того, кто по назначению оператора будет обрабатывать данные;
    • период, на протяжении которого будет действовать разрешение на доступ к сведениям их владельца;
    • подпись владельца ПД.

    Отказ в предоставлении третьим лицам

    ФЗ-N152 «О персональных данных» начал действовать с 2006г., но полный отчет о своих ПД в обязательном порядке нужно было предоставлять с 2010г, когда был принят ФЗ-№210 «Об организации предоставления государственных и муниципальных услуг».

    И если теперь вы получаете звонки от банков и коллекторов, которые никак не оставят в покое не только вас, но и ваших родственников, а также коллег, то пора отозвать согласие на обработку ПД. Конечно, они уже были переданы этим организациям, но данный шаг поможет вам спугнуть вымогателей.

    Имейте в виду, что заявление нужно отправить не только на фактический адрес отделения банка, в котором вы брали кредит, а также на юридический адрес.

    Отправляйте заявление заказным письмом: так у вас будет уведомление о получении. Указывайте адрес, который был вами прописан при заключении кредитного договора.

    Приложите к отказу свою копию паспорта и кредитного договора: это поможет быстро найти ваши документы организацией и внести в них соответствующие изменения.

    Но не забывайте, что каждая ситуация требует индивидуальных мер. В некоторых из них необходимо сотрудничество с соответствующими органами, например, с полицией.

    Согласно ст.24 ФЗ N 261-ФЗ, лица, которые виновны в причинении вреда морального характера владельцу ПД при нарушении закона обработки и хранении их, обязаны нести уголовную ответственность за разглашение и распространение, а именно возместить моральный ущерб, вдобавок к имущественным, а также убыткам, которые понес владелец ПД.

    Образец заявление на отзыв персональных данных скачивайте здесь.

    Изменение персональных данных работника

    Заявление работника о внесении изменений в документы

    Служащему, чьи ПД подверглись видоизменениям, нужно в свободной форме составить заявление, в котором ему необходимо указать причину произошедших изменений, и сказать о коррективах, которые должны быть внесены в существующие документы.

    Если вы меняете фамилию, то заявление нужно подать под старой фамилией, потому что в организации вы пока что числитесь под ней.

    К своему заявлению необходимо приложить копии соответствующих документов, которые будут подтверждением произошедших изменений.

    Приказ о внесении изменений в документы

    Никакой необходимости составления работодателем приказа об изменении ПД сотрудника Трудовым законодательством не подкреплено. Но эта необходимость избирается для донесения информации всем заинтересованным лицам (кадровикам и бухгалтерам).

    Дата заполненного приказа должна быть идентичной дате, когда служащий подал заявление со всеми предлагающимися копиями документов.
    Приказ должен быть подписан сотрудником в знак того, что он с ним ознакомлен.

    Уведомление об обработке персональных данных

    Очень частой ошибкой операторов производить уведомление об обработке ПД, когда можно было этого не делать. И если вы всё-таки решили уведомить Роскомнадзор, то вот несколько рекомендаций:

    • Очень внимательно ознакомьтесь с ч.2 ст.22 ФЗ РФ от 27.07.06г. N 152-ФЗ «О персональных данных».
    • Посмотрите на данные, которые обрабатываются у вас. Некоторые случаи потребуют от вас корректировки с носителями ПД.

    Одна из причин, по которой можно не уведомлять об обработке ПД, указана в п.2 ч.2 ст.22 ФЗ и выглядит следующим образом:

    Возьмем в пример установление деловых отношений с физлицом для выполнения услуги. Чтобы дать понять, что всё готово и вам не пришлось просто так ехать несколько десятков километров, предусмотрительно мастер взял ваш номер телефона для оглашения радостной новости. И в этом случае в договоре обязательно должно быть прописано «Мастерская обязуется уведомить клиента по телефону **** о выполнении услуги».

    Как защитить свои персональные данные узнаете из видео:

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему – позвоните прямо сейчас:


    Это быстро и бесплатно !

    Персональные данные работника: миллионные штрафы за утечку

    Хранение личной информации граждан за пределами РФ обойдется в 18 миллионов рублей

    Депутаты одобрили поправки, предусматривающие введение новых санкций за нарушение закона № 152-ФЗ о персональной информации граждан. Законопроектом предложены следующие штрафы:

    1. За невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения данных российских граждан с использованием баз данных, находящихся на территории РФ, граждан планируется штрафовать на 30 000-50 000 рублей, должностных лиц — на сумму 200 000-500 000 рублей, ИП и юридических лиц — от 2 до 6 млн рублей. При повторном нарушении штрафы на граждан увеличиваются до 50 000-100 000 рублей, на должностных лиц — до 0,5-1 млн рублей, а ИП и организации обещают наказывать на 6-18 млн рублей.
    2. За повторные нарушения, предусмотренные ст. 13.31 КоАП РФ (неисполнение обязанностей организаторов распространения информации в сети Интернет), предложены штрафы для граждан — от 5000 до 30 000 рублей (в зависимости от правонарушения), для должностных лиц — от 50 000 до 500 000 рублей, для ИП и организаций — от 0,5 до 6 млн рублей.
    3. Отдельные санкции вводятся для операторов поисковых систем, организаторов сервисов обмена мгновенными сообщениями, владельцев аудиовизуального сервиса информации.

    Все новые штрафы подробно описаны в таблице.

    Статья КоАП РФ, которая изменится

    для должностных лиц

    для ИП и организаций

    Невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения данных российских граждан с использованием баз данных, находящихся на территории РФ

    Повторное невыполнение обязанности по хранению персональных данных в РФ

    Повторное неисполнение обязанностей организатором распространения информации в сети Интернет

    От 5000 до 30 000 (в зависимости от правонарушения)

    От 50 000 до 500 000 (в зависимости от правонарушения)

    От 500 000 до 6 млн (в зависимости от правонарушения)

    Повторное распространение владельцем аудиовизуального сервиса телеканала, телепрограммы, не зарегистрированных в качестве СМИ либо зарегистрированных, но лишенных права на вещание

    Повторное нарушение владельцем аудиовизуального сервиса правил распространения среди детей информации, причиняющей вред их здоровью и(или) развитию

    Повторное распространение владельцем аудиовизуального сервиса информации и материалов, содержащих призывы к осуществлению террористической и(или) экстремистской деятельности

    Повторное неисполнение организатором сервиса обмена мгновенными сообщениями обязанностей

    Повторное неисполнение оператором поисковой системы обязанности по подключению к информационно-телекоммуникационным сетям, доступ к которым ограничен на территории РФ

    Повторное неисполнение оператором поисковой системы обязанности по прекращению выдачи по запросам пользователей сведений о информационно-телекоммуникационных сетях, доступ к которым ограничен на территории РФ

    Повторное неисполнение оператором поисковой системы обязанности по прекращению выдачи по запросам пользователей сведений о доменном имени и об указателях страниц сайтов в сети Интернет, доступ к которым ограничен на основании решения Московского городского суда, или копий заблокированных сайтов

    Объясняя необходимость введения новых санкций, авторы в пояснительной записке к законопроекту пишут, что только штрафы способны остановить нарушителей. Они налагают не только финансовые, но и репутационные издержки, потому являются наиболее эффективной мерой воздействия.

    Законопроект пока еще обсуждается, но авторы уверены, что новые санкции заработают уже в начале 2022 года.

    С какими персональными данными приходится иметь дело работодателю

    Что относится к персональным данным работника организации? В соответствии со ст. 3 закона № 152-ФЗ, персональные данные работника — это любые сведения о нем.

    Трудовой кодекс определяет перечень документов, которые человек предъявляет работодателю при поступлении на работу:

    • фамилия, имя, отчество, дата и место рождения;
    • образование (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация);
    • выполняемая работа с начала трудовой деятельности (включая военную службу);
    • адрес регистрации и фактического проживания;
    • паспортные данные (серия, номер, кем и когда выдан);
    • номер телефона, адрес электронной почты;
    • отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
    • ИНН;
    • номер страхового свидетельства обязательного пенсионного страхования;
    • результаты обязательного медосмотра при поступлении на работу;
    • семейное положение, Ф.И.О. и даты рождения детей.

    Также определенная информация содержится в резюме соискателя и его анкете.

    В процессе работы эти данные изменяются и дополняются. Работодатель обязан хранить их в секрете. Эта мера обеспечивается определением конкретных лиц, которые имеют к ним доступ. Это должно быть зафиксировано в документальном виде, для чего необходимо издать внутренний приказ.

    Образец приказа о персональных данных работников 2022

    Иногда при приеме на работу нового сотрудника кадровики снимают ксерокопии с предоставленных документов и вкладывают их в его личное дело. По мнению Роскомнадзора, это не допускается.

    Судебная практика

    При проверке соблюдения требований законодательства о защите персональных данных контролирующий орган счел незаконным хранение в личных делах сотрудников ксерокопий их паспортов. Организация обратилась в Арбитражный суд с заявлением о признании этого предписания Роскомнадзора незаконным.

    Судом в удовлетворении заявленного требования было отказано. По мнению суда, хранение организацией копий паспортов сотрудников является избыточным, законом не предусмотрено, нарушает права граждан и превышает объем персональных данных работников, предусмотренный ст. 86 ТК РФ (Постановление ФАС Северо-Кавказского округа от 11.03.2014 № Ф08-480/14 по делу № А53-10287/2013).

    Образец заявления на обработку персональных данных работника

    В соответствии с п. 1 ст. 6 закона от 27.07.2006 № 152-ФЗ «О персональных данных», обработка фирмой-работодателем таких данных производится только при соблюдении ряда условий. В числе таковых согласие субъекта персональных данных на передачу сведений о себе в обработку (подп. 1 п. 1 ст. 6 закона № 152-ФЗ). Оно оформляется в виде согласия на обработку персональных данных. Одновременно гражданин может дать согласие оператору на предоставление его сведений третьим лицам.

    Физическое лицо вправе отозвать свое согласие, для этого составляется заявление об отзыве.

    В соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным Приказом Минкультуры РФ от 25.08.2010 № 558, срок хранения персональных данных работника составляет 75 лет.

    Обработка персональных данных

    В организации необходимо разработать и утвердить локальный нормативный акт, устанавливающий порядок обработки информации о работниках. Каждого сотрудника знакомят с этим документом под подпись.

    Судебная практика

    Прокурор обратился в суд с иском о понуждении организации к разработке и принятию локального правового акта, устанавливающего порядок хранения и использования персональных данных работников. Требования мотивировал тем, что в ходе проверки исполнения законодательства, регламентирующего сбор, хранение, использование или распространение персональных данных, было установлено, что в нарушение требований трудового законодательства порядок хранения и использования персональных данных работников в организации не разработан. Полагал, что отсутствие этого локального нормативного акта может привести к неправомерному доступу к персональным данным не уполномоченных на то лиц.

    Решением суда требование прокурора было удовлетворено. Суд обязал организацию разработать и принять локальный правовой акт, устанавливающий порядок хранения и использования персональных данных работников в течение 30 дней с момента вступления решения суда в законную силу.

    Передача персональных данных работника другому лицу допускается только с согласия этого работника, за исключением случаев, установленных законом. Например, работодатель вправе передавать сведения о работнике по официальным запросам суда, прокуратуры, органов следствия и дознания.

    Судебная практика

    Д. обратился в суд с иском о признании незаконной передачу работодателем его персональных данных другому лицу, взыскании морального вреда.

    В судебном заседании было установлено, что организация, в которой работал Д., заключила договор с банком для реализации зарплатного проекта. Для выпуска пластиковых карт банку были переданы заполненные и подписанные работниками анкеты-заявления с их личными данными. Анкета-заявление Д. им подписана не была, согласие на передачу своих персональных данных он не давал.

    Исковые требования судом были удовлетворены, несмотря на то, что полученной пластиковой карточкой Д. активно пользовался.

    Когда за разглашение информации могут уволить

    Уволить за разглашение информации можно только тех сотрудников, которым такие сведения стали известны в связи с исполнением ими трудовых обязанностей. Это прямо указано в пп. «в» п. 6 ч. 1 ст. 81 ТК РФ. К таким сотрудникам относятся руководители организаций, работники кадровых служб, бухгалтерии и иные лица, чья работа непосредственно связана с обработкой персональных данных. Но если работник узнал данные случайно (например, из-за халатности сотрудника, ответственного за сохранность информации), и в его должностные обязанности не входит работа с личными сведениями, увольнение по такому основанию незаконно.

    Увольнение по этому основанию является мерой дисциплинарного воздействия, поэтому при его осуществлении следует соблюдать порядок наложения дисциплинарного взыскания, предусмотренный ст. 193 ТК РФ.

    В случае оспаривания работником увольнения по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ работодатель обязан предоставить доказательства того, что сведения, которые трудящийся разгласил, относятся к личным данным другого сотрудника, они стали известны при исполнении работником трудовых обязанностей, и он обязывался не разглашать такие сведения (п. 43 Постановления Пленума ВС РФ «О применении судами РФ Трудового кодекса РФ»).

    Судебная практика

    Н. обратился в суд с иском о признании увольнения незаконным, возмещении морального вреда.

    В судебном заседании было установлено, что Н. работал электромонтером и был вызван в отдел кадров для устранения порыва телефонного кабеля. Во время починки кабеля он успел прочитать соглашение об увольнении работника М. с выплатой значительной денежной компенсации, которое кадровик оставила без присмотра на своем рабочем столе. На следующий день Н. обратился к директору, заявив, что он тоже хочет уволиться по соглашению сторон с такой же денежной компенсацией. Получив отказ, электромонтер обиделся и стал рассказывать об этой ситуации другим работникам. В результате приказом директора Н. был уволен по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ за разглашение персональных данных другого работника.

    Решением суда исковые требования Н. были удовлетворены. Суд пришел к выводу, что в трудовые обязанности Н. работа с личными данными других сотрудников не входила, и сведения стали ему известны в результате халатности кадровика, который не обеспечил сохранность информации.

    Что такое неприкосновенность частной жизни в России

    На этой неделе в мире отметили день защиты персональных данных. “Ъ” собрал ответы на очевидные и не самые очевидные вопросы.

    Ст. 3 Федерального закона от 27 июля 2006 года 152-ФЗ «О персональных данных» определяет персональные данные как любую информацию, относящуюся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Конкретного перечня в законе нет, что оставляет некоторый простор для толкования. Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность.

    Ст. 10 закона вводит понятие специальных категорий персональных данных, к которым относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

    Ст. 11 определяет биометрические персональные данные как физиологические и биологические особенности человека, на основе которых можно установить его личность (физиологические параметры, фото- и видеоизображения).

    Нет. Только те, которые позволяют установить личность и используются для установления личности.

    Как пояснил Роскомнадзор (уполномоченный орган по защите прав субъектов персональных данных), не является персональными данными, в частности, ксерокопия паспорта, предоставляемая при заключении договора с банком, фотография в личном деле или рентгеновские и флюорографические снимки (во всех этих случаях личность человека уже известна и эти данные не используются для ее установления).

    Аналогичная ситуация и с видеосъемкой в общественных местах или на охраняемой территории. До передачи материалов в компетентные органы для установления личности снятого человека она не считается биометрией.

    При этом фотоизображения на пропусках суды признают биометрическими данными, и для их использования необходимо письменное согласие гражданина (см. Определение Верховного суда РФ от 05.03.2018 №307-КГ18–101 по делу №А42–342/2017).

    Да, сведения о заработной плате работника являются его персональными данными и не подлежат публичному разглашению работодателем или третьими лицами, получившими доступ к этой информации. Данное положение подтверждено судебной практикой. В частности, в одном из дел системный администратор частной компании, получивший доступ к персональным данным коллег через программу 1С, стал распространять информацию о повышении зарплаты одного из менеджеров. Раскрытие размера зарплаты было признано грубым нарушением трудовых обязательств и послужило основанием для его увольнения (см. апелляционное определение Московского городского суда от 14.06.2016 по делу №33-22906/2016).

    Следует учитывать, что персональными данными считается не только зарплата, но и другие данные сотрудников, а также клиентов компании. Последние, являясь ценным активом для бизнеса, также подпадают под действие режима коммерческой тайны, пояснила “Ъ” руководитель практики интеллектуального и информационного права юридической группы «Яковлев и Партнеры» Анна Никитова. При этом сам по себе неправомерный доступ к просмотру карточек клиентов или сотрудников не может являться основанием для увольнения. Такие последствия влечет только установление факта их разглашения. Судебная практика знает случаи, когда разглашением была признана отправка информации на электронную почту, в мессенджеры или копирование на съемный носитель. Данная позиция подтверждена и Конституционным судом (см. определение КС РФ от 28.02.2019 №457-О).

    По общему правилу обработка персональных данных должна осуществляться с согласия субъекта. Перечень исключений, при которых согласие не требуется, содержится в ч. 1 ст. 6 закона:

    — обработка персональных данных необходима для достижения целей, предусмотренных международным договором или законом;

    — обработка осуществляется в связи с участием лица в судопроизводстве, необходима для исполнения судебного акта;

    — необходима для исполнения полномочий госорганов;

    — необходима для заключения или исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных;

    — необходима для защиты жизни, здоровья, иных жизненно важных интересов лица, если получение его согласия невозможно;

    — для осуществления прав и законных интересов оператора (организация или лицо, занимающееся обработкой данных) или третьих лиц, либо для достижения общественно значимых целей;

    — для осуществления профессиональной деятельности журналиста и (или) СМИ, научной, литературной или иной творческой деятельности;

    — осуществляется в статистических или исследовательских целях при условии обязательного обезличивания персональных данных;

    данные являются общедоступными (например, справочники, адресные книги);

    — данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.

    В ст. 10, 11 перечисляются основания, при которых можно без получения согласия обрабатывать специальные категории персональных данных и биометрические данные.

    Нет, не являются. Закон действительно не требует получать согласие на обработку общедоступных данных. Однако российские суды пришли к выводу, что размещение персональных данных в открытых онлайн-ресурсах не делает их автоматически общедоступными.

    Примером может послужить дело Национального бюро кредитных историй против регионального управления Роскомнадзора. Организация собирала данные о потенциальных заемщиках из соцсетей и других открытых интернет-источников («ВКонтакте», «Одноклассники», «Мой Мир», Twitter, Instagram, Avito, Avto.ru) без получения согласия пользователей, что ведомство посчитало нарушением. Суд встал на сторону Роскомнадзора, эту позицию подтвердили все вышестоящие инстанции вплоть до Верховного суда (см. постановление Арбитражного суда Московского округа от 9 ноября 2017 года по делу №А40–5250/2017, определение ВС РФ от 29 января 2018 года по делу №305-КГ17–21291)

    Ст. 9 ФЗ «О персональных данных» допускает возможность вместо письменного согласия дать его в форме электронного документа и подписать электронной подписью. Получение согласия по телефону или с помощью СМС-сообщений законом не предусмотрено.

    Как следует из разъяснений Роскомнадзора в отношении интернет-магазинов, при заполнении формы заявки на покупку товара на сайте критерием, свидетельствующим о получении оператором согласия на обработку персональных данных, является файл электронной цифровой подписи.

    Да, но на это также нужно получить согласие лица, чьи данные обрабатываются. В частности, интересным представляется случай привлечения к административной ответственности крупной медийной компании, передававшей на обработку третьему лицу персональные данные соискателей на вакантные должности без получения у них соответствующего согласия. Арбитражные суды встали на сторону Роскомнадзора, посчитавшего такую практику нарушением закона (см. постановление Арбитражного суда Московского округа от 15.01.2018 №Ф05–18981/2017 по делу №А40–81171/17–149–793).

    Да, закон дает лицу такую возможность без каких-либо дополнительных условий. Данные подлежат уничтожению в срок до 30 дней.

    В настоящее время уже завершена разработка поправок в ст. 21 закона, призванных унифицировать правила уничтожения персональных данных после завершения обработки либо отзыва согласия на их обработку. В случае их одобрения Госдумой конкретные требования будут разработаны Роскомнадзором.

    Ст. 14 закона «О персональных данных» дает лицу право получать подтверждение самого факта обработки его данных, информацию об источнике данных, целях и способах обработки, сроках, операторе (наименование и место нахождения), работающем с данными.

    Эти права могут быть ограничены при обстоятельствах, перечисленных в п. 8 ст. 14. В частности, если персональные данные получены в результате оперативно-разыскной, разведывательной или контрразведывательной деятельности, используются для противодействия легализации доходов или противодействия финансированию терроризма, субъект подозревается или обвиняется в совершении уголовного преступления и прочее.

    Как пояснил партнер юридической фирмы Law & Commerce Offer Антон Алексеев, в качестве наиболее частых можно выделить следующие правонарушения:

    1. Неполучение у гражданина согласия на обработку его персональных данных;

    2. Неполучение согласия на передачу его персональных данных для обработки третьим лицам;

    3. Неполучение согласия на трансграничную (за пределы РФ) передачу персональных данных;

    4. Неполучение согласия на обработку биометрических персональных данных;

    5. Нарушение правил и требований к обработке (хранение, передача, защита, уничтожение и т. д.) персональных данных.

    Российское законодательство предусматривает разные виды ответственности — дисциплинарную, административную, уголовную.

    Cт. 81 Трудового кодекса допускает дисциплинарное наказание вплоть до увольнения работника за разглашение персональных данных другого работника. Как работник, так и работодатель могут также понести материальную ответственность за ненадлежащее обращение с персональными данными.

    Ст. 13.11. КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных» предусматривает административные штрафы за различные нарушения при их обработке. В частности, в не предусмотренных законом случаях (до 50 тыс. руб. для организаций); в целях, не совместимых с целями сбора (до 50 тыс.); без согласия (до 75 тыс. руб.); без использования баз данных, находящихся в России (до 6 млн руб., за повторное нарушение до 18 млн руб.). Также предусматривается административная ответственность за неисполнение оператором обязанностей при взаимодействии с Роскомнадзором.

    Ст. 137 УК РФ предусматривает наказание за нарушение неприкосновенности частной жизни, ст. 272 УК РФ — за неправомерный доступ к охраняемой законом компьютерной информации, повлекшей ее уничтожение, блокирование, модификацию либо копирование. Нарушителям могут грозить различные санкции вплоть до двух лет лишения свободы.

    Большая часть нарушений квалифицируется по административным статьям. Один из свежих примеров привлечения к административной ответственности — 29 января 2022 года суд оштрафовал университет «Синергия» на 150 тыс. руб. за неправомерный сбор биометрических персональных данных несовершеннолетних в образовательном учреждении Красногорска.

    По закону пострадавшее лицо может добиваться возмещения не только материального ущерба, но и морального вреда. В частности, Верховный суд подтвердил возможность гражданина требовать взыскания с коллекторского агентства, неоднократно звонившего и отправлявшего СМС на его мобильный номер с требованием «в грубой форме» погасить задолженность по кредиту, не получив согласия на обработку его персональных данных (см. определение №5-КГ17–256 от 27.02.2018).

    Как отметил старший юрист группы технологий и инвестиций юридической фирмы Vegas Lex Дмитрий Бородин, существующая судебная практика не позволяет гражданам рассчитывать на значительные суммы. Обычный размер возмещения составляет 3–5 тыс. руб. К примеру, в одном подобном деле гражданин пожаловался в суд на администратора группы «ВКонтакте» в связи незаконным опубликованием его персональных данных в соцсети. Суд присудил истцу 5 тыс. руб. вместо требуемых 100 тыс., даже несмотря на то, что персональные данные были опубликованными в порочащем честь гражданина ключе (Определение Кемеровского областного суда от 19.07.2018 по делу №33-7157/2018).

    Поправки в закон, предусматривающие, что хранение и обработка персональных данных россиян в интернете может производиться только с использованием баз данных, находящихся на территории России, вступили в силу 1 сентября 2015 года. До сих пор самым серьезным последствием их принятия стала блокировка на территории России соцсети LinkedIn, отказавшейся выполнять требование о локализации. По данным на 2016 год в ней было зарегистрировано около 5 млн россиян. (см. Определение Мосгорсуда от 10.11.2016 по делу №33–38783/2016).

    Претензии в части локализации данных Роскомнадзор предъявлял и другим крупным соцсетям — Twitter и Facebook. Однако в их отношении надзорный орган ограничился штрафами в размере 3 тыс. руб. Положение о миллионных штрафах за несоблюдение требований о локализации баз данных было внесено в КоАП РФ позже, лишь в декабре 2019 года. 31 января 2022 года Роскомнадзор возбудил в отношении обеих компаний новое административное производство за непредоставление информации о локализации.

    Читайте также:  Воровство в магазинах и супермаркетах: наказание, статья, штраф, защита.
    Ссылка на основную публикацию