Персональные данные, состав, работника, комментарии, определение

Персональные данные: законодательное определение

Когда человек вступает в трудовые отношения, от него требуется предоставить ряд сведений о себе. Вся эта информация, касающаяся будущего сотрудника, позволяющая определить его в том или ином контексте, и объединяется под термином «персональные данные».

Порядок действий с этой информацией определен в таких законодательных документах, как:

  • Конституция Российской Федерации;
  • ст. 85 Трудового кодекса РФ;
  • Федеральный закон № 149 от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон № 152 от 27 июля 2006 г. «О персональных данных»;
  • Указ Президента России от 06.03.1977 г. № 188.

Эти законодательные акты утверждают сведения, которые подпадают под определение персональных данных, с тем, чтобы оградить приватную жизнь законопослушных граждан от неправомерного вмешательства и гарантировать целевое использование получаемых от них конфиденциальных сведений.

Перечень данных, считающихся персональными:

  • ФИО физического лица;
  • дата рождения;
  • место проживания и/или прописки;
  • полученное человеком образование;
  • состав семьи;
  • социальный статус;
  • сведения, касающиеся владения имуществом;
  • ранее занимаемые им должности;
  • уровень получаемых доходов и их источники;
  • иные сведения, имеющие отношение к трудовой функции, обозначаемой в заключаемом договоре с сотрудником.

КСТАТИ! Информация о политических, религиозных или других убеждениях сотрудника, его участии во всевозможных организациях, помимо работы, а также детали его частной жизни не относятся к персональным данным и не подлежат сбору, обработке, хранению и использованию. Их можно получить только с согласия самого работника. Исключение составляет ситуация, когда информация такого рода прямо относится к трудовой деятельности.

Вопросы здоровья сотрудника не могут попадать в поле зрения кадровых сотрудников, кроме непосредственного влияния на трудовую функцию.

Инструкция по работе с информацией

Закон устанавливает жесткие меры за нарушения, связанные с персональными данными

Поэтому важно знать правила работы с ними

Обработка

Под обработкой данных понимается их получение, проверка, передача, хранение, накопление, уничтожение и другие действия, совершаемые с ними. . Обработка может осуществляться лишь в строго определенных целях:

  • содействие в трудоустройстве;
  • обучение;
  • контроль выполняемой работы.

В обработке не участвуют сведения о частной жизни работника, его убеждениях.

  1. Для работы с персональными данными составляется соответствующее Положение. Единой формы документа нет. В каждой организации она индивидуальна.
  2. При наличии в организации Профсоюза Положение согласовывается с ним.
  3. После окончательного утверждения Положения необходимо ознакомить с ним работников под роспись.
  4. Назначается сотрудник, ответственный за работу с данными. Это фиксируется в виде приказа. Список лиц, имеющих доступ к конфиденциальной информации, можно включить в этот же приказ или издать отдельный.

Больше информации о том, что такое обработка ПД, найдете в специальной статье.

Хранение

87 статья ТК РФ говорит о том, что работодатель должен установить порядок хранения и использования персональных данных сотрудника.

Подробнее о порядке хранения и использования ПД работников мы рассказываем в отдельном материале.

В бумажном виде

  1. Для осуществления хранения персональных сведений о сотрудниках работодателю рекомендуется организовать отдельное помещение с ограниченным доступом и использовать специальное оборудование. Необходимо принять меры от возможного уничтожения информации, организовать защиту от несанкционированного доступа. Документация в бумажном виде хранится в специальном сейфе, чтобы избежать ее утери или порчи.
  2. Часть документов хранится в оригинале. Сюда относится: трудовая книжка, трудовой договор, приказы руководителя относительно сотрудника. Часть документов хранится в виде копии: паспорт и др. Личное дело содержится в отдельной папке. Папки могут располагаться по алфавиту или по отделам организации. Бухгалтерские документы могут храниться в отдельных папках без привязки к работнику.
  3. Папки размещаются в сейф, к которому имеет доступ руководитель, кадровый работника, бухгалтер. Лица, имеющие доступ к конфиденциальной информации, подписывают соответствующее обязательство о неразглашении.
  4. Кадровый работник проводит инструктаж среди сотрудников относительно порядка хранения и доступа к документам.

В электронном виде

  1. Для хранения в электронном виде создается база данных.
  2. Документы сканируются и вносятся в базу.
  3. Приказом определяется те сотрудники, которые имеют к ней доступ: руководитель, кадровый отдел, бухгалтерия, программисты. Они подписывают обязательство о неразглашении.
  4. Каждому сотруднику, имеющему доступ, выдается индивидуальный логин и пароль. Впоследствии будет видно, кто и когда заходил базу.
  5. Для защиты от уничтожения создается резервная копия базы.

Порядок доступа

Защита персональных данных работника является обязанностью работодателя и осуществляется за его счет.

Информация должна быть защищена от несанкционированного доступа и от уничтожения.

  1. В Положении устанавливается порядок доступа к персональным данным и то, в какой степени человек может их получить.
  2. Приказом устанавливаются лица, имеющие доступ к информации. Они подписывают обязательство о неразглашении.

О том, что сотрудникам нужно знать о порядке доступа к их ПД, мы подробнее рассказываем тут.

Внесение изменений

Необходимость внести правок в личные сведения может возникнуть при смене паспорта, при рождении ребенка и в других случаях.

  1. В случае изменения личных данных работнику необходимо обратиться в отдел кадров. Правки производятся на основании заявления работника. Подача заявления не является обязательной, но будет уместной. К заявлению прилагаются копии новых документов.
  2. Документы заверяются уполномоченными лицами и прилагаются к личному делу.
  3. На основании заявления издается приказ о внесении изменений в учетные документы.

Использование

Использование персональных данных сотрудника возможно лишь в пределах его рабочей деятельности. Лицо, имеющее доступ к информации не имеет право использовать ее для личной выгоды. Сведения не могут передаваться сторонним организациям и частным лицам без согласия на то сотрудника (если иное не оговорено законом).

  1. В Положении устанавливается список персональных данных и возможные манипуляции с ними.
  2. Для того, чтобы использовать личную информацию о работнике, необходимо его согласие.

Является ли адрес электронной почты персональным данным?

Судебной практики по этому вопросу найти не удалось.

Минкомсвязи России в своем Письме от 07.07.2017 № П11-15054-ОГ выразил следующее мнение: «… абонентский номер или адрес электронной почты могут быть признаны персональными данными в случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу».

Вывод: сам по себе адрес электронной почты не является персональными данными, подлежащими защите Законом № 152-ФЗ «О персональных данных» только если он в отдельности или в совокупности с другой информацией помогает идентифицировать конкретное лицо.

Персональные данные являются общедоступными при выполнении двух условий:

  • они предоставлены владельцем

  • доступны неопределенному кругу лиц.

Если согласие владельца персональных данных на размещение сведений о нем в соцсетях отсутствует, то нельзя их отнести к общедоступным источникам. При этом оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных, в случае его отзыва, только при наличии соответствующих оснований, например, для противодействия терроризму или коррупции (ч. 2 ст. 9 Закона № 152-ФЗ).

Такой вывод делает судебная практика: Арбитражный суд города Москвы определил, что обработка персональных данных допускается в случаях, когда персональные данные доступны неопределенному кругу лиц, имеется согласие владельца данных и сведения предоставлены непосредственно самим субъектом (п. 1, п. 10 ч. 1 ст. 6 Закона № 152-ФЗ). Суд подчеркнул, что без письменного согласия субъекта персональных данных нельзя утверждать о предоставлении согласия именно указанным лицом. По его мнению, если владелец сделал персональные данные общедоступными для всех, то они могут содержаться только в общедоступных источниках (ст. 8 Закона № 152-ФЗ). По мнению суда, соцсети не являются такими источниками получения персональных данных, соответственно информация о лице, размещенная в них, не может быть отнесена к общедоступной.

ИНН — персональные данные?

В Определении Верховного Суда РФ от 1 марта 2006 г. по делу № 13-В05-13 указано, что ИНН по своему законодательному предназначению подлежит, наряду с другими сведениями, использованию исключительно в целях налогового учета и не заменяет имя человека.

В Апелляционном определении Санкт-Петербургского городского суда от 3 февраля 2015 г. № 33-1644/2015 по делу № 2-3097/2014 суд сделал вывод, что ИНН как таковой нельзя причислить к персональным данным. В обоснование своей позиции суд сослался на Определение Конституционного Суда РФ от 10 июля 2003 г. № 287-О, в котором отмечено, что присвоение ИНН, по сути, не нарушает свободы совести и вероисповедания.

Статья написана и размещена 14 сентября 2017 года. Дополнена 26.09.2019

ВНИМАНИЕ!

Копирование статьи без указания прямой ссылки запрещено. Внесение изменений в статью возможно только с разрешения автора.

Полезные ссылки по теме «Что такое персональные данные»

  1. Правила внутреннего трудового распорядка (образец)

  2. Отпуск по уходу за ребенком до 3 лет;

  3. Если во время отпуска по уходу за ребенком вы узнали о том, что работодатель собирается прекратить деятельность

В каком случае они включаются в открытые источники?

Включение информации в общедоступные источники происходит в различных ситуациях, например:

  • при трудоустройстве и заключении трудового договора;
  • в процессе переписи населения;
  • установлении торговых отношений и т.д.

Персональные данные субъекта классифицируются по объему личной информации о человеке и степени важности. Любые операции с ними производятся строго в рамках законодательных актов и подлежат защите

Операторы обязаны организовать безопасность процесса работы. Они должны обеспечивать полную защиту личной информации субъектов от доступа к ней посторонних лиц.

В процессе сбора оператор обязан взять письменное разрешение на дальнейшую обработку. В письменное согласие на обработку включается информация о субъекте и об операторе (ФИО, адрес), цель обработки и перечень необходимых сведений, а также описание операций, которые будут производиться с ними.

  • Скачать бланк согласия на обработку персональных данных
  • Скачать образец согласия на обработку персональных данных

Гражданин, как владелец персональной информации о самом себе, может отозвать ранее подписанное разрешение на ее обработку. Если субъект недееспособен или в случае его смерти, согласие запрашивается у законных представителей или наследников. В основе действий оператора лежит Федеральный закон «О персональных данных».

Нарушение закона пресекается уголовной, гражданской, административной или другими видами ответственности.

Любая информация о физическом лице — субъекте персональных данных может быть исключена из общедоступных источников на основании требования субъекта, Роскомнадзора, решения суда или других государственных органов.

Обработка общедоступных данных

Обработкой общедоступных данных занимаются отделы и подразделения, в обязанности которых входит сбор, систематизация, хранение, изменение, использование и уничтожение ПД. Физические лица вправе запросить сведения об операторе данных и узнать, какую цель преследует оператор во время обработки ПД.

Контроль соблюдения законов при обработке возложен на Роскомнадзор. Определенными ревизионными и контролирующими полномочиями обладают ФСБ и ФСТЭК. Операторы создают системы защиты личных данных для собственных нужд поэтому, в связи с этим лицензировать такую деятельность.

ПД обрабатывают организации, которым для осуществления своей деятельности необходимо собирать, накапливать, обрабатывать и хранить информацию о сотрудниках, поставщиках и клиентах. В определенных случаях такие данные входят в состав открытых.

Что такое общедоступные ПД?

К общедоступным относят сведения о человеке, которые он или она самостоятельно предоставляет в инстанции. Чтобы к открыть свободный доступ к информации, требуется письменное разрешение человека – субъекта персональных данных. Субъект – это физическое лицо, ПД которого собирает, хранит и обрабатывает оператор. Оператор – это юридическое или физическое лицо, муниципальный или государственный орган власти.

К общедоступным ПД относят сведения о субъекте, по которым его можно идентифицировать:

  • ФИО;
  • дата и место рождения;
  • домашний адрес;
  • номер телефона;
  • профессия;
  • индивидуальный налоговый номер;
  • место работы или учебы и другие сведения.

В состав общедоступных данных может входить любая информация, которая с точки зрения закона не является конфиденциальной

ПД субъекта могут классифицироваться по объему и степени важности информации личного характера

К общедоступным данным относится также персональная информация, которая предоставляется:

  • при трудоустройстве, заключении контракта или трудового договора;
  • во время переписи населения;
  • при оформлении договорных отношений во время торговых операций и других подобных ситуациях.

Персональные данные субъекта, которые распространяются через СМИ, не относятся к конфиденциальным, так как являются общедоступными в соответствии с «Перечнем сведений конфиденциального характера».

Письменное согласие субъекта на получение, передачу, обработку и другие действия с ПД требуется не всегда. В отдельных случаях, например, при участии в анкетировании или подписке на новостную рассылку, достаточно поставить галочку в графе, которая разрешает использование ПД.

Данные общего типа допускает размещать в источниках, которые являются общедоступными. Это означает, что источники просматривает и использует огромное количество заинтересованных лиц. Пример такого источника – телефонные справочники.

Документы

Для обеспечения защиты персональных данных работников в организации должны быть соответствующие документы (их бланки и образцы можно скачать ниже).

Больше информации о документах, связанных с ПД работников, найдете в нашем специальном материале.

Заявление

При трудоустройстве новый сотрудник пишет заявление о согласии на обработку персональных данных.

Факт наличия трудовых отношений еще не означает, что обработка сведений о работнике возможна, поэтому необходим этот документ. Однако организация может работать с данными, если это необходимо для исполнения договора.

Такой документ должен включать в себя:

  • Дату, название, ФИО адресата.
  • Тип данных.
  • Название и адрес фирмы-работодателя.
  • Цель предоставления информации.
  • Методы обработки информации.
  • Срок заявления.

О правилах написания заявления на обработку и прочие операции с ПД мы рассказываем тут.

Согласие

Работодатель может получить персональные данные только у самого работника, они являются его прерогативой. Если этого сделать нельзя, то запрашивать информацию у третьих лиц можно только с письменного согласия работника. Ему необходимо сообщить, из каких источников будут браться сведения, и для чего они нужны, а также о последствиях отказа сообщить эту информацию.

Документ должен включать в себя:

  1. ФИО, адрес, реквизиты паспорта.
  2. Информация о лице, получающем согласие.
  3. Цель сбора сведений.
  4. Перечень данных, на которые дается согласие.
  5. Информация о лице, которое будет работать с информацией.
  6. Способы обработки информации.
  7. Срок, на который распространяется согласие.
  8. Подпись сотрудника.
  • Скачать бланк согласия на обработку персональных данных
  • Скачать образец согласия на обработку персональных данных

Сотрудник имеет право отозвать свое согласие. Это будет целесообразно, например, при увольнении.

Положение

Положение о персональных данных – внутренний документ организации, разрабатываемый кадровой службой.

В нем необходимо указать:

  1. Цели и задачи положения.
  2. Понятие и состав сведений, о которых идет речь.
  3. Место хранения информации.
  4. Процедура получения сведений. Указывается когда нужно и не нужно получать согласие.
  5. Способы обработки информации.
  6. В каких пределах используются сведения. Кто имеет к ним доступ.
  7. Защита сведений от несанкционированного доступа и утери.
  8. Права работника относительно защиты конфиденциальной информации.
  9. Ответственность за разглашение и неправильное хранение информации.
  • Скачать бланк положения о персональных данных
  • Скачать образец положения о персональных данных

Соглашение

В соглашении о неразглашении персональных данных указывается:

  1. Имя работника.
  2. Перечень обязанностей по сохранению конфиденциальности полученных сведений.
  3. Ответственность работника в случае невыполнения соглашения.
  4. Отмечается факт, что сотрудник ознакомлен с соглашением.

Обязательство

Обязательство о неразглашении персональных данных подписывается сотрудниками, имеющими к ним доступ. В документе сотрудники указывают сведения о себе и дают обязательство:

  • Не передавать информацию третьим лицам.
  • Не использовать сведения с целью извлечения выгоды.
  • Сообщать руководству о фактах несанкционированного проникновения к личным данным.

В бумаге перечисляются виды ответственности работника:

  1. Знание и соблюдение требований относительно работы с личными сведениями.
  2. Сохранение информации в тайне.
  3. Соблюдение законов РФ и внутренних приказов организации о работе с данными.
  4. Своевременное оповещение руководства об утере данных.
  • Скачать бланк обязательства о неразглашении персональных данных
  • Скачать образец обязательства о неразглашении персональных данных

Организации, собирающие личные данные сотрудников, ответственны за их хранение и использование. Защита конфиденциальности полученной информации требует серьезного отношения.

Что такое ПДн

Почему так важно определиться с понятиями? Дело в том, что, если этого не сделать сейчас, в дальнейшем будет трудно о чем-либо договариваться. Важно понимать, что относится к персональным данным и что необходимо защищать при размещении их в облаке

Итак, законодательство РФ понимает под персональными данными (ПДн) «любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу — субъекту персональных данных».

Обратите внимание, что это определение довольно широкое и здесь не сказано про идентификацию конкретного лица. Хотя на портале персональных данных, официальном сайте Роскомнадзора, вопрос подобного характера уже задавался и звучал так: каков минимальный набор персональных данных, достаточный для идентификации человека? На что Роскомнадзор ответил: «Указанный минимальный перечень действующим законодательством не установлен

Более того, по результатам мониторинга законодательства, проведенного Роскомнадзором, было установлено, что 75 международных правовых актов, 13 кодексов РФ, более 100 федеральных законов и 250 актов Правительства Российской Федерации устанавливают различные перечни запрашиваемых персональных данных».

На этом также сделан акцент в научно-практическом комментарии к закону «О персональных данных». В документе поясняется, что «при буквальном трактовании рассматриваемой нормы к понятию «персональные данные» можно отнести широкий круг информации, в том числе выходящий за рамки разумно ожидаемого в данном контексте». То есть здесь нет указания на связь между информацией, прямой или косвенной определенностью или «определяемостью» физического лица. Отсюда напрашивается вывод, что на сегодняшний день отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные относятся к персональным, а в каких — нет.

Что включает понятие персональные данные

В связи с тем, что Закона о персональных данных понятие имеет очень обобщенный характер, а законодательство об использовании персональных данных ужесточается, вопрос о том, что такое персональные данные, становится еще более актуальными.

Исходя из статьи 3 Закона о персональных к персональным данным можно отности следующую информацию:

  • фамилия, имя, отчество;
  • пол, возраст;
  • дата и место рождения;
  • паспортные данные;
  • адрес регистрации по месту жительства и адрес фактического проживания;
  • (домашний, мобильный);
  • данные документов об образовании, , профессиональной подготовке, сведения о повышении квалификации;
  • семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления мне льгот, предусмотренных трудовым и законодательством;
  • отношение к воинской обязанности;
  • сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
  • ;
  • ;
  • информация о приеме, переводе, увольнении и иных событиях, относящихся к моей трудовой деятельности в ООО «Ромашка»;
  • сведения о в ООО «Ромашка»;
  • сведения о деловых и иных личных качествах, носящих оценочный характер.

Статья 3 Закона о персональных данных порождает больше вопросов, чем дает ответы на них, к примеру:

  • Какое сочетание указанной выше информации дает основание считать ее персональными данными?

  • Каков минимальный объем информации позволяет считать ее персональными данными?

  • Является ли фамилия (без указания имени и отчества) персональными данными?

  • Является ли адрес электронной почты персональными данными?

Каков минимальный объем информации позволяет считать ее персональными данными?

Начнем с простого вопроса: является ли сочетание фамилия + имя + отчество персональными данными?

Судебная практика отвечает на этот вопрос так: «..

Ссылка ответчика на то обстоятельство, что фамилия, имя и отчество не являются персональными данными, не может быть принята во внимание, как противоречащая действующему законодательству, так как, исходя из положений п. 1 ст

3 ФЗ «О персональных данных» от 27 июля 2006 г. N 152-ФЗ персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) …» (Апелляционное определение Московского городского суда от 06.09.2012 по делу № 11-17136). Подобный вывод содержит также Постановление Нижегородского областного суда от 12.05.2015 № 4а-288/2015.

Вывод: сочетание имя + отчество не являются персональными данными, подлежащими защите Законом № 152-ФЗ «О персональных данных», т.к. не позволяют идентифицировать лицо. Эти данные будут подлежать защите как персональные данные, только если они сами по себе помогают идентифицировать конкретное лицо.

Вопрос посложнее: является ли сочетание фамилия + инициалы персональными данными?

Управление Роскомнадзора по Республике Карелия в своем Обзоре обращений граждан за II квартал 2012 года отвечает на этот вопрос так: «… Фамилия и инициалы гражданина — это, несомненно, персональные данные субъекта. Однако без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно. ФИО (фамилия, имя, отчество) наряду со многими другими способами используются для идентификации отдельного человека среди других. По своей природе это составной ключ, идентификатор, основанный на комбинациях трех параметров фамилии, имени и отчества, на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать.

Характер сведений, опубликованных в статье, не позволяет определить пол человека, его имя и отчество. Фамилия гражданки С. не является уникальной и довольно распространена».

На этом основании Управление Роскомнадзора не обнаружило в действиях редакции газеты признаков нарушения установленного законом порядка использования или распространения информации о гражданах (персональных данных).

Вывод: сочетание фамилия + инициалы не является персональными данными, подлежащими защите Законом № 152-ФЗ «О персональных данных».

Поделитесь в социальных сетях:vKontakteFacebookTwitter
Напишите комментарий