Главная - Другое - Данные сотрудника юридического лица являются персональными данными

Данные сотрудника юридического лица являются персональными данными


Статья 3. Основные понятия, используемые в настоящем Федеральном законе

(в ред. Федерального от 25.07.2011 N 261-ФЗ)(см. текст в предыдущей редакции)Перспективы и риски споров в суде общей юрисдикции.

Ситуации, связанные со ст. 3- Гражданин хочет признать незаконными (запретить) сбор и разглашение информации о его частной жизни, удалить ее- Работник требует признать незаконными действия работодателя по обработке (сбору, хранению, использованию, распространению и пр.) персональных данных В целях настоящего Федерального закона используются следующие основные понятия:1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);1.1) персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;(п. 1.1 введен Федеральным от 30.12.2020 N 519-ФЗ)2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;7) блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);8) уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;9) обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;10) информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;11) трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Открыть полный текст документа

Обработка персональных данных юридического лица

Иногда при анализе норм, регламентирующих правила обработки персональных данных, возникает вопрос о персональных данных юридического лица. Вопрос наличия согласия на их обработку может стать принципиальным при заключении различных гражданско-правовых договоров. Законодательство очень конкретно подводит под понятие «персональные данные» только ту информацию, которая прямо или косвенно относится к конкретному гражданину, физическому лицу, и позволяет прямо его идентифицировать.

Такое понимание содержится в Федеральном законе «О персональных данных». К ПД может быть отнесена абсолютно любая информация – от паспортных данных до адреса электронной почты. Применительно к юридическому лицу перечень идентифицирующих его сведений является исчерпывающим, практически все они, кроме места жительства и паспортных данных руководителя, учредителя и доверенного лица, осуществляющего юридически значимые действия по регистрации, содержатся в ЕГРЮЛ.

Таким образом, в рамках выполнения своей функции по регистрации юридического лица налоговая инспекция получает персональные данные физического, при этом гражданин не подписывает согласия на обработку и понимает, что в определенных ситуациях эти сведения могут быть предоставлены третьим лицам.

Фактически они не являются ПД именно юридического лица, но в отношении них режим конфиденциальности определяется нормами закона «О регистрации», такие сведения могут быть предоставлены только в установленных им случаях. Вся остальная информация юридического лица, не являющаяся общедоступной, имеет иной статус конфиденциальности, она может охраняться нормами законодательства, регулирующими коммерческую тайну.

Концепция персональных данных выросла из американской модели «прайвеси», или права на приватность, и Декларации прав человека, на базе его информационных прав. К ним относятся:

  1. право на получение нужных ему данных, например, от государственных органов;
  2. право на защиту сведений своей частной жизни от других лиц.

Соответственно, ключевым является определение «частной жизни», которой не может быть у юридического лица.

Но, трактуя термин «персональные данные юридического лица» шире, к ним можно отнести те сведения о гражданах, которые компания получает в ходе своей деятельности и так или иначе обрабатывает. В ряде случаев такие данные передаются для обработки иным юридическим лицам.

Примером может быть осуществление онлайн-платежей, когда данные плательщика получают платежная система, банк и оператор – интернет-магазин или другое лицо. Аналогичная ситуация возникает при передаче банком данных страховой компании при оформлении кредитного договора.

Иной случай связан с передачей сведений фирме, оказывающей услуги по аутсорсингу бухгалтерии или кадрового документооборота. Во всех случаях гражданин дает свое согласие на обработку персональных данных одному юридическому лицу, а осуществляется она вторым или третьим, о чем гражданин не информируется.

Третьим случаем будет хранение сведений на облачных ресурсах. Фактически информация находится в распоряжении третьих лиц, при этом ситуация не всегда регламентируется в договорных взаимоотношениях между сторонами, заказывающими и предоставляющими услуги.

Это актуально особенно в тех случаях, когда владелец облака технически не оборудовал свою информационную систему необходимыми средствами защиты персональных данных в соответствии с законодательством. Таким образом, юридическое лицо, исходя из норм закона не имеющее собственных персональных данных, осуществляет некоторые правомочия в отношении данных граждан.

В ряде случаев оно распоряжается ими неосмотрительно, должным образом не производя их защиту при передаче и даже не включая информацию о такой возможности в согласие на обработку.

Следует учитывать, что если сведения, переданные гражданином фирме, будут распространены ее контрагентами, наибольшую ответственность понесет именно то лицо, в пользу которого было подписано согласие. Ответственность может быть:

  1. административной, в виде штрафа, например, за нарушение оговоренных в уведомлении, подаваемом оператором в Роскомнадзор, целей обработки. Штрафы в России пока невысоки. В Европе за нарушение норм нового Регламента защиты данных на компанию может быть наложен штраф в размере до 20 миллионов евро или до 4 % от годового мирового оборота компании за предыдущий финансовый год;
  2. гражданско-правовой, в виде взыскания убытков или морального вреда. Сейчас часты иски с такими требованиями при передаче банками информации о гражданах коллекторским агентствам;
  3. уголовной, наступающей, когда неправомерный сбор или распространение данных причинили существенный ущерб.

Во избежание этих рисков в договоры с контрагентами обязательно нужно вносить нормы об ответственности за ненадлежащую обработку персональных данных.

Следовательно, система защиты должна выглядеть следующим образом: 1.изучение системы технической защиты информации контрагента в случае, если передаваемые данные имеют существенный объем или повышенную ценность (медицинская информация, финансовые сведения). При необходимости заключение с провайдером облачных услуг соглашения об усилении степени защиты; 2.включение в согласие на обработку персональных данных всех контрагентов, которым предполагается передавать сведения. Об этой необходимости говорит судебная практика; 3.внедрение в компании режима защиты коммерческой тайны.

Отнесение к ней персональных данных, имеющихся в распоряжении фирмы, как сотрудников, так и клиентов; 4.включение в договоры с контрагентами нормы о сохранности коммерческой тайны и штрафов за любое неправомерное ее использование. Юридическое лицо не имеет собственных персональных данных, но оно пользуется информацией, доверенной ему гражданами.

Контроль за переданными оператору персональных данных сведениями должен осуществляться и на уровне построения систем информационной безопасности, и на уровне выстраивания взаимоотношений с лицами, которым сведения предоставляются в целях обработки.

Что является персональными данными по закону

Персональные данные определены законом как сведения, с помощью которых можно идентифицировать лицо (субъект) прямым или косвенным образом с помощью дополнительных средств.

В последние годы актуальность проблем, связанных с персональными данными, выросла. Системы автоматизированного анализа позволяют организовывать сбор больших объемов данных.

В современном мире нередки случаи кражи данных пользователей сети, массовая продажа личной информации без получения согласия. С помощью персональных данных можно устроить слежку за гражданином, спланировать преступление или незаконно получить чужие деньги.

В «мирных» целях персональные данные используются для проведения рекламных рассылок. Отметим, что персональные данные остаются частью правового поля и не являются техническим понятием.

В ч.1 и ч. 2 статьи 13 № 323-ФЗ указано, что личные сведения гражданина не могут быть разглашены без его согласия. Особенно строгие меры защиты приняты в отношении врачебной тайны, которую запрещается раскрывать даже в случае смерти субъекта.

Статья 137 УК РФ настоящего закона вводит уголовную ответственность за несанкционированный сбор и разглашение информации о личной жизни субъекта персональных данных.

Распространение сведений возможно только при письменном согласии лица. Также является незаконным разглашение информации в публичных выступлениях, в публикуемых художественных произведениях и СМИ. Закон запрещает распространение персональных данных в рамках служебного положения.

Федеральный закон № 323 четко провозглашает, что за разглашение персональных данных любое лицо может быть привлечено к уголовной ответственности.

Специалисты в области IT-безопасности обращают пристальное внимание на предоставление социальным сетям, мобильным приложениям и различным сервисам возможности сбора данных. При сохранении возможности настройки приватного доступа к отдельной информации в социальных сетях проблема защиты персональных данных фактически остается нерешенной.

При сохранении возможности настройки приватного доступа к отдельной информации в социальных сетях проблема защиты персональных данных фактически остается нерешенной. Кража общедоступных сведений считается распространенным явлением.

Кроме того, любые данные, размещенные в соцсетях, постоянно обрабатываются веб-сервисами. Любое физическое лицо вправе сделать запрос через оператора персональных данных на запрет обработки информации. Ценные данные предоставляются через IP или веб-службы.

Данные сведения позволяют компаниям, связанным с рекламной деятельностью, структурировать информацию и передавать ее третьим лицам. Получить доступ к данным такие компании могут с помощью специализированного программного обеспечения. Персонализация веб-страниц преследует цель подробного изучения интересов пользователей и потенциальных клиентов.

С помощью программного обеспечения специалисты могут отслеживать активность каждого пользователя, находящегося на веб-ресурсе, что помогает определить область его интересов. Отслеживание активности пользователя позволяет повышать конверсию продаж. Закон № 152 указывает, что к ПД можно отнести любые данные, с помощью которых определяется физическое или юридическое лицо.

Зачастую предоставление ПД необходимо для оформления документов, в том числе гражданского паспорта, ИНН и т.д. Закон позволяет вести обработку персональных данных физическим, юридическим лицам, муниципальным органам и государственным учреждениям. К перечню основных персональных данных относятся:

  1. любые данные о семейном, финансовом положении;
  2. место постоянного (временного) проживания;
  3. ФИО субъекта;
  4. любые данные, связанные с родом деятельности, заработком, образованием.
  5. дата рождения;

Все персональные данные принято делить на четыре группы: 1.

К первой относятся сведения общего характера, – национальность, приверженность к религии, наличие инвалидности и т.п. Такую информацию часто вносят при заполнении анкет для приема на работу, она также может содержаться в медицинских справках. 2. Ко второй относятся данные, позволяющие выполнить идентификацию лица.

К ним причисляют ФИО, адрес, занимаемую должность, место работы и т.д.

3. Третья группа ПД включает биометрику: снимок сетчатки глаза, отпечатки пальцев, данные анализа ДНК.

4. В четвертую входят общедоступные персональные данные. Это сведения, которые не позволяют идентифицировать лицо. Согласно закону, их нельзя причислять к конфиденциальным данным.

Например, уровень дохода представителей муниципалитетов, государственных учреждений. Персональными данными физических лиц по закону считаются:

  1. ФИО;
  2. информация о воинской обязанности.
  3. данные о дееспособности, свидетельство о смерти;
  4. данные о налоговых платежах;
  5. данные о наличии заболеваний, связанных с профессиональной деятельностью, страховки, выплатах по страховым случаям;
  6. гражданство согласно гражданскому паспорту и место рождения;
  7. ИНН и дата рождения;
  8. данные о регистрации и фактическом месте жительства;
  9. данные о родственниках и супругах;
  10. сведения о наличии образования;
  11. сведения о пенсионных доходах;

Персональными данными юридических лиц по закону считаются:

  1. ОГРН;
  2. ИНН и КПП;
  3. номер расчетного счета.
  4. местоположение юрлица;
  5. наименование юрлица;
  6. юрадрес и организационно-правовая форма;

К данному перечню также можно причислить сведения о руководителе. Развитие Интернета привело к доступности данных.

Веб-поиск позволяет каждому желающему найти интересующую информацию о конкретном лице. Однако согласно закону № 152-ФЗ любой оператор, ведущий обработку ПД, не имеет права разглашать данные без согласия субъекта. Оператором признается лицо или государственный (муниципальный) орган, который производит обработку персональных данных.
Оператором признается лицо или государственный (муниципальный) орган, который производит обработку персональных данных. По согласию ОПД может передавать информацию сторонним лицам для проведения обработки (ч.

3 ст. 6). Оператор отвечает перед субъектом за действия, совершаемые с персональными данными сторонними лицами. В свою очередь, они не несут ответственности перед субъектом, но отвечают перед оператором.

Много вопросов вызывают такие сведения, как IP-адрес, электронный ящик, номер телефона. Можно ли отнести их к персональным данным, если зачастую такие сведения остаются общедоступными? Если обратиться к статье ФЗ-152, можно сделать следующие выводы:

  1. Номер телефона можно причислить к персональным данным, так как с его помощью достаточно легко идентифицировать абонента, используя дополнительные средства. В соответствии с определением ПД, номер телефона не может быть разглашен без согласия субъекта.
  2. Логины и пароли не входят в категорию персональных данных, однако могут быть причислены к коммерческой тайне.
  3. Фото и видео являются персональными данными, если с их помощью можно установить личность субъекта. При этом, согласно статье 152.1 ГК РФ, фотографии и видео могут публиковаться на массовых и публичных мероприятиях.
  4. Адрес электронного ящика по аналогии также может быть причислен к ПД. Однако если в адресе не фигурирует ФИО субъекта, такая информация считается обезличенной.

Для того чтобы классифицировать ИСПД, необходимо знать степень (категорию), к которой относятся данные и определить их объем.

По объему ПД системы делят на три типа: 1. К первому относятся ИСПД, насчитывающие свыше 100 000 субъектов в пределах Российской Федерации. 2. Ко второму – ИСПД, в которых ведется обработка ПД более 1 000 субъектов, которые живут в конкретном муниципальном образовании.

Сюда также входят субъекты, занятые в экономике или конкретном органе государственной власти.

3. К третьему – информационные системы с данными не более 1 000 СПД, занятых в конкретной компании. Проанализировав исходные данные, можно присвоить системе соответствующий класс:

  1. Второй класс присваивают системам, нарушение обработки и хранения ПД в которых способно привести к ощутимым нежелательным последствиям.
  2. К четвертому принадлежат ИСПД, в которых в случае нарушения параметров безопасности обрабатываемым данным ничего не угрожает.
  3. Третий объединяет ИСПД, нарушения в которых способны привести к незначительным последствиям.
  4. В ИС первого класса нарушения безопасности хранения и обработки ПД опасны, поскольку могут привести к серьезным пагубным последствиям для их обладателей.

Классы принято условно обозначать буквой «К».

Порядок проведения классификации ИСПД регламентирован приказом ФСТЭК.

Для ИСПД четвертого класса все мероприятия, направленные на обеспечение защиты ПД, устанавливаются оператором. Системы третьего класса должны пройти процедуру декларирования или аттестацию, а также получить лицензию ФСТЭК по техзащите конфиденциальных данных, если такие системы являются распределенными.

ИСПД второго класса должны обязательно проходить аттестацию, для них должны проводиться мероприятия, направленные на обеспечение защиты данных от побочных электромагнитных излучений и наводки. Соответственно, для реализации подобных мер могут потребоваться специальные средства защиты информации.

Для распределенных систем также необходимо получать лицензию ФСТЭК.

ИСПД первого класса должны обязательно проходить аттестацию, и также подвергаются мероприятиям, направленных на защиту от побочных электромагнитных излучений и наводок. Обязательно получение лицензии ФСТЭК для осуществления деятельности по техзащите конфиденциальных сведений. Для обеспечения защиты ИСПД необходимо сделать следующее:

  • Пройти аттестацию.
  • Уведомить уполномоченные органы о намерении проводить обработку ПД.
  • Присвоить класс.
  • Спрогнозировать угрозы для структуры и составить модель.
  • Позаботиться о квалификации персонала, который будет вести обработку ПД.
  • Спроектировать систему защиты ПД.
  • Собрать исходные данные.
  • Выполнить реализацию и интеграцию системы.
  • Выполнить все требования к инженерной защите, охране, пожарной безопасности, экологические требования и т.д.

Аттестацию нужно выполнять в отношении ИСПД, если персональные данные входят в государственный информационный ресурс.

Такими ресурсами признаются системы, в которых хранится информация и документы, находящиеся в распоряжении государства. Также аттестация необходима для ИСПД первого, второго и третьего классов. Оператор в праве заменить процедуру аттестации для ИСПД третьего класса на декларирование соответствия.

Однако такая процедура достаточно сложна в прохождении, так как не имеет четкого регламента.

Используемые в системах 1 и 2 классов средства должны пройти процедуру оценки соответствия, в том числе сертификацию. Для ИСПД 3 класса проводится декларирования соответствия требованиям безопасности. Для ИСПД 4 класса проверку на соответствие выполняют по решению оператора.

05.03.2020

Роскомнадзор о персональных данных в 2022

26 ноября 2020 г. Роскомнадзор провел онлайн-трансляцию по вопросам персональных данных и фактически рассказал, как будет применять Закон 152-ФЗ в следующем году. Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных.

На семинаре прозвучали доклады: Дмитрия Рудакова, заместителя начальника отдела ведения реестра операторов, осуществляющих обработку персональных данных. Он рассказал о реестре. Его презентация.

Второй спикер, Альфия Гафурова, заместитель начальника Управления по защите прав субъектов персональных данных Роскомнадзора, озвучила основные вопросы по жалобам граждан.

Ее презентация содержит информацию о типовых нарушениях:

  1. в ЖКХ;
  2. в связи;
  3. в интернете;
  4. в торговле.
  5. в банковской сфере;

Во время трансляции Юрий Контемиров, начальник Управления по защите прав субъектов персональных данных Роскомнадзора, ответил на самые актуальные вопросы. Здесь полная двухчасовая версия: Получилось много информации, поэтому я отказался от стенографирования и написал как мне нравится: без потери смысла, сокращая фирменный стиль выступления чиновников. Читайте и имейте в виду, что практика в регионах может отличаться.

Некоторые тезисы выступления спорные, но они показывают, как Роскомнадзор будет применять законодательство о персональных в данных в 2022 году.
GDPR и российские компании GDPR может применяться к российским компаниям в нескольких случаях:

  • Российская компания работает не только на территории России, но и направлена на европейского потребителя. Например, интернет-магазин предлагает продажу товаров в Европу, при этом одновременно выполняются два условия:
  • Российская компания имеет филиалы на территории Европы.
  • Российская компания действует по поручению европейской компании и отвечает перед ней за обработку персональных данных.
  • сайт доступен на языках стран ЕС;
  • предусмотрены расчеты в евро.

Если одно из этих условий не выполняется, то требования GDPR на такой магазин не распространяются. Будет ли приведено российское законодательство к требованиям GDPR По словам Контемирова, это дискуссионный вопрос.

Специалисты изучают практику применения европейского законодательства, но как это будет реализовано в России будет видно в ближайшем будущем. Трудовые отношения Как передавать персональные данные сотрудников в рамках групп компаний Например, при ведении кадрового учета, разработках программ повышения квалификации иностранная компания присваивает логины и пароли для работы в единой информационной системе.
Трудовые отношения Как передавать персональные данные сотрудников в рамках групп компаний Например, при ведении кадрового учета, разработках программ повышения квалификации иностранная компания присваивает логины и пароли для работы в единой информационной системе. Поскольку каждая компания выступает как отдельный оператор, то необходимо получать письменное согласие работника на передачу его персональных данных от одной компании в другую (ч.

4 ст. 9 Закона “О персональных данных”). Если в группу компаний входит иностранное юридическое лицо, то необходимо оформлять не только согласие, но и договор поручения на обработку персональных данных.

Нужно ли согласие работника для передачи его персональных данных в аутсорсинговые компании Да, нужно. Более того, передача данных в другие фирмы для ведения кадрового учета или бухгалтерского предполагает делегирование части обязанностей оператора и это требует оформление договора поручения (ч.

3 ст. 6 Закона “О персональных данных”). В таком согласии должна быть указана конкретно одна цель, для достижения которой передаются данные сотрудника.

Порядок уничтожения персональных данных Порядок уничтожения персональных данных работников и иных лиц должен быть закреплен локальных актах оператора. С актами должны быть ознакомлены все заинтересованные лица.

Оператором должен быть обеспечен неограниченный доступ к этим документам, а если сбор персональных данных осуществляется с помощью сайта, то Роскомнадзор рекомендует размещать ссылки на политику обработки персональных данных непосредственно рядом с веб-формами.

Что относится к персональным данным по мнению Роскомнадзора Центр компетенций Роскомнадзора по Южному федеральному округу разрабатывает матрицу персональных данных.

Проект такой матрицы уже существует, планируется, что он будет размещен в открытом доступе в первом полугодии 2022 года. Сбор копий документов, содержащих персональные данные Сбор копий документов должен осуществляться на основании согласия субъекта в соответствии с ч.1 ст. 6 Закона “О персональных данных”.

Паспорт — это носитель биометрических персональных данных. Для получения копии документа согласия, предусмотренного ч.

4 ст. 9 ФЗ № 152 не требуется. Но должно быть получено согласие, которое отвечает требованиям ч. 1 ст. 9 Закона: согласие должно быть информированным, конкретным и сознательным.

Т.е. человек должен четко понимать, какие данные он предоставляет, в каких целях, кому, какие действия будут осуществлять с данными. В течение какого срока, кто будет иметь доступ к персональным данным.

Если такие требования соблюдаются, то форма получения согласия определяется оператором: можно в электронном виде, можно на бумаге. Являются ли идентификаторы персональными данными Такие идентификаторы как ИНН, СНИЛС, электронная почта и т.п.

являются персональными данным.

Роскомнадзор исходит из их уникальности: они присваиваются конкретному человеку и не могут быть отнесены к другому. Даже без дополнительной информации идентификаторы являются персональными данными.

Вопрос о MAC- адресах устройств нужно рассматривать в контексте Закона “О связи”. Без сведений об абоненте они не относятся к персональным данным.

Но когда MAC- адрес добавляется сведениями, например, о геолокации или кукис, то в совокупности эта информация является персональными данными. Комбинация: фамилия, имя и телефон — персональные данные.Но отдельно номер телефона – не персональные данные, т.к он относится не к пользователю, а к абонентскому устройству.

Фотографии и видеозаписи в контексте персональных данных Ранее Роскомнадзор уже озвучивал позицию о том, что в случаях, предусмотренных законодательством, фото является биометрическим персональными данными. Для их обработки необходимо выполнить требования статьи 11 Закона “О персональных данных” Во всех иных случая фотография рассматривается как материальный носитель персональных данных и обработка которых осуществляется на общих основаниях, предусмотренных статьей 6 Закона 152-ФЗ.

Для их обработки необходимо выполнить требования статьи 11 Закона “О персональных данных” Во всех иных случая фотография рассматривается как материальный носитель персональных данных и обработка которых осуществляется на общих основаниях, предусмотренных статьей 6 Закона 152-ФЗ. Оборот фото-видеоизображений регулируется Гражданским кодексом, который предусматривает случаи использования изображения гражданина как с согласия, так и без такового.

Потоковое видеонаблюдение не рассматривается Роскомнадзором как обработка персональных данных. Но если камера направлена на идентификацию лица, например, для пресечения или раскрытия правонарушений, то записи с этой камеры должны рассматриваться как источники персональные данные. Профилирование и оценка личностных качеств Например в мобильном приложении осуществляется сбор информации в объеме: имя, телефон, история заказов, выявление предпочтений пользователя.

По мнению Роскомнадзора такой набор информации является персональными данными, поскольку на его анализе осуществляется подготовка маркетинговых предложений. И дальнейшее использование этих данных в рекламе должно осуществляться в соответствии со ст. 15 Закона “О персональных данных” и предполагает согласие на обработку персональных данных Оценка поведений и личных качеств работников, например, при проведении психологических тестов, представляет собой некую модель профилирования физического лица на основании которой вырабатываются рекомендации: о занятости, приеме или отказе в приеме на работу, на замещение вакантной должности.

Для проведения профилирования необходимо получать согласие на обработку персональных данных.

О согласиях на обработку персональных данных Несколько целей в одном согласии Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию. Пока же Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях.

Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.

Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.

Получение согласия на обработку персональных данных при заключении договора Если обработка персданных осуществляется в соответствии с условиями договора и только для его исполнения, то согласие не требуется. Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных. Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы.

Если впоследствии по этим видам обработки субъект направит отзыв своего согласия, то оператор обязан ее прекратить, поскольку она не является основной применительно к предмету договора. Согласия на обработку персональных данных соискателя и близких родственников Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы. Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие.

Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников. В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников.

Например, сообщить о необходимости проверки конфликта интересов. Обработка персональных данных родственников сотрудника имеет ряд особенностей Обработка персональных данных в объеме, предусмотренном унифицированными формам, например, карточками Т-2, согласия не требует. Но на обработку ПД, которые не содержаться в типовых формах, но необходимы работодателю, требуется получать согласие.

Электронные копии согласий на обработку персональных данных Сканы письменных форм согласий на обработку делать не запрещено. Но если есть электронные копии, то можно ли уничтожить оригинал на бумажном носителе?

Роскомнадзор рекомендует принимать во внимание положения процессуальных кодексов, где предусмотрено, что в случае рассмотрения судебного спора необходимо предоставить суду подлинники письменных доказательств.

Поэтому при принятии решения о замене оригинальных экземпляров на электронные копии, необходимо учитывать эти риски. Срок согласия на обработку персональных данных По мнению Роскомнадзора срок согласия должен быть ограничен конкретным сроком или достижением цели обработки персональных данных, например, исполнением договора. Нельзя указывать, что согласие дается на неограниченный срок или указывать сроки, не предусмотренные законодательством или ничем не мотивированные.

Например, неправильно установить срок согласия на 15, 50 или 70 лет.

Если конкретный срок определить затруднительно, то рекомендуется обработку ПД ограничивать достижением цели обработки.

Форма согласия на получение рассылки от иностранного сайта Достаточно ли получения согласия в электронной форме в виде проставления галочки в чек-боксе, если сайт или его администратор находятся за пределами РФ? Роскомнадзор считает, что если сайт направлен на граждан России, то презюмируется, что он соблюдает требования национального законодательства России — в частности, соблюдает правило локализации.

Следовательно, такая форма выдачи согласия допустима.

Передача персональных данных третьим лицам Что делать, если персональные данные передаются третьим лицам? Причем этот список может изменяться.

Если для обработки персональных данных необходимо получать письменное согласие (ч. 4 ст. 9 Закона “О персональных данных”) например, трансграничная передача, обработка биометрических данных и т. д, то в этом случае обязательно поименное указание организаций, которые действуют по поручению оператора.

Рекомендуем прочесть:  Упк рф моральный вред

В случае изменения этих организаций, согласие придется переподписывать.

Во всех остальных случаях согласие может содержать отсылку на сайт оператора, где можно разместить список третьих лиц, которым передаются персональные данные. В самом согласии необходимо указать цели, в которых ПД передаются этим третьим лицам.

Об изменении списка Роскомнадзор рекомендует уведомлять субъектов персональных данных. Срок такого уведомления законом не определен, но РКН считает разумным делать это в течение 10 дней. Договоры поручения на обработку персональных данных Является ли провайдер облачных услуг оператором?

Конечно, провайдер облачных услуг является оператором, поскольку на его серверах осуществляется хранение персональных данных.

Требуется ли при использовании облачных услуг заключать договор поручения на обработку персональных данных? Да, потому что один оператор передает для хранения ПД другому оператору.

А этот случай предполагает заключение договора поручения.

Дополнительно нужно получать согласие субъекта на передачу его персональных данных по договору поручения. Можно ли в согласии работника указывать всех третьих лиц, которым передаются ПД в рамках договоров поручений? Можно, но только при условии, что третьи лица привлекаются для достижения единой цели, которая предусмотрена в тексте согласия на обработку персональных данных.

Например, для целей кадрового учета привлекается две организации. В согласии указывается цель: ведение кадрового учета.

В этом случае согласие составлено корректно. Должны ли третьи лица, которые осуществляют обработку персональных данных по договору поручения, направить в Роскомнадзор уведомления об обработке? Да, эти лица являются операторами и обязаны предоставлять уведомления по общим правилам.

Исключение, предусмотренное для договорных отношений, в этом случае не применяется, поскольку субъекты персональных данных не являются стороной договора поручения, заключаемого оператором с третьим лицом.

Обязан ли оператор предоставлять по договору поручения сведения о правовых основаниях обработки персональных данных? Действующим законодательством такая обязанность не предусмотрена, поскольку ответственность перед субъектом несет только оператор, даже за действия третьего лица.

Поэтому РКН рекомендует урегулировать этот вопрос в договоре поручения на обработку персональных данных, если необходимо. Персональные данные представителей компаний в договоре Типичная ситуация: два юридических лица заключили между собой договор. С одной стороны договор подписал представитель по доверенности.

Организация, которая выдала доверенность своему работнику, обязана получить от него согласие на передачу персональных данных контрагенту по договору. Для контрагента, получившего доверенность этого работника, получать отдельное согласие на обработку не нужно, т.к.

обработка ПД доверенного лица осуществляется в рамках договора. Ответственное лицо Будет ли привлечен оператор к ответственности, если он не назначил ответственное лицо за обработку персональных данных? К административной ответственности РКН привлекать не будет.

Но если в ходе проверки такой факт будет выявлен, то проверяющий выдаст предписание с указанием срока его исполнения.

И если оператор в этот срок не устранит нарушение, то будет привлечен к административной ответственности по ст. 19.5 КоАП РФ. Можно ли назначить нескольких лиц, ответственных за обработку ПД?

В уведомлении о намерении осуществлять обработку персональных данных должно быть указано только одно физическое лицо, ответственное за обработку персональных данных. Конечно, ответственный может делегировать часть своего функционала, но об этом нужно указать только в локальных актах оператора.

Можно ли указывать в уведомлении юридическое лицо, ответственное за обработку ПД? Да, если к обработке привлечено юридическое лицо, то оно может быть указано в уведомлении о намерении осуществлять обработку персональных данных в дополнение к информации, предусмотренной ст.

22 Закона № 152-ФЗ. Заключение Если вы дочитали и не нашли каких-то ответов — это нормально. Отрасль развивается и даже регулятор не может дать четких рекомендаций.

Судебная практика охватывает частные случаи, поэтому ее нужно изучать в контексте вашей ситуации.

Контемиров пообещал, что по результатам работы Центров компетенций в 2022 году будут опубликованы: матрица персональных данных, портфель оператора, включающий в себя шаблоны документов, актов, форм, необходимых для работы с персональными данными. РКН хочет, чтобы такой портфель был хорошим подспорьем.

Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных. Почитайте пост о Реестре операторов персональных данных.

Ну а я продолжаю наблюдение. Подпишитесь на мои страницы в Фейсбуке, Яндекс Дзене и Телеграм, чтобы делать это вместе. Остаюсь с вами на связи. Все вопросы по статье можно написать в чат в Я.Дзене. ps. Чатик придумал, чтобы избежать включения в реестр ОРИ, но быть с вами на связи.

Поделитесь в соцсетях

  1. 1
  2. 3

Метки персональные данные, Роскомнадзор Навигация записи Веселящая реклама закиси азотаПрокуратура продолжает штрафовать за Wi-Fi в общественных местах

Персональные данные работников: как работодателю не нарушить закон

У предпринимателя хранится стандартная информация о работниках: имя, контакты, номер паспорта, прошлые места работы. Такая информация — персональные данные людей. Собирать, хранить и удалять её нужно по правилам из закона.

Если персональные данные хранить неправильно, бизнес оштрафует Роскомнадзор.

В ещё худшей ситуации личная информация утечёт к банкам, конкурентам и бывшим супругам работников. Тогда к штрафу добавится обязанность компенсировать моральный вред.

Чтобы избежать штрафов и судов, нужно один раз настроить работу с персональными данными сотрудников.

Хорошая новость в том, что это несложно сделать самостоятельно. Рассказываем как. Основная информация о персональных данных: Глава 14 Трудового кодекса РФ Закон № 152-ФЗ О персональных данных Положение об особенностях обработки персональных данных без средств автоматизации Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна.

Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.

Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных.

Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ. Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.

Бизнесу без наёмного персонала в этом плане меньше хлопот.

За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо. Персональные данные — это любая информация о человеке, из которой можно понять, о ком речь — ст.

3 Закона № 152-ФЗ. Более ясного определения нет. Поэтому работодатели обязаны следить за всеми документами, где есть имена, даты рождения, адреса и подобные сведения о работниках.

Вот список для ориентира: Кадровые документы — трудовые договоры, трудовые книжки, личные карточки, приказы об отпусках и выговорах, заявления на отпуск.

Копии документов от работника — паспорта, СНИЛСа, свидетельства о рождении детей.

Бухгалтерские документы — расчётные листы по зарплате и премиям. Любые сведения о зарплате — это в принципе персональные данные, они секретны.

Так сказано в . Фото работника — например, на пропуск. Отпечатки пальцев — это биометрические персональные данные. Для них те же правила. Неформальные документы — резюме, анкеты, характеристики, тесты на психологическую совместимость скорпиона и змееносца в активной фазе луны.

Эльба — бухгалтерия, с которой справится любой.

Сервис подготовит платёжки на зарплату, налоги и взносы — а потом сам сформирует отчётность.

Год на «Премиуме» для ИП младше 3 месяцев За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности. Работу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.

Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

Попасть на административную ответственность можно за сам факт нарушения закона.

Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта. Компания использовала копии документов людей как черновики.

Это незаконное распространение персональных данных.

Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018. Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда. Дела о моральном вреде рассматривает суд по иску работника.

Сумма компенсации зависит от последствий и бывает ощутимой. Скриншот трудового договора с размером зарплаты работника попал в интернет.

Компания не уследила или не придала этому значения.

По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13. В тяжёлом случае утечки данных о человеке через СМИ, интернет или как-то ещё публично на руководителя заводят уголовное дело по ст.

137 УК РФ. В уголовном деле смотрят на реальный вред личной и семейной жизни человека. Например, на ютуб слили видео с камер в офисе — так жена менеджера узнала об измене. Наказание грозит вплоть до лишения свободы на четыре года.

Но такие дела, конечно, редкость. Не уследивших за персональными данными кадровика, бухгалтера и директора можно уволить и переложить на них убытки от штрафов.

Посмотрите нашу статью про . Правила о персональных данных разбросаны по разным законам.

Мы собрали их в один столбик и упростили: � Персональные данные работника обрабатывают только с его письменного согласия. � Персональные данные работника нельзя никому сообщать без его согласия — ст.

7 Закона № 152-ФЗ. Даже коллегам и членам семьи.

Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.

� Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ. О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя.

Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции. � Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.

� Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными.

Хранить документы в надёжном месте — одна из главных его обязанностей.

� Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ. � Работник в любое время может получить бесплатно копию документов с персональными данными — ст.

89 ТК РФ. � В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона. Чтобы законно собирать и хранить информацию о персонале, надо составить несколько скучных документов и кому-то поручить постоянную бумажную работу (возможно, самому себе).

Это не так сложно, как кажется на первый взгляд.

1. Составьте и утвердите локальный нормативный акт — Положение о защите персональных данных работников.

Обычно положение дублирует закон.

Знакомьте с ним письменно каждого работника.

Подписи удобно собирать на обратной стороне положения.

2. Назначьте ответственного за персональные данные. Так нужно в силу ст. 22.1 Закона № 152-ФЗ. Назначенный человек будет отвечать за сбор согласий с работников и физическую защиту документов.

Возьмите с него обязательство о неразглашении данных. Брать трудовые книжки, договоры и копии паспортов сможет только он. ИП и организации с одним учредителем ответственным назначают себя.

3. Берите с каждого работника письменное согласие на обработку персональных данных. Отсутствие согласия — популярный повод для штрафа.

Отдельно оформлять согласие не надо, если пользуетесь типовой формой трудового договора для микропредприятия. В форме есть строка о согласии на обработку. Если планируете получать сведения о человеке у третьих лиц, например, рекомендации с прошлых мест работы или справки о судимости, возьмите согласие и на это.

4. Храните документы с персональными данными в надёжном месте. Критериев надёжности нет. Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель. Это его право по ст. 18.1 Закона № 152-ФЗ и п.

15 Положения. Для хранения подойдёт сейф или ящик на замке. К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные. Хранить информацию в электронном виде разрешено только на сервере в России по ст.

18 Закона № 152-ФЗ. 5. Уничтожайте персональные данные полностью.

Отслужившие документы нельзя просто взять и выбросить в мусорное ведро или отправить на черновики. Нельзя даже хранить на всякий случай — это нарушение.

Ненужные резюме, заявления и копии паспортов уничтожают. Сделать это надо так, чтобы никто не смог посмотреть и взять данные из них.

Такое требование прописано в п.

10 Положения. Пользуйтесь шредером или мелко порвите бумаги.

Аналогичное требование к удалению данных с сервера: чтобы не осталось копий.

6. Если нужно, уведомляйте Роскомнадзор. По общему правилу работодатель не обязан сообщать Роскомнадзору о сборе и хранении персональных данных.

Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст.

22 Закона № 152-ФЗ. Например, когда сообщает банку о заработке сотрудника или подтверждает визовому центру место работы.

В обоих случаях это передача персональных данных.

Надо уведомлять Роскомнадзор. А при работе через сайт с именами и контактами клиентов, вам совершенно точно нужен важный документ — . Сделали все документы? Пройдите на сайте Роструда.

Это бесплатно и штрафов за найденные нарушения не будет. 7. Исполняйте требования закона не только формально.

Работодатель в курсе личной жизни подчинённых. Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.