Что входит в персональные данные

Что произошло и что изменилось

С 1 июля 2017 года вступают в силу поправки к статье Кодекса РФ об административных правонарушениях (статья 13.11), которая регулирует ответственность за нарушения в области сбора, хранения и обработки персональных данных.

Как было раньше:

  • нарушения не были детализированы — штраф могли взять только один раз;
  • для физических лиц максимальный штраф составлял 500 рублей, для юридических лиц — 10 тысяч;
  • протоколы составляла прокуратура, не проявлявшая в этом никакой особой инициативы.

Как будет теперь:

  • штрафы разделили по видам нарушений, теперь за каждое нарушение накажут отдельным штрафом. Например, если на сайте нет «Политики конфиденциальности», а в форме подписки нет фразы о согласии на обработку данных и ссылки на «Политику конфиденциальности» — это три разных нарушения, каждое наказывается штрафом;
  • для физических лиц максимальный совокупный штраф может составить 15500 рублей, для юридических — 290 тысяч рублей;
  • протоколы будет составлять Роскомнадзор, известный своей кипучей активностью.

Что с этим делать

1. Понять, считает ли вас закон оператором персональных данных. Операторы персональных данных — это люди и организации, «самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».

  • Например, если вы решили, что на вашем личном сайте люди могут оставить свой электронный адрес, чтобы получать от вас рассылку — вы оператор персональных данных.
  • Если на вашем сайте нужно зарегистрироваться, чтобы написать комментарий к статье — вы оператор персональных данных.
  • Если на вашем сайте есть форма обратной связи или кнопка заказа обратного звонка — вы оператор персональных данных.
  • Короче говоря, если вы имеете дело с информацией, позволяющей прямо или косвенно идентифицировать конкретного человека, вы — оператор персональных данных.

Однозначной формулировки, определяющей, что входит в понятие «персональные данные», в законе нет, поэтому лучше исходить из того, что проверяющие будут трактовать формулировку не в вашу пользу. Например, отнесут к персональным данным сведения о геопозиции пользователя, cookie и IP-адрес.

2. Решить, какие персональные данные вам нужны. Не надо собирать лишние сведения — это является нарушением. Например, будет трудно объяснить РКН, зачем вам номер паспорта или домашний адрес подписчика рассылки. Руководствуйтесь принципом «меньше знаешь — крепче спишь».

3. Составить и опубликовать на своем сайте правила, которыми вы руководствуетесь при обработке персональных данных (так называемая «Политика конфиденциальности»).

Какие пункты надо включить в «Политику» сайта:

1. Род и вид собираемой информации.Какую информацию вы собираете и для каких целей. В этом же пункте имеет смысл указать, какая информация для обеспечения нормального взаимодействия с сайтом собирается автоматически: IP-адрес, дата и время URL-перехода, коды аналитики, cookie и т. д.

2. Управление личными данными.Каким образом пользователь может изменить или удалить свои личные данные.

3. Защита персональных данных.Что вы делаете для предотвращения несанкционированного доступа к данным пользователей.

4. Порядок передачи личных данных третьим лицам.В каких случаях вы передаете данные пользователя третьим лицам. Включая предусмотренные законодательством случаи. Важно учитывать вот какой момент: указать в «Политике конфиденциальности» возможность передачи данных пользователя в личных, коммерческих и иных целях, не предусмотренных законом «О персональных данных», недостаточно. Вы должны получить на это отдельное разрешение пользователя.

5. Изменения. Как вы будете информировать пользователей, если политика конфиденциальности изменится? Просто разместите новую редакцию «Политики» или сообщите по электронной почте?

6. Дополнительные условия. Зависит от сайта. Возможно, вы размещаете фотографии пользователей и хотите оговорить порядок их публикации.

В качестве образца можно использовать «Политики конфиденциальности» Озона, Рестора или воспользоваться генератором. Или найти пример сайта из вашей ниши и подсмотреть там.

4. Если вы юридическое лицо — выпустить приказ о назначении конкретного сотрудника ответственным за работу с персональными данными и составить регламент. Внутренние документы публиковать не надо, но пусть они будут.

5. Разместить под каждой формой ввода данных на сайте и в мобильном приложении текст «Нажимая на кнопку (тут название кнопки), я даю согласие на обработку персональных данных в соответствии с „Политикой конфиденциальности“», где «Политика конфиденциальности» является активной ссылкой на страницу, где размещен этот документ.

6. Уведомить Роскомнадзор о том, что вы обрабатываете персональные данные. Строго говоря, вы давно должны были это сделать, если занимаетесь обработкой персональных данных. Но сейчас уже точно пора.

Как действовать сейчас, если вы:

Физическое лицо или ИП

  1. Составить и опубликовать на сайте «Политику конфиденциальности».
  2. Во все формы сбора данных на сайте поставить ссылку на «Политику» и согласие пользователя на обработку данных.
  3. Уведомить Роскомнадзор, что вы являетесь оператором персональных данных.

Юридическое лицо

  1. Составить и опубликовать на сайте «Политику конфиденциальности».
  2. Во все формы сбора данных на сайте поставить ссылку на «Политику» и согласие пользователя на обработку данных.
  3. Выпустить приказ о назначении конкретного сотрудника ответственным за обработку персональных данных.
  4. Уведомить Роскомнадзор, что вы являетесь оператором персональных данных.

Персональные данные в рамках ТК РФ

Информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, относится к персональным данным. Получение, хранение, комбинирование, передача или любое другое использование персональных данных кодекс называет обработкой персональных данных работника (ст. 85 ТК РФ).

Все персональные данные работника следует получать у него самого. Если информацию можно получить только у третьей стороны, то сотрудника следует уведомить об этом заранее и от него следует получить письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение (п. 3 ст. 86 ТК РФ).

Персональные данные работника содержатся в различных документах (таблица). Задача коммерсанта – обеспечить защиту персональных данных работника от недобросовестного их использования кем-либо или утраты (п. 7 ст. 86 ТК РФ). Кроме того, нельзя забывать о требованиях Закона № 152-ФЗ, который также регулирует вопросы хранения и обработки персональных данных. Никаких специальных систем и сейфов коммерсант приобретать не обязан. Трудовой кодекс предоставляет работодателю свободу: «порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего кодекса и иных федеральных законов» (ст. 87 ТК РФ). Необходимо документально оформить правила хранения и защиты персональных данных.

Таблица 1

Документы, в которых содержатся персональные данные работников

Вид документа

Персональные данные сотрудника

Анкета, другой документ, заполняемый кандидатом на должность при собеседовании

Анкетные, биографические данные физлица

Копия паспорта или другого документа, удостоверяющего личность

ФИО, дата рождения. Адрес регистрации, семейное положение

Трудовая книжка

Информация о трудовом стаже, предыдущих местах работы

Копия страхового свидетельства государственного пенсионного страхования

ФИО, личные данные

Документы воинского учета

Информация о воинской обязанности

Документы об образовании, квалификации, наличии специальных знаний

Сведения о квалификации

Личная карточка (форма № Т-2 утверждена постановлением Госкомстата России от 5 января 2004 г. № 1)

ФИО сотрудника, место его рождения, состав семьи, образование, данные документа, удостоверяющего личность, другие сведения

Копии свидетельств о заключении брака, рождении детей

Состав семьи, изменения в семейном положении

Справка о доходах с предыдущего места работы

ФИО, данные о доходе и удержанном НДФЛ

Трудовой договор

Сведения о должности, зарплате, месте работы, рабочем месте, другие персональные данные

Приказы по личному составу

Информация о приеме на работу, переводе, увольнении, назначениях, других событиях, связанных с трудовой деятельностью

Согласие работника

Обработка персональных данных осуществляется с согласия субъекта персональных данных, то есть физлица (подп. 1 п. 1 ст. 6 Закона № 152-ФЗ). Но существуют случаи, когда согласие не нужно, в частности, когда обработка осуществляется для выполнения обязанностей, возложенных на оператора (работодателя) законодательством (подп. 2 п. 1 ст. 6 Закона № 152-ФЗ). Коммерсант как работодатель обрабатывает персональные данные сотрудника для выполнения своих обязанностей, как стороны трудового договора, а именно составление отчетности, представление сведений о доходах, удержание и перечисление налога, то есть выполняет требования закона. Тем не менее, многие работодатели перестраховываются и запрашивают согласие у всех сотрудников, поскольку формулировки Закона № 152-ФЗ нечеткие, а в Трудовом кодексе эта ситуация не оговаривается.

Кроме того, если предполагается какое-либо иное использование персональных данных, выходящее за рамки Трудового кодекса, скажем, размещение информации о сотруднике на стенде или интернет-сайте, использование фамилии сотрудника в его электронном адресе, оформление визитных карточек сотруднику, то согласие лучше получить. Отметим: в согласии работника обязательно должны указываться ФИО и адрес сотрудника и предпринимателя, реквизиты паспорта работника, цель обработки данных (кадровый учет, отчетность); перечень данных, на обработку которых дается согласие; перечень действий с персональными данными, на совершение которых дается согласие; срок действия согласия, способ отзыва, подпись работника (ст. 9 Закона № 152-ФЗ).

Нужно ли согласие работника, если коммерсант самостоятельно не составляет отчетность, а привлекает сторонних специалистов? Однозначного ответа на данный вопрос нет, разъяснений ведомств тоже. Отдельные налоговые представители требуют предоставить согласие каждого сотрудника и даже предлагают собственный бланк заявления. Конечно, документ лишним не будет и обезопасит от возможных претензий контролеров. Поэтому, если работников немного, согласие лучше получить от каждого. В этом случае в заявлении помимо прочего указывается лицо (нанимаемый специалист, фирма), кому будут предоставляться персональные данные. С другой стороны налоговый агент становится представителем работодателя и, представляя отчетность, действует от его имени, то есть в рамках трудового законодательства. Что касается сохранности сведений, в договоре с привлекаемыми специалистами всегда присутствует пункт о конфиденциальности. Условие о неразглашении сведений можно предусмотреть в трудовых договорах с сотрудниками, которые будут иметь доступ к персональным данным.

Образец

Согласие работника на обработку персональных данных

ИП Смирнову А. С.

от менеджера

Киселевой Е. Н.

Заявление на обработку персональных данных

Я, Киселева Елена Николаевна

зарегистрированный (ая) по адресу:__г. Москва, ул. Смольная, д. 7, кв. 15

паспорт серия _45 04_ № _123456_, выдан _ОВД «Левобережный» г. Москвы 15.04.2002

даю согласие __Индивидуальному предпринимателю Смирнову Антону Сергеевичу

адрес: ___г. Москва ул. Полярная, д. 25, кв. 75

на автоматизированную, а также без использования средств автоматизации обработку следующих персональных данных: ФИО, паспортные данные, дата рождения, должность, адрес регистрации, ИНН, номер страхового свидетельства государственного пенсионного страхования_______________

в целях соблюдения законодательства, обеспечения личной безопасности, контроля выполняемой работы, обеспечения сохранности имущества.

Перечень действий с персональными данными:

— формирования кадровых документов и выполнения требований Трудового кодекса;

— начисления заработной платы, исчисления и уплаты предусмотренных законодательством налогов, сборов и взносов на обязательное социальное страхование;

— представления установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ;

— размещения моих фотографий, фамилии, имени, отчества на интернет-сайте.

Данное согласие действительно с __1 декабря 2011 года до даты расторжения трудового договора

Согласие может быть полностью или частично отозвано субъектом персональных данных на основании его заявления

Дата заполнения                  1 декабря 2011 года

Подпись                                Киселева

Источник:»Современный предприниматель», №12, 2011

Как обеспечить надежную защиту персональных данных?

В соответствие со ст. 19 ФЗ “О персональных данных” от 27.07.2006 N 152-ФЗ; с Постановлением Правительства РФ от 1 ноября 2012 г. N 1119.

Комплекс мероприятий по обеспечению защиты персональных данных

Организационные меры по защите персональных данных включают в себя:

  • Разработку организационно-распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных;
  • Определение перечня мероприятий по защите персональных данных

Технические меры по защите персональных данных предполагают использование программно – аппаратных средств защиты информации. При обработке персональных данных с использованием средств автоматизации, применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется исходя из класса системы персональных данных.

Обработка персональных данных. Объём и содержание обрабатываемых персональных данных работника.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Понятие и состав персональных данных.

Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.

В содержание персональных данных работника входят:

  • анкетные и биографические данные;
  • образование;
  • сведения о трудовом и общем стаже;
  • сведения о составе семьи;
  • паспортные данные;
  • сведения о воинском учете;
  • сведения о заработной плате сотрудника;
  • сведения о социальных льготах;
  • специальность,
  • занимаемая должность;
  • наличие судимостей;
  • адрес места жительства;
  • домашний телефон;
  • место работы или учебы членов семьи и родственников;
  • характер взаимоотношений в семье;
  • содержание трудового договора;
  • состав декларируемых сведений о наличии материальных ценностей;
  • содержание декларации, подаваемой в налоговую инспекцию;
  • подлинники и копии приказов по личному составу;
  • личные дела и трудовые книжки сотрудников;
  • основания к приказам по личному составу;
  • дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
  • копии отчетов, направляемые в органы статистики.

Когда нужно и когда не нужно получать согласие сотрудника на обработку персональных данных?

Согласно п. 5 ч 1 ст. 6 ФЗ от 27.07.2006 N 152-ФЗ “О персональных данных” обработка персональных данных допускается для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, …, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. В соответствии со ст. 86 ТК РФ, должно быть получено письменное согласие работника на получение персональных данных от третьих лиц, а в соответствии со ст. 87 ТК РФ письменное согласие работника необходимо на сообщение персональных данных работника третьей стороне за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами.

Случаи, когда не требуется получать согласие работника на передачу персональных данных, приведены в законодательстве и перечислены в разъяснении Роскомнадзора. Так, не требуется согласие работника не передачу персональных данных:

  • в ФСС России и Пенсионный фонд России;
  • в налоговые органы;
  • в военные комиссариаты;
  • в профсоюзные органы (в целях соблюдения трудового законодательства); –
  • в органы прокуратуры (при получении мотивированного запроса);
  • в правоохранительные органы (при получении мотивированного запроса);
  • в органы безопасности (при получении мотивированного запроса);
  • государственным трудовым инспекторам при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства.

Обязанность работодателя предоставлять персональные данные во всех вышеперечисленных случаях обусловлена полномочиями соответствующих органов на получение такой информации. Также рекомендуем предоставлять информацию о работнике в ответ на адвокатский запрос, в том случае, если полномочия адвоката на представление интересов работника подтверждены ордером, выданным соответствующим адвокатским образованием (п.1 ст.6.1 Федерального закона от 31.05.2002 № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации»).

Как организовать работу с персональными данными соискателей?

Обработка персональных данных соискателей

  1. Обработка персональных данных соискателей с целью: — принимать решения о приёме либо отказе в приёме на работу.
  2. Обрабатываются персональные данные соискателей с их письменного согласия, предоставляемого на срок, необходимый для принятия решения о приеме либо отказе в приеме на работу. Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым он заключил соответствующий договор, а также при самостоятельном размещении соискателем своего резюме, доступного неограниченному кругу лиц, в сети Интернет.
  3. Оператор обрабатывает персональные данные соискателей в течение срока, необходимого для принятия решения о приеме либо отказе в приеме на работу.
  4. В случае отказа в приеме на работу Оператор прекращает обработку персональных данных соискателя в течение 30 дней в соответствии с ч. 4 ст. 21 ФЗ «О персональных данных». Если соискатель предоставил согласие на внесение его в кадровый резерв, Оператор может продолжить обработку персональных данных в течение срока, указанного в соглашении.
  5. Работодатель не обрабатывает специальные категории персональных данных соискателей и биометрические персональные данные соискателей.
  6. Работодатель обрабатывает следующие персональные данные соискателей:
  • ФИО;
  • год рождения;
  • дата рождения;
  • номер контактного телефона;
  • адрес электронной почты;
  • образование;
  • трудовой стаж.

Резюме считается общедоступной информацией, и при его использовании не нужно письменное согласие. Но если соискатель заполняет анкету с указанием личных данных и специалист службы персонала снимает копии с документов (паспорт, диплом и т.п.), письменное согласие брать обязательно.

Какие документы о работе с персональными данными проверит инспектор?

Роскомнадзор проверяет:

  • Документы, включающие в себя персональные данные. Если проверка выездная – еще и условия их хранения, организацию места хранения. Собственно хранение данных на предприятии может быть физическим или электронным, Роскомнадзор проверяет оба метода;
  • Обрабатывающие их системы (компьютеры и программы);
  • Внутренние нормативные акты, касающиеся обработки и хранения персональных данных, и их практическое соблюдение;
  • Сайт компании в интернете;

Единого перечня документов, которые подвергаются проверке, не существует, но приблизительный список:

  • учредительные документы общества (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав общества и прочие);
  • копия уведомления о намерении осуществлять работу с персональными данными (можно заменить выпиской из реестра операторов);
  • список персональных данных, собираемых и охраняемых вашей компанией;
  • список сотрудников, имеющих доступ к персональным данным, вместе с приказом об их допуске;
  • инструкции сотрудников, которые в ходе своей трудовой деятельности обрабатывают персональные данные и обеспечивают информационную защиту;
  • положение об ответственности работников за разглашение персональных данных и нарушение запрета доступа к ним;
  • положения о коммерческой тайне, о защите персональных данных, хранящихся на предприятии;
  • положения об особенностях обработки персональных данных, в том числе их обезличивания;
  • документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности);
  • положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи сотрудников по требованиям информационной безопасности);
  • соглашения о неразглашении персональных данных, подписанные всеми сотрудниками;
  • бланки согласия граждан на обработку их персональных данных;
  • журналы инструктажей сотрудников по вопросам информационной безопасности и прочих внутренних контрольных мероприятий режима защиты;
  • журналы учета всех носителей информации, а также средств защиты информационных систем.

Проверка работы с персональными данными работников контролирующими органами.

Предметом проверки Роскомнадзора являются: деятельность по обработке персональных данных; документы, характер информации в которых предполагает или допускает включение в них персональных данных; информационные системы персональных данных, а не сотрудников компании. Помимо, документов инспекторы могут проверить компьютеры работников, которые ведут базы данных.

Ответственность за нарушение норм, регулирующих защиту персональных данных работников, с учетом изменений с 1 июля 2017 года

с 1 июля 2017 года вступил в силу ФЗ от 07.02.2017 № 13-ФЗ, который вносит поправки в ст. 13.11 КоАП. В частности, он предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и существенное увеличение штрафов.

Административная ответственность:

Основание Размер штрафа
Физлица Должностные лица Юрлица ИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн предупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до 10 000 руб. предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб. от 10 000 до 20 000 руб. от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДн от 700 до 1500 руб. от 3000 до 6000 руб. от 15 000 до 30 000 руб. от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработке предупреждение или штраф — от 1000 до 2000 руб. предупреждение или штраф — от 4000 до 6000 руб. предупреждение или штраф — от 20 000 до 40 000 руб. предупреждение или штраф — от 10 000 до 15 000 руб.
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки) предупреждение или наложение штрафа в размере от 1000 до 2000 руб. предупреждение или штраф — от 4000 до 10 000 руб. предупреждение или штраф — от 25 000 до 45 000 руб. предупреждение или штраф — от 10 000 до 20 000 руб.
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования от 700 до 2000 руб. от 4000 до 10 000 руб. от 25 000 до 50 000 руб. от 10 000 до 20 000 руб.
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн предупреждение или наложение административного штрафа — от 3000 до 6000 руб.

Подготовил юрист ФИОКАН:  Скрынникова Екатерина.

Советуем почитать:

  • Защита потребителя
  • Недвижимость
  • Семья
  • Отмена штрафов и актов государственных органов
  • Юридический факт