Персональные данные: подробное руководство и шаблоны документов

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные: подробное руководство и шаблоны документов». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.


С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

Когда согласие не нужно

В разрешении на обработку ПД нет необходимости, если их субъект:

  1. Является участником договора.
  2. Подвергается судебному разбирательству.
  3. Не может физически предоставить согласие в экстренных ситуациях (например, находится без сознания).

Также не нужно получать согласие на обработку информации, которая не попадает в перечень исключений или не относится к ПД, например:

  • сведения, собранные для личных нужд человека – списки телефонных и почтовых контактов, визитные карточки, профили друзей в соцсетях;
  • фото или видео с общественных мероприятий или полученные на платной основе;
  • ИНН без привязки к другой информации;
  • государственные номера транспортных средств.
  • данные для проведения научных исследований, творческой деятельности, не нарушающие прав и интересов граждан;
  • информация, предназначенная для передачи только внутри компании (группы компаний)

Закон не дает исчерпывающего определения ПД, поэтому при сборе любой информации о клиенте лучше заручиться его согласием. Это поможет избежать взысканий.

Общедоступные данные по-новому

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

Требования к согласию

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

в течение трех рабочих дней с момента обращения;

или в срок, указанный в постановлении суда;

или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.

К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).

Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?

На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.

  • Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
  • Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.
Читайте также:  Новые правила пересдачи на права после лишения в 2023 году

С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.

Вас могут не пустить в здание, особенно если это режимный объект. Если на территории организации установлен особый пропускной режим, то отказ в пропуске может считаться законным, в том числе если вы не желаете дать согласие на обработку ПД.

Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:

  • считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
  • считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.

Однако оба довода являются спорными.

В каких случаях ФИО относятся к персональным данным

Регулятор склонен считать ПД любые сведения, обрабатываемые оператором и предоставляемые ему субъектом при условии подписания согласия на обработку. Такой информацией будут и полные анкетные данные, и краткие сведения в интернет-магазине, по которым невозможно установить их реального обладателя. В любом случае все сведения должны защищаться с применением организационных, программных и технических способов обеспечения конфиденциальности.

Часто оператор, считая фамилию, имя, отчество общеизвестной информацией, хочет сократить расходы, связанные с их обработкой. Но в итоге такие манипуляции не приводят к достижению соглашения с регулятором. При проверке организация будет оштрафована, если защита имен граждан обеспечена программными решениями низкого уровня.

В инструкции об обработке ПД, с которыми работает Центробанк, это сведения о сотрудниках, аудиторах, руководстве коммерческих банков и других категориях лиц. В п. 5.1. четко указано: такие сведения, как фамилия и имя, отчество при его наличии, пол, являются персональными данными. На качество и степень обработки категория сведений не влияет. При этом Банк России уточняет, что только фамилии и имени для идентификации недостаточно, они должны быть использованы совместно с реквизитами паспорта или другой идентифицирующей информацией.

# Какая деятельность подлежит обязательному лицензированию и какими могут быть сами лицензии?

Начнем с того, что лицензирование представляет собой способ регулирования деятельности организации, характеризующийся установлением правового режима осуществления отдельных видов деятельности. Основные виды лицензий, выдаваемых регулирующими органами Лицензия ФСБ (государственная тайна) Если организация проводит работы с использованием сведений, представляющихгосударственную тайну , необходимо получить лицензию ФСБ. Такая лицензия необходима организациям, вне зависимости от их организационно-правовых форм. Лицензия представляет собой официальный документ и действует в течение установленного срока, разрешая осуществлять на определенных условиях конкретный вид деятельности. Имея лицензию на Гостайну, организация, в том числе и поставщик облачных услуг, может выполнять следующее:

  • осуществлять работы с использованием сведений, составляющих государственную тайну;
  • осуществлять работы, связанные с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну;
  • осуществлять мероприятия и/или оказывать услуги в области защиты государственной тайны.

Лицензия ФСБ на деятельность в области разработки, распространения и технического обслуживания шифровальных (криптографических) средств и предоставления услуг в области шифрования данных Помимо лицензии на Гостайну, ФСБ занимается выдачей лицензии на деятельность в области разработки, распространения и технического обслуживания шифровальных (криптографических) средств и предоставления услуг в области шифрования данных. Такая лицензия позволяет выполнять широкий перечень работ и оказывать услуги в отношении шифровальных (криптографических) средств. В таблице ниже представлен пример работ и услуг, которые можно выполнять при наличии такой лицензии. Список 1. Пример перечня работ/услуг, которые можно выполнять согласно лицензии

  • Разработка шифровальных (криптографических) средств.
  • Разработка защищенных с использованием шифровальных (криптографических) средств информационных систем.
  • Разработка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
  • Разработка средств изготовления ключевых документов.
  • Модернизация шифровальных (криптографических) средств.
  • Модернизация средств изготовления ключевых документов.
  • Производство (тиражирование) шифровальных (криптографических) средств.
  • Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.
  • Производство защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
  • Производство средств изготовления ключевых документов.
  • Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.
  • Производство (тиражирование) шифровальных (криптографических) средств.
  • Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.
  • Производство защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
  • Производство средств изготовления ключевых документов.
  • Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.
  • Изготовление с использованием шифровальных (криптографических) средств изделий, предназначенных для подтверждения прав (полномочий) доступа к информации и (или) оборудованию в информационных и телекоммуникационных системах.
  • Работы по обслуживанию шифровальных средств, предусмотренные технической и эксплуатационной документацией на эти средства.
  • Ремонт шифровальных (криптографических) средств.
  • Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных систем.
  • Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
  • Передача шифровальных (криптографических) средств.
  • Передача защищенных с использованием шифровальных (криптографических) средств информационных систем.
  • Передача средств изготовления ключевых документов.
Читайте также:  Как получить гражданство Латвии

# Какова ответственность в случае нарушения требований по защите ПДн?

Вопрос ответственности за невыполнение требований законодательства по защите ПДн является часто задаваемым. Кто-то, отмахиваясь, полностью игнорирует законодательство о ПДн, считая его формальностью, кто-то, наоборот, приводит весомый список наказаний и боится наступления часа «Икс». Какова же реальность? Ответственность, за нарушение требований по защите ПДн Статья 24 закона № 152-ФЗ «О персональных данных» определяет вид ответственности за нарушение требований ФЗ, которая заключается в том, что лица, виновные в нарушении требований закона, несут

  • гражданскую ответственность;
  • уголовную ответственность;
  • административную ответственность;
  • дисциплинарную и иную ответственность, предусмотренную законодательством РФ.

Неисполнение требований закона «О персональных данных» приводит организации к следующим рискам:

  • гражданские иски со стороны клиентов или работников;
  • приостановление или прекращение обработки ПДн в организации;
  • привлечение организации и/или ее руководства к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности;
  • приостановление действия или аннулирование лицензий на основной вид деятельности организации;
  • репутационные риски;
  • риски недобросовестной конкуренции.

В процессе установления уровня защищенности и организации мероприятий, направленных на нейтрализацию угроз безопасности, приоритетное значение имеет классификация ПДн, предусмотренная ФЗ-152 и Постановление Правительства № 1119. В них прописано четыре категории ПДн, которые обрабатываются в ИС:

  1. Общедоступные — те, которые опубликованы в открытых источниках с согласия владельца (если субъект хочет удалить сведения, он может подать заявление оператору либо обратиться в суд). К таким относятся дата, место рождения, адрес прописки и проживания, профессия и место работы, адрес электронной почты, телефонный номер, образование.
  2. Специальные — ПДн, которые касаются сексуальной жизни субъекта, его политических, философских и религиозных воззрений, а также расовой и половой принадлежности. Доступ к такой информации предоставляется только по решению суда, в рамках работы органов правосудия, при реализации международных соглашений либо после получения письменного разрешения владельца.
  3. Биометрические — любые биологические либо физиологические особенности, которые дают возможность определить личность субъекта, к примеру, ДНК, фотографии, группа крови, рисунок сетчатки глаза, отпечатки пальцев и т.д. Оператору для обработки подобных ПДн нужно предварительно получить разрешение (за исключением случаев, когда есть судебное решение либо речь идет о расследовании преступлений). Однако если хранение осуществляется не с целью установления личности, то сведения не относятся к категории биометрических ПДн (в зависимости от ситуации их можно определить как специальные либо общедоступные).
  4. Иные — ПДн, которые нельзя определить ни в одну из других групп. Фактически, это дополнительная информация о человеке, которая часто меняется: размер зарплаты, социальный статус, рабочий стаж, длительность и даты отпуска и т.д.

Помимо того, можно выделить несколько разновидностей персональных данных в зависимости от целей и способа их обработки:

  • сведения в муниципальных и государственных ИС;
  • личные сведения в полностью автоматизированных системах;
  • ПДн, необходимые для агитации политических сил, раскрутки товаров и услуг;
  • трансграничная передача данных (когда информация передается за пределы страны).

Сколько согласий запрашивать?

В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.

Это согласие работодатели уже давно должны были запросить у работников.

К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).

В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.

Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.

Какие данные являются персональными: позиция суда

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр.

Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах.

Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

Каким образом возможно законное использование персональных данных?

Несмотря на ответственность за разглашение сведений о личности, получение и дальнейшая работа с такого рода информацией возможна в правовом поле. Соблюдение обязательных требований получения, сбора и обработки данных гражданина позволит их применять совершенно законно без страха наступления ответственности. При этом, передача персональных данных третьим лицам должна происходить только в случае согласии лица. Такое одобрение должно быть зафиксировано в электронном виде либо на бумажном носителе.

В соответствующем соглашение на персональные данные должно быть отмечено:

  1. Сведения о лице, которое дает согласие. Подобное право принадлежит исключительно самому человеку и неразрывно с ним связано. Поэтому согласие следует получить у самого лица непосредственно. Передача этого права. например по доверенности не допустима.
  2. Перечень информации, согласие на получение и дальнейшие действия с которой одобряет лицо. Круг вопросов, входящих в персональные данные, крайне обширен. В этой связи, согласие на получение одних сведений, например, паспортных данных, очевидно не позволяет получать и распространять всю оставшуюся информацию о личности.
  3. Список лиц, которым разрешен доступ к информации. Законный порядок передачи персональных данных третьим лицам обуславливает наличие ограничений в части круга лиц, которые вправе обрабатывать личные данные. По этой причине следует отметить перечень доверенных лиц, получивших право на обработку персональных данных.
  4. Срок действия согласия. Соглашением на обработку персональных данных может быть предусмотрен период, в течение которого допускается возможность использования данных о личности. Применение полученных от человека сведений за пределами оговоренного срока в равной степени признается незаконным распространением персональных данных с соответствующими последствиями.
  5. Порядок отзыва согласия. По общему правилу отозвать разрешение в части персональных данных возможно в любой момент. Для этого требуется подача соответствующего письменного заявления с указанием на прекращение действия разрешения на персональные данные. Вместе с тем, дополнительно в соглашении допустимо предусмотреть каким именно образом и способом возможно сообщить об отзыве согласия на обработку персональных данных.
Читайте также:  Новая форма 6-НДФЛ с 2023 года в «1С:Зарплате и управлении персоналом 8» ред. 3

Необходимо запомнить, что субъект персональных данных — это физическое лицо. И без его разрешения (или со стороны суда в определённых моментах) они не должны попасть в руки третьих лиц, пускай это даже рядовой кадровый сотрудник предприятия. Любые операции с информацией допускаются только при наличии согласия. Особенно много проблем в связи с этим возникло у кадровых агентств. Ведь им сейчас формально запрещено пользоваться доступными открытыми базами данных, которые можно найти в Мировой сети, поскольку они не получали от потенциального работника согласие на использование их информации. Хотя, формально, получать письменное согласие на обработку не нужно. Но существует вероятность судебного спора, поэтому очень желательно, чтобы этот факт имел физическую форму в виде бумаги.

Правом контроля за исполнением закона обладает Роскомнадзор. Эта же служба и занимается проверками в данной сфере. Что же ждёт нарушителей? Законодательством предусмотрено привлечение к дисциплинарной, административной, гражданской и уголовной ответственности. Фактически же существует только одна практика. Это привлечение к административной ответственности. Так, законом предусмотрено, что должностное лицо, допустившее нарушение, может получить или предупреждение, или штраф до тысячи рублей. С организаций спрос больше – для них предусмотрены суммы от 5 000 до 10 000. Сложность организации хранения данных и одновременно незначительная ответственность вероятно приведут к известной ситуации – суровость законов компенсируется необязательностью исполнения. А это очень плохое положение дел, которое необходимо исправить.

Основные положения закона

Широкое понятие о персональных данных включает всю информацию о человеке

Примечательно, что государство не разграничило понятие «личностных данных», то есть под понятие ПД могут попасть любые сведения, касающиеся жизни человека, состояния его здоровья и прочие.

Юристы считают, что этот закон не доработан, а значит, понятие «личная информация» можно классифицировать, как угодно. То есть строгих ограничений нет. Так, если данные касаются человека, его личной жизни, помогают установить с ним контакт, то ее можно классифицировать, как частную. Отношения между организацией, физическим лицом и гражданином регламентируются ФЗ.

Проект запрещает:

  1. Предавать сведения огласке, предоставлять их третьим лицам.
  2. Использовать с целью получения выгоды.
  3. Пользоваться данными, преследуя свои цели, в стремлении отомстить или опорочить гражданина.

Все это нарушает нормы законодательства РФ. Но в определенных случаях, когда гражданин считается преступником, его ПД могут быть предоставлены блюстителям порядка. Что также не считается нарушением законодательства нашей страны.

Что относится к персональной информации

Обычно, когда говорят о том, какая информация относится к ПДн, имеют в виду следующие данные:

  • фамилия, имя и отчество;
  • информация о том, какое получено образование;
  • данные об уровне доходов;
  • место и дата рождения;
  • социальное и имущественное положение человека.

Этот список включает в себя основную информацию такого рода, но не является полным.

Кроме того, ПДн можно разделить на несколько разновидностей:

  1. Здесь рассматриваются сведения, которые раскрывают убеждения человека, его философские или религиозные предпочтения, интимную жизнь, состояние здоровья, информация о национальности и расовой принадлежности. Такие данные могут быть получены, например, из анкет, заполненных гражданином.
  2. В этот раздел можно включить данные, которые непосредственно позволяют идентифицировать человека. Сюда включаются ФИО, адрес проживания, паспортные данные и другая аналогичная информация.
  3. Биометрические данные включают в себя отпечатки пальцев, анализ ДНК, фотография сетчатки глаза, различные особенности строения тела.
  4. К отдельному разделу относится информация, которая является обезличенной. К ней относятся данные, которые не дают возможность провести идентификацию конкретного человека.

Тут также идёт речь об общедоступной информации, которая не может быть скрыта, потому, что это является требованием законодательства. Сюда, например, включаются данные о доходах, которые получены муниципальными или государственными служащими.

Ко всей перечисленной информации применяются нормы, предусмотренные законом, определяющие её хранение и использование.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *