Как работать с персональными данными работников в 2023 году
Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как работать с персональными данными работников в 2023 году». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
Как получить согласие на обработку персональных данных
Обработка ПД – любые действия с личной информацией о человеке:
- получение (сбор персональных данных);
- структуризация;
- хранение на любых носителях (в электронных и бумажных архивах);
- анализ;
- использование в коммерческой, социальной, государственной деятельности;
- передача другим владельцам или предоставление доступа к базе;
- обезличивание – устранение очевидной связи между человеком и его ПД;
- блокировка – временная остановка работы с информацией по запросу граждан или регулятора;
- удаление и обновление;
- ликвидация без возможности восстановления.
- Персональные данные – конфиденциальная информация, которая идентифицирует конкретного человека (субъекта ПД).
- Оператор персональных данных – юридическое или физическое лицо, которое осуществляет их сбор, обработку и хранение. Он обязан обеспечить надежную защиту информации.
- Правила обработки ПД регламентируются законодательством (ГК, ТК, УК, КоАП). Нарушения влекут правовую ответственность – вплоть до уголовного преследования.
Общедоступные данные по-новому
С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).
При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.
К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.
Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.
Новые штрафы за нарушение правил обработки персональных данных
Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.
Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.
Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).
Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.
С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.
Исключения из общего правила
Если организация захочет поспорить с регулятором и счесть ФИО сведениями, прямо не относящимися к ПД, она может привести ряд аргументов:
- сочетание часто встречающихся имени и фамилии без иных сведений не дает однозначной возможности определить человека;
- в одной организации могут работать несколько сотрудников с одинаковыми именами;
- ФИО общедоступны, в отличие от других сведений о гражданах.
Однако эти аргументы не всегда принимаются, поскольку прямое прочтение закона относит к ПД любую информацию о человеке. Такая позиция связана с одномерным принятием требований международного законодательства, которые нужно было отразить в национальном для вступления в ВТО. Существующее в среде экспертов мнение о том, что имя относится к категории обезличенных данных, неверно. Закон под обезличиванием понимает определенный процесс, происходящий при помощи программных и технических средств и позволяющий превратить конкретные записи в общий массив информации, из которого невозможно вычленить сведения, относящиеся к конкретному лицу. Существуют разъяснения регулятора (Приказ Роскомнадзора № 996), которыми определяются требования к методам проведения обезличивания. Они предельно конкретны, очевидно, что само по себе отсутствие возможности идентифицировать лицо по кратким сведениям о нем не делает эти данные обезличенными.
Среди характеристик методов преобразования сведений:
- обратимость – возможность программными способами устранить анонимность и вернуть ПД к первоначальному виду;
- вариативность, или возможность изменить метод обезличивания в процессе обработки;
- стойкость, или способность метода противостоять внешним атакам на массив ПД с целью их деобезличивания;
- возможность косвенного деобезличивания в едином массиве с данными других операторов;
- совместимость, при которой в одном массиве окажутся данные, обезличенные разными методами;
- небольшой параметрический объем;
- возможность контроля качества данных.
Регулятор называет четыре типа методов устранения высокой степени идентифицированности персональных данных, не отказывая оператору в возможности предложить собственное решение:
- метод идентификаторов, при котором учетная запись маркируется метками, позволяющими найти полные данные в таблице;
- изменение семантики, при котором удаляется или заменяется часть информации;
- декомпозиция, или разбиение большого объема сведений на несколько отдельно хранящихся массивов;
- перемешивание персональных данных, принадлежащих различным субъектам.
Ответственность за распространение номера телефона и адреса электронной почты
Распространение персональных данных представляет собой действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3 Закона N 152-ФЗ).
Лица, виновные в нарушении требований Закона N 152-ФЗ, несут предусмотренную законодательством РФ ответственность (ч. 1 ст. 24 Закона N 152-ФЗ).
Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, влечет наложение административного штрафа (ч. 2 ст. 13.11 КоАП РФ):
• на граждан в размере от 3 000 до 5 000 руб.;
• на должностных лиц — от 10 000 до 20 000 руб.;
• на юридических лиц — от 15 000 до 75 000 руб.
Причиненный вследствие нарушения прав субъекта персональных данных моральный вред также подлежит возмещению в соответствии с законодательством РФ (ст. ст. 1099 — 1101 ГК РФ, ст. 24 Закона N 152-ФЗ).
Общие примеры персональных данных
Персональными данными физических лиц по закону считаются:
- ФИО;
- ИНН и дата рождения;
- гражданство согласно гражданскому паспорту и место рождения;
- данные о регистрации и фактическом месте жительства;
- данные о родственниках и супругах;
- данные о дееспособности, свидетельство о смерти;
- сведения о наличии образования;
- сведения о пенсионных доходах;
- данные о наличии заболеваний, связанных с профессиональной деятельностью, страховки, выплатах по страховым случаям;
- данные о налоговых платежах;
- информация о воинской обязанности.
Персональными данными юридических лиц по закону считаются:
- наименование юрлица;
- юрадрес и организационно-правовая форма;
- местоположение юрлица;
- ОГРН;
- ИНН и КПП;
- номер расчетного счета.
К данному перечню также можно причислить сведения о руководителе.
Каким образом возможно законное использование персональных данных?
Несмотря на ответственность за разглашение сведений о личности, получение и дальнейшая работа с такого рода информацией возможна в правовом поле. Соблюдение обязательных требований получения, сбора и обработки данных гражданина позволит их применять совершенно законно без страха наступления ответственности. При этом, передача персональных данных третьим лицам должна происходить только в случае согласии лица. Такое одобрение должно быть зафиксировано в электронном виде либо на бумажном носителе.
В соответствующем соглашение на персональные данные должно быть отмечено:
- Сведения о лице, которое дает согласие. Подобное право принадлежит исключительно самому человеку и неразрывно с ним связано. Поэтому согласие следует получить у самого лица непосредственно. Передача этого права. например по доверенности не допустима.
- Перечень информации, согласие на получение и дальнейшие действия с которой одобряет лицо. Круг вопросов, входящих в персональные данные, крайне обширен. В этой связи, согласие на получение одних сведений, например, паспортных данных, очевидно не позволяет получать и распространять всю оставшуюся информацию о личности.
- Список лиц, которым разрешен доступ к информации. Законный порядок передачи персональных данных третьим лицам обуславливает наличие ограничений в части круга лиц, которые вправе обрабатывать личные данные. По этой причине следует отметить перечень доверенных лиц, получивших право на обработку персональных данных.
- Срок действия согласия. Соглашением на обработку персональных данных может быть предусмотрен период, в течение которого допускается возможность использования данных о личности. Применение полученных от человека сведений за пределами оговоренного срока в равной степени признается незаконным распространением персональных данных с соответствующими последствиями.
- Порядок отзыва согласия. По общему правилу отозвать разрешение в части персональных данных возможно в любой момент. Для этого требуется подача соответствующего письменного заявления с указанием на прекращение действия разрешения на персональные данные. Вместе с тем, дополнительно в соглашении допустимо предусмотреть каким именно образом и способом возможно сообщить об отзыве согласия на обработку персональных данных.
Законодательное регулирование в сфере персональных данных и меры ответственности за их разглашение
Закон “О персональных данных” (ФЗ №152-ФЗ от 27 июня 2006 года) —ключевой нормативный документ в сфере персональных данных граждан РФ, который декларирует основные термины, регламент, условия обработки информации, касающейся физических лиц, права и обязанности субъектов персональных данных, положения, касающиеся защиты личных сведений, а также порядок наступления ответственности за нарушения норм их обработки.
Меры административной ответственности за нарушение порядка обработки персональных данных содержатся в Статье 13.11 КоАП РФ — документ дает классификацию и пояснения правонарушений при сборе, систематизации, передаче персональных данных, совершенных заинтересованной стороной. В зависимости от обстоятельств и состава правонарушения (излагается в 7 частях Статьи), виновное лицо может быть наказано штрафными санкциями в размере от 1 до 30 тысяч рублей.
Статья 137 Уголовного кодекса РФ декларирует меры ответственности за неправомерное использование личной информации, а также умышленное их распространение без разрешения субъекта персональных данных. Если же данные деяния вредят личной жизни гражданина, виновника могут привлечь к уголовной ответственности — исправительным работам и даже лишению свободы на срок до 6 лет.
Персональные данные: что это, нормативная основа
Использование персональных данных (ПД) урегулировано на государственном уровне несколькими нормативно-правовыми актами.
Главным образом это Конституция Российской Федерации и непосредственно регламентирующий вопросы применения ПД – ФЗ «О персональных данных» (№152, 27 января 2006 года).
В законе дано четкое определение понятия персональных данных, и перечислено, что конкретно под ними подразумевается.
Под ПД понимают любые сведения о физическом лице (субъекте ПД) прямо или косвенно относящиеся к нему.
Говоря более понятно – это та информация, которая позволяет соотнести ее с конкретным человеком. Упоминание о ПД содержится в указанном основном законе государства.
В статьях 23 и 24 обозначается право граждан на сохранение своей личной жизни в тайне, соблюдение принципа ее неприкосновенности и обеспечение ее защиты на государственном уровне.
Запомните! Любая информация, которая подпадает под понятие ПД, принадлежит исключительно гражданину, не должна контролироваться ни третьими лицами, ни правительством.
Распоряжаться такой информацией, передавать ее с какой-либо целью и устанавливать запрет на ее распространение вправе только субъект, которому она принадлежит. При этом такая возможность гарантируется всем гражданам и защищается на уровне государства.
В законе №152 детально расписано, кто именно может использовать принадлежащие субъекту ПД, с соблюдением каких условий и правил.
Право на обработку личных данных конкретного субъекта принадлежит только операторам при наличии разрешения владельца. При определенных процедурах, к примеру оформлении заявки на получение кредита, анкетировании поступающих на работу, гражданин стандартно подписывает разрешение, позволяющее проверять личную информацию о нем.
Операторам становится доступным только конкретный – достаточный объем данных, необходимых для решения отдельных задач. Хранить сведения или же использовать их после достижения необходимого результата запрещается.
К примеру, нанимателю нельзя сохранять в организации записи, отражающие детализированные персональные сведения уволившегося работника, поскольку их могли использовать исключительно в период его трудовой деятельности.
Несоблюдение подобного правила повлечет ответственность за нарушение режима использования ПД сотрудника. Нормы, установленные законом №152, соблюдается всеми частными и юр. лицами.
Учтите! Специальные правила могут использоваться в случае, если ПД:
- необходимы для персональных (семейных) нужд, но при условии отсутствия нарушения прав третьих лиц,
- сохраняются в архивной документации,
- являют собой гос. тайну,
- добываются на основании судебной резолюции.
Прочие НПА вводят уточняющие моменты касательно ПД при использовании их при различных обстоятельствах, утверждают систему и классификацию защитных средств. К примеру, отдельная глава 14 Трудового кодекса РФ посвящена понятию ПД сотрудника и дает само определение.
Подразумеваются те данные, с помощью которых человека характеризуют как сотрудника конкретной организации (объем получаемой им зарплаты, полученный стаж, вид и уровень квалификации специалиста, сведения из ПФ РФ и ФНС и прочее), деловая характеристика работника.
Такая информация сохраняется у работодателя и используется в интересах сотрудника и в целях продолжения выполнения им тех или иных рабочих обязанностей, для повышения опыта (квалификации), знаний, с целью дальнейшего продвижения специалиста по карьерной лестнице, а также защиты сотрудников и имущественных ценностей организации.
Можно ли обрабатывать персональные данные без согласия людей?
Законодательство допускает обработку ПДн без согласия субъекта в следующих случаях:
- если лицо является участником судебного разбирательства;
- если данные необходимы для исполнения госорганами своих полномочий в области предоставления государственных и муниципальных услуг, в том числе для регистрации гражданина на портале «Госуслуги»;
- для исполнения договора, выгодоприобретателем или поручителем по которому выступает лицо (или для заключения такого договора от его имени);
- если ситуация требует немедленных действий, необходимых для сохранения жизни и здоровья гражданина, а получить его согласие невозможно (например, человек находится без сознания);
- собранные личные данные будут использованы в целях проведения статистического или иного исследования, при условии что они будут обезличены;
- лицо ранее самостоятельно сделало свои данные доступными для неограниченного количества пользователей;
- данные должны быть раскрыты в соответствии с действующими законодательными требованиями;
- информация используется для журналистской, творческой или научной деятельности, а также для работы СМИ, при условии, что это не нарушает права и законные интересы гражданина.
У меня свой интернет-магазин и я слышал, что надо как-то работать с персональными данными, иначе меня могут оштрафовать. Как мне понять, что менять и как действовать?
Да, действительно могут. Федеральным законом №152 от 27.07.2006 «О защите персональных данных» определены требования по защите персональных данных, а в КОАП РФ предусмотрены серьёзные санкции за нарушение этого закона, которые могут представлять собой штрафы в несколько миллионов для бизнеса.
Чтобы понимать, что нужно защищать, дадим определение персональным данным. Это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу. То есть охраняемыми законом будут те персональные данные, которые позволят установить личность. С учётом того, что в интернет-магазинах есть учетные записи с анкетами, которые содержат адрес отправки, получателя, пол, дату рождения, телефон и пр., то подобный вид деятельности однозначно подпадает под требования по защите персональных данных.
Что является персональными данными по закону
Персональные данные определены законом как сведения, с помощью которых можно идентифицировать лицо (субъект) прямым или косвенным образом с помощью дополнительных средств.
В последние годы актуальность проблем, связанных с персональными данными, выросла. Системы автоматизированного анализа позволяют организовывать сбор больших объемов данных. В современном мире нередки случаи кражи данных пользователей сети, массовая продажа личной информации без получения согласия.
С помощью персональных данных можно устроить слежку за гражданином, спланировать преступление или незаконно получить чужие деньги. В «мирных» целях персональные данные используются для проведения рекламных рассылок.
Отметим, что персональные данные остаются частью правового поля и не являются техническим понятием.
Законно ли собирать данные людей? Что говорит об этом закон
Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» не регламентирует объём той информации, которую можно считать персональными данными. В связи с чем на практике при сборе определённой информации, представители тех структур, в которые обратился потребитель, сами того нехотя, переходят ту невидимую грань, когда определённые запрашиваемые ими сведения являются персональными данными, которые нуждаются в особой правовой защите.
Часто от потребителя требуют сообщить достаточно исчерпывающую информацию, непосредственным образом относящуюся к его личности. Примером может стать примитивная анкета для получения бонусной или дисконтной карты, которую выдают сейчас практически все сферы услуг, будь то это простой продуктовый магазин, магазин детских товаров, зоомагазин, салон красоты, SPA-центр, медицинская клиника или дилерский центр по обслуживанию автовладельцев. Как правило, в таких анкетах стандартный набор вопросов, характер которых разнообразный — семейное положение, состояние здоровья, место жительства, данные, касающиеся имени и фамилии, количества детей в семье и их данные и т.д.
Вместе с тем зачастую запрашиваемая информация никаким образом не относится к непосредственной деятельности представителя той или иной услуги для потребителя. Тем самым представитель конкретной услуги переходит тонкую грань, отделяющую персональные данные от сведений, составляющих тайну частной жизни, личную или семейную тайну потребителя.
Проблема, касающаяся непосредственно объёма той информации, которую можно считать персональными данными, значима еще и потому, что в разных видах деятельности под персональными данными понимаются очень часто не совпадающие наборы данных. А разрозненность законодательной базы в данной области – также создаёт дополнительные трудности, при определении той информации, которая даёт возможность идентифицировать лицо. Так, например, в Федеральном законе от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» к персональным данным отнесены сведения, касающиеся инициалов лица-потребителя той или иной медицинской услуги, его пола, даты и места рождения, гражданства, сведения о документе, удостоверяющем личность, данные о страховом номере индивидуального лицевого счета в системе обязательного пенсионного страхования, сведения, касающиеся анамнеза, диагноза и т.п.
Персональными данными в соответствии с Федеральным законом от 15.11.1997 N 143-ФЗ «Об актах гражданского состояния» считаются любые сведения, ставшие известными работнику органа записи актов гражданского состояния при регистрации актов гражданского состояния. Максимально подробно регламентированы правоотношения относительно персональных данных работника в Трудовом кодексе РФ (глава 14). Вместе с тем объем персональных данных определяется здесь достаточно широко: это информация, которая требуется работодателю в связи с трудовыми отношениями и касающаяся конкретно-определённого работника. Однако трудовое законодательство содержит прямое указание на то, что требовать от лица, поступающего на работу, документы или данные помимо регламентированных ТК РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ – запрещено.
Цель использования данных
Нельзя не сказать и еще об одном отличии персональных данных от другой информации – это целевой характер использования персональных данных.
Так, например, исходя из п. 1 ст. 86 ТК РФ обработка данного вида информации может производиться исключительно в целях, «обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества». Данное положение также весьма эффективно способствует отграничить персональные данные от иной информации.
Таким образом, вышеприведённые критерии разграничения дают возможность на практике без труда отграничить персональные данные от иной информации, что исключит ошибки в процессе их использования, а также станет эффективным механизмом в защите прав потребителя.
Нормативно-правовая база
Основные юридические документы, устанавливающие принципы использования ПДн:
- Конституция Российской Федерации. Статьи 23 и 24 гарантируют гражданам неприкосновенность частной жизни, личную и семейную тайну, конфиденциальность в переписке, телефонных разговорах и иных сообщениях. Согласно этим положениям, ПДн принадлежат только их носителю и не должны контролироваться третьими лицами без его согласия. Со стороны государства гарантируется защита этого права граждан.
- Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006 определяет, кто и на каких условиях может использовать ПДн гражданина.
- Ребенок скрипит зубами во сне
- Свиная рулька запеченная в духовке
- Что значит зеленый кал у ребенка и взрослого человека
Для работников различных отраслей существуют отдельные нормативные акты, регулирующие правила обработки личной информации:
- Для трудящихся в организациях энергетической отрасли – Приказ Минэнерго России №166 «О работе по обработке персональных данных» от 11.11.2008.
- Для госслужащих – Федеральный Закон №79-ФЗ «О государственной гражданской службе РФ» от 27.07.2004.