Перечислите персональные данные требующие особого порядка обработки


Перечислите персональные данные требующие особого порядка обработки

5 шагов по организации учета и хранения персональных данных


Сохранности персональных данных стоит уделить особое внимание, так как с прошлого года законодатель ужесточил ответственность для работодателя за несоблюдение обязанности по их защите. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и как организовать правильный учет и хранение персональных данных сотрудников. Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации. Какие данные являются персональными Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст.

3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных). К общим персональным данным можно отнести следующие сведения:

  1. дата и место рождения;
  2. изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  3. семейное положение, наличие детей, родственные связи;
  4. адрес (место регистрации);
  5. финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  6. образование, профессия;
  7. фамилия, имя, отчество;
  8. деловые и иные личные качества, которые носят оценочный характер;
  9. факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  10. прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  1. специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается.

    Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;

  2. биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных.

    Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  1. личной карточке работника (форма Т-2);
  2. медицинских справках и др.
  3. справке о доходах с предыдущего места работы;
  4. в паспорте или ином документе, удостоверяющем личность;
  5. документах о воинском учете, образовании, составе семьи;
  6. свидетельствах о заключении брака, рождении ребенка;
  7. анкете, заполняемой при трудоустройстве;
  8. трудовой книжке;

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных.

Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных).

Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч.

4 ст. 9 Закона о персональных данных).

Например, письменное согласие работника на обработку его персональных данных требуется: 1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ). В уведомлении необходимо указать (п.

3 ст. 86 ТК РФ). В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  1. цели получения персональных данных работника у третьего лица;
  2. способы получения данных, их характер;
  3. предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  4. возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч.

2 ст. 9 Закона о персональных данных). В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин.

Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных). Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ); 3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст.

10 Закона о персональных данных).

К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч.

6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных). Не во всех случаях требуется согласие работника на обработку персональных данных.
Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п.

2 ч. 1 ст. 6, п. 2.3 ч. 2 ст.

10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  • от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  • из документов (сведений), предъявляемых при заключении трудового договора;
  • в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  • по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  • от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч.

3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч.

5 ст. 6 Закона о персональных данных). Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п.

7 ст. 86 ТК РФ). Разберем пошагово действия работодателя по учету и хранению персональных данных в организации. Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных.

Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ). Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись.

При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом. Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо. В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники.

Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ.

Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194). Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных. Таким ответственным может быть как конкретное лицо, так и подразделение.

В последнем случае личную ответственность несет руководитель такого подразделения. Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  1. журнал проверок наличия документов, содержащих персональные данные работника.
  2. заявления работников о согласии на обработку персональных данных;
  3. журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия.

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел. Подведем итоги Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок?

Обязательно проверьте:

  1. ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  2. от всех ли работников получено согласие на обработку персональных данных;
  3. должным ли образом осуществляется хранение и защита персональных данных;
  4. соответствует ли документация об их обработке требованиям законодательства и т.д.
Для отображения формы необходимо включить JavaScript в вашем браузере и обновить страницу. 50 014

  1. Новые статьи
  2. Популярные
  1. Дайджест изменений за апрель. Новое по НДС и НДФЛ
  2. Расчет отпускных в 2021 году.

    Пять ошибок, которых следует избегать

  3. Изменения в работе бухгалтера бюджетной сферы: дайджест за май
  4. Как правильно рассчитать отпускные в 2021 году.

    Примеры и калькулятор расчета

  5. Хотите стать главным бухгалтером?

    Узнайте все тайны профессии

  1. Вы получили дополнительное профессиональное образование. Как мир узнает об этом?
  2. Как правильно рассчитать отпускные в 2021 году.

    Примеры и калькулятор расчета

  3. Как определить страховой стаж для исчисления больничного работнику
  4. Расчет и оплата больничного листа в 2021 году
  5. Пособие по беременности и родам работнице.

    Чек‑лист для бухгалтера

Подписываясь, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от компании СКБ Контур. Бесплатный курс

«Отдельные вопросы бухучета в коммерческой организации»

Смотрите 4 полезных видеоурока, проходите онлайн-тесты и получите электронный сертификат Контур.Школы. Приглашаем бухгалтеров и главных бухгалтеров коммерческих организаций Посмотреть программу Знаковые судебные решения за 2020 год.

Выводы и рекомендации главбухам, руководителям для снижения рисков компании Матиташвили А. А. Запись вебинара Статьи по теме

  1. Что обязан проверить бухгалтер организации при работе с самозанятыми
  2. Должная осмотрительность: алгоритм действий
  3. Персональные данные: что грозит за нарушение закона
  1. Налоговые последствия неграмотных договоров
  2. Субсидиарная ответственность при банкротстве
  3. Уголовная ответственность бухгалтера: ужесточение контроля и практика

Персональные данные: в чём суть закона?

12.10.2018 10480

480 auto Мы все в самых разных ситуациях вынуждены делиться сведениями о себе, а практически в каждой компании вынуждены их обрабатывать. Порядок использования данных о физических лицах определён в федеральном законе № 152 «О персональных данных».

Он был принят в июле 2016 года.

С тех пор в этот закон было внесено немало поправок и дополнений. Ознакомиться с его текстом можно в «», месте официальной публикации правовых актов.

И конечно, он имеется во всех популярных правовых информационных системах.

Многие из наших клиентов, разместивших свои информационные системы в облаке 1cloud, так или иначе обрабатывают чьи-то личные данные: клиентов, работников или кого-то ещё.

Однако несмотря на уже продолжительный период действия закона о персональных данных, регулярно возникают вопросы о порядке их обработки по нормам российского законодательства. Мы решили подготовить краткий обзор нормативных документов по этой теме.

В том числе, с учётом особенностей размещения информационных систем в публичном облаке. Этому посвящены три статьи: 1) обзор закона; 2) меры защиты; 3) особенности защиты в публичном облаке. Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

Общо? — Очень! Но так мыслил законодатель, принимая и изменяя рассматриваемый закон. Вообще, в полицейско-правовом отношении физическое лицо идентифицируется тремя параметрами: полным именем, датой рождения и местом рождения.

Они именуются краткими установочными данными. Всё остальное — номер паспорта, номер пенсионного страхового свидетельства, индивидуальный номер налогоплательщика, различные документальные удостоверения, отпечатки пальцев, радужная оболочка глаза и прочее — это дополнительные идентификаторы. Он касается так называемых операторов — государственных и муниципальных учреждений, юридических и физических лиц, которые производят обработку персональных данных.

Под обработкой данных законодатель понимает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Следует обратить внимание на то, что под обработкой понимается не только автоматизированная (компьютерная) обработка, но и любая другая, включая, например, картотеки или журналы на бумажных носителях.

Действие закона о персональных данных не распространяется на ситуации, когда:

  1. данные отнесены к государственной тайне.
  2. данные обрабатывает физическое лицо исключительно для личных и семейных нужд (если при этом не нарушаются права других лиц);
  3. данные обрабатывают в официальных архивах;

В ряде случаев согласие на обработку таких данных не требуется, например, если:

  1. обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получить его согласие невозможно.
  2. обработка производится в судах;
  3. обработка нужная для журналистской, научной, литературной или иной творческой деятельности при условии, что это не нарушаются права и законные интересы других лиц;
  4. обработка необходима для исполнения договора, в котором владелец персональных данных является стороной;

При необходимости согласия оно должно включать в себя следующие сведения:

  1. цель обработки;
  2. наименование и адрес оператора, получающего согласие;
  3. перечень действий с данными, на совершение которых даётся согласие, общее описание используемых оператором способов обработки данных;
  4. фамилию, имя, отчество, адрес, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  5. личную подпись.
  6. срок, в течение которого действует согласие, а также способ его отзыва;
  7. перечень данных, на обработку которых даётся согласие;

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов этих данных о своем намерении осуществлять такую обработку. О том, что это за орган, будет сказано далее.

Такое уведомление не требуется, когда данные:

  1. получены в связи с заключением договора, стороной которого является физическое лицо, если его данные не распространяются и не предоставляются третьим лицам, а используются оператором исключительно для исполнения указанного договора;
  2. включены в государственные автоматизированные информационные системы для защиты безопасности государства и общественного порядка;
  3. включают в себя только фамилию, имя и отчество субъекта;
  4. необходимы в целях однократного пропуска субъекта на территорию, на которой находится оператор, или в иных аналогичных целях;
  5. обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации;
  6. обрабатываются в соответствии с трудовым законодательством;
  7. сделаны самим владельцем персональных данных общедоступными;
  8. относятся к членам общественного объединения и обрабатываются соответствующим общественным объединением, действующими в соответствии с законодательством Российской Федерации, при условии, что данные не будут распространяться или раскрываться третьим лицам;
  9. обрабатываются в целях транспортной безопасности.

Сняты ли все вопросы? — Нет. Например, является ли интернет-магазин оператором персональных данных?

— Изначально, вроде, нет, так как данные клиента используются только «в связи с заключением договора, стороной которого является субъект». Но ведь при отправке заказа почтой или транспортной компанией сведения о клиенте предоставляются третьей стороне. В настоящее время уполномоченным органом по защите прав субъектов персональных данных назначена Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций ().

В настоящее время уполномоченным органом по защите прав субъектов персональных данных назначена Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (). Непосредственно этим направлением занимается одно из её подразделений — Управление по защите прав субъектов персональных данных.

Деятельность Роскомнадзор направлена на организационно-документальную сторону дела. Технические аспекты защиты персональных данных курирует Федеральная служба по техническому и экспортному контролю (). Если в технических средствах защиты информации используется криптография (шифрование), к регулированию подключается Федеральная служба безопасности РФ ().

Для упрощения восприятия порядка обработки данных, установленного в законе о персональных данных, мы решили представить его в виде схемы. Оператор персональных данных обязан обеспечить их защиту от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении них. Под мерами по обеспечению безопасности персональных данных при их обработке законодатель понимает следующие действия.

  • Восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
  • Применение средств защиты информации.
  • Установление правил доступа к обрабатываемым данным, а также обеспечение регистрации и учёта всех действий, совершаемых с ними.
  • Обнаружение фактов несанкционированного доступа к данным.
  • Оценка эффективности принимаемых мер по обеспечению безопасности до ввода в эксплуатацию информационной системы.
  • Определение угроз безопасности.
  • Контроль за принимаемыми мерами по обеспечению безопасности данных и уровня защищенности информационных систем.
  • Применение организационных и технических мер по обеспечению безопасности.
  • Учёт съёмных носителей персональных данных.

Этот список не является исчерпывающим, то есть законом допускаются иные действия, направленные на обеспечение безопасности персональных данных. Ответственность за регламентацию уровней защиты данных разных категорий и мер защиты законодатель возложил на Правительство Российской Федерации.

Сейчас по этому вопросу действует Правительства № 1119 от 01.11.2012

«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

. Подробнее организационно-технические аспекты защиты персональных данных при их автоматизированной (компьютерной) обработке мы рассмотрим в нашей следующей статье. Непосредственно для обработки персональных данных никакие лицензии не нужны.

Но при обеспечении их безопасности могут потребоваться сертифицированные технические средства. Кроме того, по действующему российскому законодательству, обязательно должны быть сертифицированы средства защиты информации, если в них применяется криптография (шифрование).

Оказание услуг по защите информации лицензируемым видом деятельности. Но если юридическое лицо или индивидуальный предприниматель применяет криптографические средства защиты для собственных нужд, наличие у него лицензии не требуется. Задача обеспечения безопасности и сохранности персональных данных является вполне реальной, весьма актуальной и многогранной.

Она касается очень и очень многих. Поэтому нормативные акты, регламентирующие порядок и методики обработки персональных данных на государственном уровне, нужны и полезны.

В этой статье мы попытались кратко осветить содержание и общую логику этих актов. Один из главных посылов закона заключается в том, что лицо, обрабатывающее персональные данные, должно осознавать угрозы этим данным и принимать меры по предотвращению и преодолению их возможных последствий. И это — бесспорно позитивная цель!

Однако в целом этот закон весьма далёк от совершенства. В нём присутствуют неясные формулировки, недостаточно полные нормы.

По очень многим важным вопросам имеются отсылки к иным правовым актам, которые, в свою очередь, ясности не добавляют. О конкретных мерах по обеспечению безопасности данных мы расскажем в нашей следующей статье. P. S. Ещё немного наших статей: Я даю и соглашаюсь c Подписаться Блог 2018-10-12 ru

200 60 1cloud ltd +7 (812) 313-88-33 191014, Санкт-Петербург, ул.

Кирочная, 9 200 60 1cloud ltd +7 (812) 313-88-33 191014, Санкт-Петербург, ул. Кирочная, 9 × Все права защищены © 2012-2021

3 злободневных вопроса об обработке персональных данных: ищем ответы в свежих разъяснениях регулятора и судебных делах

Анонсы 6 июля 2021 Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

16 июня 2021 Программа разработана совместно с АО «Сбербанк-АСТ».

Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

24 июля 2020 Консультант Центра информационной безопасности компании «Инфосистемы Джет» специально для ГАРАНТ.РУ Разобраться в нюансах обработки персональных данных бывает не просто даже опытным специалистам.

Это связано с тем, что положения Федерального закона от 27 июля 2006 г. № 152-ФЗ «» (далее – Закон № 152-ФЗ) содержат общие формулировки, которые могут трактоваться по-разному.

Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться, более того, встречаются судебные дела с противоположными решениями.

При построении процессов обработки персональных данных руководители компаний часто не понимают, на что им ориентироваться, чтобы не допустить нарушений . При этом вопрос защиты персональных данных год от года становится более острым. За последние два года в КоАП РФ внесены поправки об увеличении штрафов за невыполнение требований .

За последние два года в КоАП РФ внесены поправки об увеличении штрафов за невыполнение требований .

Кроме того, сейчас готовится проект закона об увеличении штрафов за утечку персональных данных. Ежегодно Роскомнадздор фиксирует более 50 тыс.

жалоб физических лиц и выписывает организациям административные штрафы, общая сумма которых превышает 1 млн руб. Возможные последствия для компаний не ограничиваются одними штрафами: регулятор может заблокировать сайт организации, что является неотъемлемой частью бизнеса для тех, кто предоставляет онлайн-сервисы или развивает продажи в интернете.

В данной колонке я рассмотрю три важных вопроса, которые мне регулярно задают предприниматели, сравнив положения и позицию Роскомнадзора. А также поделюсь личным опытом участия в проверках службы.
  • Фотография в СКУД – биометрические персональные данные?

Использование фотографий в системах контроля управления доступом (СКУД) – распространенная практика в компаниях. Поэтому многих волнует вопрос: относится ли фотография в СКУД к биометрическим персональным данным?

Ведь в этом случае организация должна будет получить согласие субъекта персональных данных в письменной форме, указанной в . Что говорит законодательство?

дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография.

Так, в говорится, что под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта данных.

Что говорит Роскомнадзор? На сайте службы опубликованы разъяснения о том, что фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными. На дне открытых дверей в январе текущего года представители регулятора пояснили, при каких условиях фотография относится к биометрическим персональным данным. Так, если она:

  1. сделана в соответствии с требованиями к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);
  2. отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).

При данном пояснении регулятора можно сделать вывод, что обработка фотографии в системе СКУД к биометрическим персональным данным не относится.

Кроме того, на последних проверках Роскомнадзора с нашим участием компании не получали замечаний о том, что фотография в СКУД относится к биометрическим персональным данным. Однако нам встречались и примеры с противоположным решением регулятора. Что говорит судебная практика?

Владелец фитнес-клуба в Казани пытался оспорить в суде постановление Роскомнадзора и штраф в размере 10 тыс.

руб. (решение Cоветского районного суда города Казани от 26 сентября 2020 г. по делу № 12-1526/2019). В спортивном клубе использовали систему СКУД для идентификации посетителей по фотографии при проходе через турникет без их письменного согласия.

Суд сослался на разъяснения службы о том, что фотография, используемая для идентификации личности, является биометрическими персональными данными, и оставил жалобу без удовлетворения. Выводы ФОРМА Роскомнадзор не опровергает разъяснения на сайте, но на публичных мероприятиях его представители приводят критерии, по которым фотография в СКУД не относится к биометрическим персональным данным.

Аналогичный подход все чаще встречается и в результате проверок регулятора. При этом, как видно из приведенного выше судебного решения, совсем недавно суд придерживался другой позиции, ссылаясь на разъяснения Роскомнадзора.

Таким образом, сегодня есть риски получения предписаний и штрафов в случае отсутствия согласия в письменной форме на обработку биометрических персональных данных при использовании фотографии в СКУД.

Поэтому рекомендуется получать согласие субъекта персональных данных. Согласие должно быть оформлено в соответствии с требованиями . Еще один вариант минимизировать риск — указать во внутренних нормативных документах (например, в регламенте о пропускном и внутриобъектовом режимах), что фотографии в СКУД обрабатываются не с целью идентификации личности, а для организации пропускного режима.

Однако при таком способе есть риски получить предписание в случае проверки Роскомнадзора.

  • Относится ли номер телефона к персональным данным?

Компании часто спрашивают, считаются ли номера телефонов без привязки к ФИО и другой информации пользователя персональными данными, и нужно ли в этом случае получать согласие владельца номера на обработку персональных данных. Что говорит законодательство?

Напомним, согласно , персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Что говорит Роскомнадзор? На дне открытых дверей представители службы также объяснили, что к персональным данным относится информация, которая характеризует человека. Телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи, и значит, персональными данными не является.

По моей практике участия в проверках Роскомнадзора, представители службы не требуют получения согласия на обработку номера телефона без привязки к другим данным. Что говорит судебная практика?

Житель города Белгорода обратился в суд (решение Октябрьского районного суда г. Белгорода от 12 сентября 2020 г.

по делу № 12-393/2019) с жалобой на размещение его телефонного номера в Интернете компанией ООО «Яндекс Справочник».

Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца. Суд согласился с регулятором в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека. Между тем, суд в Москве, рассматривая подобный вопрос, вынес другое решение (решение Черемушкинского районного суда г.

Москвы от 18 июня 2020 г. по делу №12-973_2019). Гражданину поступали звонки от коллекторской компании без его согласия.

При этом других данных, кроме номера телефона, у взыскателей о человеке не было. Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением . Выводы Роскомнадзор придерживается позиции, что номер телефона без привязки к другим данным не относится к персональным данным, а значит, не нужно получать согласие его владельца на обработку данных.

Однако правоприменительная практика говорит о том, что стоит заручиться согласием субъекта на обработку таких данных. Оно может быть оформлено в любой форме, позволяющей подтвердить факт его получения (например, галочка на сайте).

  • Нужно ли согласие субъекта персональных данных, если они обрабатываются в рамках исполнения договора?

Часто компании задаются вопросом, нужно ли отдельно получать согласие, если персональные данные обрабатываются с целью выполнения обязательств по договору, или договор сам по себе является правовым основанием для обработки. Что говорит законодательство?

В говорится, что обработка персональных данных допускается:

  1. для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  2. для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект будет являться выгодоприобретателем или поручителем.

Что говорит Роскомнадзор?

На официальном сайте Роскомнадзора размещена информация о том, что согласие не требуется, если обработка персональных данных необходима для исполнения договора.

По моему опыту участия в проверках регулятора отсутствие согласия может быть нарушением в следующих случаях:

  1. требуется согласие на обработку персональных данных в письменной форме (для специальных категорий данных, биометрических данных, трансграничной передачи персональных данных и т.п.).
  2. персональные данные избыточны по отношению к цели обработки или обрабатываются с целью, которая не указана в договоре. В качестве примера можно привести обработку копий паспортов, не требующихся для исполнения договора, или рассылку рекламных SMS-сообщений клиентам;
  3. не указан перечень организаций, в которые передаются персональные данные;

Что говорит судебная практика? Рассмотрим два примера с противоположными решениями суда.

В пятом арбитражном апелляционном суде Владивостока рассматривался случай обработки персональных данных собственников помещения ресурсоснабжающей организацией. Судебная коллегия определила, что при наличии договора согласие субъекта на обработку данных не требуется, поскольку она необходима для исполнения договора (). В другом деле апелляционный суд Воронежа установил, что подписание договора не может считаться согласием собственника помещения многоквартирного дома на обработку персональных данных ().

Согласие должно быть выражено с соблюдением требований с обязательным указанием сроков обработки персональных данных. Выводы В судебной практике есть пример, где наличие договора не является согласием.

Роскомнадзор тоже не требует согласия, если персональные данные обрабатываются с целью исполнения договора, но проверяет выполнение условий, приведенных выше. *** Тема обработки персональных данных всегда вызывает много вопросов из-за неоднозначности формулировок , и у каждого специалиста по персональным данным своя интерпретация правильного выполнения требований. Встречаются ситуации, когда в судебном порядке оспариваются постановления службы.

Более того, по одному вопросу можно найти противоположные решения суда. Подход Роскомнадзора меняется со временем, появляются новые разъяснения на сайте службы и открытых мероприятиях, а также решения судебных дел.

Я рекомендую при построении процессов обработки персональных данных оценивать совокупность факторов и выбирать решение, которое минимизирует риски получения предписаний и штрафов, на периодической основе проверять процессы обработки персональных данных на соответствие новым подходам Роскомнадзора.

Кроме того, стоит обратить внимание на разработку организационно-распорядительных документов, которые должны соответствовать выбранной позиции по спорным вопросам, а также отражать актуальные изменения процессов обработки персональных данных в компании.

_____________________________ С разъяснениями можно ознакомиться на официальном сайте: .

С информацией можно ознакомиться на официальном сайте: . Теги: , , , , , , , , , , , , Документы по теме: Федеральный закон от 27 июля 2006 г.

№ 152-ФЗ «» Читайте также: Такое исключение предусмотрено в законодательстве об обработке персональных данных. При условии идентификации личности заявителя простой электронной подписью.

Квалификационная электронная подпись используется для выполнения на сайте ФНС операций в личных кабинетах организаций и ИП. Соответствующий законопроект сегодня поступил в Госдуму.

© ООО «НПП «ГАРАНТ-СЕРВИС», 2021. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО «НПП «ГАРАНТ-СЕРВИС».

Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года. ООО «НПП «ГАРАНТ-СЕРВИС», 119234, г.

Москва, ул. Ленинские горы, д.

1, стр. 77, . 8-800-200-88-88 (бесплатный междугородный звонок) Редакция: +7 (495) 647-62-38 (доб.

3145), Отдел рекламы: +7 (495) 647-62-38 (доб.

3136), . Реклама на портале. Если вы заметили опечатку в тексте,выделите ее и нажмите Ctrl+Enter

Новые правила обработки персональных данных: закон и судебная практика

С 1 марта 2021 года вступили в силу изменения в ФЗ № 152 «О персональных данных». Предлагаемые изменения назревали уже очень давно, но были приняты только сейчас. Зачем они потребовались? Мы все хорошо знаем, что сбор персональных данных разного рода операторами происходит довольно часто.

Свои данные мы указываем везде: открытие счета, получение посылки по почте, запись на прием к приставу и пр.

При этом гарантировать сохранность персональных данных после их обработки очень сложно. Безусловно, ФЗ № 152 обязывает их охранять.

Но некоторые данные могут стать публичными из-за злоупотребления полномочиями или банальной неосторожности. Кроме того, можно предоставить свои персональные данные неограниченному кругу лиц из-за невнимательности. Например, при оформлении sim карты в салоне мобильной связи покупателю предоставляют договор, в котором уже проставлены отметки о согласии на предоставление персональной информации третьим лицам, не только в рекламных целях.

Причем на требование убрать проставленные отметки могут ответить отказом, мотивируя свое решение политикой организации и пр. Как результат, данные клиента могут попасть совершенно в любые руки, включая недоброжелателей и злоумышленников.

Поправки в ФЗ № 152 направлены на урегулирование механизма защиты прав неограниченного круга лиц, чьи данные тем или иным способом участвуют в обороте или станут известны в будущем.

До вступления поправок в силу у третьих лиц оставалась некая «лазейка» в законе. В частности, они также могли осуществлять сбор, хранение и передачу данных.

А субъекты, чьи персональные данные были переданы третьим лицам, могли требовать их удаления только при соблюдении обязательных условий: необходимо доказать, что данные получены незаконно, потеряли актуальность, являются неполными и т.п. С принятием поправок в ФЗ данное правило изменилось. Теперь лицо может требовать ограничения пользования и удаления персональных данных у любого оператора, которому стали известные персональные данные.

Причину такого решения субъект персональных данных указывать больше не обязан.

Кроме того, теперь лицо само сможет решать какие из его персональных данных могут быть использованы.

Если субъект не дал прямого письменного разрешения на использование своих персональных данных, то оператор, получивший сведения, имеет право на их обработку, но не имеет права на распространение. Соблюдать положения закона обязаны все операторы, в том числе те, которые публично выкладывают персональные данные для общего доступа.

Например, таковыми признаются социальные сети. Согласие на использование персональных данных необходимо будет направить через социальную сеть или на юридический адрес компании. Впоследствии предполагается, что предоставить согласие можно будет через специальную систему, которую создаст Роскомнадзор.

Таким же способом предполагается передавать требование на прекращение использования персональных данных. С момента получения требования оператор должен прекратить использование персональных данных в течение 3 рабочих дней. В случае, если использование персональных данных так и не было прекращено, лицо имеет право обратиться в суд.

По решению суда, вступившему в законную силу, оператор обязан прекратить передачу и использование персональных данных.

Если оператор не прекратил использовать и передавать персональные данные, то для него предусмотрена ответственность, согласно ст.

13.11 действующего КоАП — от 3000 до 75 000 рублей, в зависимости от вида субъекта нарушителя.

Кроме того, с 27 марта 2021 такой вариант наказания, как предупреждение, будет полностью упразднен, а санкции статьи ужесточаются, вследствие чего штрафы для оператора увеличатся вдвое, т.е. от 6000 до 150 000 рублей. Внесение поправок в действующее законодательство имеет своей целью более корректное использование персональных данных, полученных оператором для обработки. В первую очередь, это необходимо для того чтобы операторы понимали серьезность вверенных им данным и последствий своих действий.

Поскольку нарушения в хранении и передачи данных третьих лиц так или иначе все еще встречаются, у операторов не сложилось четкого представления о необходимости получения письменного согласия на передачу любых персональных данных. Во-вторых, увеличение размера штрафов, возможно, сократит уровень халатного отношения к полученным персональным данным.

Еще больше важных моментов о защите персональных данных, которые нужно знать для работы без штрафов — .

В Москве гражданин обратился в мировой суд за защитой своих нарушенных прав. Суть истории: на его номер телефона поступали звонки от коллекторской службы. При этом письменного или устного согласия на предоставление номера телефона гражданин коллекторскому агентству не давал.

Данные находились только у банка, с которым был заключен кредитный договор. В заключенном договоре не содержалась информация о возможности передачи персональных данных третьим лицам. Иных данных, кроме номера телефона, у коллекторов не было.Кроме того, представители агентства считали, что номер телефона не относится к персональным данным.

Мировой суд посчитал такие действия со стороны коллекторской компании нарушением ФЗ № 152 «О защите персональных данных». Позже Черемушкинский районный суд г. Москвы, как апелляционная инстанция, поддержал решение мирового суда в полном объеме и согласился с выводами нижестоящего суда в части привлечения организации к административной ответственности и выплате штрафа в размере 30 000 рублей (решение Черемушкинского районного суда г.

Москвы от 18 июня 2020 г. по делу № 12-973/2019). Наконец, изменения ФЗ № 152 необходимы были самим субъектам персональных данных.

Теперь требовать удалить персональные данные можно, не изыскивая каких-либо доказательств. Одного нежелания лица теперь достаточно. Удалить данные или прекратить их передачу операторы обязаны в течение 3 дней после обращения лица.

«» : Теги:

  1. , юрист ЮК Приоритет

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

(в ред.

Федерального от 25.07.2011 N 261-ФЗ)(см. текст в предыдущей редакции)Перспективы и риски споров в суде общей юрисдикции.

Ситуации, связанные со ст. 3- Гражданин хочет признать незаконными (запретить) сбор и разглашение информации о его частной жизни, удалить ее- Работник требует признать незаконными действия работодателя по обработке (сбору, хранению, использованию, распространению и пр.) персональных данных В целях настоящего Федерального закона используются следующие основные понятия:1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);1.1) персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;(п.