Что относится к персональным данным

Статья 85. Понятие персональных данных работника. Обработка персональных данных работника

Статья 85. Понятие персональных данных работника.

Обработка персональных данных работника

1. Понятие персональных данных работника, предлагаемое законодателем, носит характер.
Определенное содержание персональных данных определяется ст.

3 закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных"*(84), благодаря ей личные данные — любая информация, относящаяся к конкретному или определяемому на основании такой информации частному лицу (субъекту персональных данных), также его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, общественное, имущественное положение, образование, специальность, доходы, иная информация.
законом от 29 декабря 2010 г. N 437-ФЗ "О внесении изменений в закон "О некоммерческих организациях" и отдельные законы РФ"*(85) ТК восполнен ст.

349.1, посвященной свойствам регулирования сотрудников государственных корпораций, бюджетных компаний. На основании п. 1 ч. 1 ст.

349.1 ТК сотрудник государственной корпорации или бюджетной компании в вариантах и порядке, которые установлены Правительством РФ, представляет не только сведения о собственных доходах, имуществе и обязательствах имущественного характера, но еще о доходах, имуществе и обязательствах имущественного характера его жена (супруги) и маленьких детей.
Аналогичным образом, в большинстве случаев наниматель обязан располагать информацией не только о работнике, но и о персональных данных его жена (супруги), маленьких детей.

2. Указом Главы Российской Федерации от 6 марта 1997 г. N 188 сведения о фактах, событиях и обстоятельствах частной жизни гражданина, разрешающие определить его личность (личные данные), кроме сведений, подлежащих распространению в средствах массовой информации в установленных законом случаях, включены в Список сведений конфиденциального характера*(86).
Условие конфиденциальности персональных данных раскрывается в законе "О персональных данных".

Согласно п. 10 ст. 3 этого Закона конфиденциальность персональных данных — принудительное для выполнения оператором или другим получившим доступ к персональным данным лицом условие не позволять их распространения без согласия субъекта персональных данных или наличия другого законного основания.

В трудовых отношениях в качестве оператора выступает наниматель. Статья 7 указанного выше закона возлагает на оператора и третьих лиц, получающих доступ к персональным данным, обязанность обеспечивать их конфиденциальность, кроме случая обезличивания персональных данных и в отношении общедоступных персональных данных.

3. Статья 65 ТК перечисляет документы, предъявляемые при заключении трудового договора, и устанавливает, что предъявление дополнительных документов с учетом особенности работы может предусматриваться ТК, законами , указами Главы Российской Федерации, постановлениями Правительства РФ.
4. Касательно к индивидуальным категориям сотрудников информация о персональных данных считается более емкой (становится шире).

Лицо разрешается к педагогической деятельности, если наниматель располагает сведениями про то, что оно (ст. 331 ТК):
— не лишено права заниматься педагогической работой в согласии с вступившим в законную силу приговора суда;
— не имеет и не имело судимости, не подвергается или не подвергалось уголовному преследованию (кроме уголовного преследования, прекращенного в отношении лица по реабилитирующим основаниям) за преступления против здоровья и жизни, свободы, достоинства личности (кроме противозаконного помещения в психиатрический стационар, клеветы и оскорбления), половой неприкосновенности и половой свободы личности, против семьи и несовершеннолетних, здоровья населения и общественной нравственности, а еще против общественной безопасности;
— не имеет неснятую или непогашенную судимость за умышленные тяжкие и особо тяжкие преступления;
-не признано недееспособным;
— не имеет болезней, предусмотреных списком, утверждаемым федеральным органом исполнительной власти, осуществляющим функции по выработке политики и нормативно-правовому регулированию в области здравоохранения.

5. Информация, нужная работодателю в связи с трудовыми отношениями, определяется рядом законов, к примеру:
1) Законом РФ от 11 марта 1992 г. N 2487-I "О частной детективной и охранной деятельности в РФ"*(87), где отмечено, что на покупку правового положения приватного охранника не вправе претендовать лица (ст.

11.1):
а) имеющие болезни, которые препятствуют исполнению ими обязанностей приватного охранника (см. Список болезней, препятствующих исполнению обязанностей приватного охранника, утвержденный постановлением Правительства РФ от 19 мая 2007 г. N 300*(88));
б) имеющие судимость за совершение умышленного преступления;
в) не минувшие профессиональной подготовки для работы в качестве охранника;
г) у которых удостоверение приватного охранника было отменено по основаниям неоднократного вовлечения в течение года приватного охранника к административной ответственности за совершение административных правонарушений, посягающих на институты власти, административных правонарушений против порядка управления и административных правонарушений, посягающих на порядок и общественную безопасность;

2) Воздушным кодексом РФ (ст. 52), установившим, что на должности авиационного персонала не принимаются лица, имеющие непогашенную или неснятую судимость за совершение умышленного преступления.

На работу в службы авиационной безопасности не принимаются лица:
а) имеющие непогашенную или неснятую судимость за совершение умышленного преступления;
б) состоящие на учете в учреждениях органов здравоохранения по поводу психического болезни, алкоголизма или наркомании;
в) в отношении которых по результатам проверки, проведенной в согласии с Законом РФ от 18 апреля 1991 г. N 1026-I "О милиции"*(89), есть заключение органов внутренних дел о невозможности допуска данных лиц к выполнению деятельности, которая связана с объектами, представляющими очень высокую опасность для жизни или человеческого здоровья, а еще для внешней среды;
3) законом от 14 апреля 1999 г. N 77-ФЗ "О ведомственной охране"*(90) (ст.

7), в котором установлено, что человек не может быть принят на работу в ведомственную охрану в вариантах:
а) наличия у него неснятой или непогашенной судимости;
б) наличия подтверждённого заключением медицинской организации болезни, препятствующего исполнению им должностных обязанностей;
в) лишения его права занимать должности на государственной службе, в органах местного самоуправления либо заниматься охранной работой приговором суда, вступившим в законную силу.
В некоторых случаях личные данные, которыми должен располагать наниматель, определяются подзаконными нормативными актами.

Так, постановлением Правительства РФ от 6 августа 1998 г. N 892 утверждены Правила допуска лиц к работе с наркотическими средствами и психотропными веществами, а еще к деятельности, которая связана с оборотом прекурсоров наркотических средств и психотропных веществ*(91), согласно которым к работе с наркотическими средствами и психотропными веществами, а еще к деятельности, которая связана с оборотом прекурсоров, не допускаются лица (п. 4 Правил):
а) имеющие непогашенную или неснятую судимость за правонарушение средней тяжести, тяжелое и особо тяжелое правонарушение или правонарушение, которое связано с незаконным оборотом наркотических средств, психотропных веществ и их прекурсоров либо с незаконным культивированием наркосодержащих растений, также идеальное за границами РФ;
б) пациенты наркоманией, токсикоманией и хроническим алкоголизмом.

В целях оснащения реализации права граждан на предоставление информации о наличии или отсутствии у них судимости распоряжением министрства внутренних дел России от 1 ноября 2001 г. N 965 утверждена Инструкция о порядке предоставления гражданам справок о наличии (отсутствии) у них судимости*(92).
6. К персональным данным на основании ст.

9 закона от 25 июля 1998 г. N 128-ФЗ "О государственной дактилоскопической регистрации в РФ"*(93) относится информация о прохождении обязательной государственной дактилоскопической регистрации, которой подлежат:
1) граждане РФ, призываемые в армию;

3) граждане России, служащие в :
б) органах по контролю за оборотом наркотических средств и психотропных веществ;
в) органах государственной налоговой службы;
г) органах по делам гражданской обороны, непредвиденным ситуациям и ликвидации последствий стихийных бедствий;
д) органах и подразделениях службы судебных приставов;
ж) органах государственной охраны;
з) учреждениях и органах уголовно-исполнительной системы;
и) Государственной противопожарной службе;
к) федеральном органе исполнительной власти, уполномоченном на исполнение функций по контролю и надзору в области переселения, и его территориальных органах, организациях, подразделениях;
л) с 1 января 2013 г. — в федеральном органе исполнительной власти, реализующем госполитику в области переселения и осуществляющем правоприменительные функции, функции по контролю, надзору и оказанию государственных услуг в области переселения, и его территориальных органах, организациях, подразделениях, также заграничных (ст. 3, 9 закона от 19 мая 2010 г. N 86-ФЗ "О внесении изменений в закон "О правовом положении иностранцев в РФ" и отдельные законы РФ"*(94));

4) федеральные государственные гражданские работающие кадрового состава органов внешней разведки, а еще не входящие в кадровый состав федеральные государственные гражданские работающие и работники органов внешней разведки;
5) федеральные государственные гражданские работающие и работники органов федеральной службы безопасности, а еще граждане, поступающие в армию по договору, федеральную государственную службу или работу в органы федеральной службы безопасности;

6) спасатели профессиональных аварийно-спасательных служб и профессиональных аварийно-спасательных формирований РФ;
7) члены экипажей воздушных судов государственной, гражданской и экспериментальной авиации РФ.

Список должностей, на которых служат граждане РФ, подлежащие обязательной государственной дактилоскопической регистрации, утвержден постановлением Правительства РФ от 6 апреля 1999 г. N 386*(95);
8) граждане, претендующие на получение удостоверения приватного охранника;

9) граждане РФ, регулярно проживающие на территории РФ зарубежные граждане и лица без гражданства, в отношении которых принято решение о выдаче удостоверения личности моряка и др.
С 1 января 2013 г. обязательной государственной дактилоскопической регистрации будут подлежать:
— зарубежные граждане и лица без гражданства, в отношении которых принято решение о выдаче разрешений на работу либо патентов, предоставляющих право на исполнение рабочей деятельности в РФ;
— зарубежные граждане и лица без гражданства, осуществляющие трудовую деятельность в РФ в нарушение законодательства РФ;
— зарубежные граждане и лица без гражданства, обратившиеся в территориальные органы федеративного органа исполнительной власти, уполномоченного на исполнение функций по контролю и надзору в области переселения, с заявлением о получении дубликата разрешения на работу, миграционной карты, визы, разрешения на непостоянное проживание, вида на жительство или отрывной части бланка уведомления о прибытии вместо утраченных или испортившихся (ст.

3, 9 закона "О внесении изменений в закон "О правовом положении иностранцев в РФ" и отдельные законы РФ").
7. К персональным данным относится также:
— медицинские заключения про необходимость перевода работника на иную работу (ст.

73 ТК), перевода на иную работу женщин в положении и женщин, имеющих детей до полутора лет (ст. 254 ТК);
— медицинские заключения как предшествующее приему на работу, так и периодические, представляемые в процессе рабочей деятельности в отношении сотрудников, занятых на трудных работах и на работах с вредными и (или) опасными условиями труда (также на подземных работах), а еще на работах, которые связаны с движением транспорта и др. (ст.

213 ТК);
— медицинские заключения, предшествующие заключению трудового договора с людьми которые занимаются спортом (ст. 348.3 ТК);
— медицинские заключения про необходимость ухода за больным членом семьи в связи с установлением неполного времени работы (ст.

93 ТК);
— информация о наличии у работника 2-ух и более иждивенцев, когда решается вопрос о преимущественном праве оставления на работе (ст. 179 ТК) и др.

8. Личные данные работника, подлежащие отделке, получают отражение в Унифицированных формах первой учетной документации по учету труда и его оплаты, утвержденных постановлением Госкомстата России от 5 января 2004 г. N 1, к числу которых отнесены:
— N Т-1 "Указ (распоряжение) о приеме работника на работу";
— N Т-1а "Указ (распоряжение) о приеме сотрудников на работу";
— N Т-2 "Собственная карточка работника";
— N Т-2ГС(МС) "Собственная карточка государственного (городского) служащего";
— N Т-4 "Учетная карточка научного, научно-педагогического работника";
— N Т-5 "Указ (распоряжение) о переводе работника на иную работу";
— N Т-5а "Указ (распоряжение) о переводе сотрудников на иную работу";
— N Т-6 "Указ (распоряжение) о предоставлении отпуска работнику";
— N Т-6а "Указ (распоряжение) о предоставлении отпуска сотрудникам";
— N Т-8 "Указ (распоряжение) о прекращении (расторжении) трудового договора с работником (увольнении)";
— N Т-8а "Указ (распоряжение) о прекращении (расторжении) трудового договора с работниками (увольнении)";
— N Т-9 "Указ (распоряжение) о направлении работника в командировку";
— N Т-9а "Указ (распоряжение) о направлении сотрудников в командировку";
— N Т-10а "Казенное задание для направления в командировку и отчет о его выполнении";
— N Т-11 "Указ (распоряжение) о поощрении работника";
— N Т-11а "Указ (распоряжение) о поощрении сотрудников";
2) по учету времени работы и расчетов с персоналом по зарплате :
— N Т-12 "Табель учета времени работы и расчета зарплаты ";
— N Т-13 "Табель учета времени работы;
— N Т-53а "Журнал регистрации платежных ведомостей";
— N Т-60 "Записка-расчет о предоставлении отпуска работнику";
— N Т-61 "Записка-расчет при прекращении (расторжении) трудового договора с работником (увольнении)";
— N Т-73 "Акт о приеме работ, сделанных по срочному трудовому договору, заключенному на определенный период времени выполнения конкретной работы".

Постановлением Госкомстата России от 5 января 2004 г. N 1 утверждены указания по использованию и наполнению форм первой учетной документации по учету труда и его оплаты.
9. Статьей 42 закона "О государственной службе РФ" рассчитано ведение личного дела гражданского служащего, в которое вносятся его личные данные и другие сведения, которые связаны с поступлением на гражданскую службу, ее прохождением и увольнением с гражданской службы и нужные для оснащения деятельности государственного органа.

Указом Главы Российской Федерации от 30 мая 2005 г. N 609 утверждено Положение о персональных данных государственного гражданского служащего РФ и ведении его личного дела*(96). В п. 16 данного положения перечисляются документы, которые обязаны быть приобщены к личному делу гражданского служащего.

При переводе гражданского служащего на пост гражданской службы в ином государственном органе его собственное дело подается в национальный орган по новому месту замещения должности гражданской службы (п. 21 названного Положения).

При назначении гражданского служащего на государственную должность РФ или государственную должность субъекта РФ его собственное дело подается в национальный орган по месту замещения государственной должности РФ или государственной должности субъекта РФ (п. 22 названного Положения).

Свои дела выгнанных с работы гражданских служащих (кроме вышеуказанных), хранятся кадровой службой соответствующего государственного органа в течение 10 лет со дня увольнения с гражданской службы, после этого передаются в архив. Если человек, собственное дело которого хранится кадровой службой государственного органа, поступит на гражданскую службу вновь, его собственное дело подлежит передаче указанной кадровой службой в национальный орган по месту замещения должности гражданской службы (п.

23 названного Положения).
Статьей 30 закона от 2 марта 2007 г. N 25-ФЗ "О муниципальной службе в РФ"*(97) определено ведение личного дела городского служащего, к которому приобщаются документы, которые связаны с его поступлением на муниципальную службу, ее прохождением и увольнением с муниципальной службы.

Такие свои дела хранятся в течение 10 лет.
При увольнении городского служащего его собственное дело хранится в архиве органа местного самоуправления, избирательной комиссии городского образования по последнему месту муниципальной службы.

При ликвидации органа местного самоуправления, избирательной комиссии городского образования, в которых муниципальный служащий замещал должность муниципальной службы, его собственное дело подается на хранение в орган местного самоуправления, избирательную комиссию городского образования, которым переданы функции ликвидированных органа местного самоуправления, избирательной комиссии городского образования или их правопреемникам.
Собственное дело городского служащего проводится в порядке, установленном для ведения личного дела государственного гражданского служащего.

Трудовым законодательством не урегулирован вопрос о ведении собственных дел сотрудников. В практических условиях наниматель ведет свои дела сотрудников, включая в них всю информацию, которая касается:

1) поступления на работу, а конкретно:
а) реквизиты паспорта работника;
б) копия страхового свидетельства государственного пенсионного страхования; копия документа воинского учета (для военнообязанных и лиц, подлежащих призыву в армию);
в) копия документа об образовании, квалификации или наличии специализированных знаний (при поступлении на работу, требующую специализированных знаний или никакой подготовки);
г) данные в анкете, заполненные работником при поступлении на работу;
2) рабочей деятельности и прекращения трудовых отношений:
а) копии приказов о приеме, переводах, увольнении, повышении зарплаты, премировании, поощрениях и взысканиях;
б) заявления, объяснительные и служебные записки работника;
в) документы о прохождении работником аттестации, собеседования, увеличения квалификации;
г) другие документы, содержащие сведения о работнике.

10. Муниципальные и государственные органы делают, в границах собственных полномочий, информационные системы персональных данных.

В целях оснащения реализации прав субъектов данных данных в государственных или муниципальных информационных системах персональных данных может быть создан национальный регистр населения, правовой статус которого и порядок работы с которым монтируются законом (ст. 13 закона "О персональных данных").

11. В большинстве случаев сведения о персональных данных сотрудников соединяются и содержатся в электронной базе данных ведомственного характера на федеральном уровне.

Федеральное агентство морского и речного транспорта обеспечивает ведение электронной базы данных, содержащей сведения об удостоверениях личности моряка, выданных в РФ. Электронная база данных содержит информацию о каждом удостоверении личности моряка, выданном в РФ, об удостоверениях личности моряка, действие которых на время приостановлено, а еще об изъятых удостоверениях личности моряка.

Информация, содержащаяся в указанной электронной базе данных, исчерпывается лишь сведениями, нужными для контроля удостоверений личности моряка или положения моряка, и в себя включает данные, список которых приведен в Приложении 2 к Конвенции МОТ N 185, пересматривающей Конвенцию 1958 года об удостоверениях личности моряков (2003 г.)*(98), при полном соблюдении права хозяев удостоверений на конфиденциальность собственных персональных данных и удовлетворении всех требований защиты персональных данных, установленных законом "О персональных данных" (см. распоряжение Правительства РФ от 18 августа 2008 г. N 628 "О Положении об удостоверении личности моряка, Положении о мореходной книжке, образце и описании бланка мореходной книжки"*(99)). Приказом Минтранса России от 17 мая 2010 г. N 113 утвержден Порядок ведения электронной базы данных, содержащей сведения о выданных удостоверениях личности моряка, и применения перечисленных сведений*(100).

12. Распоряжением Правительства РФ от 9 июня 2005 г. N 748-р одобрена Идея создания системы личного учета населения РФ*(101), благодаря ей под ней понимается система взаимного действия органов власти, муниципальных органов власти, государственных и муниципальных организаций по обмену персональными данными о гражданах РФ, зарубежных гражданах или лицах без гражданства, на время пребывающих и на время или регулярно живущих в РФ, на основе современных IT в рамках оснащения конституционных прав граждан, а еще предоставления услуг жителям в соответствии с законодательством Российской Федерации.

Идея определяет роль и место системы личного учета в структуре государственных информационных систем и ресурсов, цели, принципы, структуру, функции и важные этапы создания и развития системы личного учета, а еще источники финансирования.
13.

Личные данные работника подлежат отделке со стороны работодателя. Под такой обработкой согласно ст.

3 закона "О персональных данных" понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (оновление, изменение), применение, распространение (также передачу), обезличивание, блокирование, устранение персональных данных.

закон "О персональных данных" и ч. 2 комментируемой статьи не имеют исчерпывающего списка вариантов обработки персональных данных сотрудников.
Под распространением персональных данных понимаются действия, которые направлены на передачу персональных данных конкретному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга, также обнародование персональных данных в средствах массовой информации, расположение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо другим способом (п.

4 ст. 3 закона "О персональных данных").

Применение персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения других действий, порождающих юридические результаты в отношении субъекта персональных данных или других лиц либо другим образом затрагивающих права и свободы субъекта персональных данных или других лиц (п.

5 ст. 3 закона "О персональных данных").

Блокирование персональных данных значит временное завершение сбора, систематизации, накопления, применения, распространения персональных данных, также и их передачи (п. 6 ст.

3 закона "О персональных данных").
Устранение персональных данных — это действия, из-за которых нереально возобновить содержание персональных данных в информационной системе персональных данных или из-за которых уничтожаются материальные носители персональных данных (п.

7 ст. 3 закона "О персональных данных").

Обезличивание персональных данных — это действия, из-за которых нереально определить принадлежность персональных данных определенному субъекту персональных данных (п.

8 ст. 3 закона "О персональных данных").

Личные данные либо представляются самими работниками, либо их получают из других источников.

Хранение персональных данных должно гарантироваться в порядке, исключающем их утрату или неправомерное применение.
14.

Личные данные сотрудников, как в условиях ее отделки ручным способом, так и при эксплуатации автоматизированных систем обработки данных и технологий могут стать в некоторой мере открытыми и привести к ущемлению их прав и интересов, причинить финансовый ущерб и нравственный вред. В качестве гарантии защиты персональных данных законодателем монтируются принципы, лежащие в основе обработки персональных данных работника, положения о порядке их хранения и применения в организации, о передаче персональных данных, правах работника по их защите, об ответственности лиц за невыполнение требований норм, которые регулируют обработку и защиту персональных данных работника.

15. Положение про специфики обработки персональных данных, выполняемой без применения средств автоматизации, утверждено постановлением Правительства РФ от 15 сентября 2008 г. N 687*(102) (дальше — Положение).

Обработка персональных данных, находящихся в информационной системе персональных данных либо извлеченных из подобной системы, считается осуществленной без применения средств автоматизации (неавтоматизированной), если эти действия с персональными данными, как применение, уточнение, распространение, устранение персональных данных в отношении любого из субъектов персональных данных, выполняются при непосредственном участии человека (п. 1 Положения).

Обработка персональных данных не может быть признана выполняемой с применением средств автоматизации только на том основе, что личные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п. 2 Положения).

Личные данные при их отделке, выполняемой без применения средств автоматизации, должны обособляться от иной информации, например, посредством фиксации их на некоторых материальных носителях персональных данных, в специализированных разделах или на полях форм (бланков) (п. 4 Положения).

При фиксации персональных данных на материальных носителях не разрешается фиксация на одном материальном носителе персональных данных, цели обработки которых заранее несочетаются. Для обработки разных категорий персональных данных, выполняемой без применения средств автоматизации, для каждой категории персональных данных должен применяться отдельный финансовый носитель (п.

5 Положения).
Лица, осуществляющие обработку персональных данных без применения средств автоматизации (также служащие организации-оператора или лица, осуществляющие такую обработку согласно соглашению с оператором), обязаны быть проинформированы о факте обработки ими персональных данных, обработка которых выполняется оператором без применения средств автоматизации, категориях обрабатываемых персональных данных, а еще про специфики и правилах выполнения подобной отделки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а еще локальными правовыми актами организации (если они есть) (п.

6 Положения).
При эксплуатации стандартных форм документов, характер информации в которых подразумевает или допускает включение в них персональных данных, обязаны выполняться следующие условия:

1) стандартная форма или связанные с ней документы (инструкция по ее наполнению, карточки, реестры и журналы) должны иметь сведения о цели обработки персональных данных, выполняемой без применения средств автоматизации, имя (название) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, список действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание применяемых оператором вариантов обработки персональных данных;
2) стандартная форма должна учитывать поле, в котором субъект персональных данных скорее всего поставит отметку о собственном согласии на обработку персональных данных, выполняемую без применения средств автоматизации, — если понадобится получения письменного согласия на обработку персональных данных;

3) стандартная форма должна быть составлена поэтому, чтобы любой из субъектов персональных данных, находящихся в документе, имел возможность познакомиться с собственными персональными данными, содержащиеся в документе, не нарушая прав и законных интересов других субъектов персональных данных;
4) стандартная форма должна вычеркивать объединение полей, которые предназначены для внесения персональных данных, цели обработки которых заранее несочетаются (п.

7 Положения).
При ведении журналов (реестров, книг), содержащих личные данные, нужные для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в других подобных целях, обязаны выполняться следующие условия:

1) необходимость ведения такого журнала (реестра, книги) должна быть предусматривается актом оператора, содержащим сведения о цели обработки персональных данных, выполняемой без применения средств автоматизации, варианты фиксации и состав информации, запрашиваемой у субъектов персональных данных, список лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а еще сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без доказательства аутентичности персональных данных, сообщенных субъектом персональных данных;
2) копирование имеющейся в таких глянцах (реестрах, книгах) информации не разрешается;

3) личные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не больше одного раза в любом случае пропуска субъекта персональных данных на территорию, на которой находится оператор (п. 8 Положения).

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если финансовый носитель не дает возможность выполнять обработку персональных данных отдельно от прочих зафиксированных на том же носителе персональных данных, обязаны быть приняты меры по обеспечению раздельной обработки персональных данных, в особенности:
1) если понадобится применения или распространения конкретных персональных данных отдельно от присутствующих на том же материальном носителе иных персональных данных выполняется копирование персональных данных, подлежащих распространению или применению, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и применению, и применяется (распространяется) копия персональных данных;

2) если понадобится уничтожения или блокирования части персональных данных уничтожается или блокируется финансовый носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию (п. 9 Положения).

Устранение или обезличивание части персональных данных, если это разрешается материальным носителем, может выполняться способом, исключающим последующую обработку данных персональных данных со сбережением возможности обработки других данных, зафиксированных на материальном носителе (убирание, вымарывание) (п. 10 Положения).

Указанные правила используются также в случае, если требуется обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
Уточнение персональных данных при осуществлении их обработки без применения средств автоматизации происходит путем изменения или изменения данных на материальном носителе, а если это не разрешается техническими характерностями материального носителя, — посредством фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными (п.

12 Положения).

Что можно отнести к персональным данным: виды тайн и сведений

В наше время от граждан бывает требуется согласие на обработку сведений приватного характера, к примеру, при визите к доктору. В большинстве случаев подпись на бланке ставится автоматично.

Открывая доступ к данным о себе, необходимо помнить и исполнять правила.

Какие сведения считаются персональными данными

Популярные личные данные:

• Фамилия, имя, отчество частного лица. В этом ракурсе физлицо выступает в виде субъекта ПДн.
• Дата и место рождения.
• Место регистрации и проживания.

Личные данные работника концентрируются в информационной системе (ИС). Она может быть цифровой или аналоговой (компьютерной базой или личным делом в бумажной папке).

При этом законодательные требования распространяются на ПД не зависимо от технической реализации инфосистемы. Есть разнообразные способы обработки личной информации физлица – сбор, классификация, уточнение и др.

Понятие ПДн относится не только к гражданам, но и к юр. лицам не зависимо от организационно-правовой формы (фирмы, компании, организации, коммерческие предприятия и т. д.). Их спецификой считается то, что на их основе происходит проверка на идентичность не определенного человека, а конкретной компании.

Официальные сведения о компании необходимы при заключении договоров и т. д.

Частные лица

К персональным сведениям для данной категории субъектов относятся:

• ФИО;
• дата и место рождения;
• гражданство;
• место регистрации и проживания;
• решение о полной или частичной недееспособности;
• семейное положение + информация о домочадцах;
• образование;
• рабочее место;
• оклад, страховые и налоговые отчисления;
• воинская обязанность.

Есть характерности отнесения различных данных к категории персональных у частных лиц:

• Телефонный номер. Относится к ПДн, если информация о владельце есть в общедоступном источнике (к примеру, на ресурсе депутата указаны контакты для прямого обращения).
• Верификационные параметры для авторизации на различных интернет-сервисах являются ПДн по определению и не разглашаются посторонним людям.
• Фото- и записи. Относятся к ПДн только в ситуациях, когда по ним можно провести проверку на идентичность частного лица. Исключением считается фото- или съемка видео, выполненная на мероприятиях, имеющих глобальный характер. Если запись порочит честь, положительное качество или бизнес репутацию человека, он в согласии с частью 1 статьи 152 Гражданского Кодекса РФ может требовать опровержения.

Работники предприятия

К числу персональных сведений в данном случае относится информация, которую работник должен сообщить при трудоустройстве. В весомой части они совпадают с ПДн для физлица и предназначаются для занесения в собственное дело работника.

Из-за причины того, что работник заполняет стандартной бланк, в ИС попадать могут сведения, не связанные с выполнением им собственной работы.
Дополнительно к личной информации физлиц персональное досье работника предприятия обязательно включает:

• должность;
• ИНН;
• прошение о приеме на работу;
• оклад;
• СНИЛС;
• трудовой стаж (+ на этом предприятии);
• справки о поощрениях и взысканиях со стороны администрации;
• информацию об использованном отпуске;
• медсправки и/или документы о диспансеризации (если это требуется рабочими условиями).

Наниматель не имеет права (и это написано в законах):

1. Передавать посторонним людям персональные данные без согласия самого работника (защита данных).
2. Запрашивать сведения о состоянии здоровья служащего без согласия. Как исключение из правил ситуации, когда это конкретно связано с выполнением работником собственных функций.

Обязанностью работодателя считается:

• Обезопасить присущие в его распоряжении ПД от стороннего доступа и разрешить знакомство с ними только собственно уполномоченных служащих, предоставляя им данные в границах их компетенции.
• Предупреждение третьих лиц, которым подается информация о работнике, что она может быть применена исключительно для определенных затребованных целей. Законодательством наложен запрет на несанкционированное распространение собственных данных и виновные могут быть привлечены к ответственности.
• Зафиксировать должным образом (к примеру, подписью в специализированном бланке) обязательство выполнения конфиденциальности лицами, которым передаются ПД.

Государственные или городские работающие

Кроме массива сведений, обязательного для работника предприятия, в число ПДн для данной категории тружеников входит:

• стаж + выслуга лет;
• должность;
• клевый чин (если есть);
• разряд по тарифной сетке;
• ученая степень, награды, призы;
• допуск для работы с тайными материалами;
• справки об аттестации и увеличении квалификации;
• справка о судимости;
• медсправки, копии больничных.

юрлица

К данной категории сведений относятся:

• название организации;
• юридический и практический адрес;
• номера лицензий;
• ОГРН;
• ИНН;
• КПП;
• номер расчетного счета и остальные реквизиты банка.

Нормативно-правовая база

Ключевые юридические документы, устанавливающие принципы применения ПДн:

• Конституция РФ. Статьи 23 и 24 обещают гражданам неприкосновенность частной жизни, личную и семейную тайну, конфиденциальность в переписке, телефонных разговорах и других сообщениях. Согласно этим положениям, ПДн принадлежат исключительно их носителю и не должны контролироваться третьими лицами без его согласия. С государственной стороны гарантировано защита этого права граждан.
• закон № 152-ФЗ «О персональных данных» от 27.07.2006 определяет, кто и на каких условиях может применять ПДн гражданина.

Для сотрудников разных отраслей есть отдельные нормативные акты, регулирующие правила обработки личной информации:

• Для трудящихся в организациях энергетической отрасли – Указ Минэнерго России №166 «О работе по отделке персональных данных» от 11.11.2008.
• Для госслужащих – Закон №79-ФЗ «О государственной службе РФ» от 27.07.2004.

На кого распространяются требования ФЗ 152

Доступ к ПДн определенного лица разрешен специализированным операторам. Это представители структур или организаций, которые делают получение и обработку ПД определенного частного лица.

При отсутствии разрешения субъекта любые операции с его ПДн являются нарушением закона. Собственная информация о человеке должна обязательно быть ликвидирована после того, как отпала необходимость в ее применении.

Право не определяет период действия согласия на обработку ПДн, благодаря этому он может быть указан конкретно в бланке, который подписывает субъект. Это время может определяться прямо или косвенно – к примеру, «на 3 года» или «на определенный период времени, указанное в трудовом договоре».

Подписывая такие бумаги, контролируйте сроки и нужно следить за тем, чтобы они были написаны по настоящему.

Ответственность за пользование персональных данных без согласия

Для правонарушителей есть перечень финансовых санкций. Сюда относятся ситуации:

• Обработки ПД в ситуациях, не предусмотреных законом. Это нарушение за собой влечет предупреждение или штраф: для граждан – 1000–3000, для чиновниковов – 5000–10 000, для юридических лиц – 30 000–50 000 рублей.
• Обработки собственных данных без письменного согласия субъекта. За это учтены финансовые санкции: для граждан – 3000–5000, для чиновниковов – 10 000–20 000, для юридических лиц – 15 000–75 000 рублей.

Применение ПДн без согласия субъекта является важной частью проступка, влекущего наказание по статье 137 УК России. Сюда входят:

• Преступное собирание сведений о частной жизни лица, являющихся его личной или семейной тайной. Это предполагает штраф до 200 000 рублей, обязательные работы до 360 часов либо арест до 4 месяцев и др. Для чиновниковов возможна дисквалификация на период до 3 лет.
• Действия по сбору различной информации о человеке, которое совершено с применением служебного положения. Влечет штраф до 300 000 рублей, принудительные работы на период до 4 лет либо арест до шести месяцев и др. Во многих случаях после наложения этой санкции человек лишается права занимать некоторые должности на период до 5 лет.

Категории ПД

Закон № 152-ФЗ делит информацию по информативности, трудности применения и уровню раскрытия сведений. Категории персональных данных, которые нельзя применять без согласия: обезличенные, общие и специализированные, биометрические данные.

Общие личные информацию о человеке

К ним относится основные инфоматериалы об определенном физическом лице:

• фамилия, имя, отчество;
• дата и место рождения;
• место регистрации и проживания;
• телефонный номер;
• ИНН;
• реквизиты паспорта – серия, дата его выдачи и др.;
• СНИЛС;
• рабочее место;
• размер зарплаты.

Персональные сведения, отнесенные к общему типу, зафиксированы в базовых документах гражданина (это паспорт, книжка с данными о трудовой деятельности и др.). В большинстве случаев для их обработки хватает и косвенного разрешения.

Такие самые простые ситуации свойственны для наполнения онлайн-анкет с минимумом сведений, когда от субъекта хватит галочки в соответствующем поле взамен письменного доказательства. Здесь передача данных выполняется по открытым каналам связи.

Некоторые из данных сведений не считаются персональными, если применяются независимо от прочих. Нынешняя позиция Роскомнадзора состоит в том, что лишь по одному номеру телефона (без соотнесения его с фамилией владельца) возможность проверки на идентичность частного лица отсутствует.

Из-за этой причины неперсонифицированная SMS-рассылка не считается нарушением законодательства.

Биометрические

Сюда относятся телесные и биологические параметры частного лица:

• дактилоскопия (отпечатки);
• группа крови;
• рост;
• вес;
• цвет глаз;
• особенные приметы, которые связаны с внешностью (к примеру, приобретенные повреждения).

К данной же категории относятся любые аудиовизуальные файлы – фотографии определенного частного лица, записи с диктофона, прибора для видеорегистрации и др. Развитие технологий находит большое применение биометрическим показателям – они применяются в медицине, приеме на работу в госструктуры, оформлении заграничных паспортов.

Часто эти данные наносят вред субъекту в профессиональной деятельности или личной жизни.

Специализированные данные

• национальность;
• политические вкусы;
• вероисповедание;
• наличие судимости;
• медицинский диагноз;
• сексуальная ориентация;
• интимная жизнь.

Аналогичные сведения содержатся в необходимых документах. Они используют для дискриминации определенного частного лица.

Из-за этой причины, согласно статье 10 Закона № 152-ФЗ, доступ к сведениям данного типа для общих случаев не разрешается. Исключениями из данного являются ситуации, когда:

• Субъект дал письменное согласие на обработку ПД.
• Досье определенного человека изучается для сохранения жизни/здоровья данного человека или третьих лиц, когда получение разрешения нельзя (к примеру, потерпевший в автокатастрофе будет в коме и немедленно требуется операция). Данный случай может быть распространен на все ситуации постановки диагноза и оказания услуг медицинского характера, при условиях, что это выполняется уполномоченным работником и он хранит профессиональную тайну.
• Эти ПДн стали публичными по инициативе лица, которому они принадлежат (к примеру, эстрадный исполнитель даёт интервью каналу о собственной сексуальной ориентации). Сюда же относится обработка сведений в связи с исполнением Общероссийской переписи населения или реализацией программ социальной помощи, трудового или пенсионного законодательства.
• Выполняется обработка персональных данных об участниках общественного объединения или набожной организации (к примеру, эту личную информацию могут собирать в муниципалитете или органах государственной статистики). Определяющим здесь считается требование нераспространение подобных сведений без письменного согласия субъектов ПД.
• Извлечение нужной личной информации связано с исполнением конституционных прав этого частного лица или производством правосудия (согласно законодательству, это не запрещается, к примеру, полицейским или прокуратуры). Сюда же входят ситуации выполнения законодательства об обороне, противодействию терроризму, транспортной безопасности, антикоррупционной деятельности и др.
• Такая ситуация появляется если понадобится реализации законодательных требования об обязательных видах страхования, о гражданстве РФ и при проверке родителей, берущих на воспитание сирот.

Обезличенные ПД

В согласии с Законом № 152-ФЗ, сюда относятся сведения, соотнесение которых с определенным человеком нереально без уточнений. Это может быть каждая из составляющих ПД, лишенная иных сведений, к примеру:

• Фамилия, имя, отчество человека, его число, месяц, год рождения, улица, номер квартиры и дома все вместе являются персональными данными.
• Каждое из данных сведений в отдельности (к примеру, только имя, без фамилии и другой информации) не является ПД.

Обезличивание считается добавочным методом защиты. К нему часто прибегают государственные органы, уполномоченные на обработку персональных сведений о гражданах, передавая массив информации на стороннее изучение.

Например:

1. В результате переписи населения у Федслужбы государственной статистики (Госкомстата) накапливается огромное число анкет, содержащих персональные данные. Это могут быть сведения о возрасте, национальности и др.
2. Отправляя эти данные в прочие ведомства для аналитического изучения по их профилю работы, служащие Госкомстата принимают меры чтобы защищать ПД. Для этого собственная информация лишается персонификации. К примеру, в Министерство соцзащиты Российской Федерации подается выборка данных о лицах, с указыванием их национальности, возраста и образования, но без упоминаний фамилии и имени.

Big Data

Сюда относятся сведения, поступающие в интернет от определенного пользователя или накапливающиеся в его цифровых устройствах:

• IP-адрес компьютера;
• история просмотра страниц;
• данные авторизации на сайтах;
• никнеймы и аватары форумов или соцсетей.

Неоднозначность данной категории в юридическом ракурсе рассмотрения связана с такими характерностями:

• Данная информация прямо или косвенно может указывать на определенного человека.
• Сам владелец не может полностью контролировать их.
• При вашем желании они бывают фальсифицированы (к примеру, один человек может пройти регистрацию в социальной сети под именем собственного знакомого и оставлять от его лица порочащие сообщения).

С учетом данных обстоятельств, не все сведения из категории Big Data являются ПДн. Если они прямо не указывают на определенного человека, то, по мнению Роскомнадзора, они не относятся к категории ПД.

Тогда на них не распространяются требования Закона № 152-ФЗ. Варианты подобных сведений:

• Фото человека. Если оно сопровождается именем и фамилией, то считается персональными данными, ведь указывает на определенную личность.
• Аватар (юзерпик) и никнейм на форуме. Эти позиции не считаются ПДн. Они напрямую не указывают на конкретного человека. Есть исключение: когда на картинке продемонстрировано фото человека с именем, фамилией или прочими сведениями.
• К категории ПД не относятся поисковые запросы пользователя компьютера и информация о его расположении, которые отделываются для предоставления ему контекстной рекламы и геотаргетинга (выдачи данных в зависимости от расположения частного лица).

Хранение ПДн и механизм защиты

В согласии с требованиями законодательства, операторы должны своими силами применять средства предоставления безопасности для собранных ими персональных данных. Это реализовывается с помощью:

• Допуска к работе с информационной системой только заблаговременно конкретного круга лиц, имеющих подходящие инструкции и предупрежденных об ответственности за несанкционированное распространение сведений. Если компьютерная ИС содержит ПДн специализированного типа, то работа с ней (просмотры, изменения и др.) должны фиксироваться в специализированном электронном журнале. При помощи современных IT можно создать данный процесс автоматизированным.
• Мер для создания большого уровня защищенности ИС, блокировке неразрешенного доступа (к примеру, в результате хакерской атаки), своевременному восстановлению исходной информации из резервной копии в случае нанесения урона компьютерным вирусом и др. Если свои сведения находятся в аналоговой форме (к примеру, это бумажные анкеты с информацией о работниках предприятия), нужно принять меры для их перевода в цифровой формат.
• Контроля Роскомнадзора, следящего, чтобы нынешняя обработка личной информации сотрудников велась в согласии с законодательными нормами. Также это ведомство проверяет, чтобы хранение ПДн, обрабатываемых в рамках трудовых обязанностей было в условиях, когда исключена утечка персональных данных и их преступное применение.

Кто имеет право запрашивать

В правовом поле, обработка ПД обязана иметь легальные цели. Возможны 2 варианта получения ПД субъекта:

• Без обязательного письменного согласия. Разрешается например если сбор ПД считается выполнением требований законодательства. К примеру, наниматель вправе свободно получать информацию о месте регистрации и образовании служащего. Индивидуальным случаем являются исключительные ситуации, рассмотренные в статье 10 Закона №152-ФЗ (список приведен выше), обходящиеся без согласия субъекта.
• Если есть наличие письменного разрешения. Представителям некоторых организаций позволяется доступ к той информации, которая требуется для выполнения их задач. К примеру, при оформлении кредита, банк вправе задать вопрос о заработной плате клиента, но интерес к ней со стороны врача который вас лечит будет противозаконным.

Видео

Нашли в тексте погрешность? Выдилите её, нажмите Ctrl + Enter и мы все поправим!

Все, что необходимо знать о персональных данных

Формы обратной связи, социальной сети, зарубежные сервера и рога оленя

Статья про закон о персональных данных внезапно для нас вызвала много вопросов у читателей. Внезапно, из-за того что закону уже более 10 лет.

За нарушение этого закона и в настоящий момент могут штрафовать: его необходимо было исполнять и годом ранее, и сейчас. Просто с 1 июля 2017 года все станет серьезнее.

Вот что вы задавали вопросы о персональных данных.

Консультируйтесь с юристом

Статья в Тинькофф-журнале не заменяет помощь профессонального юриста. Если Вы вдруг не вкурсе, что сделать с персональными данными и как все оформить, обратитесь за профессиональной помощью.

Объясните кратко для тех, кто не в курсе

В Российской Федерации есть закон о персональных данных. Чтобы собирать, обрабатывать и сохранять информацию о сотрудниках, подписчиках на рассылку и посетителях сайта, необходимо практически всегда получать их согласие, а сами данные сохранять в Российской Федерации.

За нарушение закона штрафуют. С 1 июля штрафы возрастут до 75 тысяч рублей, а у Роскомнадзора будет намного больше полномочий.

Для чего выдумали этот закон? Это следующий способ пополнить кормушку. Теперь и сайт нет смысла делать, будут еще штрафовать ежемесячно

Закон о персональных данных необходим тем, чьи данные собирают, отделывают и хранят. Цель закона — обезопасить интересы и права таких людей.

Нормы защиты персданных выдумали не в Российской Федерации. Правила их обработки ООН описала еще во второй половине 40-ых годов XX века во Всеобщей декларации прав человека.

В первой половине 80-ых годов двадцатого века Совет Европы принял конвенцию по отделке персональных данных. А Российская Федерация ее ратифицировала и в 2006 году разработала собственный закон.

В странах Европы паранойя по поводу персданных уже достаточно давно
Конституция гарантирует любому человеку неприкосновенность частной жизни, тайну переписки и телефонных переговоров.

Даже без закона о персональных данных нельзя обрабатывать, сохранять и раздавать информацию о человеке без его согласия.
Отдельная глава про личные данные есть в трудовом кодексе: работодатели не могут свободно распоряжаться информацией о служащих.

Впрочем личные данные оставляют регулярно: чтобы оформить заказ в online-магазине, получить кредит в банке, сделать ребенка в детский садик, пройти регистрацию в социальной сети или подписаться на рассылку. Когда человек оставляет собственные данные, он обязан быть уверен, что его адрес не разместят в открытом доступе, а телефон не передадут кому-то без разрешения.

А тот, кто обрабатывает личные данные, желает гарантий, что на него не подадут в суд за маркетинговую рассылку.
Не так давно мы говорили, как мошенники сумели обрести чужой НДФЛ.

Такое случилось также благодаря тому, что кто-то нарушил правила обработки персональных данных.
Закон о персональных данных прописывает для абсолютно всех правила игры.

Он заставляет всех принимать дополнительные предосторожности, но и оберегает он тоже всех.

У меня есть сайт. Я не ИП и не юридическое лицо — обычный человек.

Стоит ли исполнять закон о персональных данных в этом случае?

Да, закон требуется соблюдать всем, кто обрабатывает чьи-то личные данные. Оператором может быть юрлицо, ИП , национальный орган или простой человек, который создал и администрирует форум по интересам.

Точное обозначение, кто считается оператором и что такое обработка персональных данных, есть в 3 статье закона.
К примеру, девушка создала форум для беременных, чтобы потом размещать там рекламу.

При регистрации участники указывают информацию о себе. Эта девушка — оператор персональных данных.

Она получает сведения об иных людях и что-то с этими данными выполняет: систематизирует по возрасту и интересам, проверяет активность пользователей, применяет для рассылки, приглашений или же просто хранит.

Любое из данных действий — это обработка персональных данных. Любой, кто это действие создает, — оператор.

У меня есть электронные почты друзей, перечень контактов в телефоне, аккаунты различных людей в социальных сетях. Выходит, я тоже оператор и должен получать согласие таких людей на то, чтобы сохранять и удалять их данные?

Нет, в подобных вариантах согласие не надо. Под действие закона не попадают личные данные, которые отделывают для собственных и семейных нужд . Это могут быть контакты необходимых людей в телефонном справочнике, визитки сотрудников и партнеров, профиля друзей на Фейсбуке.

Это исключение действует, только если не нарушаются права таких людей. К примеру, их данные не оставляют в банковской структуре как контакты для связи при кредитном оформлении, не публикуют в общем доступе без разрешения или не передают рекламодателям.

Форма обратной связи тоже попадает под действие закона?

Если в ней человек может ввести собственные личные данные — то да, попадает.
В законе нет исключений по поводу формы и способа сбора персональных данных.

И уточнения, что конкретно считается сбором, тоже нет. Минкомсвязи считает, что сбор — это какая-нибудь документально оформленная процедура получения данных о человеке.

Форма обратной связи подойдет под это обозначение .
Сама по себе форма обратной связи не попадает под действие закона только благодаря тому, что она есть. Важно, какие данные передает гость через эту форму , можно ли по ним прямо или косвенно определить человека и нанести ему вред в случае утечки и распространения.

Если гость сайта указывает в форме собственное имя, фамилию, телефон и email — это личные данные. Тот, кто эти сведения получает, обрабатывает и хранит, считается оператором персональных данных и должен исполнять закон.

А если получаешь только имя без фамилии и телефонный номер, это тоже попадает под личные данные? А если только телефонный номер?

Согласно законодательству личные данные — это любая информация, относящаяся к прямо или косвенно конкретному или определяемому частному лицу. Это обозначение ничего не даёт и не проясняет.

Если понимать буквально, то персональными данными можно считать все что угодно.

Юристы спорят по данному поводу уже на протяжении многих лет.
Минкомсвязи конкретики не даёт и говорит так: намного точнее определить состав персональных данных, также привести их список, представляется нереализуемым . Никаких четких пояснений от прочих ведомств по данному поводу тоже нет.

Если будет спор по поводу принадлежности почты или логина к персональным данным, все решит суд. Несколько решений относительно персональных данных суды уже вынесли.

Из них следует явное: персональными данными считаются ФИО , реквизиты паспорта, адрес, телефонные номера, информация о домочадцах, из пенсионного дела и трудового договора. Еще из них следует неочевидное: ИНН сам по себе не считается персональными данными, а информацию о факте пересекания границы — являются.

Сам по себе логин — это как бы не личные данные. По набору символов нельзя понять, что это за человек и даже какого он пола.

Однако если на аватарку человек поставит собственную реальную фотографию или при регистрации укажет почту, где в наименовании станет его фамилия с инициалами, а в доменном имени — наименование компании, то все вместе это уже личные данные.
Никто толком не знает, какие данные персональные

В законе нет никаких исключений по теме сайта, организационно-правовой форме и набору данных.
Чтобы не идти на риск, лучше выполнить так.

Если вы где-нибудь с какой-то целью собираете любую информацию о каких-то физических лицах, необходимо закрепить их согласие и приготовить документы . Если это сделать для страховки, даже когда не нужно, не бойтесь не будет. А если это не сделать, могут быть претензии от пользователей и Роскомнадзора.

Я делаю сайт для клиента, обрабатываю и храню данные на собственной стороне. При этом хозяин сайта не обязан быть оператором персональных данных?

Хозяин сайта обязан быть оператором персональных данных и исполнять закон. Согласно законодательству можно собирать личные данные и передавать их кому-то на обработку.

Хозяин сайта имеет право передать данные клиентов вебмастеру, онлайн-магазин — сервису рассылки.
Чтобы так делать, хозяин сайта должен получить у посетителей разрешение и объяснить им, кому и для чего он передаст их данные.

Тот, кому он передаст данные на обработку, индивидуальное разрешение получать не должен, а исполнять закон — должен.
Отвечать за соблюдение закона перед посетителями сайта станет его хозяин.

Владельца сайта Роскомнадзор и суд будут определять по совокупности данных.

Если на ресурсе размещена информация об определенном юридическом лице или ИП , спросят с него. Если подобных данных нет, спросят с администратора домена.

А как они поймут, что я храню и обрабатываю данные, чтобы выписать штраф? Это в отечественном дата-центре можно маски-шоу сделать и вынести сервер, а за рубежом такие номера не проходят

Роскомнадзор узнает о нарушениях двумя вариантами:

• сам проведет проверку;
• прореагирует на чью-то претензию.

Предположим, вы получили рассылку, на которую не подписывались, или вам звонят сотрудники из online-магазина, хотя вы не соглашались на рекламный обзвон. Или автомобильный салон без разрешения передал ваш телефон страховщику, и сейчас вам пытаются впарить каско.

Можно "настойчиво попросить" удалить данные из базы, жаловаться в Роскомнадзор и компенсировать ущерб через суд. Для этого необходимо быть уверенным, что согласия не было, а данные передали незаконно.

Иногда согласие получают через договор присоединения или законно передают данные, чтобы выполнить согласованные условия.

Сначала читать, потом подписать
Если Роскомнадзор обнаружит нарушения, сайт способны заблокировать, а компанию оштрафуют.

Согласно законодательству операторы обязаны сохранять личные данные на российских серверах.

Существует несколько исключений, однако это частности. Любой онлайн-магазин или сервис по подписке должен сохранять базу с персональными данными граждан в Российской Федерации.

Потом можно передавать эти сведения за границу.

Это законно, однако при конкретных условиях. Иначе нельзя было бы бронировать гостиницы и приобретать билеты на самолет за рубежом.

Роскомнадзор может "настойчиво попросить" предъявить доказательство по поводу места где можно что-то хранить баз данных.

К примеру, договор с дата-центром, хостингом или документы на свой сервер. Если раскроется, что личные данные хранятся с нарушениями и не в Российской Федерации, будут проблемы.

Не считая закона о персональных данных есть требования Федслужбы по техническому и экспортному контролю и ФСБ. Еще к проверке может подключиться прокуратура.

Им хватит полномочий, чтобы выяснить, где в действительности находятся данные, и разобраться с нарушениями.

А если у нас сайт на английском?

Закон о персональных данных требуется соблюдать, если сайт применяется для работы на территории РФ . В теории Роскомнадзор имеет право и может его закрыть.
Вот какие признаки применяют, чтобы это понять:

• доменное имя связано с российской федерацией или субъектом;
• есть русскоязычная версия сайта;
• расчет за товары или услуги происходит в рублях, доставка возможна на территорию РФ ;
• потребители содержимого сайта — жители России;
• есть реклама на русском, которая ведет на этот сайт.

Если есть какое-то комбинирование данных факторов, оператор персональных данных должен исполнять закон, даже в том случае, если это заморская компания. А это означает, что документы обязаны быть доступны и понятны в Российской Федерации . Необходимо иметь их на русском, чтобы их понимал Роскомнадзор и граждане России.

На нерезидентов за границами страны наш закон о персональных данных не распространяется.
Как определять гражданство посетителя, закон не объяснил.

Операторам рекомендовали решать данную проблему своими силами. А если четкой позиции и инструментов нет, стоит исполнять закон в отношении всех персональных данных, которые собрали на российской территории.

Дублировать те же документы на зарубежных языках для жителей России нет смысла. Но данные правила выдумали не в Российской Федерации.

Есть конвенция Совета Европы про защиту физических лиц в отношении автоматизированной обработки данных личного характера. Поэтому, если собираете данные иностранцев, стоит подумать, как соблюдаете закон той страны, резидентами которой они считаются.

В странах Европы за однократное нарушение правил обработки персональных данных штрафуют на сотни тысяч евро. В Российской Федерации самый большой штраф с 1 июля 2017 года — 75 тысяч рублей.

Могу ли я не регистрироваться в Роскомнадзоре, если поменяю поле в форме обратной связи с «Ваше имя» на «Ваша компания»?

Закон о персональных данных оберегает данные только частных лиц . Он не распространяется на информацию о компаниях. Но то, что отмечено в форме обратной связи, — это формальность.

Важно, какие собственно данные и для какой цели собирает хозяин сайта.

Если это в действительности наименование компании и телефон офиса, такая информация не попадает под действие закона. Однако если сайт собирает почтовые адреса и телефоны служащих компаний, чтобы потом делать по ним рассылку или передавать их посторонним людям, могут быть проблемы как со стороны данных служащих, так и от Роскомнадзора.

В Роскомнадзоре должны пройти регистрацию все операторы персональных данных. Исключения исключительно для случаев, указанных в п. 2 ст.

22 закона о персональных данных.

Вот публикую я пост в Фейсбуке и упоминаю собственного приятеля — значит, я данные обрабатываю? Кэш поста хранится на телефоне, значит, я данные храню?

А если сделаю репост в Твиттер, то я их еще и предоставляю третьей стороне.

И как с этим жить?

Это не нарушение закона. В данном случае оператором персональных данных выступает соцсеть.

Любой, кто там прошёл регистрацию, дал согласие на публикацию, обработку и применение его данных.

Все пользователи Фейсбука согласились на обработку данных о собственном расположении, применяемых устройствах, друзьях, интересах, платежах, посещенных сайтах и связях с другими людьми. И даже на то, что Фейсбук может получить доступ к адресной книге на каждом устройстве и затем применять эти сведения.

Вы уже разрешили Фейсбуку делать с вашими персданными все что угодно
Все согласились на то, что эти сведения Фейсбук передает собственным партнерам и рекламодателям.

И на то, что каждый пользователь может ссылаться, упоминать и отмечать на фото кого захочет в рамках их настроек безопасности. Это законно и за это отвечает Фейсбук, а не пользователи.

Так устроена любая социальную сеть и общедоступные справочники.

Если на столбе объявление «Куплю рога оленя, 8 800…, Геннадий», то этот столб можно оштрафовать?

Нет, столб оштрафовать нельзя. юрлицом он тоже не считается. А люди, которые читают подобные объявления и записывают телефонные номера, чтобы продать рога, не операторы персональных данных и не попадают под действие закона.

Геннадий сам сделал собственные данные общедоступными , чтобы приобрести рога оленя. А те, кто позвонит ему по поводу покупки рогов, применяют телефон в собственных целях.

Если телефон Геннадия запишет МФО и начнет присылать ему рекламу микрокредитований, то ее можно привлечь к ответственности. Геннадий не давал ей согласия на обработку персональных данных для рассылки рекламы.

Человека, который нечаянно увидел телефон Геннадия, записал его в телефонную книгу либо даже позвонил Геннадию с предложением приобрести рога, привлечь к ответственности нельзя.

Другими словами если человек собственно опубликовался для каких-то маркетинговых целей, то это не считается персональными данными? На «Авито», к примеру

Если человек передает собственные личные данные какому-либо ресурсу, даже с маркетинговой целью, этот ресурс должен исполнять закон. Он должен предупредить пользователя, для чего собирает личные данные, что будет с ними делать, где публиковать, кому передавать.

Чтобы подать объявление на «Авито», необходимо пройти регистрацию и доказать телефонный номер. Без регистрации объявление подать нельзя.

«Авито» объясняет, что применяет данные, чтобы размещать их на ресурсе, информационных ресурсах, передавать собственным партнерам, проводить соревнования и проверять личность пользователя. Еще «Авито» может передавать данные пользователей за границу и отдавать их на обработку каким-то посторонним людям и честно об этом пишет.

Это законно.
Нет подобного правила, что если человек сам разместил данные в общем доступе на каком-нибудь ресурсе, то с ними разрешено делать все что угодно: раздавать, обрабатывать и сохранять у себя без разрешения.

Единственное исключение для общедоступных данных: оператор подобных данных может не подавать уведомление в Роскомнадзор. Но получать согласие, гарантировать защищенность и удалять данные по требованию их владельца он обязан.

Как правильно получить согласие на обработку персональных данных на ресурсе? Можно взять шаблон с сайта какой-то большой компании?

Нельзя брать любое соглашение и применять его у себя на сайте, однако можно увидеть, как выполнили прочие, и применять этот опыт.
Согласие на обработку персональных данных должно быть определенным, информированным и сознательным.

Молчание или отсутствие возражений на обработку персональных данных — это не согласие.
Определенной формы, в которой его требуется получать от посетителя и клиента, нет.

Это может быть ссылка на пользовательское соглашение в ответном письме или галочка в форме регистрации.
Согласие должно быть осознанным и информированным

Основное, чтобы можно было довести, что это согласие получено и гость понимал, на что он соглашается.
У каждого оператора обязаны быть цели.

Онлайн-магазин собирает информацию об адресах, чтобы доставить товар; сервис по подписке просит показать email, чтобы отправлять письма; мед. центр систематизирует информацию о состоянии здоровья; школа — информацию о семье.
Собирать, обрабатывать и сохранять можно лишь те личные данные, которые соответствуют цели.

У «Ламоды», «Главного редактора», «Библио-глобуса» и детского садика цели не могут быть похожими. А если собирать лишние данные, за это могут оштрафовать.

Получить согласие на обработку персональных данных недостаточно.

Требуется соблюдать семь принципов обработки и правильно оформлять внутренние документы.
Сделать это лучше 1 раз и с участием юриста, чем оплачивать штрафы государству и воздавать нравственный вред.

Ясно. Если судить по всему, я оператор персданных.

Что мне именно делать?

Поизучайте закон. Он сложный, там много непонятного, а какие-нибудь вопросы совсем не поясняются.

Если не можете разобраться сами, попросите юриста, которому доверяете.

На определенные вопросы отвечает Минкомсвязи — эти объяснения тоже лучше проанализировать персонально. Можно там же задать вопрос по собственной ситуации или написать в Роскомнадзор.

Поместите на ресурсе пользовательское соглашение, политику конфиденциальности, оферту или еще какой-то документ, откуда гость поймет, какие данные вы собираете, что с ними делаете, куда передаете, как храните и когда удаляете. С большим вниманием относитесь к формулировкам: они пригодятся в суде.

Формируйте базу с персональными данными на российских серверах. Потом можете передавать данные за границу, если это законно, обдуманно и безопасно.

Обеспечьте техническую безопасность данных и защитите их от утечки.

Оформите внутренние документы. Их много.

Это приказы, распоряжения, инструкции и подписки.

Это необходимо сделать 1 раз, но правильно. При проверке Роскомнадзор имеет право их "настойчиво попросить" и проверить.

Подайте уведомление в Роскомнадзор, если не попадаете под исключения из ст. 22 закона о персональных данных.

Если попадаете под исключения, оформите документы таким образом, чтобы это было ясно при зрительной проверке и к вам не придрались.

Заверьте страницы сайта с документами по поводу персональных данных у нотариуса, чтобы вас не обвинили в их отсутствии или изменении формулировок.
Если нет у вас сайта, вы тоже можете быть оператором персональных данных.

Необязательно собирать их автоматическим способом и при помощи интернета. Когда вы берете на работу служащего, вы тоже обрабатываете личные данные.

Правильно оформляйте документы.

Закон о персональных данных — это не страшно

Это нормальная крупная практика. Чтобы его исполнять, не надо расходовать много денег.

И бояться штрафов тоже не надо. Если 1 раз все правильно оформить и бережно относиться к данным об иных людях, вам ничего не грозит.

Любой из нас — субъект персональных данных. Этот закон оберегает и наши данные тоже.

И если кто-то его нарушит, можно подать в суд, закрыть сайт-нарушитель, "настойчиво попросить" удалить информацию о себе и даже оформить компенсацию.