Как работать с персональными данными работников в 2023 году

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как работать с персональными данными работников в 2023 году». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Общий термин, определяющий персональные данные, звучит как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Термин присутствует в законе «О персональных данных», а также упоминается в других нормативных актах. Так, закон «О связи» относит к сведениям об абонентах – физических лицах – фамилию, имя, отчество или псевдоним, а также домашний адрес и другие данные, позволяющие идентифицировать личность.

Понятие персональных данных

Порядок регулирования вопроса описан и в постановлениях ФСТЭК РФ, Роскомнадзора, Центрального Банка. В одном из разъяснений ЦБ РФ отмечается, что банки не имеют права оставлять в почтовых ящиках корреспонденцию таким образом, чтобы третьим лицам были доступны персональные данные, в том числе имя личности. Схожая позиция привела к необходимости отправлять в конвертах квитанции с распечатками стоимости услуг ЖКХ, тоже содержащие персональные данные. Также регулятор обратил внимание на недопустимость для сотрудников банка разглашать персональные данные клиента работодателю или коллеге, что часто делается в целях информирования о наличии задолженности. При таком разглашении субъект однозначно идентифицируется, даже без добавления уточняющей информации, что нарушает права физического лица на защиту тайны личной жизни.

Позиция регулятора и судов

Роскомнадзор не видит прямой возможности исключить ФИО из общего перечня ПД, несмотря на мнения экспертов о том, что только эти данные, без наличия иного идентифицирующего признака, не дают однозначной возможности определить личность. Этой же позиции придерживается Центробанк.

Хотя Роскомнадзор выпустил несколько разъяснений, где однозначно ответил на вопрос, являются ли фамилия, имя, отчество персональными данными, иногда ведомство выражает двойственную позицию. Так, в 2012 году в письме территориального управления по Республике Карелия отмечено, что фамилия и инициалы гражданина – это, несомненно, персональные данные субъекта. С другой стороны, без применения других сведений определить принадлежность ПД частному лицу затруднительно. Фамилия, имя, отчество наряду со многими другими способами используются для идентификации отдельного человека среди других.

По своей природе это составной ключ, идентификатор, основанный на комбинациях трех параметров (фамилии, имени и отчества), на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать. При этом очевидно, что, если у заинтересованного злоумышленника есть иные данные об объекте, предоставление ему данных ФИО позволит определить субъект, например, по номеру машины узнать данные о ее владельце.

В более поздних разъяснениях, предоставленных в 2017 году в ответ на обращение Казначейства России, регулятор, опираясь на нормы федерального закона о персональных данных, отметил, что ФИО, без сомнения, относятся к этой категории. Он сообщил, что среди полномочий ведомства нет права давать разъяснения по вопросам толкования норм закона, эта задача относится к сфере компетенции Минсвязи.

Тем не менее из прямого прочтения текста закона вытекает понимание, что имя и инициалы относятся к персональным данным без каких-либо изъятий, за исключением прямо приводимых в законе:

• если сведения относятся к общедоступным;
• если они используются в целях статистики.

Рекомендации по сбору и хранению персональных данных

Компании стоит уделить особое внимание организации мер по сбору, хранению и систематизации персональных данных. Это обеспечит защиту от претензий надзорных органов, исковых заявлений от действующих и бывших работников и кандидатов на вакансии.

Что нужно сделать в обязательном порядке:

• разработать Положение о персональных данных, прописать в нём основные условия сбора, хранения и обработки;
• издать приказ о вводе в действие Положения и ознакомить персонал под подпись;
• назначить сотрудника, отвечающего за обработку персональных данных, подписать с ним соглашение о неразглашении;
• собрать со всех работников согласия в письменном виде с перечислением типов персональных данных и целей их предоставления;
• организовать хранение данных в цифровом и бумажном виде, защитить их от доступа третьих лиц, а также обеспечить своевременность пополнения и корректировки.

Как получить согласие на обработку персональных данных

Обработка ПД – любые действия с личной информацией о человеке:

• получение (сбор персональных данных);
• структуризация;
• хранение на любых носителях (в электронных и бумажных архивах);
• анализ;
• использование в коммерческой, социальной, государственной деятельности;
• передача другим владельцам или предоставление доступа к базе;
• обезличивание – устранение очевидной связи между человеком и его ПД;
• блокировка – временная остановка работы с информацией по запросу граждан или регулятора;
• удаление и обновление;
• ликвидация без возможности восстановления.

Сколько согласий запрашивать?

В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.

Это согласие работодатели уже давно должны были запросить у работников.

К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).

В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.

Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.

Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.

Может ли оператор передать кому-нибудь персональные данные?

Оператор может передавать ПД третьим лицам только с вашего согласия, если иное не предусмотрено законом.

Примеры, когда согласие нужно: работодатель передает ваши ПД сторонней организации для бронирования отелей, покупки авиабилетов или оформления пропуска.

Примеры, когда согласие не нужно:

• управляющая организация или правление товарищества собственников жилья вправе предоставить ваши ПД (Ф.И.О., номер квартиры, сведения о размере доли) организатору созыва общего собрания собственников жилья;
• работодатель вправе передавать ваши ПД в ФСС, ПФР, налоговые органы, по запросу в суд, прокуратуру, правоохранительные органы и т.д.

Предоставление такого согласия является добровольным. Оператор не может принуждать вас это сделать.

Защита персональной информации соискателей

Резюме соискателя включает большой объем персональной информации — к ним относятся номер телефона и электронная почта, данные об образовании и о месте жительства.

Роскомнадзор рекомендует работодателям получать согласие на обработку персональных сведений из резюме для обеспечения их защиты. Оно оформляется на время прохождения собеседования, пока не примут окончательное решение.

Согласие не нужно в таких ситуациях:

• резюме соискателя компания получает от агентства по подбору персонала. В этом случае именно агентство обязано защищать персональные данные;
• соискатель сам загружает резюме в открытый доступ, к примеру, на сайте по поиску работы. В этом случае сайт и соискатель совместно несут обязанность по защите персональных данных.

Требования к согласию

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

• в течение трех рабочих дней с момента обращения;

• или в срок, указанный в постановлении суда;

• или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Почему возникает вопрос, являются ли ФИО персональными данными гражданина

Преимущественно дискуссии инициируют те операторы, которые недовольны значительным списком требований в отношении защиты ПДн, используемых в рамках их коммерческой деятельности. Но позиция государства четкая, и даже весомые на первый взгляд аргументы не принимаются во внимание при рассмотрении судебных дел, назначении штрафных санкций и урегулировании конфликтов с Центральным банком. Поэтому игнорировать актуальные требования ФЗ-152 нельзя.

Подводя итоги, отметим, что ФИО — персональные данные, в отношении которых необходимо предпринимать меры защиты, чтобы не нарушить права субъекта и не понести предусмотренное действующими законами наказание.

Исключения из общего правила

Если организация захочет поспорить с регулятором и счесть ФИО сведениями, прямо не относящимися к ПД, она может привести ряд аргументов:

Однако эти аргументы не всегда принимаются, поскольку прямое прочтение закона относит к ПД любую информацию о человеке. Такая позиция связана с одномерным принятием требований международного законодательства, которые нужно было отразить в национальном для вступления в ВТО. Существующее в среде экспертов мнение о том, что имя относится к категории обезличенных данных, неверно. Закон под обезличиванием понимает определенный процесс, происходящий при помощи программных и технических средств и позволяющий превратить конкретные записи в общий массив информации, из которого невозможно вычленить сведения, относящиеся к конкретному лицу. Существуют разъяснения регулятора (Приказ Роскомнадзора № 996), которыми определяются требования к методам проведения обезличивания. Они предельно конкретны, очевидно, что само по себе отсутствие возможности идентифицировать лицо по кратким сведениям о нем не делает эти данные обезличенными.

Среди характеристик методов преобразования сведений:

Регулятор называет четыре типа методов устранения высокой степени идентифицированности персональных данных, не отказывая оператору в возможности предложить собственное решение:

Вне зависимости от выбранного метода обезличивания ФИО хранятся и защищаются на тех же основаниях, что и другие категории ПД.

Какие данные являются персональными: позиция суда

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр.

Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах.

Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

Специальные категории

Согласно ФЗ от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) «О персональных данных» категории ПД разделяются на четыре группы:

• Не разрешена обработка данных, которые так или иначе затрагивают тему религии, политических воззрений, личной жизни, национальности, не считая тех отдельных моментов, которые указаны в пункте 2.
• Обработка ПД, перечисленных в пункте 1, допускается.

Но при условии, если:

1. на обработку ПД получено письменное разрешение от их владельца;
2. они общедоступны;
3. ПД связаны с информацией, касающейся здоровья их владельца, и доступ к ним в настоящий момент нужен для сохранения его жизнедеятельности;
4. она необходима при осуществлении судебных мер;
5. она происходит из-за вступления в силу законодательства РФ о безопасности и розыскной деятельности.

• Обработка ПД о судимости может осуществляться государственными или муниципальными органами в соответствии с ФЗ РФ.
• Обработка ПД, которая указана в пунктах 2 и 3, обязана сразу же быть приостановлена при прекращении действия причин, из-за которых она осуществлялась.

Средства защиты и охраны персональных данных

Надежность ПД обеспечивается:

• установлением рисков при обработке ПД в ИС;
• постоянное использование технических и организационных мер для установления защищенности, согласно установленным Правительством РФ уровням безопасности;
• процедура совершенствования средств и результативности защиты;
• постоянное рассмотрение машинных носителей ПД;
• мгновенное установление неразрешенного проникновения;
• восстановление ПД, которые были заражены вирусом или уничтожены при взломе базы данных;
• фиксация и учет всех действий, которые совершаются в ИС;
• используется сотрудничество с вневедомственной охраной;
• база данных защищена паролями, известными только людьми, у которых есть право доступа;

Похожие записи:

• Земельный налог Чернобыльцам в 2023 году
• Как приватизировать баню на приватизированном садовом участке
• Наследники — в очередь: как разделить недвижимость без завещания