Персональные данные работников: как работодателю не нарушить закон

Содержание

Виды

Типы персональных данных можно классифицировать по:

  • Заложенному в них содержанию:

Разряд, в который входит перечень, указанный в ст.10: раса, принадлежность к нации, религия, здоровье, личная жизнь, политические убеждения.

При этом согласно ФЗ-152 здесь существуют ограничения, а именно, доступ может быть осуществлен только с письменного разрешения владельца.

Виду и цели обработки персональных данных:

ПД физиологического характера, которые позволяют оператору определить личность их владельца.

Заграничное распространение ПД. Такой вид распространения информации можно разделить на три типа:

  1. страны, относящиеся к Конвенции Совета Европы (КСЕ);
  2. страны, не относящиеся к КСЕ, но осуществляют комплекс мер, направленный на защиту прав о ПД;
  3. страны, относящиеся к КСЕ и не осуществляют комплекс мер, направленный на защиту прав о ПД.

Если данные передаются последней группе, то необходим законный предлог, подкрепленный законом, или согласие владельца, или серьезный повод для сохранения интересов самого владельца.

Передача ПД в государственные информационные системы и муниципальные информационные системы. Здесь обработка проходит согласно функционирующим ФЗ.

Как узнать, кому вы дали согласие на обработку персональных данных

 Если данные предоставлялись коммерческой организации, можно обратиться в эту компанию и запросить сведения об объеме обрабатываемых данных, их хранении, предоставлении третьим лицам.

 Если согласие предоставлялась органам государственной власти через систему ЕСИА (портал государственных услуг, а также личные кабинеты на сайтах профильных служб и ведомств). В этом случае проверить список субъектов, которые работают с персональными данными, можно на странице «Выданные разрешения» в личном кабинете. При этом человек может в любой момент отозвать их.

Проверка выданных разрешений на обработку персональных данных на сайте «Госуслуги»

Насколько необходимо Положение о персональных данных

Наниматель, принимая на свое попечение физических лиц с присущим им комплектом персональных данных, законодательно обязан позаботиться об одобренных государством способах их обработки. При этом он обязан руководствоваться вышеприведенной нормативной базой, а индивидуальные тонкости отразить в специальных внутренних документах.

Предлагаем ознакомиться: Какая сумма материнского капитала на сегодняшний день

Самостоятельно регламентировать особенности действий с персональными данными сотрудников работодателей обязали недавно. Ст. 90 ТК РФ устанавливает ответственность лица, нанимающего персонал, за утечку или неправомерное использование конфиденциальных сведений, предоставляемых сотрудниками, причем ответственность предусмотрена во всех сферах права – дисциплинарной, административной, уголовной и гражданской.

Разделы данного документа содержат следующие необходимые подпункты:

  • общие сведения;
  • перечисление данных, считающихся персональными в конкретной компании;
  • регламент применения данной информации;
  • особенности доступа к этим сведениям;
  • меры, принимаемые при нарушении принципов обработки информации, и ответственность виновных;
  • приложения (форма заявления для сотрудника о согласии на обработку и/или проверку предоставленных личных данных, форма обязательства не разглашать полученную информацию для сотрудников, у которых она будет в пользовании).

Легитимным, с точки зрения официальных законодательных документов, принятых в нашей стране, является только один способ получения конфиденциальной информации – от самого гражданина, пожелавшего добровольно ее сообщить в устной или письменной форме.

Косвенные способы получения персональных сведений о человеке (например, запрос на прежнее место работы) могут использоваться только в том случае, если сотрудник дал на это свое письменное согласие.

Если к работодателю пришел запрос о сотруднике, который когда-то у него работал, лучше перестраховаться и потребовать письменное разрешение на предоставление персональных данных, подписанное самим физическим лицом. Это касается даже ситуаций, когда эти сведения требуют работники правоохранительных органов (вместо разрешения может быть подписанный их руководством приказ).

Что такое персональные данные работника

Персональные данные — это любая информация о человеке, из которой можно понять, о ком речь — ст. 3 Закона № 152-ФЗ.

Более ясного определения нет. Поэтому работодатели обязаны следить за всеми документами, где есть имена, даты рождения, адреса и подобные сведения о работниках. 

Вот список для ориентира:

Кадровые документы — трудовые договоры, трудовые книжки, личные карточки, приказы об отпусках и выговорах, заявления на отпуск.

Копии документов от работника — паспорта, СНИЛСа, свидетельства о рождении детей.

Фото работника — например, на пропуск.

Отпечатки пальцев — это биометрические персональные данные. Для них те же правила.

Неформальные документы — резюме, анкеты, характеристики, тесты на психологическую совместимость скорпиона и змееносца в активной фазе луны.

О согласиях на обработку персональных данных

Несколько целей в одном согласии

Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию.

Пока же Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях. Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.

Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.

Получение согласия на обработку персональных данных при заключении договора

Если обработка персданных осуществляется в соответствии с условиями договора и только для его исполнения, то согласие не требуется.

Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных.

Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы.

 Согласия на обработку персональных данных соискателя и близких родственников

Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы. Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие.

Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников. В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников. 

Например, сообщить о необходимости проверки конфликта интересов.

Обработка персональных данных родственников сотрудника имеет ряд особенностей

Обработка персональных данных в объеме, предусмотренном унифицированными формам, например, карточками Т-2, согласия не требует. Но на обработку ПД, которые не содержаться в типовых формах, но необходимы работодателю, требуется получать согласие.

Электронные копии согласий на обработку персональных данных

Сканы письменных форм согласий на обработку делать не запрещено. Но если есть электронные копии, то можно ли уничтожить оригинал на бумажном носителе?

Роскомнадзор рекомендует принимать во внимание положения процессуальных кодексов, где предусмотрено, что в случае рассмотрения судебного спора необходимо  предоставить суду подлинники письменных доказательств. Поэтому при принятии решения о замене оригинальных экземпляров на электронные копии, необходимо учитывать эти риски

Срок согласия на обработку персональных данных

По мнению Роскомнадзора срок согласия должен быть ограничен конкретным сроком или достижением цели обработки персональных данных, например, исполнением договора.

Если конкретный срок определить затруднительно, то рекомендуется обработку ПД ограничивать достижением цели обработки.

 Форма согласия на получение рассылки от иностранного сайта

Достаточно ли получения согласия в электронной форме в виде проставления галочки в  чек-боксе, если сайт или его администратор находятся за пределами РФ?

Роскомнадзор считает, что если сайт направлен на граждан России, то презюмируется, что он соблюдает требования национального законодательства России — в  частности, соблюдает правило локализации. Следовательно, такая форма выдачи согласия допустима.

Изменение персональных данных работника

Заявление работника о внесении изменений в документы

Служащему, чьи ПД подверглись видоизменениям, нужно в свободной форме составить заявление, в котором ему необходимо указать причину произошедших изменений, и сказать о коррективах, которые должны быть внесены в существующие документы.

Если вы меняете фамилию, то заявление нужно подать под старой фамилией, потому что в организации вы пока что числитесь под ней.

К своему заявлению необходимо приложить копии соответствующих документов, которые будут подтверждением произошедших изменений.

Приказ о внесении изменений в документы

Никакой необходимости составления работодателем приказа об изменении ПД сотрудника Трудовым законодательством не подкреплено. Но эта необходимость избирается для донесения информации всем заинтересованным лицам (кадровикам и бухгалтерам).

Дата заполненного приказа должна быть идентичной дате, когда служащий подал заявление со всеми предлагающимися копиями документов. Приказ должен быть подписан сотрудником в знак того, что он с ним ознакомлен.

Ответственность за нарушение законодательства в области ПДн

Оператор обязан защищать личную информацию о гражданах от следующих угроз:

  • неправомерного или случайного доступа;
  • уничтожения;
  • изменения;
  • блокирования;
  • копирования;
  • распространения.

Любые неправомерные действия с данными могут повлечь за собой ответственность оператора, который отвечает за их сохранность по закону.

Персональные данные граждан РФ защищены действующим законодательством, которое предусматривает несколько видов ответственности за нарушение требований законов в области защиты персональной информации:

  • гражданско-правовую;
  • дисциплинарную;
  • материальную;
  • административную;
  • уголовную.

Причем, некоторые санкции действуют в отношении физических, юридических и должностных лиц.

Гражданско-правовая ответственность за нарушения в области использования личных данных осуществляется в требовании выплаты денежной компенсации за моральный вред.

В случае незаконного распространения чужих персональных данных на рабочем месте на виновника могут возложить дисциплинарную ответственность в виде увольнения. Если нарушение было не слишком серьезным, работник может отделаться выговором или замечанием.

Материальная ответственность может затронуть работников, которых уличили в разглашении информации, связанной с персональными данными других лиц.

Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных предполагает предупреждение или штраф в размере от 1 000 до 3 000 рублей – для физических лиц; от 5 000 до 10 000 рублей – для должностных лиц, от 20 000 до 50 000 рублей – для юридических лиц.

А за распространение охраняемой законом информации на рабочем месте – штраф в размере от 500 до 1 000 рублей – для физических лиц, от 4 000 до 5 000 рублей – для должностных лиц.

Уголовная ответственность в области персональных данных полагается за нарушение неприкосновенности частной жизни. Меры ответственности по УК РФ следующие:

  • штраф в 200 000 рублей или в размере зарплаты/иного дохода нарушителя за 18 месяцев;
  • обязательные работы на срок от 120 до 180 часов;
  • исполнительные работы на срок до 12 месяцев;
  • арест на срок до 4-х месяцев.

Если лицо, нарушившее неприкосновенность частной жизни, использовало при этом служебное положение наказание будет строже:

  • штраф от 100 000 до 300 000 рублей или в размере зарплаты/иного дохода правонарушителя за 1-2 года;
  • лишение права занимать определенные должности на срок от 2 до 5 лет;
  • арест на срок от 4 до 6 месяцев.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

  • штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
  • либо обязательными работами на срок от 120 до 180 часов;
  • либо исправительными работами на срок до одного года;
  • либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

  • штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
  • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • либо арестом на срок от четырех до шести месяцев.

Фотография

Относится ли фотография к персональным данным? В ответе на этот вопрос есть свои нюансы. Фото, размещенное без какой-либо дополнительной информации о лице, не является частью персональных данных. Такое объяснение дает надзорный орган – Роскомнадзор.

Как сказано выше, ПДн должны отвечать сразу двум критериям, чтобы в их отношении регулирование осуществлялось на основе профильного закона ФЗ №152. Фотография относится к данным, принадлежащим лицу, но не дает возможности однозначно идентифицировать человека.

Другие механизмы включаются, если речь идет о распространении данных, очерняющих честь и достоинство человека. В этом случае гражданин имеет право обратиться в суд по поводу публикации только одного фотоснимка.

Специальные категории

Согласно ФЗ от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) «О персональных данных» категории ПД разделяются на четыре группы:

  • Не разрешена обработка данных, которые так или иначе затрагивают тему религии, политических воззрений, личной жизни, национальности, не считая тех отдельных моментов, которые указаны в пункте 2.
  • Обработка ПД, перечисленных в пункте 1, допускается.

Но при условии, если:

  1. на обработку ПД получено письменное разрешение от их владельца;
  2. они общедоступны;
  3. ПД связаны с информацией, касающейся здоровья их владельца, и доступ к ним в настоящий момент нужен для сохранения его жизнедеятельности;
  4. она необходима при осуществлении судебных мер;
  5. она происходит из-за вступления в силу законодательства РФ о безопасности и розыскной деятельности.

Обработка ПД о судимости может осуществляться государственными или муниципальными органами в соответствии с ФЗ РФ.
Обработка ПД, которая указана в пунктах 2 и 3, обязана сразу же быть приостановлена при прекращении действия причин, из-за которых она осуществлялась.

Персональные данные и Интернет

Ценные данные предоставляются через IP или веб-службы. Данные сведения позволяют компаниям, связанным с рекламной деятельностью, структурировать информацию и передавать ее третьим лицам. Получить доступ к данным такие компании могут с помощью специализированного программного обеспечения. 

Персонализация веб-страниц преследует цель подробного изучения интересов пользователей и потенциальных клиентов. С помощью программного обеспечения специалисты могут отслеживать активность каждого пользователя, находящегося на веб-ресурсе, что помогает определить область его интересов. Отслеживание активности пользователя позволяет повышать конверсию продаж.

Опасности обработки персональных данных

1. Коммерческая организация, занимаясь сбором сведений, не всегда обрабатывает их самостоятельно: может быть заключен контракт со сторонней компанией. Чем больше в цепочке юридических лиц — тем больше вероятность утечки сведений.

2. При использовании биометрических персональных данных правонарушителями доказать свою непричастность к содеянному крайне затруднительно.

3. Штрафы за утечку персональных данных в РФ, к сожалению, минимальны. Компания InfoWatch указывает, что в 2019 году компании, виновные в нарушении конфиденциальности, получили общие штрафы всего на 180 тысяч рублей. Для сравнения: в ЕС аналогичные нарушения караются миллионными санкциями.

Чем регулируется

Федеральное законодательство:

  • «Об утверждении перечня сведений конфиденциального характера» — Указ Президента РФ от 06.03.1997 № 188 определяет, что к персональным данным также относятся сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность.
  • 149-ФЗ «Об информации, информационных технологиях и защите информации» — базовый закон, устанавливающий общие вещи.
  • «О персональных данных» от 27.07.2006 № 152-ФЗ — в нём задаётся фреймворк того, что такое ПДн, как их обрабатывать (кстати, хранение и передача — это подвиды обработки).
    Особенно интересны цитаты:
  • Постановление Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 № 1119 — в документе описаны правила определения уровней защищённости ПДн и основные требования по защите ПДн.
  • Постановление Правительства РФ «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» от 06.07.2008 № 512 — содержит требования, которые должны применяться при использовании материальных носителей, на которые осуществляется запись биометрических ПДн, а также при хранении биометрических ПДн вне информационных систем персональных данных. Документ хоть и старый, но учитывать его требования нужно.
  • Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 № 687 — всё понятно из названия: требования по обработке и защите ПДн, которые обрабатываются в бумажном виде.

Основные документы регуляторов:

  • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» — большой набор организационных и технических требований по защите информации, а также правила создания систем защиты персональных данных. Вкратце — смотрите пост про то, как мы проходили сертификацию и как мы помогаем аттестовываться.
  • Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» — очень полезный документ, который содержит не только требования по защите ПДн, но и позволяет определить класс необходимых к применению криптосредств.
  • «Об утверждении требований и методов по обезличиванию персональных данных» — Приказ Роскомнадзора от 05.09.2013 № 996 (Зарегистрировано в Минюсте России 10.09.2013 № 29935) и «Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 “Об утверждении требований и методов по обезличиванию персональных данных”» утв. Роскомнадзором 13.12.2013, что перестаёт делать ПДн собственно ПДн при обезличивании, например, для целей Data Mining.

25.rsoc.ru

Номер телефона

Несмотря на то, что в России услуги сотовой связи предоставляются по договору абонента и оператора (что дает теоретическую возможность третьему лицу установить, кому принадлежит номер), числовой идентификатор, опубликованный без сопровождающей информации, считается обезличенной ПДн. К нему не предъявляются требования по конфиденциальности.

Относится ли номер телефона к персональным данным узнаете тут.

Понятие ПДн в России, несмотря на наличие отдельного законодательного акта (ФЗ №152), остается расплывчатым. В законе нет четкого перечня и не описаны конкретные ситуации, когда одни и те же данные квалифицируются по-разному. К личным данным относится вся информация о физическом лице, при этом только на ее часть закон налагает ограничения по распространению и обработки (подробнее о том, какая информация считается ПД, читайте здесь).

Главным требованием является возможность идентификации лица, если ПДн дают возможность это сделать, их необходимо отнести к конфиденциальным личным данным. Сама формулировка остается актуальной только для физического лица, юридически зарегистрированные предприятия не являются субъекта ПДн в Российской Федерации.

Что будет за нарушение закона о персональных данных

За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.

Административная ответственность: штрафы

Работу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего. 

Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.

Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.

Гражданско-правовая ответственность: моральный вред работнику

Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда. 

Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.

Уголовная ответственность

В тяжёлом случае утечки данных о человеке через СМИ, интернет или как-то ещё публично на руководителя заводят уголовное дело по ст. 137 УК РФ. 

В уголовном деле смотрят на реальный вред личной и семейной жизни человека. Например, на ютуб слили видео с камер в офисе — так жена менеджера узнала об измене.

Наказание грозит вплоть до лишения свободы на четыре года. Но такие дела, конечно, редкость.

Не уследивших за персональными данными кадровика, бухгалтера и директора можно уволить и переложить на них убытки от штрафов. Посмотрите нашу статью про дисциплинарную и материальную ответственность работников.

ИНН

Идентификационный номер налогоплательщика (ИНН) используется налоговыми органами для учета. Государственные службы не нуждаются в согласии субъекта, а сам ИНН не относится к ведомостям персонального характера и не попадает под действие закона «О персональных данных».

Несмотря на то, что граждане, обращаясь за справкой ИНН, предоставляют информацию о себе (ФИО, дату и место рождения, паспорт), сам документ не несет личной информации.

ИНН представляет собой технический цифровой код:

  1. Код налогового органа, выдавшего ИНН.
  2. Номер записи о лице в Едином государственном реестре налогоплательщиков.
  3. Личное контрольное число, рассчитанное по алгоритму ФНС.

Его используют в ФНС, остальным же физическим лицам знание числового кода не позволит узнать о субъекте что-то еще.

Что является личной информацией?

К общей личной информации (находятся в паспорте, трудовой книжке, военном билете и т.д.) относятся:

  • ФИО;
  • место регистрации и место фактического проживания;
  • сведения, указанные в паспорте;
  • уровень образования и профессиональной классификации;
  • ИНН;
  • СНИЛС;
  • контакты в сочетании с ФИО;
  • предыдущая работе;
  • состав семьи;
  • прохождение военной службы;
  • размер доходов.

О том, считается ли ИНН персональными данными и какая еще информация входит в это определение, мы более подробно рассказывали тут.

К биометрическим данным относятся:

  • группа крови;
  • рост и вес;
  • цвет глаз и волос;
  • анализ ДНК.

Биометрические системы аутентификации — системы аутентификации, использующие для удостоверения личности людей их биометрические данные.

Личная информация, содержащаяся в медицинских справках:

  • национальность и раса;
  • религиозные и философские убеждения;
  • наличие судимостей;
  • состояние здоровья.

Благодаря хранению биометрических данных в паспорте, сравнение предъявителя паспорта и данных, хранящихся в паспорте (фотография лица, отпечатки пальцев и другие) выполняет автоматика.

Средства защиты и охраны персональных данных

Надежность ПД обеспечивается:

  • установлением рисков при обработке ПД в ИС;
  • постоянное использование технических и организационных мер для установления защищенности, согласно установленным Правительством РФ уровням безопасности;
  • процедура совершенствования средств и результативности защиты;
  • постоянное рассмотрение машинных носителей ПД;
  • мгновенное установление неразрешенного проникновения;
  • восстановление ПД, которые были заражены вирусом или уничтожены при взломе базы данных;
  • фиксация и учет всех действий, которые совершаются в ИС;
  • используется сотрудничество с вневедомственной охраной;
  • база данных защищена паролями, известными только людьми, у которых есть право доступа;

Каких работодателей касаются правила о персональных данных

Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна. 

Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.

Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.

Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.

Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.

Образец согласия на предоставление персональных данных

Предоставление ПД – действия определенного характера, благодаря которым раскрываются ПД какому-либо лицу или группе лиц.

Если вам необходимо составить согласие о предоставлении своих ПД, то в письменной форме вы должны указать следующее:

  • ФИО, местожительства, данные, изложенные в паспорте;
  • ФИО и местожительства представителя владельца ПД, данные, изложенные в паспорте, доверенность;
  • наименование или ФИО оператора, который получает согласие;
  • цели, из-за которых производится обработка ПД;
  • перечень ПД, на доступ к которым вы даете согласие;
  • наименование или ФИО и адрес того, кто по назначению оператора будет обрабатывать данные;
  • период, на протяжении которого будет действовать разрешение на доступ к сведениям их владельца;
  • подпись владельца ПД.