Хранение и обработка персональных данных сотрудников в 2020 году

Из этого материала вы узнаете:

• Что такое персональные данные
• Что указано в законе о хранении персональных данных
• Каковы плюсы и минусы хранения персональных данных в электронном виде
• В чём особенности хранения персональных данных работников в организации в электронном и бумажном носителе в 2020 году

Хранение персональных данных — задача не сложная, однако требующая от исполнителя четкого соблюдения всех правил и норм. К тому же, если их нарушить, можно получить крупный штраф. Законодательство РФ регулирует отношения в области хранения и обработки личных данных человека.

Следовать данным нормам и правилам важно, вдобавок необходимо постоянно актуализировать эту информацию. Законы часто подвергаются изменениям, а также в них регулярно вносятся поправки.

Из нашей статьи вы сможете узнать всю необходимую информацию относительно хранения и обработки личных данных человека.

Что такое персональные данные

Персональные данные, они же личные данные (далее по тексту ПД и ЛД), — информация, которая непосредственно связана с конкретным человеком.

Нашу жизнь уже невозможно представить без автоматизированных систем управления. Данные физических лиц постоянно попадают в различные базы и часто из них плавно утекают.

• Чтобы защитить данную информацию физического лица, был создан федеральный закон, регулирующий порядок хранения и использования персональных данных.
• Такое понятие, как персональные данные, — прежде всего юридический термин, нежели технический.
• Как следствие, стала проще процедура защиты и снизились риски проникновения в личные данные сторонних лиц.

На сегодняшний день обработкой данных физлиц занимаются:

• Банки.
• Работодатели.
• Органы государственной власти.
• Другие организации, работа которых налагает обязанности по сбору и хранению персональных данных человека.

Работа с данной информацией обязательно должна быть организована с учетом всех норм и правил независимо от задач, требующих использования данной информации.

Среднестатистический человек чаще всего предоставляет свои личные данные для обработки в банковские учреждения. И в случае если становятся очевидны нарушения его прав, выход из положения — только судебные разбирательства. Одно неверное действие может привести к фатальным последствиям.

«Аутсорсинг персонала: виды, плюсы и минусы» Подробнее

Желательно перед посещением учреждений, требующих предоставления личной информации — изучить нормативные акты, регулирующие обработку личных данных. Это даст вам возможность самостоятельно проконтролировать свои права в полном объеме.

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» в ст. 3 дает определение персональным данным. Исходя из него ПД — любая информация, которая прямо или косвенно относится к субъекту ПД — определенному или определяемому физлицу (дальше по тексту — закон о персональных данных).

К общим личным данным относятся такие сведения, как:

• ФИО;
• место и дата рождения;
• адрес места жительства (регистрации);
• профессия, уровень образования;
• фото человека (видеозаписи), которые позволяют установить личность и с этим умыслом использоваться оператором (разъяснения Роскомнадзора от 30.08.2013 года «О вопросах отнесения фотографий, видеозаписей, дактилоскопических данных и других сведений к биометрическим личным данным и особенностей их обработки»);
• наличие детей, семейное положение, ближайшие родственники;
• предыдущие места работы, армейская служба, работа на выборных должностях, государственная служба, наличие судимости и другие факты из биографии;

Законный порядок хранения и использования персональных данных работников на бумажных и электронных носителях

Любое трудоустройство связано с передачей персональных данных работника работодателю. На начальном этапе трудовых отношений это: ФИО, дата рождения, адрес регистрации, гражданство, семейное положение, уровень образования, и др.

С развитием трудовых отношений, личное дело сотрудника обогащается другими персонифицированными данными: приказ о приеме на работу, трудовой договор, первичные документы по заработной плате, акты премирования и т.д. В данной статье рассмотрим как и где хранятся персональные данные как в бумажном, так и в электронном виде.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер. 

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-59-45. Это быстро и бесплатно!

Скрыть содержание

Где разрешается хранить?

Итак, начнем с того, что место нахождения персональных данных зависит от их формы. Различают хранение:

• на бумажном носителе;
• на электронном носителе.

Практика показывает, что большинство ответственных работодателей дублируют информацию, храня документы как в бумажном варианте, так и в электронном. В том и другом случае информация храниться у работодателя, как правило, в отделе кадров и в бухгалтерии. Они запираются на ключ в пожароустойчивых сейфах. Ключ находится у начальника отдела кадров или главного бухгалтера.

Для бумаг бывших работников, как правило, выделяется архивная комната для длительного хранения. В архиве документы хранятся в алфавитном порядке. Указывается срок сдачи в архив и срок окончания хранения. После истечения установленного срока, документы могут быть уничтожены. Электронную информацию хранят в локальной компьютерной сети.

ВАЖНО! Электронную версию документов нужно обеспечить надежной системой паролей, доступ к которым должен быть у ограниченного круга лиц.

Как правило, на случай сбоя или утери основной базы, создают резервную копию для архива, которую размещают на съемном электронном носителе информации.

Общие правила

Очень важно соблюдать правила хранения, так как в противном случае халатность руководства может привести к нарушению конституционного права граждан на конфиденциальность персонифицированной информации. Статьей 87 ТК РФ установлено, что порядок хранения персональных данных работника должен быть разработан и утвержден работодателями.

Статья 87 ТК РФ. Хранение и использование персональных данных работников

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.

При этом они должны учитывать все требования, которые установлены ТК и другими федеральными законами. Основные сроки содержания документов, отражающих информацию о работниках, установлены Приказом Минкультуры 2010 года № 558.

Запомните:

• Справки, докладные, служебные записки, копии приказов, выписки из приказов, заявления, не вошедшие в состав личных дел ХРАНЯТ 5 ЛЕТ.
• Сводные расчетные ведомости, расчетные листы на выдачу заработной платы, пособий, гонораров, материальной помощи и др. выплат; доверенности на получение денежных сумм и товарно-материальных ценностей, в том числе аннулированные доверенности о получении заработной платы и других выплат ХРАНЯТ 75 ЛЕТ.
• Анкеты, автобиографии, листки по учету кадров, заявления, рекомендательные письма лиц, не принятых на работу ХРАНЯТ 3 ГОДА.
• Переписку по поводу перевода сотрудников ХРАНЯТ 3 ГОДА.
• Командировочные удостоверения ХРАНЯТ 5 ЛЕТ.

С полным списком документов и сроками их хранения можно ознакомиться в Приложении к вышеназванному Приказу.

Пошаговая инструкция по использованию задокументированных сведений

1. Обработка и хранение персональных данных на бумажном носителе должна быть проведена на основе законодательства РФ (ст. 24 Конституции, Глава 14 ТК РФ, ФЗ РФ от 27 июля 2006 года № 152 «О персональных данных», Приказ Минкультуры РФ 2010 года № 558, статья 137 УК РФ и др.

Статья 24 Конституции РФ

• Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
• Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
2. Для правильного разграничения персональных данных от данных иного характера должен быть установлен перечень сведений, которые относятся к персональным данным.
3. При работе с документами, содержащими персональные данные работников, должны быть соблюдены следующие требования:
   • работа с данными должна осуществляться исключительно в целях обеспечения трудовых правоотношений, во исполнение требований действующего законодательства о труде;
   • все документы необходимо запрашивать непосредственно у их обладателя;
   • в случае необходимости запроса документов из других источников, необходимо получение согласия работника на обработку, в письменном виде;
   • если не предусмотрено законом, то работодатель не имеет право запрашивать без согласия подчиненного информацию о личной жизни работника, его религиозных предпочтениях, членстве в политических партиях, профсоюзных организаций;
   • нельзя передавать эту информацию третьим лицам. Работникам выдается ровно та информация, которая необходима для выполнения им поручения.
4. Часть документов хранится в оригинале: это трудовая книжка, трудовой договор, дополнительные трудовые соглашения, различные приказы руководителя в отношении сотрудника, и т.д. Вторая часть документов предъявляются для ознакомления. С последующим снятием светокопии. Например, свидетельство о браке, свидетельство о рождении детей, паспорт, и др.
5. Кадровые документы, относящиеся к личному делу, скрепляются в отдельную папку работника. Папки хранятся в алфавитном порядке или разделены согласно подразделениям организации.
6. Бухгалтерские документы могут обрабатываться и храниться без привязки к работнику, а к функциональному назначению самого документа. Например:
   • документы по заработной плате сохраняться в папке для расчетов оплаты труда;
   • документы для оплаты командировочных – в папке для финансирования дополнительных мероприятий.
7. Папки с документами размещаются в сейф. Доступ к сейфу имеют руководитель предприятия, начальник отдела кадров, начальник бухгалтерии (подробнее о том, что нужно знать о доступе к персональным данным, читайте тут).
8. Ответственность за проведение инструктажа относительно порядка использования, обращения и хранения данных документов возлагается на кадровиков. Аналогично решается вопрос, где хранить согласие на обработку данных сотрудников.

Более детально о том, как заполнить заявление на обработку и на другие операции с персональными данными работника, читайте тут, а об обязательстве о неразглашении и других документах узнайте в этом материале.

На электронном носителе

1. Работа по обработке и хранению персональных данных на электронных носителя также должна основываться на требованиях законодательных актов, указанных выше.
2. Также как и для бумажных носителей, для электронных носителей должны быть обозначены сведения, которые относятся к персональным данным.

   Сюда также можно отнести адрес личной электронной почты сотрудника, аккаунты (профиль, учетная запись) в социальных сетях, и др.

3. Все полученные документы, содержащие персональные данные сканируются и направляются в электронное личное дело работника.

4. К электронной базе данных имеют доступ: руководитель предприятия, его заместители, работники отдела кадров и бухгалтерии, а также работники информационно-технического отдела (программисты).
5. Для каждого работника, имеющего доступ к электронной базе создается индивидуальный логин и пароль.

   При обработке данных (изменение, дополнение, удаление), программное обеспечение сохраняет автоматически данные лица, которое эти манипуляции совершило.

6. Создается резервная копия базы данных, которая подлежит хранению на съемном носителе. База подлежит обновлению 1 и 15 числа каждого месяца.

   Если эти числа приходятся на выходной или праздничный день, обновление совершается на следующий за ними рабочий день.

Персональные данные работника стали частым объектом мошенничества.

В этой связи законодатель установил основные правила защиты данной информации, а также ответственность за нарушение порядка ее обработки и хранения. Однако следует отметить, что российское законодательство в данной сфере еще достаточно сырое, так как большая часть правил устанавливается не на уровне закона, а локальными нормативными актами.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас: 

+7 (499) 938-59-45 (Москва) 

Это быстро и бесплатно!

Закон «О персональных данных». Нововведения в 2020 году

У каждого человека есть какие – то личные сведения, которые не должны знать окружающие. Это может быть как вполне себе официальная информация (например, номера различных документов), так и более личная информация (такая, как врачебные тайны).

Но даже такую информацию зачастую нужно как – то обрабатывать для того, чтобы выполнять различные юридические операции или оказывать услуги. И для того, чтобы человек мог сообщать свои личные сведения без опаски, существует закон «О персональных данных». О том, как он работает, мы расскажем в нашей статье.

Что это за закон

Федеральный закон 152 ФЗ «О персональных данных» — это целый свод норм, правил и инструкций, включающий в себя 25 статей (плюс две подстатьи), регулирующих все, что касается личных данных граждан. Он был составлен достаточно давно, еще в 2006 году, и достаточно редко серьезно редактировался, не смотря на множество инициатив.

Целей у данного закона много – от систематизации данных граждан, до определения правил работы с ними и их защиты.

В Федеральном законе 152 ФЗ не только описываются все основные понятия и термины, но еще и указываются абсолютно все принципы и нормы, по которым осуществляется работа с личными данными абсолютно всех людей на территории России. Им же регулируются и жесткие рамки, в которых происходит обработка данных.

Инфо

Следить за исполнением закона обязана Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций. Это одно из подразделений Роскомнадзора, и именно в неё следует жаловаться в том случае, если вы стали жертвой нарушения. За нарушение предусмотрены самые разные виды наказания, прописанные в Кодексе об Административных правонарушениях.

Основные понятия

Для того, чтобы понимать основные правила работы закона «О персональных данных», в первую очередь нужно рассмотреть его основные понятия. Они прописаны в первой части 152 ФЗ, которая включает 4 статьи.

Основными терминами можно считать следующие:

• Персональные данные. Так называют очень широкий спектр информации о человеке, и точные границы этого термина установить достаточно тяжело. Так что с юридической точки зрения персональными данными называют все данные о физлице, не являющиеся общественно доступными (например, данные о его паспорте);
• Обработка персональных данных. Так называют любые действия, касающиеся сведений о физлице. Под это определение попадают сбор сведений, их хранение, передачу, непосредственное использование в работе. При этом способ взаимодействия не имеет значения – обработку можно проводить как вручную, так и с помощью различной техники;
• Оператор, обрабатывающий персональные данные. Так именуется лицо, которое осуществляет обработку данных физлица. Оператором может выступать как государственный служащий, так и сотрудник какой – либо частной организации, а иногда даже и просто физлицо. При этом именно на операторе лежит основная ответственность.
• Информационная система персональных данных. Так называется любая совокупность данных. Достаточно редко операторам приходится работать с какой – либо определенной информацией, и она поступает массивами. Именно эти массивы и именуются информационной системой.

Но не стоит думать, что любые данные о физлице входят в перечень персональных данных. Законом установлен целый перечень сведений, которые могут по определению являться персональными, но таковыми не являются. Так, например, под действие 152 ФЗ не попадают:

• Государственные тайны (работа с ними регулируется отдельными правилами);
• Документы и содержащиеся в них сведения из Архивного фонда России;
• Данные, обрабатываемые судами (по 262 ФЗ);
• Сведения, которые обрабатываются гражданами в личных целях или в рамках семьи.

Как работает

Итак, как же закон «О персональных данных» работает и в чем его суть? Ответ достаточно прост: основной задачей данного закона является защита личных сведений физлиц при их обработке во время осуществления различных операций, а так же создание норм, обеспечивающих как безопасность, так и высокую эффективность обработки этих самых сведений.

К основным правилам и принципам, которые позволяют осуществить данную задачу, можно отнести следующие нормы:

• Обработка данных должна проходить только для достижения заранее поставленных и согласованных сведений. Так, например, если человек разрешил использовать его персональную информацию из удостоверения личности для подготовки договора, то для других целей (например, для передачи в стороннюю организацию), её использовать нельзя;
• Объединение баз данных в одну общую с целью дальнейшей обработки запрещено, за исключением тех случаев, когда базы обрабатываются с одной целью. Это значит, что нельзя брать персональные сведения из сторонних баз данных для выполнения сторонних задач, даже если есть такая возможность;
• При работе с данными требуется соблюдать высокую точность и следить за актуальностью сведений. Ошибки, использование устаревшей информации или обработка ложных сведений недопустимы;
• Хранить личную информацию операторы обязаны так, чтобы доступом к ней обладали только уполномоченные работники и операторы. Не допускается передача данных третьим лицам или её распространение.

Это важно

При этом главным условием работы с персональными данными, согласно закону, является именно согласие физлица. Оно должно быть письменно подтверждено независимо от того, какой объем сведений используется и для каких целей.

Пару слов следует сказать и о самих операторах. Оператором может быть сотрудник государственной службы, юридического лица или даже физическое лицо, имеющие полномочия осуществлять какую – либо обработку личных данных. В обязанности оператора входит:

• Сбор данных, предоставленных их владельцем, а так же другими операторами;
• Обеспечение безопасности сведений при обработке и хранении;
• Непосредственная обработка данных в рамках той операции, на которую было дано разрешение;
• Блокировка доступа к данным при возникновении угроз;
• Внесение своевременных исправлений в базы при наличии уточнений или изменений;
• При необходимости – предоставление персональных данных.

Внимание

При этом оператор отвечает перед законом за все возможные нарушения. Пожаловаться на него можно в Роскомнадзор, а если действия оператора нарушили гражданские права физлица, то в прокуратуру.

Есть ли изменения

Многих интересует именно ответ на вопрос «есть ли изменения в законе о персональных данных в 2020 году?». Ответ прост – изменений нет и в настоящий момент не предвидится, так как никаких значительных правок в законы о работы с данными граждан и в сфере документооборота не вносилось.

Самая свежая правка в закон «о персональных данных» была внесена в 2017 году, она вступила в силу первого января.

Так же в 2018 году предлагалось внести еще несколько правок, но они были отменены Государственной Думой.

Так что новые изменения пока не планируются, а ближайшие значительные изменения в закон «о персональных данных» ожидаются только после серьезных изменений в электронном документообороте.

(Visited 4 782 times, 1 visits today)

Об авторе

Загрузка…

Нарушение закона о персональных данных: история и реальность 2020 года

Любые данные о человеке, по которым его можно опознать. Точного перечисления в законе нет, но, например, если логин пользователя нам ни о чем не говорит, то электронная почта — это уже персональные данные.

Определение из закона 152-ФЗ «О персональных данных»:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Часто используемые персональные данные

Неважно, используете ли вы эту информацию по отдельности или в сочетании — если вы как-то получаете ее от пользователей, вы — оператор персональных данных.

• Email
• Телефон
• Имя, фамилия, отчество (и по отдельности)
• Адрес
• Дата рождения
• Фотография
• Ссылка на персональный сайт и профиль в соцсетях

Трактовка расплывчатая, но исходя из позиции судов и Роскомнадзора даже cookie, данные об IP-адресе, местоположении без указания фамилии и имени являются персональными данными. В деле LinkedIn (который заблокировали за использование cookie, сведений о поведении пользователя на странице и сведений о местонахождении) и провайдера Скартел позиция судов и Роскомнадзора подтверждается.

Если на вашем сайте есть любая форма сбора данных — обратной связи, подписки на рассылку, регистрации или личный кабинет, это считается обработкой персональных данных.

Типичные ошибки

• Ошибка:
• Компания, владеющая персональными данными своих клиентов, продает их другим организациям.
• Комментарий:

Конфиденциальные данные должны сохраняться, т.е. не передаваться третьим лицам без письменного на то разрешения владельца данных.

1. Ошибка:
2. Организация продает сторонним компаниям персональные данные пользователей, которые были обезличены.
3. Комментарий:
4. Подобные действия будут разрешены только после принятия законопроекта, предполагающего внесение изменений в закон «О персональных данных» и в закон «Об информации, информационных технологиях и о защите информации».

Ответственность за нарушения по персональным данным

Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц.

Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей).

Законодатель с 1 июля вносит изменения в статью 13.11 КоАП (Федеральный закон от 7 февраля 2020 г. № 13-ФЗ).

До 1 июля 2020 года размеры штрафов за нарушение закона о персональных данных составляют:

• для юридических лиц – от 5 тыс. до 10 тыс. руб.;
• для должностных лиц – от 500 до 1 тыс. руб.

Ниже в таблице приведу перечень нарушений и размеры новых штрафов за них с 1 июля 2020.

Вид нарушения	Размер штрафа
для юридических лиц	для должностных лиц
Обработка персональных данных в случаях, не предусмотренных законодательством, либо их обработка, несовместимая с целями сбора персональных данных*.	От 30 тыс. до 50 тыс. руб.	От 5 тыс. до 10 тыс. руб.
Обработка персональных данных без письменного согласия субъекта персональных данных на их обработку*	От 15 тыс. до 75 тыс. руб.	От 10 тыс. до 20 тыс. руб.
Обработка персональных данных с нарушением требований к составу сведений, отражаемых в письменном согласии субъекта персональных данных на их обработку	От 15 тыс. до 75 тыс. руб.	От 10 тыс. до 20 тыс. руб.
Нарушение оператором требований законодательства в области обработки, хранения и предоставления персональных данных	От 15 тыс. до 50 тыс. руб.	От 3 тыс. до 10 тыс. руб.

* Если не предусмотрена уголовная ответственность

Полномочия по возбуждению дел об административных правонарушениях в области персональных данных переданы от прокуроров к Роскомнадзору. Срок давности для административной ответственности – три месяца со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Протокол об административном нарушении составляют сотрудники Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ).

Трудовая инспекция также вправе наказать за нарушения правил работы с персональными данными, которые установлены в трудовом законодательстве (например, если бухгалтер использует сведения сотрудника в незаконных целях или их утерял). Наказание – штраф от 1000 до 5000 руб., за повторное нарушение – штраф от 10 000 до 20 000 руб. или дисквалификация от одного года до трех лет (ч. 1, 2 ст. 5.27 КоАП РФ).

Срок давности для ответственности за персональные данные по трудовому законодательству – один год со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Кроме административной ответственности за нарушения в области обработки персональных данных могут привлечь к дисциплинарной, материальной и даже к уголовной ответственности.

Законодательная база Российской Федерации

Максимальный штраф за нарушение правил обработки персональных данных (ПД) будет увеличен с 10 тыс. до 300 тыс. рублей. Роскомнадзор получит право самостоятельно составлять акты по нарушениям, связанным с персональными данными, — сейчас такие дела в компетенции прокуратуры.

Будут также введены штрафы для операторов персональных данных, которые не хотят обеспечить своим пользователям «право на забвение».

Соответствующие поправки (есть у «Известий») в Кодекс об административных нарушениях (КоАП) Минкомсвязи направило в правительство для внесения в Госдуму, сообщают «Известия».

Изменения предлагается внести в ст. 13.11 КоАП, определяющую ответственность за нарушение правил обработки персональных данных. Сейчас максимальный штраф по этой статье для юрлиц составляет 10 тыс. рублей.

В новой редакции ст. 13.11 КоАП будет состоять из восьми пунктов. За «обычное» нарушение правил максимальный штраф для юрлиц увеличат до 50 тыс. рублей.

А вот обработка «данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости в случаях, не предусмотренных законодательством», будет грозить юрлицам штрафом до 300 тыс. рублей.

Один из пунктов новой редакции ст. 13.11 позволит штрафовать оператора персональных данных в случае отказа реализовать так называемое право на забвение для клиентов.

Если оператор откажется заблокировать или уничтожить персональные данные, которые «являются неполными, устаревшими, неточными, незаконными, незаконно полученными или не являются необходимыми для заявленной цели обработки», — максимальный штраф для юрлиц составит 45 тыс. рублей.

5 ноября на конференции по защите персональных данных глава Роскомнадзора Александр Жаров отмечал, что в России еще с 2006 года граждане имеют право требовать от оператора ПД прекратить обработку их личной информации, в том числе в сети интернет.

Персональные данные и их виды: для тех, кому нужно быстро разобраться | Блог Mail.Ru Cloud Solutions

Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.

Какие бывают виды персональных данных

В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.

Общие персональные данные

К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.

Специальные персональные данные

Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.

Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.

Биометрические персональные данные

Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.

Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.

А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.

То же самое касается других подобных данных, в том числе медицинских. Если их используют просто для сбора информации о пациенте, они не биометрические, а общие или специальные.

В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.

Иные данные сложнее всего отличить от специальных. Разница следующая:

1. Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
2. Иные данные — это просто дополнительная информация, они часто могут меняться.

Кто такие оператор и субъект персональных данных

В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.

Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:

1. Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
2. Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.

Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.

В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.

Кратко: Кто является оператором персональных данных? Тот, кто собирает ПДн, хранит их у себя на серверах, анализирует, изменяет и передает.

Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

1. Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
2. Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
3. Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
4. В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.

• Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.
• Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.
• Подробнее об обязанностях оператора ПДн и уровнях защищенности персональных данных можно прочитать в двух других наших статьях: «Как соблюсти 152-ФЗ» и «Защита персональных данных в облаке».

Изменения по персональным данным в 2020 году

Правительство РФ предлагает уменьшить количество согласий, предоставляемых субъектом персональных данных в письменной форме.

Законопроектом предусматривается возможность предоставления согласия на обработку персональных данных в письменной форме, требования к которому установлены частью 4 статьи 9 Федерального закона от 27 июля 2006 г.

N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных), одновременно на несколько целей, а также нескольким лицам, осуществляющим обработку персональных данных по поручению оператора персональных данных.

При этом, если обработка персональных данных осуществляется в нескольких целях, в отношении каждой цели должны быть указаны сведения в соответствии с пунктами 5-8 части 4 статьи 9 Закона о персональных данных.

Напомним, что такими сведениями являются:

• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• наименование или фамилию, имя, отчество и адрес лица, либо, как также предусматривается законопроектом, лиц, осуществляющего (осуществляющих) обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу (таким лицам);
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
• срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.

Обработка персональных данных, обрабатываемых оператором на законных основаниях, может осуществляться им в дополнительных целях в случае наличия согласия субъекта персональных данных, содержащего информацию об указанных дополнительных целях, или в иных случаях, установленных Законом о персональных данных, но уже без проведения процедур сбора персональных данных.

Предполагается, что реализация указанных положений будет способствовать уменьшению объема оборота обрабатываемых персональных данных и повышению их защищенности.

Законопроект по персональным данным

Проект федерального закона разработан во исполнение подпункта «б» пункта 2 перечня поручений по реализации Послания Президента Российской Федерации Федеральному Собранию Российской Федерации от 15 января 2020 г.

, утвержденного Президентом Российской Федерации 24 января 2020 г. NoПр-113, а также пункта 1.

3 паспорта федерального проекта «Нормативное регулирование цифровой среды» национальной программы «Цифровая экономика Российской Федерации» (далее — законопроект).

Законопроект направлен на обеспечение благоприятных правовых условий для сбора, хранения и обработки данных с использованием новых технологий, в части установления порядка обезличивания персональных данных, порядка получения согласия на обработку персональных данных, а также регулирования оборота больших объемов данных с учетом необходимости защиты прав и свобод человека и гражданина при обработке его персональных данных.

Законопроект предусматривает возможность предоставления согласия на обработку персональных данных в письменной форме, требования к которому установлены частью 4 статьи 9 Федерального закона от 27 июля 2006 г.

No 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) (обязательность получения у субъекта персональных данных согласия в письменной форме установлена статьями 10, 11, 12, 16 Закона о персональных данных и иных случаях, установленных федеральными законами), одновременно на несколько целей, а также нескольким лицам, осуществляющим обработку персональных данных по поручению оператора персональных данных. При этом, если обработка персональных данных осуществляется в нескольких целях, в отношении каждой цели должны быть указаны сведения в соответствии с пунктами 5-8 части 4 статьи 9 Закона о персональных данных. Предлагаемое изменение является крайне актуальной общественной потребностью для построения цифровой среды доверия, в том числе для запуска новых инновационных сервисов и услуг, удаленного взаимодействия с клиентами, работниками, получения государственных услуг и прочее, а также позволит уменьшить количество согласий, предоставляемых субъектом персональных данных в письменной форме.

В случаях возникновения необходимости обработки персональных данных в дополнительных целях (отличных от первоначальных целей сбора) законопроектом предусмотрена возможность обработки таких данных при условии получении согласия субъекта персональных данных или в иных случаях, указанных в части 1 статьи 6 Закона о персональных данных, но без проведения процедур сбора персональных данных. Реализация указанных положений будет способствовать уменьшению объема оборота обрабатываемых персональных данных и повышению их защищенности. С целью обеспечения защиты прав граждан при уничтожении персональных данных законопроектом предусмотрена обязанность использовать средства защиты информации, в составе которых реализована функция уничтожения информации, прошедших в установленном порядке процедуру соответствия, проведенную ФСБ России или ФСТЭК России.

В части установления порядка обезличивания персональных данных законопроектом предлагается уточнить полномочия Роскомнадзора по утверждению требований и методов обезличивания персональных данных.

Регламентация требований и методов по обезличиванию персональных данных на уровне нормативного акта Роскомнадзора с учетом развития информационных технологий позволит оперативно вносить необходимые изменения и дополнения в существующую методологию обезличивания персональных данных.

Принятие законопроекта позволит существенно повысить эффективность системы защиты прав субъектов персональных данных, а также предоставит им право на использование методологической базы по обезличиванию персональных данных.

В связи с необходимостью уточнения и утверждения Роскомнадзором требований и методов по обезличиванию персональных данных, а также принятием операторами персональных данных мер по соблюдению указанных требований законопроектом предусмотрен отложенный срок (по истечении ста восьмидесяти дней после дня его официального опубликования).

Законопроект не содержит обязательные требования, оценка соблюдения которых осуществляется в рамках государственного контроля (надзора), муниципального контроля, при рассмотрении дел об административных правонарушениях, или обязательных требований, соответствие которым проверяется при выдаче разрешений, лицензий, аттестатов аккредитации, иных документов, имеющих разрешительный характер.

Законопроект соответствует положениям Договора о Евразийском экономическом союзе от 29 мая 2014 г., а также положениям иных международных договоров Российской Федерации и не повлияет на индикаторы государственных программ Российской Федерации и их результаты. Принятие законопроекта не потребует дополнительных расходов бюджетов бюджетной системы Российской Федерации.