Какие данные являются персональными: позиция суда

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Какие данные являются персональными: позиция суда». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Во-первых, как поясняет Ирина Ахмедова, чтобы важная для компании информация попала, например, под закон о коммерческой тайне, юрлицо должно ввести определенный режим внутри своей организации: «Руководителю компании нужно принять положение о коммерческой тайне, определить уровни доступа к информации, установить меры защиты, способы передачи информации и прочее», — поясняет Ахмедова.

Подотчетным станет сбор персональных данных:

• в ходе трудовых отношений,
• при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
• уже упомянутых ФИО,
• даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
• для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).

Зачем нужно NDA, если есть федеральные законы о защите информации

С персональными данными все еще сложнее: «Если вы откроете закон о персональных данных, то увидите гигантский перечень мер, которые должна выполнить компания, в том числе купить и установить технические средства защиты информации», — уточняет Ахмедова. По ее словам, принимать такие организационно-правовые меры, как правило, готовы только крупные компании и наукоемкие предприятия. Остальным же компаниям проще работать в режиме NDA, который не регламентируется законом, а основывается на договоре между сторонами.

Во-вторых, не любая информация может быть классифицирована как коммерческая тайна или попадающие под защиту закона персональные данные. А с помощью NDA можно засекретить гораздо больше типов данных.

Однако из-за простоты NDA дает информации меньшую защиту, по сравнению с федеральными законами — хотя бы потому, что не обязует владельца информации принимать меры по ее защите.

Согласие работника на обработку персональных данных

Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.

Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).

Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).

Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).

Настоятельно рекомендуем включить в него следующую информацию:

• цели получения персональных данных работника у третьих лиц;
• предполагаемые источники информации (лица, у которых будете запрашивать данные);
• способы получения данных, их характер;
• возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.

Хранение и использование персональных данных

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.

Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).

Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.

Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.

Особенности работы с персональными данными

Сталкиваться с понятием персональных данных работника приходится уже на этапе публикации вакансий на сайте работодателя или на ином интернет-ресурсе. В ответ на них потенциальные кандидаты отправляют свои данные, а получатели начинают нести ответственность за их нераспространение. Можно игнорировать отсутствие договора на обработку данных, если кандидат сам разместил резюме в интернете.

На следующем этапе — при трудоустройстве будущему работнику нужно будет предоставить:

1. паспорт гражданина РФ (или иной документ для подтверждения личности);
2. трудовую книжку;
3. ИНН и СНИЛС;
4. диплом об образовании или квалификации;
5. документы о воинской обязанности.

Что подразумевают под персональными данными

В Федеральном законе №152-ФЗ произошли изменения. Согласно новой редакции от 14.07.22, оператор больше не вправе осуществлять сбор персональных данных без уведомления уполномоченного органа. С 1 сентября 2022 года юрлица и индивидуальные предприниматели обязаны сообщить в Роскомнадзор о том, что намерены их обрабатывать.

К персональным данным в этом случае относят информацию, которую:

• получают и обрабатывают в рамках ТК РФ и иных федеральных законов, касающихся трудовых отношений;
• получают при заключении договоров с физлицами, используют только внутри компании и не предоставляют данные третьим лицам;
• разрешено распространять с согласия физлица;
• будут использовать в качестве пропуска физлица на территорию компании и аналогичных ситуациях.

К ним также относятся личные сведения:

• содержащие в себе только Ф.И.О. физлица;
• касающиеся участников общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями.

Роскомнадзор направил организации предписание, в котором указано, что хранение копий личных документов является избыточным при обработке персональных данных работников. Вправе ли работодатель хранить копии документов, предъявляемых работником при поступлении на работу: копии паспорта, свидетельства ИНН, СНИЛС, документов об образовании?

Рассмотрев вопрос, мы пришли к следующему выводу:
Хранение в личных делах работников копии паспорта и других документов, содержащих персональные сведения, не является нарушением закона, если работодатель обеспечил одновременное соблюдение следующих условий:
– от работника получено согласие на хранение его персональных данных, указанных в копиях документов, необходимость обработки которых не обусловлена достижением целей, поименованных в п.п. 2-11 ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных”;
– работодателем заранее определены конкретные цели хранения персональных данных, содержащихся в копиях документов работников, при этом такие цели не противоречат законодательству;
– объем персональных данных, указанных в копиях документов работника, не превышает объем данных, которые работодателю необходимо использовать в соответствии с заявленными целями обработки.
Если эти условия не соблюдаются (например, хранение копий личных документов работника не обусловлено необходимостью достижения конкретных, заранее определенных и законных целей обработки персональных данных), хранение копий таких документов противоречит требованиям законодательства.

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Ерин Павел

Ответ прошел контроль качества

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

3.1. Оператор обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов Оператора, работников Оператора и третьих лиц.

3.2. Оператор получает персональные данные непосредственно у субъектов персональных данных, а также у контрагентов, являющихся операторами персональных данных своих клиентов.

3.3. Оператор обрабатывает персональные данные автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств.

3.4. Действия по обработке персональных данных включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

3.5. Базы данных информации, содержащей персональные данные граждан Российской Федерации, находятся на территории Российской Федерации.

1.1. Положение «Об обработке персональных данных клиентов и контрагентов ООО «БизнесНаставник» (далее – Положение) определяет порядок обработки и защиты персональных данных клиентов (подписчиков, пользователей сайта) и контрагентов ООО «БизнесНаставник».

1.2. Настоящее Положение разработано в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом № 115-ФЗ, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информатизации, информационных технологиях и о защите информации», Постановлениями Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», нормативными актами Банка России и иными нормативными актами, действующими на территории Российской Федерации.

1.3. В настоящем Положении используются следующие термины и определения:

Оператор – ООО «БизнесНаставник», вступившее в договорные отношения с клиентом или контрагентом или оказывающее услуги юридическому лицу и индивидуальному предпринимателю.

Клиент – физическое лицо, официальный представитель – физическое лицо юридического лица и индивидуального предпринимателя, вступившее в договорные отношения по оказанию услуг с ООО «БизнесНаставник».

Контрагент – физическое лицо, представитель – физическое лицо юридического лица и индивидуального предпринимателя, вступившие с ООО «БизнесНаставник» в договорные отношения.

Персональные данные Клиента – информация, необходимая Оператору в связи с договорными отношениями и касающаяся конкретного Клиента, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес регистрации и местонахождения, адрес для направления корреспонденции, электронная почта, банковские реквизиты.

Персональные данные Контрагента – информация, необходимая Оператору в связи с договорными отношениями и касающаяся конкретного Контрагента, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес регистрации и местонахождения, адрес для направления корреспонденции, электронная почта, банковские реквизиты.

Обработка персональных данных – получение, хранение, комбинирование, передача или любое другое использование персональных данных Клиента или Контрагента.

Защита персональных данных Клиента или Контрагента – деятельность ООО «БизнесНаставник» по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации.

Конфиденциальность персональных данных – обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

1.4. Действия настоящего Положения распространяется на всех Клиентов и Контрагентов ООО «БизнесНаставник».

1.5. Настоящее Положение вступает в силу со дня его утверждения Генеральным директором.

V. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1 При передаче персональных данных Клиента или Контрагента Оператор соблюдает следующие требования:

5.2.1 Не сообщает персональные данные Клиента или Контрагента третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях», при поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов, а также в случаях, предусмотренных иными федеральными законами

Оператор в каждом конкретном случае делает самостоятельную оценку серьезности, неминуемости, степени такой угрозы. Если же лицо, обратившееся с запросом, не уполномочено на получение персональных данных Клиента или Контрагента, либо отсутствует письменное согласие Клиента или Контрагента на предоставление его персональных сведений, либо, по мнению Оператора, присутствует угроза жизни или здоровью Клиента или Контрагента, Работодатель обязан отказать в предоставлении персональных данных лицу. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных.

5.2.2 Предупреждает лиц, получающих персональные данные Клиента или Контрагента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные Клиента или Контрагента, обязаны соблюдать требования конфиденциальности.

5.2.3 Осуществляет передачу персональных данных Клиента или Контрагента в пределах своей организации в соответствии с настоящим Положением.

5.2.4 Разрешает доступ к персональным данным Клиентов или Контрагентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиента или Контрагента, которые необходимы для выполнения конкретных функций. Лица, получающие персональные данные Клиента или Контрагента, обязаны соблюдать требования конфиденциальности.

5.2.5 Передает персональные данные Клиента или Контрагента его представителям в порядке, установленном законодательством РФ, и ограничивает эту информацию только теми персональными данными Клиента или Контрагента, которые необходимы для выполнения указанными представителями их функций.

5.2 В случае если Оператору оказываются услуги юридическими или физическими лицами на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным Клиентов или Контрагентов, то соответствующие данные предоставляются Оператором только после подписания с ними соглашения о конфиденциальности (неразглашении конфиденциальной информации).

5.3 Все сведения о передаче персональных данных Клиентов или Контрагентов регистрируются в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается, какая именно информация была передана.

Бухгалтерская отчетность по данным Росстата

Бухгалтерская отчетность является открытой для пользователей – учредителей (участников), инвесторов, кредитных организаций, кредиторов, покупателей, поставщиков и др. Организация должна обеспечить возможность ознакомиться с бухгалтерской отчетностью. (п. 42 ПБУ 4/99 «Бухгалтерская отчетность организации»). Досье контрагента позволяет получить и проанализировать бухгалтерскую отчетность российских организаций за 2012 и 2013 годы по данным базы Росстата.

В раздел Бухгалтерская отчетность попадает вся имеющаяся в базе Росстата отчетность контрагентов (рис. 4), в том числе отчетность субъектов малого предпринимательства (МП) и социально ориентированных некоммерческих организаций (СО НКО). В этот же раздел попадает расчет чистых активов, автоматически выполненный программой согласно Порядку, утвержденному Приказом Минфина РФ от 28 августа 2014 г. № 84н. Чистые активы определяются по данным бухгалтерской отчетности («ненулевой»), представленной за последние три года.

Наказание за нарушение требований законодательства в отношении ПДн

За проверку условий хранения и защиты личных сведений граждан в организациях отвечает, прежде всего, Роскомнадзор, специалисты которого могут прийти к вам с плановым или внеплановым визитом (например, если поступило заявление о том или ином нарушении). На этот случай на предприятии должны быть внедрены и соблюдены организационные и технические меры защиты персональных данных. Организационные мероприятия внедряются после разработки организационно-распорядительной документации, которая описывает все бизнес-процессы предприятия в части обработки персональных данных. К техническим относится определение уровней защищенности информационных систем персональных данных на основе моделей угроз. В соответствие с уровнем защищенности подбираются и устанавливаются на компьютеры необходимое программное обеспечение для защиты.

Будьте готовы к тому, что проверяющие захотят увидеть сейфы и помещения, где находятся папки с договорами и т.д., а также убедиться в наличии пользовательского соглашения на интернет-ресурсе. Также контролирующие органы могут запросить воочию продемонстрировать каким образом и какие данные вносятся в ваши ИСПДн.

Обнаружение нарушений предполагает назначение штрафов в размере до 300 тысяч рублей. Минимальное наказание предусмотрено для физических лиц. При этом сумма может увеличиться в несколько раз, если нарушений много. Оспаривать решение контролирующего органа долго и, как правило, безрезультатно, поэтому разумнее изначально адаптировать работу компании под установленные требования. Проще всего это сделать, обратившись к экспертам в Центр безопасности данных.

Нюансы, которые нужно принимать во внимание

Разбираясь, как хранить персональные данные клиентов, следует учесть:

1. Выполнив заказ на поставку товара или предоставление услуги, организация должна в течение 30 дней после завершения сделки (либо после закрытия, предусмотренного договором окна по срокам) уничтожить собранные и хранимые ПДн
2. Запрещается передача идентифицирующих сведений о гражданах третьим лицам, за исключением случаев, прописанных в ФЗ-152
3. Для добавления в клиентскую базу с целью дальнейшего сотрудничества нужно получить у субъекта бессрочное согласие. При этом нужно принимать в расчет, что гражданин может в любой момент отозвать его, подав соответствующее заявление
4. Формирование базы данных должно осуществляться для выполнения какой-то одной цели сбора и обработки информации

Могут ли контрагенты требовать персональные данные сотрудников другой организации

Персональные данные генерального директора могут содержаться в доверенностях на исполнение обязанностей, договорах, распорядительных документах, анкетах. Они могут потребоваться для получения банковских и иных кредитов и т.
д. В соответствии со ст. 88 ТК РФ передача персональных данных работника третьей стороне без письменного согласия сотрудника запрещена, за исключением предусмотренных законом случаев. В соответствии со ст.

88 ТК РФ генеральный директор считается работником, на него распространяются все положения трудового законодательства. Может, вы подскажете, в чем тут тайный смысл? : Возможно, требование вашего поставщика вовсе не связано с «налоговой осмотрительностью и он хочет быть уверенным, что с вашей стороны договор, а также документы на получение товара подпишет лицо, имеющее должные полномочия (ведь оно действует по доверенности, выданной руководителем). Чтобы потом не возникла ситуация, когда договор подписан с кем-то неизвестным или товар отгружен непонятно кому.
Истребование документов при проведении налоговой проверки (в ред. Федерального закона от 27. 07. 2006 N 137-ФЗ) 1. Должностное лицо налогового органа, проводящее налоговую проверку, вправе истребовать у проверяемого лица необходимые для проверки документы.
(в ред. Федерального закона от 23. 07. 2013 N 248-ФЗ) В случае нахождения должностного лица налогового органа, проводящего налоговую проверку, на территории налогоплательщика требование о представлении документов передается руководителю (законному или уполномоченному представителю) организации или физическому лицу (его законному или уполномоченному представителю) лично под расписку. (абзац введен Федеральным законом от 23. 07. 2013 N 248-ФЗ) Если указанным способом требование о представлении документов передать невозможно, оно направляется в порядке, установленном пунктом 4 статьи 31 настоящего Кодекса. Если данные сведения не относятся к предмету проверки, работодатель не вправе их предоставлять, а сотрудники ФНС не вправе требовать их предоставления.

Подробности в материалах Системы Кадры: 1. Ответ: В каких случаях согласие сотрудника на передачу персональных данных не требуется Нина Ковязина, заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России В отдельных случаях обработка персональных данных возможна и без согласия сотрудника. * Например, если обработка персональных данных необходима в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления и выполнения возложенных законодательством России на оператора функций, полномочий и обязанностей, – она может осуществляться без согласия сотрудника – субъекта персональных данных. Вопрос ФНС запросила в организации (в целях налогового контроля) сведения о договорных отношениях с определенными контрагентами, а также сведения о работниках организации, которые взаимодействовали с этими контрагентами (ф. и. о. , служебный телефон, должность, домашний адрес). Вправе ли организации на основании такого запроса предоставить сведения, относящиеся к персональным данным — о местах регистрации/проживания сотрудников? Если да – то в каком порядке? Спасибо.

При проведении налоговой проверки консолидированной группы налогоплательщиков продление сроков осуществляется не менее чем на 10 дней. (абзац введен Федеральным законом от 16. 11. 2011 N 321-ФЗ) 4. Отказ проверяемого лица от представления запрашиваемых при проведении налоговой проверки документов или непредставление их в установленные сроки признаются налоговым правонарушением и влекут ответственность, предусмотренную статьей 126 настоящего Кодекса.

Что входит в мероприятия по проверке добросовестности контрагента?

И Минфин, и ФНС не оставляют без внимания вопрос подтверждения должной осторожности и осмотрительности при выборе контрагента. В своем последнем письме по этому вопросу от 17 декабря 2014 г. N 03-02-07/1/65228 Минфин указывает, что Налоговый кодекс не определяет конкретный перечень действий и документов, запрашиваемых у контрагентов, который сможет подтвердить, что вы проявили ту самую осмотрительность и осторожность. В результате, возможна ситуация, что как бы вы ни старались, избежать обвинений в том, что вы были неосторожны при выборе партнера, не получится. И все же, стремиться к этому надо.

Приводим дюжину возможных контрольных мероприятий по проверке контрагента. На практике далеко не все бизнесмены проверяют своего партнера так тщательно, но если сделка значимая для вас, то рекомендуем проверить все возможные риски, тем более что большая часть этих методов является бесплатной.

Организовываем работу

Требования к организации работы с персональными данными клиентов, по сути, те же, что и к организации работы с персональными данными сотрудников. Подробнее об этом читайте на с. 13 — 19 журнала N 2, 2015. Причем в зависимости от специфики оператора стоит учитывать те или иные нормы подзаконных нормативных актов. Например, в Постановлении Правительства РФ от 01.11.2012 N 1119 устанавливаются требования к уровню защищенности персональных данных при обработке в информационной системе, если оператор обрабатывает биометрические или иные специальные категории ПД более чем 100 тыс. субъектов ПД, не являющихся сотрудниками оператора. Однако в этом случае кадровой службе вряд ли поручат обработку ПД клиентов.

Имейте в виду: несмотря на то что работа с ПД и клиентов, и работников регулируется одним Законом N 152-ФЗ, регламентирование данной работы на уровне организации должно происходить с учетом того, что базы данных клиентов представляют коммерческую ценность. А работа с такой информацией регулируется также Федеральным законом от 29.07.2004 N 98-ФЗ «О коммерческой тайне».

Примечание. См. статью «Устанавливаем режим коммерческой тайны» на с. 11 журнала N 11, 2014.

Похожие записи:

• Отменят с 1 января 2023: какие госпошлины подорожают на 30%
• Как перейти на ФСБУ 6/2020 с 2022 года: пошаговая инструкция
• Как платить налог со сдачи квартиры: пошаговая инструкция