Цель обработки персональных данных: что это, зачем

Цель обработки персональных данных: что это, зачем

Как защитить персональные данные своего ребенка и почему это важно

О персональных данных ребенка, их защите и работе с ними — в материале “Ъ”.

Фото: Олег Харсеев, Коммерсантъ

Фото: Олег Харсеев, Коммерсантъ

Что такое персональные данные

Согласно федеральному закону от 27 июля 2006 года 152-ФЗ «О персональных данных» это любая информация, относящаяся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование.

Возрастающая роль информационной сферы и внедрение автоматизированных технологий по обработке и передаче данных во все социальные сферы повышают уязвимость частной жизни ребенка и создают угрозы незаконного оборота персональных данных несовершеннолетних.

Заслуженный юрист России, доктор юридических наук Иван Соловьев:

«Формула «информация = деньги» была актуальна всегда, а в условиях сегодняшней нашей жизни особенно. Персональные данные человека относятся к такому виду информации, который всегда имеет цену и совершенно понятную капитализацию… Персональные данные детей здесь не исключение. Пол, возраст, имя, место жительства и обучения — вся эта информация является бесценной для тех структур, которые занимаются маркетинговыми исследованиями, изучают спрос, продвигают определенные группы товаров и услуг, ищут потребителей и формируют спрос. И это, пожалуй, наиболее безобидная группа интересантов.

Кроме них есть отдельные лица и структуры, которые накапливают персональные данные, преследуя противоправные и корыстные цели. Это может быть совершение мошеннических действий, вербовка в религиозные и экстремистские организации, а также различные структуры, ставящие своей целью нанесение вреда жизни и здоровью наших детей (группы смерти, геймеры, стримеры и др.)».

О работе с персональными данными ребенка

Ст. 9 закона «О персональных данных» предполагает согласие гражданина на обработку его персональных данных. Дети — несовершеннолетние граждане, поэтому согласно ч. 1 ст. 64 Семейного кодекса их права защищают родители и законные представители. Давая согласие, родитель подтверждает, что такая обработка является законной и не нарушает права ребенка. Также в любой момент можно отозвать ранее данное согласие на обработку, после отзыва согласия данные должны быть удалены.

Заслуженный юрист России, доктор юридических наук Иван Соловьев:

«Как правило, персональные данные наших детей запрашивают образовательные учреждения и организации здравоохранения. Как законные представители детей родители должны давать согласие на обработку этих данных. В связи с этим родитель имеет полное право запросить информацию о том, каков точный объем собираемых данных и будут ли они передаваться в другие организации. И если будут, то с какой целью. Кроме того, не стоит буднично и поверхностно относиться к процессу передачи персональных данных своего ребенка».

При даче согласия на обработку персональных данных ребенка эксперт советует обратить внимание на следующие детали:

— перечень персональных данных и сроки их хранения;

— цель и способы обработки персональных данных ребенка;

— способ уведомления родителя о факте обработки персональных данных;

— источник получения персональных данных ребенка;

— сведения о должностных лицах, которые получат право, а следовательно, доступ к персональным данным;

— сроки обработки персональных данных;

— способы защиты персональных данных.

Свое согласие на работу с личной информацией несовершеннолетнего ребенка родители должны выразить в письменном виде с обязательной собственноручной подписью.

Изображение ребенка в интернете

Изображение человека также относится к его персональным данным, поэтому использование фотографий всех граждан (в том числе детей) регулируется законом. Если фотография ребенка была опубликована в интернете без согласия родителей, они вправе обратиться с жалобой в прокуратуру, а если публикация фотографий причинила ребенку (или его представителям) нравственные страдания, родители могут обратиться в суд с иском о возмещении морального вреда.

Заслуженный юрист России, доктор юридических наук Иван Соловьев:

«В случае нарушения положений закона о персональных данных родитель может потребовать немедленного устранения нарушения, допущенного хранителем этих данных, а если это не принесет результата, то подготовить аргументированное заявление в органы прокуратуры. Они будут обязаны провести проверки и вынести меры прокурорского реагирования».

За публикацию фотографий детей в интернете без согласия родителей предусмотрена ответственность ст. 137 Уголовного кодекса РФ. В случае если суд признает вину, лицо, опубликовавшее фотографию, будет наказано штрафом в размере до 200 тыс. руб. или в размере зарплаты или другого дохода за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.

Локализация обработки персональных данных граждан России: значение баз данных как объектов интеллектуальной собственности

10 сентября 2019 года Государственная дума приняла в первом чтении законопроект о введении штрафов за нарушение требования о локализации обработки персональных граждан России (законопроект № 729516-7). Согласно законопроекту за невыполнение требования о локализации компания может быть оштрафована на 2 — 6 миллионов рублей, а за повторное невыполнение этого требования — на 6 — 18 миллионов рублей. В связи с этим компаниям, на которые распространяется требование о локализации, следует дополнительно проверить достаточность мер, принятых для исполнения этого требования, и оценить правовые риски, связанные с возможным нарушением этого требования.

1. В чем состоит требование о локализации обработки персональных данных граждан России и при каких условиях оно применяется к компаниям

Согласно части 5 статьи 18 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» («Закон о персональных данных») при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона о персональных данных:

  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
  • обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
  • обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.

При толковании приведенных правовых норм следует учитывать разъяснения Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, доступные на сайте министерства, а также комментарий сотрудников Роскомнадзора, доступный на сайте уполномоченного органа.

Для правильного понимания требования о локализации важно обратить внимание на значение понятий, используемых в приведенных правовых нормах:

  • Сбор персональных данных. Согласно разъяснениям Министерства цифрового развития под сбором можно понимать целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц.

Таким образом, требование о локализации не распространяется на персональные данные, полученные оператором не в результате сбора персональных данных (например, на персональные данные, полученные от другого оператора).

  • Персональные данные. В соответствии с пунктом 1 статьи 3 Закона о персональных данных персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Следовательно, требование о локализации не распространяется на данные, не являющиеся персональными данными (например, на анонимизированные данные).

  • Оператор. Согласно пункту 2 статьи 3 Закона о персональных данных оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Таким образом, требование о локализации не распространяется на лиц, которые не являются операторами (например, на «обработчиков данных», то есть лиц, которые обрабатывают персональные данные по поручению оператора, — провайдеров «облачных» сервисов, организации, осуществляющие расчет заработной платы и т. п.).

  • Запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных. Закон и его толкование Министерством цифрового развития и Роскомнадзором не определяют данные понятия.

Следовательно, требование о локализации не распространяется на другие операции с персональными данными, такие как использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

  • Граждане Российской Федерации. Согласно разъяснениям Министерства цифрового развития вопрос о порядке определения гражданства субъектов персональных данных не урегулирован в нормативном порядке. Законодатель тем самым предоставил возможность оператору персональных данных самостоятельно решать данный вопрос исходя из специфики его деятельности. Если же этот вопрос не был решен оператором самостоятельно, то возможно применение требования о локализации ко всем персональным данным, сбор которых был осуществлен на территории Российской Федерации.
  • База данных. Согласно комментарию сотрудников Роскомнадзора база данных — это упорядоченный массив данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных). Так, например, базой данных можно считать таблицу в формате Excel, Word, в которой содержатся персональные данные граждан.

Согласно разъяснениям Министерства цифрового развития требование о локализации применяется к иностранным компаниям, которые не имеют физического присутствия в России, если они осуществляют деятельность, направленную на территорию России. Например, о наличии направленности интернет-сайта на территорию Российской Федерации могут свидетельствовать следующие обстоятельства:

  1. использование доменного имени, связанного с Российской Федерацией или субъектом РФ (.ru, .рф., .su, .москва., moscow и т.п.) и (или)
  1. наличие русскоязычной версии интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом (использование на сайте или самим пользователем плагинов, предоставляющих функционал автоматизированных переводчиков с различных языков не должно приниматься во внимание). При этом поскольку русский язык широко используется в некоторых странах за пределами Российской Федерации, для определения направленности интернет-сайта именно на территорию Российской Федерации дополнительно необходимо наличие как минимум одного из следующих элементов:
  • возможности осуществления расчетов в российских рублях,
  • возможности исполнения заключенного на таком интернет-сайте договора на территории Российской Федерации (доставки товара, оказания услуги или пользования цифровым контентом на территории России),
  • использование рекламы на русском языке, отсылающей к соответствующему интернет-сайту, или
  • иных обстоятельств, явно свидетельствующих о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию.

Требование о локализации не препятствует трансграничной передаче персональных данных. Трансграничная передача персональных данных — это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (пункт 11 статьи 3 Закона о персональных данных). Согласно разъяснениям Министерства цифрового развития, персональные данные гражданина Российской Федерации, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней («первичная база данных»), могут далее передаваться в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных.

2. Реальные риски компаний, связанные с нарушением требования о локализации персональных данных

Реальные риски компаний, связанные с нарушением требования о локализации, лучше всего видны на примерах из правоприменительной практики:

  • Дело социальной сетиLinkedIn (определение Московского городского суда от 10 ноября 2016 года по делу № 33-38783/2016). Суд оставил без изменения решение нижестоящего суда, который обязал Роскомнадзор внести доменные имена, адреса страниц сайта и IP-адреса социальной сети LinkedIn в реестр нарушителей прав субъектов персональных данных. После внесения сведений об информационном ресурсе в указанный реестр операторы связи ограничивают доступ к этому ресурсу согласно статье 15.5 Федеральный закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

По мнению суда, компания LinkedIn нарушила требование о локализации при сборе информации о пользователях социальной сети, а также гражданах Российской Федерации, не являющихся пользователями социальной сети.

  • ДелаTwitterиFacebook (постановление Мирового судьи судебного участка № 422 Таганского района г. Москвы от 5 апреля 2019 года по делу № 5-618/19; Суд оштрафовал Facebook по жалобе Роскомнадзора // https://www.vedomosti.ru/technology/articles/2019/04/12/799023-oshtrafoval-facebook). В обоих случаях суд оштрафовал компании на 3,000 рублей за неисполнение обязанности предоставить Роскомнадзору информацию, подтверждающую выполнение требования о локализации по статье 19.7 КоАП.

Таким образом, до принятия законопроекта № 729516-7 о введении штрафов за нарушение требования о локализации компаниям, которые нарушают эти требования, грозят блокировки интернет-ресурсов, используемых для незаконной обработки данных, а также относительно небольшие штрафы за непредоставлении информации, подтверждающей выполнение требования о локализации. Как отмечалось ранее, если законопроект № 729516-7 будет принят, на нарушителей смогут налагаться штрафы до 18 миллионов рублей.

3. Как можно снизить издержки на выполнение требования о локализации персональных данных с учетом законодательства о базах данных как объектах интеллектуальной собственности

Некоторые особенности законодательства о базах данных как объектах интеллектуальной собственности могут помочь снизить издержки на выполнение требований о локализации.

Помимо прочего, данное требование предполагает, что оператор обязан обеспечить извлечение персональных данных с использованием базы данных, находящейся в России. Законодательство о персональных данных не определяет понятие «извлечение персональных данных». В связи с этим возможно утверждать, что под извлечением персональных данных на основе пункта 1 статьи 1334 ГК РФ следует понимать перенос всего содержания базы данных с персональными данными или существенной части составляющих ее персональных данных на другой информационный носитель с использованием любых технических средств и в любой форме. Статья 1334 ГК описывает исключительное право изготовителя базы данных как объекта смежных прав.

Такое толкование предполагает, что требование о локализации не распространяется на случаи переноса несущественной части персональных данных из базы данных с персональными данными, расположенной за рубежом, в другую базу данных, расположенную за рубежом. Указанные случаи могут иметь место в информационных системах персональных данных, предусматривающих их трансграничную передачу. Таким образом, приведенное толкование позволило бы компаниям снизить издержки на выполнение требования о локализации, поскольку оно значительно сужает понятие «извлечение персональных данных», на которое распространяется требование о локализации.

Следует отметить, что предложенное толкование не проверено правоприменительной практикой и может встретить неприятие со стороны Роскомнадзора и судов. В связи с этим при его использовании следует учитывать соответствующие риски.

Обработка и защита персональных данных в организациях

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (Закон о ПДн) защищает личную информацию от неправомерного разглашения.

Персональные данные — любая информация, которая позволяет опознать конкретную личность: данные паспорта, имя, номер телефона, результат измерения температуры тепловизором, фотография и даже свидетельство о смерти.

Перечень таких данных — открытый. Это означает, что любые сведения, позволяющие идентифицировать человека, можно отнести к ПДн.

Обеспечить неприкосновенность персональных данных должен каждый оператор: госструктуры, организации всех форм собственности и физлица (статья 19 Федерального закона о персональных данных N 152-ФЗ).

Операторы — государственные и муниципальные органы, любые компании, физические лица, которые собирают личную информацию и осуществляют иные операции по их обработке.

На практике требования Закона о ПДн касается каждой компании, в которой трудятся наёмные работники или используется работа call-центров, ведётся любая деятельность с использованием личной информации.

За работой операторов надзирает несколько ведомств:

  1. Роскомнадзор.
  2. Федеральная служба по техническому и экспортному контролю (ФСТЭК).
  3. ФСБ России.
  4. Прокуратура Российской Федерации.

Категории персональных данных

Персональные данные делятся на категории:

  • общая;
  • специальная;
  • биометрические данные;
  • обезличенные.

Общая категория. Информация, на основе которой можно опознать определённую личность: фамилия, дата и место рождения, пол, образование, материальное положение и др.

Этот перечень открытый.

Специальная категория. Некоторые данные обрабатывать запрещено: о расе, национальности, религии, состоянии здоровья.

Обработка специальных сведений возможна в исключительных ситуациях (для защиты жизненно важных интересов субъекта персональных данных и других лиц) с письменного согласия.

Биометрия. Позволяет идентифицировать человека по физическим особенностям организма, когда оператор использует их для аутентификации:

  • отпечатки пальцев;
  • ДНК;
  • сканирование сетчатки;
  • распознавание радужки.

Биометрию можно использовать только при наличии письменного согласия кроме некоторых случаев (для исполнения международных договоров, в интересах правосудия и т. п.).

Обезличенные. Информация обезличивается при обработке, в результате которой становится невозможно соотнести данные с определённым человеком.

Как обрабатывать ПДн

Единственный способ избежать претензий Роскомнадзора и внушительных штрафов, которые могут достигать 18 млн р. — правильно организовать защиту и обработку личной информации.

Обработка персональных данных — любые действия с информацией о личности, выполняемые как с применением средств автоматизации, так и без них: сбор, систематизация, обезличивание, иные операции.

Чтобы не нарушить законодательство, компании следует придерживаться ряда правил.

  1. Уведомить Роскомнадзор перед тем, как приступить к обработке. Уведомлять не надо при операциях с конфиденциальными данными:
    • сотрудников фирмы;
    • при заключении договоров;
    • в ряде других случаев (ч. 2 ст. 22 ФЗ N 152-ФЗ).
  2. Разработать политику компании по обработке данных и разместить её в открытом доступе: на сайте или на видном месте в офисе (если сайта нет).
  3. Определить цели работы с личными данными и работать с ними строго с заявленными целями.
  4. Обрабатывать данные с применением баз данных, которые расположены на территории РФ.
  5. Принять локальные акты, которые определяют правила проведения операции с личными данными. Законодательство не содержит перечень документов, которые обязана иметь компания.

Руководитель должен самостоятельно решить, какие локальные акты необходимо принять для данной компании, чтобы избежать претензий со стороны контролирующих органов.

  • регламент обработки данных;
  • правила компании по подбору персонала;
  • введение пропускного режима;
  • перечень мест хранения данных;
  • регламент уточнения, уничтожения ПДн.

Организация защиты персональных данных

Для защиты персональных данных применяют различные возможности:

    Технические. Заключаются в программе мероприятий по защите ПО от несанкционированного доступа.

Чтобы защитить ПО, требуется привлечь IT-специалистов, смоделировать угрозы, определить степень защищённости ПДн и обеспечить безопасность.

Чем грозит невыполнение требований по обработке персональных данных

За нарушение законодательства предусмотрен полный спектр юридической ответственности:

  • дисциплинарная — за неправомерную обработку данных работником компании;
  • гражданско-правовая — в виде возмещения убытков, компенсации морального вреда;
  • административная — когда это предусмотрено Кодексом об административных правонарушениях;
  • уголовная — за причинение вреда наиболее охраняемым общественным интересам.

Наиболее частое наказание — назначение административного штрафа.

Статья 13.11 КоАП РФ устанавливает девять составов правонарушений, в числе которых ответственность за обработку данных, когда это не предусмотрено законом; с отступлением от заявленных компанией целей и другие неправомерные действия.

За виновные действия предусмотрено наказание, минимальный и максимальный размер которого приведён в таблице.

Размер штрафаГражданеДолжностные лицаЮрлица и индивидуальные предприниматели
МинимальныйПредупреждение или Штраф 1 – 3 тыс. р.Штраф 5 – 10 тыс. р.Штраф 30 – 50 тыс. р.
МаксимальныйШтраф 30 – 50 тыс.р.Штраф 100 – 200 тыс. р.Штраф 1 – 6 млн р.
За повторное нарушениеШтраф 50 – 100 тыс. р.Штраф 500 – 800 тыс. р.Штраф 6 – 18 млн р.

Основные нормативные документы, касающиеся обработки персональных данных

Основная трудность, с которой сталкиваются компании при организации защиты персональной информации, заключается в том, что требования к обработке ПДн установлены не только федеральными законами, но и во множестве ведомственных подзаконных нормативных актов.

Принципы защиты персональной информации, требования к операторам и правила обработки установлены в:

    от 28 января 1981 г., ETS № 108.

Конвенция устанавливает основные принципы и обязанности каждого государства – участника Конвенции, обеспечить соблюдение основных прав и свобод человека и неприкосновенность частной жизни.

от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46 / EC.

Больше известен как GDPR – General Data Protection Regulation. Актуален для компаний, которые ведут деятельность с участием европейских партнёров.

ФЗ даёт определение понятий, устанавливает принципы и условия обработки ПДн, права субъектов, личные данные которых обрабатываются, обязанности операторов, определяет уполномоченный орган и устанавливает ответственность за нарушения.

Указ перечисляет общие критерии, по которым информацию можно отнести к персональным данным.

Постановление определяет уровни защищённости информации и раскрывает содержание мер, которые обеспечивают безопасную обработку конфиденциальных данных.

Приказ устанавливает правила обезличивания информации.

Приказом утверждён перечень организационных и технических мер по обеспечению безопасности ПДн.

Кроме того, положения о защите конфиденциальной информации установлены в других федеральных законах; регламентах, приказах, инструкциях министерств и ведомств.

Назначение ответственных за организацию защиты данных

Оператор должен назначить ответственного за операции с конфиденциальными данными.

Ответственное лицо обязано:

  • контролировать соблюдение законодательства в сфере защиты ПДн оператором и работниками;
  • информировать работников о правилах обработки конфиденциальных данных;
  • вести приём и обработку обращений субъектов ПДн.

В российских организациях, которые ведут деятельность в странах ЕС, должен быть назначен ответственный по защите данных — DPO.

Ответственным лицом может быть назначен сотрудник — руководитель компании, юротдела, других подразделений, либо стороннее лицо — независимый эксперт или фирма.

Порядок оформления доступа к персональным данным лица, осуществляющего обработку персональных данных

Во время проверок контролирующие органы уделяют внимание документам, которые регулируют политику компании по обработке ПДн, достаточности мер защиты от неправомерного использования информации, правилам доступа к конфиденциальной информации.

Поэтому компания должна правильно оформить лицо, ответственное за обработку данных:

  1. Издать приказ о назначении ответственного лица и ознакомить с приказом сотрудника под подпись.
  2. Внести соответствующие дополнения в должностную инструкцию и (или) трудовой договор.
  3. Если до назначения сотрудника за безопасность ПДн отвечали другие работники, издать приказ и снять с них ответственность за организацию обработки информации. При этом обязанность работников не разглашать данные необходимо сохранить.
  4. Составить перечень работников, которые допущены к обработке данных и утвердить перечень приказом.
  5. Со всеми приказами работники должны быть ознакомлены под подпись.

Вывод

С каждым годом контроль по стороны Роскомнадзора становится всё жёстче, а ответственность операторов — выше:

ПериодВыписано протоколовСумма штрафов
2018 г.156437 тыс. рублей.
2019 г.2151 млн 99 тыс. рублей

Из таблицы видно, что в 2019 году привлечение к административной ответственности выросло на 22 % по сравнению с предыдущим годом.

В 2020 году ситуация обострилась: ответственность за некорректную обработку персональных данных ужесточилась. Более того, индивидуальных предпринимателей по объёму ответственности приравняли к юридическим лицам.

Только строгое следование требованиям закона при обработке конфиденциальной информации позволит избежать нарушений и привлечения к ответственности.

Правовое обоснование и необходимость обработки персональных данных в организации

Все организации собирают, хранят и используют сведения о своих сотрудниках. Информация личного характера сейчас имеет высокую ценность, а при попадании в руки мошенников она становится средством для совершения преступлений. В этой статье мы расскажем, как и с какой целью компании обрабатывают персональные данные и должны ли они получать на это согласие работников.

Что такое обработка персональных данных

Понятие «обработка персональных данных» включает любые действия, совершаемые оператором с индивидуальной информацией. Среди них:

  1. сбор;
  2. уточнение;
  3. систематизация;
  4. использование;
  5. удаление;
  6. хранение.

Раньше к персональным данным относились только ФИО, место рождения, адрес регистрации и паспортные данные. Сейчас это любые сведения о человеке, включая его семейное положение, образование, уровень доходов. Работодатель не вправе обрабатывать данные о политических взглядах, вероисповедании и частной жизни работника. Подробнее о том, что относится к персональным данным — читайте в этой статье https://otdelkadrov.online/5841-ponyatie-vidy-personalnyh-dannyh

Для совершения действий с личной информацией применяются несколько способов. Автоматизированная обработка персональных данных — это обработка на компьютере. Неавтоматизированный способ предполагает использование бумажных носителей. Сейчас в большинстве случаев применяется смешанная обработка, которая сочетает в себе элементы автоматизированной и неавтоматизированной.

Цели обработки персональных данных на предприятии

Выделяют следующие цели обработки персональных данных в организации:

  1. Заключение, исполнение и прекращение гражданско-правовых договоров с гражданами, юридическими лицами, ИП и другими лицами в ситуациях, предусмотренных законодательством и Уставом предприятия.
  2. Организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам.
  3. Ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами.
  4. Исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физлиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование.
  5. Заполнение первичной статистической документации в соответствии с Трудовым, Налоговым кодексом и федеральными законами.

Что такое согласие на обработку персональных данных

Вместе с предоставлением необходимых документов при заключении трудового договора подписывается согласие работника на обработку персональных данных работника. Согласно ст. 3 ФЗ №152 , к таким данным относятся все сведения о человеке — от имени и фамилии до записей в трудовой книжке.

Персональные данные делятся на 3 категории:

  • Общедоступные — основные анкетные данные, включая ФИО, пол, дату и место рождения.
  • Биометрические — информация о внешности и некоторых физиологических особенностях, если они определяются визуально.
  • Специальные — национальность, вероисповедание, состояние здоровья, судимости, частично — сведения о работе (причины увольнения и др.).

В обязательном порядке устанавливается срок действия согласия на обработку персональных данных. Моментом его окончания становится либо конкретная дата, либо определенное событие, в том числе отзыв работником своего согласия. Это требование указано в п. 4 ст. 9 ФЗ №152.

В каких случаях нужно согласие на обработку персональных данных

Согласие требуется на обработку специальных и биометрических данных. Общедоступную информацию разрешается свободно использовать, если только это не противоречит закону, а также общепринятым нормам морали и этики.

Ситуации, когда согласие на обработку персональных данных не требуется

Исключение составляют случаи, когда расследуется уголовное дело, проводятся оперативно-розыскные мероприятия. Биометрические данные могут понадобиться, чтобы установить личность при отсутствии у человека документов. В таких ситуациях не требуется согласие на обработку личной информации.

Примерная форма оформления согласия и описание документа

Заявление о согласии на обработку личной информации подается на имя руководителя организации в письменной форме. В шапке документа указываются:

  1. должность руководителя и наименование организации, которую он возглавляет;
  2. ФИО руководителя;
  3. должность работника;
  4. ФИО работника;
  5. дата;
  6. место составления.

Возможен ли отказ от обработки персональных данных с позиции закона

По закону, отказ от согласия на обработку персональных данных не несет юридических последствий. В ч. 1 ст. 9 ФЗ №152 указано, что само согласие выражается свободно и добровольно.

Иногда отказ от обработки личной информации чреват негативными последствиями. Если на предприятии действует пропускной режим, то при таких обстоятельствах работнику нельзя будет оформить либо заменить пропуск — такое действие выйдет за рамки служебных целей. Поэтому отсутствие согласия повлечет за собой невозможность выполнения трудовых функций.

Читайте также  Инвентаризация в 1С на складе инструкция, как
Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Adblock
detector