Персональная информация что это

Содержание

Персональные данные – что является личной информацией, понятие и определение перс данных человека

Персональная информация что это

Разобраться в том, что такое персональные данные, какие они бывают и как используются на предприятиях, чрезвычайно важно как для субъектов, сведения о которых собираются и обрабатываются, так и для организаций, которые выполняют эти операции.

Первым это необходимо, чтобы ответственно давать согласие на хранение и передачу ПДн, а также защищать свои интересы в случае несанкционированного использования и разглашения.

Предприятиям понимание того, какая информация относится к персональным данным, необходимо для правильной организации их обработки, построения системы сбора и хранения ПДн и подбора эффективных мер по обеспечению их безопасности.

Что такое личные данные, и кто вправе ими распоряжаться?

Понятие максимально подробно раскрыто в Федеральном Законе № 152-ФЗ, который действует с 27 января 2006 года, при этом ПДн подпадает под действие целого ряда нормативных актов, включая Конституцию Российской Федерации.

В соответствии с 152-ФЗ, персональными данными является абсолютно любая информация, которая относится к определённому или определяемому (прямо или косвенно) физическому лицу.

При этом каждый гражданин имеет гарантированное право на соблюдение тайны личной жизни, а государственные структуры и третьи лица не имеют права осуществлять контроль в данной сфере, если это не предусмотрено законодательством.

Субъекты могут сами принимать решение о предоставлении ПДн и рассчитывать на защиту от государства при нарушении их прав. Формат предоставления согласия на получение и обработку может быть разным, например, в виде письменного заявления или проставленной галочки в онлайн-анкете.

В ФЗ-152 четко прописано, кто и на каких условиях имеет право получать персональную информацию помимо её владельца.

Выполнять операции с частными данными по разрешению субъекта может работодатель, финансово-кредитная организация, интернет-магазин, медицинский центр и т.д.

Но есть важный момент — после достижения результата, ради которого осуществлялся сбор ПДн, оператор теряет легальную возможность их использования и несёт ответственность при их намеренном разглашении. Специальные требования в отношении работы с ПДн действуют, если:

  • информация составляет государственную тайну;
  • происходит урегулирование личных и семейных вопросов, при этом права других лиц не ущемляются;
  • речь идет об архивных сведениях;
  • есть судебный акт об их предоставлении.

Закон не только устанавливает, что относится к личным данным, но и обязывает операторов ПДн выполнять ряд требований по обеспечению их безопасности, а в случае выявления нарушений предусматривает штрафы и другие санкции. Принимать технические и организационные меры защиты необходимо как юридическим, так и частным лицам, если они имеют дело с конфиденциальной информацией о сотрудниках, клиентах, деловых партнерах и т.д.

Какие данные относятся к персональным данным: основные виды ПДн

Для упрощения регулирования законодательство РФ дифференцирует ПДн в зависимости от сложности получения, степени секретности и прав на использование третьими лицами. Основные разновидности:

  1. Общие персональные данные — те, которые сообщают ключевую информацию о субъекте: Ф.И.О., дата рождения, адрес (регион, город, улица, дом, квартира), паспортные сведения, образование, место работы, уровень дохода и т.д. Если использовать их по отдельности, то нельзя говорить о том, что это сведения, относящиеся к персональным данным, поскольку идентифицировать личность, например, по одной только фамилии невозможно. В категорию ПДн они попадают в комбинированном варианте, в частности Ф.И.О. в сочетании с местом регистрации.
  2. Биометрические — позволяют определить биологические и физиологические отличительные черты конкретного физического лица, которые могут использоваться для установления его личности. Что входит в перечень таких персональных данных? Отпечатки пальцев, ДНК человека, радужная оболочка глаз, индивидуальные анатомические особенности. Наиболее востребованы подобные ПДн на таможне и в государственных органах, которые осуществляют выдачу виз и загранпаспортов, а также в современных системах идентификации.
  3. Общедоступные персонифицированные данные — чаще всего, это информация о благосостоянии известных людей (представителей власти и шоу-бизнеса, руководителей крупных предприятий и т.д.). Они присутствуют в открытых источниках и могут быть получены без дополнительных разрешений.
  4. Обезличенными персональными данными является информация, по которой невозможно определить ее принадлежность к конкретному физическому лицу.
  5. Специальные — ПДн, присутствующие в личных делах, медицинских книжках, закрытых реестрах и т.д. Речь идет о философских и политических убеждениях, сексуальных предпочтениях, хронических заболеваниях, расовой и национальной принадлежности, вероисповедании. Чтобы с ними работать, нужно предварительно обеспечить санкционированный доступ, а именно — получить официальное согласие владельца в письменном виде.

Большое значение имеет правильная классификация оператором вида ПДн и принятие соответствующих мер для того, чтобы законно их собирать, хранить и передавать третьим лицам.

Использование личной информации в компании

Часто возникает вопрос о том, что входит в состав персональных данных работника юридического лица и как осуществлять хранение подобной информации.

Согласно Трудовому Кодексу, к ПДн сотрудника относится информация, позволяющая составить представление о нем как о работнике, то есть стаж деятельности, уровень квалификации и зарплаты, пенсионные и налоговые отчисления и т.д.

Обязанность предприятия — позаботиться об их защите и использовании для создания оптимальных условий развития профессиональных навыков и повышения квалификации.

Кроме того, работодатель должен сообщить, как именно будут использоваться персональные данные физического лица. Предварительно создаются и внедряются специальные распорядительные документы внутреннего использования, в частности, требуется Инструкция либо Положение о ПДн.

Сбор сведений производится для выполнения следующих задач:

  • профилактики разглашения корпоративной тайны и обеспечения сохранности имущества;
  • приема на работу и документального закрепления этого события;
  • получения оснований для установления той или иной заработной платы;
  • проверки выполнения персоналом возложенных на них обязанностей;
  • выявления и подтверждения причин для перевода сотрудника на более высокую должность.

При нарушениях законодательства либо утечке персональных данных (намеренной либо из-за недостаточно эффективной системы защиты) предприятие может быть привлечено к административной ответственности в виде штрафа до 18 миллионов рублей.

Выявить недоработки и своевременно их исправить позволит аудит, проведенный специалистами нашего Центра — наши специалисты помогут установить, насколько защищены частные данные, и составят рекомендации по оптимизации.

Данная статья актуализирована с учетом последних изменений Федерального закона «О персональных данных» от 31 декабря 2017 года.

Источник: https://data-sec.ru/personal-data/what-is-it/

Персональные данные (Краткий FAQ)

Персональная информация что это

Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе:  
— его фамилия, имя, отчество, 
— год, месяц, дата и место рождения, 
— адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, 
– другая информация (см. ФЗ-152, ст.3).
Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.
В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласияфизического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152, ст.8).
Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории.

Оператор персональных данных – это, как правило, организация, а точнее — государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Субъект персональных данных – это физическое лицо.
Оператор несет ответственность за защиту персональных данных субъекта в соответствии с действующим законодательством РФ.
Для того, чтобы отнести типовую информационную систему персональных данных (ИСПДн) к тому или иному классу необходимо:
I.  Определить категорию обрабатываемых персональных данных: 
• категория 4 – обезличенные и (или) общедоступные персональные данные; 
• категория 3 – персональные данные, позволяющие идентифицировать субъекта персональных данных; 
• категория 2 – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; 
• категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
II.  Определить объем персональных данных, обрабатываемых в информационной системе: 
 объем 3 – в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации; 
• объем 2 – в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; 
• объем 1 – в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
III.  По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов (см. табл.): 
• класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных; 
• класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; 
•класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; 
•класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных. 

Объем / КатегорияОбъем 3  (100 000,  субъект Федерации)
Категория 4 (обезличенные, общедоступные)Класс 4Класс 4Класс 4
Категория 3 (идентификационные)Класс 3Класс 3Класс 2
Категория 2 (идентификационные и еще)Класс 3Класс 2Класс 1
Категория 1 (медицинские, социальные)Класс 1Класс 1Класс 1

См. Порядок проведения классификации информационных систем персональных данных, введенный Приказом ФСТЭК (Федеральная служба по техническому и экспортному контролю) России, ФСБ России, Мининформсвязи России N 55/86/20. 

Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона РФ № 152 «О персональных данных», должны быть приведены в соответствие с требованиями данного Федерального закона не позднее 1 января 2010 года (см. ФЗ-152, ст.25).
Это означает, что операторы персональных данных, не сумевшие выполнить весьма жесткие требования ФЗ-152, с 1 января 2010 г. понесут соответствующую гражданскую, административную, дисциплинарную, а может быть (не дай Бог) и уголовную ответственность.
Все информационные системы, уже принятые в эксплуатацию после февраля-апреля 2008 г. (с момента рассылки методических документов ФСТЭК России и ФСБ России), но не соответствующие требованиям российского законодательства в области персональных данных, могут понести указанную ответственность и ранее, например, завтра утром.
Примечание. Изменения в УК РФ, существенно ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни, тоже вступят в силу с 1 января 2010 года.

ДОПОЛНЕНИЕ :

Но как всегда случается, операторы персональных данных особо не шевелились, и мало кто успел сделать все, что требуется. 16 декабря 2009 г. Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год – до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.
Основные обязательные требования к организации системы защиты информации в зависимости от класса типовой ИСПДн:
Для ИСПДн класса 4: 
Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)
Для ИСПДн класса 3:  
• декларирование соответствия или обязательная аттестация по требованиям безопасности информации 
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (для распределенных систем ИСПДн К3)
Для ИСПДн класса 2: 
• обязательная аттестация по требованиям безопасности информации 
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН 
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем
Для ИСПДн класса 1: 
• обязательная аттестация по требованиям безопасности информации 
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН 
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации
Последовательность действий при выполнении требований законодательства по обработке персональных данных:
1) Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации; 
2) Предпроектное обследование информационной системы — сбор исходных данных; 
3) Классификация системы обработки персональных данных; 
4) Построение частной модели угроз с целью определения их актуальности для информационной системы; 
5) Разработка частного технического задания на систему защиты персональных данных; 
6) Проектирование системы защиты персональных данных; 
7) Реализация и внедрение системы защиты персональных данных; 
8) Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований; 
9) Аттестация (сертификация) по требованиям безопасности информации; 
10) Повышение квалификации сотрудников в области защиты персональных данных; 
11) Сопровождение (аутсорсинг) системы защиты персональных данных.
Аттестация информационных систем по требованиям безопасности информации обязательна: 
— для ИСПДн, в случае отнесения персональных данных к государственному информационному ресурсу (см.«Специальные требования и рекомендации по технической защите конфиденциальной информации», Гостехкомиссия России, 2001 г.) ;  
– в остальных случаях — для ИСПДн 1, 2 и 3 классов.  
Для ИСПДн 3 класса по решению оператора процедура обязательной аттестации может быть заменена процедурой декларирования соответствия (см. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», ФСТЭК России, 2008 г., п.3.11). К сожалению, в настоящее время процесс декларации соответствия не регламентирован.
Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия (см. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п.5), включая сертификацию на соответствие требованиям по безопасности информации (см. «Основные мероприятия по организации…», п. 3.3). 
При этом, для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение), должна быть проведена в том числе сертификация на отсутствие недекларированных возможностей (см. «Основные мероприятия по организации…», пп. 4.2, 4.3).
Примечание: 
1) Операторы ИСПДн при проведении мероприятий по обеспечению безопасности персональных данных (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке. 
2) Заявители на сертификацию средств защиты информации (разработчики СЗИ, ИСПДн или операторы персональных данных) должны иметь лицензию на осуществление деятельности по разработке и/или производству средств защиты конфиденциальной информации. 

ДОПОЛНЕНИЕ :

В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять

Источник: https://habr.com/ru/post/107576/

Персональные данные – что это такое?

Персональная информация что это

  • 1 Персональные данные – что это?
  • 2 Виды персональных данных

Все вопросы, связанные с персональными сведениями о частных лицах, регламентируются Федеральным законом № 152-ФЗ “О персональных данных”.

Им определяется получение, хранение (систематизирование), обработка, использование и защита персональной информации, а также ее классификация.

В этой обзорной статье мы дадим базовую информацию о персональных данных и о том что к ним относится.

Персональные данные – что это?

Говоря о частных лицах, под “персональными данными” понимается вся возможная информация, которая либо прямо, либо косвенно относится к определенному физическому лицу (согласно терминологии закона – субъекту персональных данных).

Согласие на получение и последующую обработку персональных данных частное лицо может предоставить только самостоятельно, выразив это в письменной форме.

При этом разрешение на любое использование личных данных может быть оформлено и как отдельным документом, так и быть пунктом договора (например, кредитного или депозитного).

Обратите внимание – любая онлайн-заявка на кредит будет недействительна при отсутствии вашего согласия (обычно требуется поставить галочку возле соответствующего пункта).

Получение либо использование любой персональной информации о частном лице без наличия на то письменного или иного согласия является незаконным. Также неправомерными считаются и случаи обработки персональных сведений после получения от частного лица заявления на отзыв согласия на такую обработку.

Тем не менее существуют исключения. Например, персональные данные могут быть получены без согласия человека для работы государственных органов, а для соблюдения обязательств по действующим договорам обработка персональной информации может быть продолжена и после отзыва согласия на ее использование.

Виды персональных данных

Согласно вышеуказанному закону, все персональные данные (ПД) разделяются на 4 категории:

  • общие;
  • биометрические;
  • специальные;
  • общедоступные (либо обезличенные).

Самым значимым видом сведений о частном лице являются общие персональные данные – именно они несут основную информацию о человеке.

К этому типу относят практически все данные личного характера – ФИО, данные паспорта, ИНН, образование, семейное положение, номер страхового пенсионного свидетельства, номер мобильного, домашнего или рабочего телефона, уровень дохода клиента, информация о трудовой занятости и прочее.

Сведения общего характера чаще всего заполняются согласно предоставленным документам, но могут быть зафиксированы и со слов самого физического лица.

Согласие на получение общих персональных данных чаще всего необходимо предоставлять для обслуживания в кредитных организациях, у оператора сотовой связи, интернет провайдера и даже в розничных магазинах (например, для оформления дисконтной карты и последующего получения информации о различных скидках или акциях).

К биометрическим персональным данным в основном относят сведения, необходимые для проведения каких-либо медицинских процедур или установления личности человека по физиологическим параметрам.

Это может быть группа крови, рост, вес, дактилоскопические данные, результаты анализов ДНК. В некоторых случая к биометрическим сведениям относят и фотографии частного лица.

Исключение – фото и видео, полученные во время проведения публичных либо массовых мероприятий.

Согласие на обработку биометрической персональной информации чаще всего необходимо оформлять для проведения медицинского обследования или лечения.

Под специальными ПД понимается информация, которая говорит о расовой принадлежности частного лица, религиозных взглядах либо философских суждениях, о состоянии психологического и физического здоровья. Такие данные заполняются согласно медицинским справкам или со слов самого частного лица.

Информация специального характера может потребоваться при трудоустройстве на новое место работы или, например, при участии в политической деятельности.

Выделяется еще один вид персональных данных – сведения, которые являются изначально общедоступными или обезличенными, а, значит, не могут быть скрыты.

К такому общедоступному типу персональной информации относится, например, доходы сотрудников государственных и муниципальных органов.

Обезличенные же сведения не принадлежат какому-либо конкретному субъекту персональной информации и находятся в свободном для всех доступе.

Источник: https://privatbankrf.ru/materialy/personalnyie-dannyie-chto-eto-takoe.html

Персональные данные сотрудника: как с ними работать

Персональная информация что это

Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ (ст. 24) и Федеральный закон от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных).

В ст. 24 Конституции РФ говорится, что «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются».

Закон о персональных данных определяет значение не только ключевых понятий, с которыми придется сталкиваться на практике каждому работодателю, но и вводит принципы и условия обработки персональных данных, права субъекта персональных данных и другие важные моменты. 

Вопросам защиты персональных данных работника посвящена гл. 14 ТК РФ.

Что включают персональные данные работника

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.  

В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции.

К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании.

Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.

Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы.

Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников? 

На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.

Что делать с персональными данными кандидата

Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.

В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.

Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.

Но есть и исключения, когда такое согласие не требуется:

  • если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
  • при самостоятельном размещении резюме в интернете.

В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность. Можно воспользоваться образцом согласия на обработку персональных данных.

Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.

Что делать, если персональные данные собираются с помощью анкеты

Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

А во-вторых, она должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Это значит, что:

  • в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
  • в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
  • анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;
  • в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле.

Что делать с данными кандидата, которого не взяли на работу

В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.

Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.

Направление запросов на прежние места работы

На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.

Для этого ему обязательно нужно заручиться согласием соискателя.

Сбор и обработка персональных данных при приеме на работу

Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно ст. 65 ТК РФ, запрашиваются:

  • паспорт или иной документ, удостоверяющий личность;
  • трудовая книжка;
  • документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
  • при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.

На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется. Когда он подписывает трудовой договор, то тем самым уже дает свое согласие.

Оформление зарплатной карты и персональные данные работника

Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно.

При этом важно, чтобы:

  • перечень персональных данных строго соответствовал тому, что передается в банк;
  • была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.

Роскомнадзор определяет случаи, когда передача персональных данных работника банку для открытия зарплатных карт должна происходить без согласия:

  • договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;
  • у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;
  • соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 ТК РФ).

Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.

В прошлом году была установлена ответственность за «зарплатное рабство». Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата. 

Сотрудник сменил фамилию — что делать с трудовым договором?

В этом случае нужно обязательно внести изменения в трудовой договор. Главное — сделать это правильно.

Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.

Правильно будет внести изменение непосредственно в текст трудового договора, вручную. 

Размещение «черных списков» сотрудников на сайте

Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.

Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в Письме от 08.10.2018 N 14-2/В-803.

В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.

Роскомнадзор в своих рекомендациях формулирует следующие требования:

  1. согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.
  2. Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
  3. Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно ч. 4 ст. 9 Закона о персональных данных.

Оформление доски почета

Противоположная ситуация — это поощрение работника в виде доски почета. Но и здесь есть свои тонкости.

Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.

Для использования фото сотрудника тоже придется заручиться согласием.

Персональные данные для пропуска

В большинстве организаций сейчас действует пропускной режим. Соответственно, новым работникам требует оформление пропуска.

В данном случае нет необходимости в получении согласия на обработку персональных данных, если:

  • компания самостоятельно осуществляет пропускной режим;
  • если обработка соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со ст. 372 ТК РФ.

В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно.

Кадровый и бухгалтерский учет на аутсорсе и персональные данные

Если работодатель решает вопросы кадрового и бухгалтерского характера при помощи аутсорса, то есть силами сторонних организаций, то он должен соблюдать требования, обозначенные ч. 3 ст. 6 Закона о персональных данных.

Что делать с персональными данными уволенных сотрудников

Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета.

Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (пп. 5 п. 3 ст. 24 НК РФ). И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется.

Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет. Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется.

Источник: https://kontur.ru/articles/5844

Кратко и доступно: что такое персональные данные, их хранение и обработка

Персональная информация что это

Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.

Какие бывают виды персональных данных

В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.

Общие персональные данные

К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.

Специальные персональные данные

Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.

Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.

Биометрические персональные данные

Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.

Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.

А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.

То же самое касается других подобных данных, в том числе медицинских. Если их используют просто для сбора информации о пациенте, они не биометрические, а общие или специальные.

В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.

Иные данные сложнее всего отличить от специальных. Разница следующая:

  1. Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
  2. Иные данные — это просто дополнительная информация, они часто могут меняться.

Кто такие оператор и субъект персональных данных

В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.

Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:

  1. Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
  2. Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.

Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.

В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.

Кратко: Кто является оператором персональных данных? Тот, кто собирает ПДн, хранит их у себя на серверах, анализирует, изменяет и передает.

Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

  1. Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
  2. Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
  3. Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
  4. В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать.

Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.

В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS.

При построении гибридной инфраструктуры для хранения персональных данных на платформе Mail.ru Cloud Solutions вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства.

При этом частный контур нужно аттестовать, в этом могут помочь специалисты MCS, что позволит быстрее пройти необходимые процедуры.

Источник: https://mcs.mail.ru/blog/chto-takoe-personalnye-dannye-ih-hranenie-i-obrabotka

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.