Нормативно-правовая база по персональным данным

НПА по персональным данным

На сегодняшний день существует законодательно-правовая база по безопасности персональных данных субъектов при их обработке и хранении, которая постоянно совершенствуется и ужесточается. Законодатель особое значение придает вопросам работы с персональными данными субъектов. С момента появления в российском правовом поле понятия обработки персданных было принято множество различных актов, большая часть из которых касается региональных исполнительных органов, включая письма и разъяснения, регламентирующие эти вопросы.

С точки зрения определения персональных данных, установленных в законе, это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. Исчерпывающего списка таких данных на сегодняшний день нет. Понять, являются ли те или иные сведения персональными данными, возможно только в зависимости от того, можем ли мы отнести те или иные сведения к физическому лицу или не можем с учетом фактических обстоятельств дела. Для этого рекомендуется:

• изучить отраслевое законодательство;
• ознакомиться с разъяснениями надзорных органов;
• провести анализ судебной практики по аналогичным ситуациям;
• если вышеперечисленное не помогло, провести анализ, исходя из собственного видения проблемы.

Сегодня сформирована внушительная судебная практика, с помощью которой можно определять сведения как персональные данные, в зависимости от того, возможно ли с их помощью идентифицировать конкретного человека. По опыту, если мы обладаем сведениями, достаточными для выделения какого-либо человека из множества по любому критерию, то, скорее всего, это персональные данные.

Основа основ

Начнем с самых верхов нормативно-правового регулирования вопроса — часть 1 статьи 24 Конституции РФ, где четко сказано: «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». Эта норма призвана обеспечивать баланс права каждого на неприкосновенность частной жизни и права каждого на свободный поиск, получение, передачу, производство и распространение информации любым законным способом (п. 18 Постановления Пленума Верховного Суда РФ от 15.06.2010 № 16). В практическом применении это можно рассматривать, как «права одного участника гражданских правоотношений не должны посягать на права других участников».

К примеру, если фото- и видеосъемка в общественном месте имеет целью сбор информации о частной жизни лица, то без согласия этого лица она не допускается, исходя из ч. 1 ст. 24 Конституции РФ. Аналогичным образом видеонаблюдение за работниками без их уведомления и согласия может быть расценено как нарушение ст. 23, 24 Конституции РФ и может повлечь для работодателя административную ответственность (ст. 13.11 КоАП РФ). Видеоизображение работника подпадает под категорию биометрических персональных данных, поэтому здесь еще и необходимо соблюдать порядок сбора, обработки, хранения и использования этих данных.

Для сведения и использования в работе см. актуальные:

• «Рекомендации Роскомнадзора операторам персональных данных», утв. Роскомнадзором 08.08.2023;
• Постановление Правительства РФ от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных» (вместе с «Положением о федеральном государственном контроле (надзоре) за обработкой персональных данных»)

Федеральное законодательство

Помимо Конституции РФ, правоотношения в сфере персональных данных регламентированы Гражданским и Трудовым кодексами РФ, но большая часть правового регулирования приходится на Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Его цель — обеспечить защиту прав и свобод физлиц при обработке их персональных данных. В нем установлено основное понятие, при котором любая информация, позволяющая однозначно установить гражданина, является его персональными данными. А также прописаны принципы и условия обработки таких данных, вопросы государственного контроля и надзора за их обработкой и т. п. Следует обратить особое внимание на ст. 18, ст. 18.1, ст. 19 закона.

В частной жизни

Персональные данные составляют информацию о частной жизни гражданина, которая подлежит охране на основании ст. 152.2 ГК РФ. При этом отдельные их виды являются нематериальными благами, для которых предусмотрено специальное регулирование в рамках главы 8 ГК РФ. Главное правило содержится в абз. 1 п. 1 ст. 152.2 ГК РФ: без согласия гражданина не допускается сбор, хранение, распространение и использование любой информации о его личной жизни, в частности, информации о происхождении, о месте жительства или проживания, а также о личной и семейной жизни. Как видим, в вопросе персональных данных находят применение общие статьи об охране частной жизни (ст. 152.2 ГК РФ) и отдельные статьи ГК РФ.

В рамках трудовых отношений

В контексте рассматриваемого вопроса следует обратить внимание на главу 14 ТК РФ, которая применяется к отношениям работника и работодателя. В статье 19 этой главы говорится о мерах, которые необходимо принимать работодателю для обеспечения безопасности персональных данных своих работников при их обработке. Кроме того, в ст. 86 ТК РФ ясно сказано, что работодатель должен обрабатывать персональные данные исключительно в строго обозначенных целях. Приведем примеры ситуаций, с которыми могут столкнуться работодатели-операторы.

Ситуация № 1. Представим, что ваша компания для бесперебойного контроля на площадке устанавливает камеру видеонаблюдения. Какой порядок в такой ситуации установлен? Начнем с того, что ст. 214.2 ТК РФ предусмотрено право работодателя использовать видеофиксацию в целях контроля за безопасностью производства работ. Однако следует учесть, что видеонаблюдение — это обработка персональных данных, поэтому нужно соблюсти требования по их обработке. Такие доводы основаны на положениях ч. 1 ст. 11 Закона о персональных данных. В организации должен быть разработан специальный локальный нормативный акт, в котором обязательно должны быть обозначены:

• цели, для достижения которых установлено видеонаблюдение;
• каким образом и где оно будет осуществляться;
• меры, которые обеспечат работнику сохранность персональных данных;
• порядок и способы обработки данных, полученных с помощью видеонаблюдения;
• возможность их хранения, уничтожения и передачи третьим лицам;
• ответственность за нарушение положений данного акта.

Можно дополнительное соглашение не оформлять, достаточно ознакомить с локальным нормативным актом, что подтверждает и судебная практика (определение Восьмого кассационного суда общей юрисдикции от 10.11.2020 № 88-16003/2020, решение Ленинградского районного суда г. Калининграда от 25.05.2017 по делу № 2-2243/2017). Кроме того, желательно разместить в местах видеосъемки информационные таблички о видеонаблюдении в зоне видимости камер. Этим вы подтвердите, что видеонаблюдение ведется открыто. Эти меры должны быть приняты с учетом действующего законодательства и не приводить к нарушению прав работников. Ну и, пожалуй, самое первое, что нужно сделать в этой ситуации, — еще до начала обработки персданных уведомить Роскомнадзор по форме, утвержденной Приказом от 28.10.2022 № 180.

Ситуация № 2. Нужно ли спрашивать разрешение на размещение фотографии работника на стенде «Лучшие работники месяца»? Да, согласие лучше запросить, причем оно должно быть конкретным, информированным и сознательным. А формируя политику обработки, нужно изложить условия таким образом, чтобы у гражданина была возможность выражения согласия или отказа от обработки персональных сведений. Аналогичным образом и поздравление работника с днем рождения на стенде организации, где указаны его Ф.И.О., число и месяц рождения (без фото), тоже подходит под персональные данные, необходимо ли брать согласие работника на их обработку в этом случае? Да, необходимо. А вот разрешение на публикацию фотоснимков, сделанных на торжественных мероприятиях компании (например, на корпоративе), можно не спрашивать. Главное, чтобы изображение отдельных сотрудников не было на снимках основным и чтобы на фото не было информации о частной жизни указанных лиц.

Ситуация № 3. Для оформления пресс-карты работника СМИ (фото + Ф.И.О. + должность) необходимо ли брать согласие на их обработку, разрешение на распространение при трудоустройстве работника? Цель: постоянное осуществление деятельности работника согласно трудовому договору и техническим заданиям, выставленными работодателем. Так вот: помимо других согласий на обработку персональных данных, нужно еще оформлять согласие на обработку персональных данных, разрешенных для распространения. При этом работнику нужно дать возможность определить их перечень по каждой категории, указанной в согласии на обработку. Он вправе установить, например, запрет на передачу (кроме предоставления доступа) данных неограниченному кругу лиц (ч. 1, 9 ст. 10.1 Закона о персональных данных).

Ситуация № 4. Если работник при заполнении анкеты, а впоследствии и специалист по кадрам при заполнении личной карточки Т-2 при ведении воинского учета, указывает сведения о членах семьи с их датой рождения, необходимо ли получать согласие на обработку ПД с родственников работника? В информации «Ответы на вопросы в сфере защиты прав субъектов персональных данных» Роскомнадзор ответил, что в целях исключения риска нарушения законодательства о персональных данных при заполнении унифицированной формы № Т-2, которая содержит раздел «Состав семьи», требующий указания полного имени и года рождения ближайших родственников, рекомендуется получать согласие на обработку их персональных данных.

Подзаконные акты

В дополнение к этому закону были приняты подзаконные акты контрольно-надзорных органов, детализирующие его положения. Федеральная служба по техническому и экспортному контролю (ФСТЭК России) в Приказе от 18.02.2013 № 21, Федеральная служба безопасности РФ (ФСБ России) в Приказе от 10.07.2014 № 378 дали свои разъяснения по применению Закона о персональных данных. На сегодняшний день уполномоченный на контроль за исполнением организационных мер по работе с персональными данными (в частности, ведение реестра операторов) — Роскомнадзор — в своих разъяснениях дал ответы на все интересующие вопросы о работе с персональными данными.

Свой вклад в нормативно-правовую базу внесло и правительство РФ, которое уделяет особое внимание защите персданных граждан и стремится создать условия, позволяющие обеспечить их сохранность, принимая и ужесточая для этого требования в законодательных документах. Правила обработки данных работников организаций и, в частности, условия их обработки, нормы технической защиты информационных систем персданных содержатся в Постановлении Правительства РФ от 01.11.2012 № 1119. При обработке таких данных работодатель должен обеспечить их защиту в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, изложенными в постановлении. К примеру, при обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных и приводятся соответствующие меры под каждый уровень.

Нормативные правовые акты по отдельным вопросам обработки персональных данных могут принимать не только государственные органы, но и органы местного самоуправления в пределах своих полномочий. Разумеется, для более полного разъяснения этого вопроса необходимо произвести анализ положений отраслевого законодательства, судебной практики, разъяснений Роскомнадзора. Но если наша цель — анализ общего законодательства по работе с персональными данными, то вышеперечисленные НПА являются на сегодняшний день именно той самой законодательной основой вопроса обработки персданных. Исходя из общих тезисов законодательства и опираясь на совокупность всех вышеперечисленных и упомянутых сведений, проведенных путем анализа документов, можно сказать, что Закон о персональных данных (ФЗ № 152) содержит в себе наиболее четкие требования по обеспечению безопасности персональных данных, которые предъявляются к организациям, работающим с ними.

Еще больше подробной теории о персональных данных:

• что такое обработка персональных данных;
• какие бывают виды персональных данных.

Вопросы для самопроверки

Далее к теме № 2 «Необходимый минимум документов по персданным в организации»→