Нормативно-правовая база по персональным данным

Размер шрифта:

Нормативно-правовое регулирование обработки персональных данных в РФ не ограничивается одним лишь законом № 152. Анализ норм законодательства, регламентирующих обработку персональных данных российских граждан, поможет систематизировать имеющуюся информацию, проанализировать подходы законодателя к установлению защиты и, самое главное, понять,откуда что берется и как соотносится на практике.

Навигация

НПА по персональным данным

На сегодняшний день существует законодательно-правовая база по безопасности персональных данных субъектов при их обработке и хранении, которая постоянно совершенствуется и ужесточается. Законодатель особое значение придает вопросам работы с персональными данными субъектов. С момента появления в российском правовом поле понятия обработки персданных было принято множество различных актов, большая часть из которых касается региональных исполнительных органов, включая письма и разъяснения, регламентирующие эти вопросы.

ВАЖНО!

Если нет желания разбирать теорию, нормы права, их взаимосвязи, а хочется вот прямо с места начать работать, то по ссылкам дальше вы сразу переместитесь в разделы, посвященные обязательной документации (с примерами и образцами), или описывающие, как работать с этими документами (вдруг они у вас все уже есть). По биометрии и что с ней делать — можно сразу сюда. Тем не менее, редакция рекомендует ознакомиться с теорией законодательства, посвященной персональным данным, для общего, так сказать, развития. Кроме того, ниже есть ссылки на важнейшую судебную практику, посвященную персональным данным.

С точки зрения определения персональных данных, установленных в законе, это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. Исчерпывающего списка таких данных на сегодняшний день нет. Понять, являются ли те или иные сведения персональными данными, возможно только в зависимости от того, можем ли мы отнести те или иные сведения к физическому лицу или не можем с учетом фактических обстоятельств дела. Для этого рекомендуется:

  • изучить отраслевое законодательство;
  • ознакомиться с разъяснениями надзорных органов;
  • провести анализ судебной практики по аналогичным ситуациям;
  • если вышеперечисленное не помогло, провести анализ, исходя из собственного видения проблемы.

Сегодня сформирована внушительная судебная практика, с помощью которой можно определять сведения как персональные данные, в зависимости от того, возможно ли с их помощью идентифицировать конкретного человека. По опыту, если мы обладаем сведениями, достаточными для выделения какого-либо человека из множества по любому критерию, то, скорее всего, это персональные данные.

Основа основ

Начнем с самых верхов нормативно-правового регулирования вопроса — часть 1 статьи 24 Конституции РФ, где четко сказано: «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». Эта норма призвана обеспечивать баланс права каждого на неприкосновенность частной жизни и права каждого на свободный поиск, получение, передачу, производство и распространение информации любым законным способом (п. 18 Постановления Пленума Верховного Суда РФ от 15.06.2010 № 16). В практическом применении это можно рассматривать, как «права одного участника гражданских правоотношений не должны посягать на права других участников».

К примеру, если фото- и видеосъемка в общественном месте имеет целью сбор информации о частной жизни лица, то без согласия этого лица она не допускается, исходя из ч. 1 ст. 24 Конституции РФ. Аналогичным образом видеонаблюдение за работниками без их уведомления и согласия может быть расценено как нарушение ст. 23, 24 Конституции РФ и может повлечь для работодателя административную ответственность (ст. 13.11 КоАП РФ). Видеоизображение работника подпадает под категорию биометрических персональных данных, поэтому здесь еще и необходимо соблюдать порядок сбора, обработки, хранения и использования этих данных.

Для сведения и использования в работе см. актуальные:

Федеральное законодательство

Помимо Конституции РФ, правоотношения в сфере персональных данных регламентированы Гражданским и Трудовым кодексами РФ, но большая часть правового регулирования приходится на Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Его цель — обеспечить защиту прав и свобод физлиц при обработке их персональных данных. В нем установлено основное понятие, при котором любая информация, позволяющая однозначно установить гражданина, является его персональными данными. А также прописаны принципы и условия обработки таких данных, вопросы государственного контроля и надзора за их обработкой и т. п. Следует обратить особое внимание на ст. 18, ст. 18.1, ст. 19 закона.

В частной жизни

Персональные данные составляют информацию о частной жизни гражданина, которая подлежит охране на основании ст. 152.2 ГК РФ. При этом отдельные их виды являются нематериальными благами, для которых предусмотрено специальное регулирование в рамках главы 8 ГК РФ. Главное правило содержится в абз. 1 п. 1 ст. 152.2 ГК РФ: без согласия гражданина не допускается сбор, хранение, распространение и использование любой информации о его личной жизни, в частности, информации о происхождении, о месте жительства или проживания, а также о личной и семейной жизни. Как видим, в вопросе персональных данных находят применение общие статьи об охране частной жизни (ст. 152.2 ГК РФ) и отдельные статьи ГК РФ.

В рамках трудовых отношений

В контексте рассматриваемого вопроса следует обратить внимание на главу 14 ТК РФ, которая применяется к отношениям работника и работодателя. В статье 19 этой главы говорится о мерах, которые необходимо принимать работодателю для обеспечения безопасности персональных данных своих работников при их обработке. Кроме того, в ст. 86 ТК РФ ясно сказано, что работодатель должен обрабатывать персональные данные исключительно в строго обозначенных целях. Приведем примеры ситуаций, с которыми могут столкнуться работодатели-операторы.

Ситуация № 1. Представим, что ваша компания для бесперебойного контроля на площадке устанавливает камеру видеонаблюдения. Какой порядок в такой ситуации установлен? Начнем с того, что ст. 214.2 ТК РФ предусмотрено право работодателя использовать видеофиксацию в целях контроля за безопасностью производства работ. Однако следует учесть, что видеонаблюдение — это обработка персональных данных, поэтому нужно соблюсти требования по их обработке. Такие доводы основаны на положениях ч. 1 ст. 11 Закона о персональных данных. В организации должен быть разработан специальный локальный нормативный акт, в котором обязательно должны быть обозначены:

  • цели, для достижения которых установлено видеонаблюдение;
  • каким образом и где оно будет осуществляться;
  • меры, которые обеспечат работнику сохранность персональных данных;
  • порядок и способы обработки данных, полученных с помощью видеонаблюдения;
  • возможность их хранения, уничтожения и передачи третьим лицам;
  • ответственность за нарушение положений данного акта.

Можно дополнительное соглашение не оформлять, достаточно ознакомить с локальным нормативным актом, что подтверждает и судебная практика (определение Восьмого кассационного суда общей юрисдикции от 10.11.2020 № 88-16003/2020, решение Ленинградского районного суда г. Калининграда от 25.05.2017 по делу № 2-2243/2017). Кроме того, желательно разместить в местах видеосъемки информационные таблички о видеонаблюдении в зоне видимости камер. Этим вы подтвердите, что видеонаблюдение ведется открыто. Эти меры должны быть приняты с учетом действующего законодательства и не приводить к нарушению прав работников. Ну и, пожалуй, самое первое, что нужно сделать в этой ситуации, — еще до начала обработки персданных уведомить Роскомнадзор по форме, утвержденной Приказом от 28.10.2022 № 180.

Ситуация № 2. Нужно ли спрашивать разрешение на размещение фотографии работника на стенде «Лучшие работники месяца»? Да, согласие лучше запросить, причем оно должно быть конкретным, информированным и сознательным. А формируя политику обработки, нужно изложить условия таким образом, чтобы у гражданина была возможность выражения согласия или отказа от обработки персональных сведений. Аналогичным образом и поздравление работника с днем рождения на стенде организации, где указаны его Ф.И.О., число и месяц рождения (без фото), тоже подходит под персональные данные, необходимо ли брать согласие работника на их обработку в этом случае? Да, необходимо. А вот разрешение на публикацию фотоснимков, сделанных на торжественных мероприятиях компании (например, на корпоративе), можно не спрашивать. Главное, чтобы изображение отдельных сотрудников не было на снимках основным и чтобы на фото не было информации о частной жизни указанных лиц.

Ситуация № 3. Для оформления пресс-карты работника СМИ (фото + Ф.И.О. + должность) необходимо ли брать согласие на их обработку, разрешение на распространение при трудоустройстве работника? Цель: постоянное осуществление деятельности работника согласно трудовому договору и техническим заданиям, выставленными работодателем. Так вот: помимо других согласий на обработку персональных данных, нужно еще оформлять согласие на обработку персональных данных, разрешенных для распространения. При этом работнику нужно дать возможность определить их перечень по каждой категории, указанной в согласии на обработку. Он вправе установить, например, запрет на передачу (кроме предоставления доступа) данных неограниченному кругу лиц (ч. 1, 9 ст. 10.1 Закона о персональных данных).

Ситуация № 4. Если работник при заполнении анкеты, а впоследствии и специалист по кадрам при заполнении личной карточки Т-2 при ведении воинского учета, указывает сведения о членах семьи с их датой рождения, необходимо ли получать согласие на обработку ПД с родственников работника? В информации «Ответы на вопросы в сфере защиты прав субъектов персональных данных» Роскомнадзор ответил, что в целях исключения риска нарушения законодательства о персональных данных при заполнении унифицированной формы № Т-2, которая содержит раздел «Состав семьи», требующий указания полного имени и года рождения ближайших родственников, рекомендуется получать согласие на обработку их персональных данных.

Подзаконные акты

В дополнение к этому закону были приняты подзаконные акты контрольно-надзорных органов, детализирующие его положения. Федеральная служба по техническому и экспортному контролю (ФСТЭК России) в Приказе от 18.02.2013 № 21, Федеральная служба безопасности РФ (ФСБ России) в Приказе от 10.07.2014 № 378 дали свои разъяснения по применению Закона о персональных данных. На сегодняшний день уполномоченный на контроль за исполнением организационных мер по работе с персональными данными (в частности, ведение реестра операторов) — Роскомнадзор — в своих разъяснениях дал ответы на все интересующие вопросы о работе с персональными данными.

Свой вклад в нормативно-правовую базу внесло и правительство РФ, которое уделяет особое внимание защите персданных граждан и стремится создать условия, позволяющие обеспечить их сохранность, принимая и ужесточая для этого требования в законодательных документах. Правила обработки данных работников организаций и, в частности, условия их обработки, нормы технической защиты информационных систем персданных содержатся в Постановлении Правительства РФ от 01.11.2012 № 1119. При обработке таких данных работодатель должен обеспечить их защиту в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, изложенными в постановлении. К примеру, при обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных и приводятся соответствующие меры под каждый уровень.

Нормативные правовые акты по отдельным вопросам обработки персональных данных могут принимать не только государственные органы, но и органы местного самоуправления в пределах своих полномочий. Разумеется, для более полного разъяснения этого вопроса необходимо произвести анализ положений отраслевого законодательства, судебной практики, разъяснений Роскомнадзора. Но если наша цель — анализ общего законодательства по работе с персональными данными, то вышеперечисленные НПА являются на сегодняшний день именно той самой законодательной основой вопроса обработки персданных. Исходя из общих тезисов законодательства и опираясь на совокупность всех вышеперечисленных и упомянутых сведений, проведенных путем анализа документов, можно сказать, что Закон о персональных данных (ФЗ № 152) содержит в себе наиболее четкие требования по обеспечению безопасности персональных данных, которые предъявляются к организациям, работающим с ними.

Еще больше подробной теории о персональных данных:

Вопросы для самопроверки

Какой документ является основным в регулировании обработки персональных данных в РФ?
Трудовой кодекс РФ (0)
0%
Федеральный закон № 152-ФЗ «О персональных данных» (0)
0%
Конституция РФ (0)
0%
Постановление Правительства РФ от 15.06.2022 N 1066 (0)
0%

Что из перечисленного не является персональным данным согласно российскому законодательству?
Имя и фамилия (0)
0%
Номер серии паспорта (0)
0%
Номер телефона (0)
0%
Адрес места жительства (0)
0%

Какой орган отвечает за контроль обработки персональных данных в России?
Министерство внутренних дел (0)
0%
Федеральная служба безопасности (0)
0%
Министерство труда и социальной защиты (0)
0%
Роскомнадзор (0)
0%

Что из перечисленного не относится к биометрическим персональным данным?
Адрес электронной почты (0)
0%
Отпечатки пальцев (0)
0%
Голосовой профиль (0)
0%
Изображение лица (0)
0%

Какая из перечисленных ситуаций требует получения согласия на обработку персональных данных?
Публикация фотографий с корпоративного мероприятия внутри компании (0)
0%
Размещение фотографии сотрудника на стенде «Лучшие работники месяца» (0)
0%
Использование видеонаблюдения для контроля за производственной безопасностью (0)
0%
Сбор информации о рабочем времени сотрудников (0)
0%

В каком случае работодатель не обязан получать согласие на обработку персональных данных сотрудника?
При передаче данных третьим лицам для проведения маркетинговых исследований (0)
0%
При публикации фотографии сотрудника на корпоративном сайте (0)
0%
При использовании данных сотрудника, необходимых для исполнения трудового договора (0)
0%
При сборе данных о здоровье сотрудника для оформления больничного листа (0)
0%

Далее к теме № 2 «Необходимый минимум документов по персданным в организации»→