Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Означает ли это, что даже фамилия лица без его имени и отчества подлежит защите на основании Закона?
Или все-таки Закон защищает только совокупность данных, позволяющих идентифицировать конкретное физическое лицо?
Можно выделить следующие характерные примеры персональных данных, нашедшие прямое отражение в текстах правоприменительных актов:
паспортные данные (см., например, Апелляционное определение Московского городского суда от 22.05.2014 N 33-14709);
адреса места жительства индивидуальных предпринимателей, указанные в плане проведения проверок юридических лиц и индивидуальных предпринимателей, размещенном в общем доступе на официальном сайте администрации (см., например, Апелляционное определение Волгоградского областного суда от 24.04.2014 N 33-4427/2014);
сведения о пересечении государственной границы (см., например, Апелляционное определение Московского городского суда от 10.04.2014 N 33-11688);
адрес регистрации должностного лица, сведения о его доходах и собственности, распространяемые в непредусмотренных для официальной процедуры форме (см., например, определение Санкт-Петербургского городского суда от 31.03.2014 N 33-4198/14);
данные работника, указанные в трудовом договоре (см., например, Апелляционное определение Верховного суда Республики Саха (Якутия) от 23.10.2013 N 33-4172/13).
фамилия, имя, отчество (возможно, фамилия и инициалы) плюс любая информация, выделяющая субъекта из уже ограниченного круга лиц.
Кто же является оператором обработки персональных данных?
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Согласно ст.24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
Согласно ст.6 ФЗ № 152 от 27.07.2006 г., обработка персональных данных без согласия субъекта персональных данных может осуществляться в следующих случаях:
обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ “Об организации предоставления государственных и муниципальных услуг”, включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Закона, при условии обязательного обезличивания персональных данных;
осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Запрещенные данные. Законодательством запрещено получать и обрабатывать ПД, относящие к определенным категориям, о его членстве в общественных объединениях или его профсоюзной деятельности (п. 4, 5 ст. 86 ТК РФ), данные, касающиеся расовой, национальной принадлежности, политических, религиозных и иных убеждениях работника, его частной жизни, состоянии здоровья, интимной жизни (ч. 1 ст. 10 закона № 152-ФЗ), биометрические данные – то есть сведения, характеризующие физиологические особенности человека и на основе которых можно установить его личность (ч. 1 ст. 11 закона № 152-ФЗ).
Цели обработки ПД. В соответствии с пунктом 1 статьи 86 Трудового кодекса обработка ПДн работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Кроме того, в соответствии с принципами обработки ПД, установленными в статье 5 закона № 152-ФЗ, объем и характер ПД должны соответствовать целям их обработки, которые определяются и заявляются заранее при сборе данных. Поэтому при составлении перечня ПД, необходимых работодателю, следует указать, в каких конкретно целях требуются те или иные данные.
Запрашивание данных у других лиц. Все ПД работника следует получать у него самого (п. 3 ст. 86 ТК РФ). Исключение составляют случаи, когда ПД необходимы работодателю в связи с трудовыми отношениями, а работник не может их предоставить, но в то же время эти данные возможно получить у третьей стороны. В таком случае работодатель обязан уведомить об этом работника и получить от него письменное согласие на получение данных.
Внутренняя передача данных. Порядок и цели передачи ПД в пределах компании необходимо установить в локальном нормативном акте, с которым нужно ознакомить под роспись каждого работника. Право доступа к ПД работников может быть только у лиц, специально уполномоченных работодателем. Причем эти лица вправе получать лишь те данные, которые им необходимы для выполнения конкретных функций (ст. 88 ТК РФ). Например, инспектору по кадрам ПД работника необходимы для оформления приема на работу и других кадровых операций, бухгалтеру – для начисления зарплаты или уплаты соответствующих налогов и сборов, юристу – для оформления доверенностей, секретарю – для приобретения билетов при направлении работника в командировку и т. д.
Передача данных третьим лицам. Сообщать ПД работника третьим лицам можно только с его письменного согласия (ст. 88 ТК РФ). Из этого правила есть два исключения: во-первых, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, во-вторых, в других случаях, предусмотренных Трудовым кодексом или иными федеральными законами. Относительного второго исключения не ясно, что именно должно предусматриваться в законодательстве: конкретные случаи, когда согласие субъекта ПД на их передачу не требуется (в частности, такие случаи можно найти в части 2 статьи 6 закона № 152-ФЗ), или случаи, когда работодатель обязан передать третьим лицам определенную информацию, содержащую ПД работников. Например, согласно статье 228 Трудового кодекса, работодатель обязан немедленно передать в соответствующие органы и организации информацию о несчастных случаях, подлежащих расследованию и учету.
Хранение данных на территории РФ (ст.18 закона № 152-ФЗ)
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети “Интернет”, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Трансграничная передача ПД (ст.12 закона № 152-ФЗ) возможна в следующих случаях:
наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
предусмотренных международными договорами Российской Федерации;
предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
исполнения договора, стороной которого является субъект персональных данных;
защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
Автор статьи: Екатерина Кравченко