Что относится к персональным данным?

В каких случаях требуется собирать персональные данные

Чаще всего компаниям приходится собирать сведения о своих сотрудниках и заказчиках. Сведения о работниках необходимы для ведения деятельности компании, информация о клиентах обычно нужна для реализации маркетинговых кампаний. А иногда для совершенствования процессов требуется знать больше о представителях партнерских организаций. В любом случае субъекты должны предоставить согласие на все действия с персональными данными, к которым относятся сбор, передача, запись и хранение.

Таким образом, львиная доля компаний, ведущих свою деятельность, становится операторами ПД. Реестр операторов ведет Роскомнадзор, порядок попадания туда — заявительный. Организация сама сообщает регулятору, что ведет обработку ПД. Но отсутствие компании в реестре не освобождает ее от исполнения закона.

ПД сотрудников попадают в компанию еще до подписания трудового договора: работа менеджера по персоналу в том числе подразумевает ведение базы кандидатов, где есть сведения о профессии, номер телефона и имена. Сервисы по поиску работы иногда защищают работодателей, включают пункт об использовании информации из резюме в пользовательское соглашение, однако считается, что лучше взять согласие на обработку ПД у кандидата еще раз, на этапе собеседования.

Что касается сбора сведений о клиентах, необходимо найти баланс между желанием компании узнать как можно больше о своих заказчиках, чтобы делать им релевантные предложения, и требованиями законодательства. Правовые отношения могут считаться начатыми уже в момент, когда человек впервые зашел на сайт компании и одобрил cookies (это файлы, где хранится информация о поведении пользователя в сети.

Сбор информации о юридических лицах не входит в текст закона № 152-ФЗ. Однако часто компании ведут базы, в которых содержатся личные сведения о представителях их партнеров. Например, многие хранят даты рождения руководителей и ключевых сотрудников своих контрагентов, чтобы поздравлять их. Этот случай тоже относится к ситуациям, когда нужно получить разрешение от субъектов ПД или хотя бы не сохранять эту информацию в рабочих программах.

Последствия нарушения закона о персональных данных

В юридическом смысле в случае нарушения прав пользователей применяется статья 13.11 КоАП РФ «Нарушение законодательства в области ПД». Каждый случай рассматривают отдельно, оценивая обстоятельства и тяжесть последствий. Но во всех случаях обязательно возмещение убытков пострадавшим.

Также в случае нарушений компания рискует получить штрафы:

• За обработку персональных данных без согласия в письменной форме, когда эта форма нужна, — от 300 000 до 700 000 рублей.
• За неопубликованные в открытом доступе документы, касающиеся работы компании с персональными данными, — от 6 000 до 12 000 рублей ответственным лицам; от 10 000 до 20 000 рублей индивидуальным предпринимателям; от 30 000 до 60 000 рублей юридическим лицам.

Персональные данные — это конфиденциальная информация. Они помогают идентифицировать пользователей, но, чтобы этот процесс происходил безопасно для субъекта и оператора, нужно соблюдать ряд требований. Перед обработкой данных нужно уведомить об этом Роскомнадзор, а необходимые документы — политика конфиденциальности, обязательство о неразглашении ПД и другие — должны быть в общем доступе.

Изменение персональных данных работника

Заявление работника о внесении изменений в документы

Служащему, чьи ПД подверглись видоизменениям, нужно в свободной форме составить заявление, в котором ему необходимо указать причину произошедших изменений, и сказать о коррективах, которые должны быть внесены в существующие документы.

Если вы меняете фамилию, то заявление нужно подать под старой фамилией, потому что в организации вы пока что числитесь под ней.

К своему заявлению необходимо приложить копии соответствующих документов, которые будут подтверждением произошедших изменений.

Приказ о внесении изменений в документы

Никакой необходимости составления работодателем приказа об изменении ПД сотрудника Трудовым законодательством не подкреплено. Но эта необходимость избирается для донесения информации всем заинтересованным лицам (кадровикам и бухгалтерам).

Дата заполненного приказа должна быть идентичной дате, когда служащий подал заявление со всеми предлагающимися копиями документов.
Приказ должен быть подписан сотрудником в знак того, что он с ним ознакомлен.

Какие персональные данные оператор собирает через сайт и зачем?

ПД, которые могут быть собраны оператором через сайт, условно можно разделить на две группы.

В этом случае объем переданных ПД вы можете определить сами. Согласие на обработку таких данных обычно можно предоставить путем:

• проставления галочки в специальном окне («Я даю свое согласите на обработку персональных данных» );
• принятия условий публичной оферты, опубликованной на сайте; обычно оплата товара означает согласие с условиями.

2. ПД, которые оператор собирает без предоставления вами информации.

В основном это файлы куки (cookie) – небольшие текстовые файлы со служебной информацией с сайта (сведения о программном обеспечении, которым вы пользуетесь, IP вашего компьютера, информация о вашем браузере).

Ваше согласие на обработку этих ПД оператор получает, если вы остаетесь на сайте после того, как появилось всплывающее окно с информацией примерно следующего содержания: «Продолжая использовать настоящий сайт, вы даете согласие на обработку файлов cookie в целях функционирования сайта. Если вы против обработки ваших данных, незамедлительно покиньте сайт».

Может ли оператор передать кому-нибудь персональные данные?

Оператор может передавать ПД третьим лицам только с вашего согласия, если иное не предусмотрено законом.

Примеры, когда согласие нужно: работодатель передает ваши ПД сторонней организации для бронирования отелей, покупки авиабилетов или оформления пропуска.

Примеры, когда согласие не нужно:

• управляющая организация или правление товарищества собственников жилья вправе предоставить ваши ПД (Ф.И.О., номер квартиры, сведения о размере доли) организатору созыва общего собрания собственников жилья;
• работодатель вправе передавать ваши ПД в ФСС, ПФР, налоговые органы, по запросу в суд, прокуратуру, правоохранительные органы и т.д.

Предоставление такого согласия является добровольным. Оператор не может принуждать вас это сделать.

Кто такие оператор и субъект персональных данных

В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.

Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:

1. Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
2. Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.

Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.

В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.

Кратко: Кто является оператором персональных данных? Тот, кто собирает ПДн, хранит их у себя на серверах, анализирует, изменяет и передает.

Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.

Паспортные данные: нужно ли их предоставлять?

Предоставление паспортных данных при собеседовании на работу является обычной практикой во многих организациях. Однако, вопрос о необходимости предоставления паспортных данных вызывает разные мнения и обсуждения.

С одной стороны, предоставление паспортных данных может быть необходимо для идентификации соискателя на рабочем месте. Работодатель может проверять данные соискателя в соответствии с законом и убедиться в его личности. Это может быть важным шагом для обеспечения безопасности внутри организации и защиты от мошенничества.

С другой стороны, предоставление паспортных данных может вызывать опасения в отношении конфиденциальности и безопасности личной информации соискателя. Право на защищенную информацию является одним из основных прав человека, и работнику следует обеспечить доверие в отношении обработки его личных данных.

В идеале, паспортные данные должны быть обрабатываться законно и уважительно. Работодатель должен обеспечить надлежащую защиту и безопасность личной информации соискателя, следуя соответствующим законам и регулятивным нормам. Работнику также следует быть внимательным к запросам предоставления паспортных данных, убедиться в законности запроса и быть уверенным в защите своих прав и конфиденциальности.

Разъяснение непонятной ситуации

Идентификация работника на собеседовании является необходимой процедурой для защиты интересов работодателя

В связи с этим, нередко возникает вопрос о предоставлении паспортных данных, что вызывает определенные риски и требует особой осторожности

Паспорт содержит личную информацию, включая данные о гражданине и его фотографию. В случае незаконного использования этих данных, сотрудник может столкнуться с проблемами с безопасностью, вплоть до угрозы его финансовому положению и чести.

Важно знать, что требования работодателя получить паспортные данные являются законными, в соответствии с Федеральным законом о персональных данных. Однако, работники имеют право требовать безопасности и конфиденциальности своих данных и полагаться на закон

Для обеспечения доверия между работником и работодателем возможно использование альтернативных способов идентификации, таких как справка из полиции о несудимости или документ с фотографией, содержащий меньше личных данных. Эти методы могут помочь уменьшить риски и сохранить безопасность и конфиденциальность личной информации.

В итоге, вопрос о предоставлении паспортных данных на собеседовании является сложным и требует внимательного обдумывания. Необходимо учитывать законные требования работодателя, но также защищать свои права и доверять только тем, кто сможет обеспечить безопасность и конфиденциальность личных данных.

Опасности утраты и злоупотребления паспортными данными

Развитие современных технологий и цифровизация общества привели к возрастанию рисков утраты и злоупотребления паспортными данными. Паспорт является официальным документом, удостоверяющим личность гражданина, и предоставление его работодателю на процессе собеседования является обычной практикой во многих странах.

Однако, несмотря на законность такого требования, необходимо учитывать риски, связанные с предоставлением паспортных данных. Первым и главным риском является возможное злоупотребление этими данными. Паспорт содержит множество конфиденциальной информации, включая ФИО, дату рождения, место рождения и прочие данные, которые могут быть использованы для кражи личности или мошенничества.

Следующим риском является угроза безопасности данных. Передача паспортных данных может быть рассмотрена как нарушение права на конфиденциальность. Это может привести к утечке данных или их неправомерному использованию посторонними лицами. Работодатель обязан обеспечить защиту персональных данных своих сотрудников, но существует вероятность, что такая защита может быть нарушена.

В связи с этим, важно находить баланс между необходимостью предоставления паспортных данных и обеспечением безопасности. Рекомендуется, чтобы компании обрабатывали только необходимую информацию, избегая хранения и использования чувствительных данных без причины

Также желательно превращать личные данные в анонимные или псевдонимизированные форматы, чтобы снизить риски утраты и злоупотребления.

Конечно, каждый работник имеет право решать, хочет ли он предоставить свой паспорт на собеседовании или нет

Важно оценивать риски и доверять работодателю. В случае возникновения сомнений, всегда можно обратиться к закону и консультироваться со специалистами в области защиты персональных данных

Образец согласия на предоставление персональных данных

Предоставление ПД – действия определенного характера, благодаря которым раскрываются ПД какому-либо лицу или группе лиц.

Если вам необходимо составить согласие о предоставлении своих ПД, то в письменной форме вы должны указать следующее:

• ФИО, местожительства, данные, изложенные в паспорте;
• ФИО и местожительства представителя владельца ПД, данные, изложенные в паспорте, доверенность;
• наименование или ФИО оператора, который получает согласие;
• цели, из-за которых производится обработка ПД;
• перечень ПД, на доступ к которым вы даете согласие;
• наименование или ФИО и адрес того, кто по назначению оператора будет обрабатывать данные;
• период, на протяжении которого будет действовать разрешение на доступ к сведениям их владельца;
• подпись владельца ПД.

Средства защиты и охраны персональных данных

Надежность ПД обеспечивается:

• установлением рисков при обработке ПД в ИС;
• постоянное использование технических и организационных мер для установления защищенности, согласно установленным Правительством РФ уровням безопасности;
• процедура совершенствования средств и результативности защиты;
• постоянное рассмотрение машинных носителей ПД;
• мгновенное установление неразрешенного проникновения;
• восстановление ПД, которые были заражены вирусом или уничтожены при взломе базы данных;
• фиксация и учет всех действий, которые совершаются в ИС;
• используется сотрудничество с вневедомственной охраной;
• база данных защищена паролями, известными только людьми, у которых есть право доступа;

Отказ в предоставлении третьим лицам

ФЗ-N152 «О персональных данных» начал действовать с 2006г., но полный отчет о своих ПД в обязательном порядке нужно было предоставлять с 2010г, когда был принят ФЗ-№210 «Об организации предоставления государственных и муниципальных услуг».

И если теперь вы получаете звонки от банков и коллекторов, которые никак не оставят в покое не только вас, но и ваших родственников, а также коллег, то пора отозвать согласие на обработку ПД. Конечно, они уже были переданы этим организациям, но данный шаг поможет вам спугнуть вымогателей.

Имейте в виду, что заявление нужно отправить не только на фактический адрес отделения банка, в котором вы брали кредит, а также на юридический адрес.

Отправляйте заявление заказным письмом: так у вас будет уведомление о получении. Указывайте адрес, который был вами прописан при заключении кредитного договора.

Приложите к отказу свою копию паспорта и кредитного договора: это поможет быстро найти ваши документы организацией и внести в них соответствующие изменения.

Но не забывайте, что каждая ситуация требует индивидуальных мер. В некоторых из них необходимо сотрудничество с соответствующими органами, например, с полицией.

Согласно ст.24 ФЗ N 261-ФЗ, лица, которые виновны в причинении вреда морального характера владельцу ПД при нарушении закона обработки и хранении их, обязаны нести уголовную ответственность за разглашение и распространение, а именно возместить моральный ущерб, вдобавок к имущественным, а также убыткам, которые понес владелец ПД.

Образец заявление на отзыв персональных данных скачивайте здесь.

Рекомендации по сбору и хранению персональных данных

Компании стоит уделить особое внимание организации мер по сбору, хранению и систематизации персональных данных. Это обеспечит защиту от претензий надзорных органов, исковых заявлений от действующих и бывших работников и кандидатов на вакансии

Что нужно сделать в обязательном порядке:

• разработать Положение о персональных данных, прописать в нём основные условия сбора, хранения и обработки;
• издать приказ о вводе в действие Положения и ознакомить персонал под подпись;
• назначить сотрудника, отвечающего за обработку персональных данных, подписать с ним соглашение о неразглашении;
• собрать со всех работников согласия в письменном виде с перечислением типов персональных данных и целей их предоставления;
• организовать хранение данных в цифровом и бумажном виде, защитить их от доступа третьих лиц, а также обеспечить своевременность пополнения и корректировки.

Рекомендуется обратиться с заявкой в Роскомнадзор на регистрацию компании в качестве оператора персональных данных. Это делать не обязательно, если обработка информации идёт вручную, включая документы сотрудников для внутреннего пользования.

Когда данные становятся персональными?

Любые данные, которые соотносятся с лицом, раскрывшим идентификационные особенности в Глобальной сети, становятся персональными. То есть если авторизация на сайте требует от вас указать имя, фамилию и отчество, то вся информация, относящаяся к активности аккаунта, становится персональной. 

Яркий пример персональной информации в интернете – это собираемые повсеместно файлы cookie. Использование адреса электронной почты также позволяет привязывать действия пользователей к определённому физическому лицу и предполагает персонифицированность любой характерной информации о его деятельности. 

Зачастую, даже использование выдуманного ника, вместо точных личных данных, не спасает от необходимости собирать, хранить и обрабатывать персональные данные. Потому что к нику могут быть привязаны сведения, идентифицирующие личность. Такие как фамилия имя и отчество, электронная почта и тому подобные. Если они раскрываются внутри личного кабинета, значит могут быть рассмотрены в качестве персональных данных.

Ответственность за распространение персональных данных

Законодательные нарушения в части хранения персональных данных караются административными штрафами и другими наказаниями вплоть до уголовного преследования. Назначаемые санкции зависят от характера и степени обнаруженных недочётов, наличия усугубляющих факторов (например, массового распространения содержимого анкет или электронных баз данных).

Нарушителям грозит:

• штраф до 75 тысяч рублей — за сбор избыточных данных, обработку без согласия на это со стороны работника, предоставление доступа посторонним лицам;
• штраф до 200 тысяч рублей или лишение свободы до 2 лет, запрет занимать определенные должности до 3 лет — за публикацию персональных данных в открытом доступе;
• штраф до 300 тысяч рублей, лишение свободы до 5 лет, запрет на занятие должностей до 6 лет — если указанное выше нарушение было совершено с использованием служебного положения.

Санкции довольно суровые, поэтому чтобы не попасть под их действие, необходимо разработать Положение и организовать регламентированный сбор, хранение и передачу персональных данных на предприятии.

Какие персональные данные подлежат защите?

Согласно Федеральному закону № 152-ФЗ, в качестве персональных данных, подлежащих защите, считаются:

Общие

Базовые сведения о физическом лице, к которым относятся его имя, фамилия, отчество, дата рождения, место проживания и работы, номер телефона, электронная почта и тому подобные. Все они могут быть использованы для идентификации человека, а значит являются конфиденциальными. Их использование допускается только в ограниченном формате. Например, используя одно имя, невозможно точно его соотнести с конкретным человеком. Так же, как и указание адреса, фактически, ни на кого не указывает. По крайней мере, если адрес не предполагает разглашение информации о доме, в котором проживает всего один жилец. 

Подводных камней в процессе обеспечения защиты персональных данных предостаточно. Как правило, проще всего считать конфиденциальной любую личную информацию. И получать информированное согласие на её использование у пользователей.

Специальные

Любые отличительные параметры, относящиеся к личности человека. Сюда относятся раса, вероисповедание, специфические взгляды и принадлежность к каким-либо группам и сообществам. Информация о состоянии здоровья или наличии судимостей также является персональными данными социального вида, а значит защищается законом.  

Биометрические

В качестве признаков, позволяющих точно установить личность человека, могут использоваться и физиологические или биологические особенности. Отпечатки пальцев, ДНК, группа крови, рост и вес, цвет глаз и тому подобные параметры относятся к биометрии. Такие сведения достаточно специфичны и собираются только в случае необходимости. Как правило, они могут потребоваться правоохранительным органам или медицинским учреждениям. И в обоих случаях любые факты разглашения предполагают весьма суровое наказание. Поэтому биометрию можно считать одним из наиболее защищённых видов персональных данных.

Иные

Любая информация, которая в силу своей специфики не может быть отнесена к трём предыдущим видам. Это могут быть, например, корпоративные или коммерческие сведения.

Важно понимать, что далеко не все фотографии или видеозаписи относятся к персональным данным или биометрии. Например, ксерокопии паспорта, которые используются при заключении сделок или проведении банковских операций, не могут считаться биометрией

Также ею не являются и медицинские снимки, такие как рентген или флюорография. 

Персональные данные: что это, нормативная база

Государство регулирует сферу персональных данных посредством целого ряда нормативных актов. Основу составляет Конституция РФ, базис — ФЗ № 152 от 27.01.2006 г. Закон разъясняет, что такое персональные данные, что к ним относится. Этот термин означает сведения, напрямую или косвенно характеризующие субъекта ПД — физическое лицо. Говоря простым языком, по ним можно точно определить, что речь идет о конкретном человеке.

Косвенное упоминание о персональных данных есть в российской Конституции. Статьи 23–24 основного закона дают гражданам право на тайну частной жизни, ее неприкосновенность и защиту. Все, что входит в понятие персональные данные, принадлежит только их носителю и не может контролироваться правительством или 3-ми лицами. Граждане сами вольны распоряжаться этой информацией, препятствовать распространению или, наоборот, передавать ее другим. Государство, со своей стороны, гарантирует и защищает эту возможность.

ФЗ № 152 определяет, кто вправе использовать персональные данные кроме их носителя, на каких условиях, по каким правилам. Получать и обрабатывать личную информацию о субъекте могут только операторы с его разрешения. Гражданин подписывает согласие на проверку ПД при оформлении заявок на кредит, заполнении анкет или поступлении на работу.

Операторы получают доступ к тому объему данных, который требуется для решения их задач. Они не имеют права хранить и использовать их после того, как цель достигнута. Например, наниматель должен уничтожить записи, анкеты — все, что относится к персональным данным работника, после его увольнения. В ином случае, грозит ответственность за разглашение персональных данных работника

Нормам ФЗ № 152 должны следовать все юридические и частные лица. Особые правила применяются, когда ПД:

1. получают для личных или семейных нужд, если это не ущемляет права 3-х лиц;
2. содержатся в архивных документах;
3. составляют гостайну;
4. собираются по судебному акту.

Другие законодательные акты уточняют положения о ПД применительно к разным ситуациям, вводят систему и классификацию средств защиты. Например, гл.14 ТК РФ раскрывает понятие персональных данных работника. Это сведения, позволяющие охарактеризовать его как сотрудника определенной организации (размер зарплаты, стаж, квалификация, информация из ФНС и ПФР и др.), его деловые качества. Они должны использоваться и храниться для помощи работнику в выполнении его трудовых обязанностей, повышении опыта и знаний, продвижении по службе, для защиты персонала и имущества компании.

Общедоступные персональные данные

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

Что относится к персональным данным?

Персональные данные (далее ПД) – это всякая информация, которая непосредственно имеет отношение к определенному физлицу.

Физического лица

К ПД простых граждан относятся:

• ФИО;
• информация о месте и дате рождения;
• местожительство;
• данные, изложенные в паспорте;
• СНИЛС;
• льготы физлица.

Работника

К ПД работника относится та информация, которая важна для работодателя в связи с трудоустройством.

Стоит также отметить, что на законодательном уровне до сих пор не урегулировали момент, который касается управления личных дел сотрудников, поэтому чаще всего на практике работодателем в них включаются полные сведения.

А именно:

• данные, указанных в паспорте;
• СНИЛС;
• воинский учет;
• имеющееся образование;
• заполненная анкета, которая выдается сотруднику при трудоустройстве;
• договоре о трудоустройстве.

Кроме того сведения о трудовом соглашении и прекращении трудовой деятельности:

• данные приказов, в которых говорится об увеличении зарплаты, поощрениях, начале работы и увольнении, переводах;
• объяснительные письма, заявления работника;
• документы, свидетельствующие о повышении классификации, прохождении собеседования сотрудником.

Муниципального служащего

Согласно ФЗ от 02.03.2007 N 25-ФЗ (ред. от 03.04.2017) «О муниципальной службе в Российской Федерации» статья 29, к ПД муниципального служащего относятся:

• некоторые данные, взятые из биографии;
• сведения, изложенные в паспорте;
• данные о специальности, квалификации;
• информация о выслуге лет и стаже;
• о составе семьи и семейном положении;
• воинская обязанность;
• зарплата и льготы;
• наличие или отсутствие судимости;
• местожительство и телефонный номер;
• договор о трудоустройстве;
• заявления, которые были предоставлены и подавались налоговой;
• информация о здоровье.

Гражданского служащего

Согласно ст.24 ФЗ от 27.07.04г. N 79-ФЗ «О государственной гражданской службе РФ», поступающему на работу лицу необходимо предоставить в инспекцию следующие ПД:

• заявление о начале рабочей деятельности или поступлении на гражданскую службу, сюда же относится заявление о замене отсутствующего сотрудника;
• сведения о зарплате;
• анкета, которая выдается сотруднику при трудоустройстве;
• СНИЛС;
• трудовую книжку;
• копия свидетельства о постановке на учет физлица в налоговом органе по местожительстве в РФ;
• адреса из Интернет-ресурсов, на которых госслужащий размещал информацию, имеющую общий доступ;
• сведения об специальности, опыте работы, повышении квалификации;
• при заключении соглашения, может потребоваться предоставление иных документов.

Передача ПД третьим лицам может осуществляться только с написанного разрешения их владельца, исключая те случаи, когда этого требует ФЗ.

Коммерческой тайной зарплата являться не может из-за того, что она относится к системе оплаты труда. Но это не исключает ее из списка ПД, за распространение которых работника могут уволить согласно Трудовому Кодексу.

И если сотрудник начнет оспаривать это решение в суде, то работодатель обязан доказать, что разглашенная информация относится к тайне, сведения которой сотрудник обязывался никому не сообщать.

Что является личной информацией?

К общей личной информации (находятся в паспорте, трудовой книжке, военном билете и т.д.) относятся:

• ФИО;
• место регистрации и место фактического проживания;
• сведения, указанные в паспорте;
• уровень образования и профессиональной классификации;
• ИНН;
• СНИЛС;
• контакты в сочетании с ФИО;
• предыдущая работе;
• состав семьи;
• прохождение военной службы;
• размер доходов.

О том, считается ли ИНН персональными данными и какая еще информация входит в это определение, мы более подробно рассказывали тут.

К биометрическим данным относятся:

• группа крови;
• рост и вес;
• цвет глаз и волос;
• анализ ДНК.

Биометрические системы аутентификации — системы аутентификации, использующие для удостоверения личности людей их биометрические данные.

Личная информация, содержащаяся в медицинских справках:

• национальность и раса;
• религиозные и философские убеждения;
• наличие судимостей;
• состояние здоровья.

Благодаря хранению биометрических данных в паспорте, сравнение предъявителя паспорта и данных, хранящихся в паспорте (фотография лица, отпечатки пальцев и другие) выполняет автоматика.

Что такое персональные данные

Согласно закону № 152-ФЗ «О персональных данных», персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Другими словами, персональные данные — это информация, по которой можно идентифицировать человека. К персональным данным можно отнести:

• ФИО,
• дату рождения,
• адрес проживания,
• номер телефона, 
• электронную почту,
• паспортные данные,
• СНИЛС,
• ИНН,
• ссылки на аккаунты в соцсетях,
• файлы cookie,
• отпечаток пальца,
• фотографию,
• голос,
• информацию о состоянии здоровья и так далее.

В законе не прописан полный перечень того, что относится к персональным данным. Дело в том, что в совокупности данные из списка считаются персональными, а по отдельности — не всегда. Например, ФИО без указания дополнительной информации не относится к персональным данным — людей с одинаковыми именами может быть множество. Но если указаны номер телефона и ФИО, то это уже персональные данные, ведь по ним можно опознать человека.

Критика

Главная проблема персональных данных — в их частых утечках. Скандалы вокруг таких инцидентов происходят в России нередко. Так, в мае 2020 года в интернете появились паспортные данные москвичей, оштрафованных за нарушение самоизоляции. В ноябре 2019 года в открытом доступе оказалась личная информация 500 000 пользователей сайта по поиску работы Job in Moscow. Хакерам стали доступны не только персональные данные соискателей, но и логины и пароли их учётных записей.

«Аксиома: любая база данных утечёт. Завтра или через три года, целиком или по кусочкам, но это обязательно случится. Вот чем опасен сбор персональных и необезличенных данных», — констатирует сооснователь и генеральный директор HFLabs Дмитрий Журавлёв.

Цифры

Чтобы решить эту проблему, в 2021 году Госдума в 10 раз подняла штрафы за разглашение персональных данных. Для граждан — с 500–1000 рублей до 5000–10 000 рублей, для должностных лиц — с 4000–5000 рублей до 40 000–50 000 рублей. Помимо этого, систематически вносимые в законодательство поправки довели ответственность юрлиц за мелкие нарушения до 200 000 рублей.

Более серьёзные нарушения, включая сбор персональных данных посредством информационно-телекоммуникационной сети «Интернет», могут повлечь наложение административного штрафа на юрлицо от 1 млн до 6 млн рублей. Повторное совершение такого нарушения может повлечь штраф от 6 млн до 18 млн рублей.