Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Является ли ФИО персональными данными?». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Общий термин, определяющий персональные данные, звучит как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Термин присутствует в законе «О персональных данных», а также упоминается в других нормативных актах. Так, закон «О связи» относит к сведениям об абонентах – физических лицах – фамилию, имя, отчество или псевдоним, а также домашний адрес и другие данные, позволяющие идентифицировать личность.
Понятие персональных данных
Порядок регулирования вопроса описан и в постановлениях ФСТЭК РФ, Роскомнадзора, Центрального Банка. В одном из разъяснений ЦБ РФ отмечается, что банки не имеют права оставлять в почтовых ящиках корреспонденцию таким образом, чтобы третьим лицам были доступны персональные данные, в том числе имя личности. Схожая позиция привела к необходимости отправлять в конвертах квитанции с распечатками стоимости услуг ЖКХ, тоже содержащие персональные данные. Также регулятор обратил внимание на недопустимость для сотрудников банка разглашать персональные данные клиента работодателю или коллеге, что часто делается в целях информирования о наличии задолженности. При таком разглашении субъект однозначно идентифицируется, даже без добавления уточняющей информации, что нарушает права физического лица на защиту тайны личной жизни.
Когда имя и фамилия не являются персональными данными?
Наличие исключений характерно для большинства российских законов, но в ситуации с ПДн, а точнее — ФИО как вида персональных данных, они отсутствуют. Абсолютно все сведения о человеке относятся к личной информации, и это в свое время было одним из условий вступления нашей страны во Всемирную торговую организацию. Хотя, по мнению некоторых экспертов, все не так однозначно, поскольку:
- в компании могут работать или обслуживаться сразу несколько однофамильцев;
- население России огромное, поэтому несложно найти тысячи людей, у которых совпадают не только имена и фамилии, но даже отчества;
- узнать фамилию, имя и отчество гражданина не составляет никакого труда — достаточно открыть социальные сети или воспользоваться поисковой системой.
При этом даже имя без фамилии нельзя назвать обезличенным, ведь в век прогрессирующих компьютерных технологий его вполне достаточно, чтобы установить обладателя. С другой стороны, каждый оператор может в целях улучшения безопасности ИСПДн воспользоваться предлагаемыми регулятором методами снижения значительной идентифицированности ПДн. Среди них:
- маркировка учетных записей с помощью особых меток, которые позволяют найти о субъекте полную информацию в общей базе при наличии соответствующего доступа;
- частичная замена данных;
- перемешивание ПДн, которые относятся к разным субъектам;
- разделение большого массива информации на несколько частей, которые хранятся отдельно друг от друга.
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Исключения из общего правила
Если организация захочет поспорить с регулятором и счесть ФИО сведениями, прямо не относящимися к ПД, она может привести ряд аргументов:
Однако эти аргументы не всегда принимаются, поскольку прямое прочтение закона относит к ПД любую информацию о человеке. Такая позиция связана с одномерным принятием требований международного законодательства, которые нужно было отразить в национальном для вступления в ВТО. Существующее в среде экспертов мнение о том, что имя относится к категории обезличенных данных, неверно. Закон под обезличиванием понимает определенный процесс, происходящий при помощи программных и технических средств и позволяющий превратить конкретные записи в общий массив информации, из которого невозможно вычленить сведения, относящиеся к конкретному лицу. Существуют разъяснения регулятора (Приказ Роскомнадзора № 996), которыми определяются требования к методам проведения обезличивания. Они предельно конкретны, очевидно, что само по себе отсутствие возможности идентифицировать лицо по кратким сведениям о нем не делает эти данные обезличенными.
Среди характеристик методов преобразования сведений:
Регулятор называет четыре типа методов устранения высокой степени идентифицированности персональных данных, не отказывая оператору в возможности предложить собственное решение:
Вне зависимости от выбранного метода обезличивания ФИО хранятся и защищаются на тех же основаниях, что и другие категории ПД.
Какие данные являются персональными: позиция суда
Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр.
Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах.
Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.
Законодательные основы
Все процедуры, касающиеся обработки персональных данных (ПД), указаны в Федеральном законе Российской Федерации «О персональных данных» от 27 июля 2006 года. В законодательном акте N 152-ФЗ четко сказано, что к личной информации относятся любые ведомости, которые прямо или косвенно относятся к физическому лицу, иными словами, принадлежат субъекту (подробнее о том, какая информация относится к ПД, читайте , а в этой статье вы найдете примеры персональных данных).
Статья 19 Гражданского кодекса Российской Федерации сообщает, что ФИО определяет гражданина. С приобретением имени, фамилии и отчества гражданин получает и осуществляет права и обязанности под своим именем. В законе говорится о том, что ФИО принадлежит человеку, поэтому, если вернуться к определению из ФЗ «О персональных данных», такая информация должна являться персональной со всеми юридическими последствиями и нюансами при ее распространении и обработке.
В то же время Роскомнадзор, регулирующий информационную деятельность в сети интернет, отмечает, что размещение на веб-страницах всемирной паутины фамилии, имени и отчества без каких либо дополнительных пояснений, не считается обработкой ПД физического лица. Роскомнадзор указывает на еще одну важную характеристику конфиденциальных ведомостей – они должны давать возможность выяснить личность гражданина.
Важно! Распространение персональных данных возможно только после разрешения на обработку субъектом и владельцем ПД.
Является ли фио и инн персональными данными
Налоги » ИНН »
Само по себе ФИО — является персональными данными?
В интернете написано Иванова Ксения Андреевна — мошенница. Нарушен ли закон О Защите персональных данных?
Ответы юристов ( 2 )
К персональным данным гражданина относятся его Ф. И. О., адрес фактического проживания и прописки, дата и место рождения, номер и серия паспорта, дата его выдачи, серийные номера других документов (медицинский полис, ИНН, СНИЛС, пенсионное удостоверение), информация из трудовых и медицинских книжек, а также другие данные, относящиеся к конкретному физическому лицу.
Но этот человек не брал на себя обязательство хранить эти данные, а значит он иожет быть привлечен к ответственности за клевету, оскорбление. Так что напишите заявление в полицию и она приймет решение
Что такое персональные данные (ПДн) и как этот термин трактуется с позиции российского законодательства? В этой статье мы уделили внимание тонкостям определений и подготовили развернутый пост-ответ, который поможет во многом разобраться.
Документы, которые нельзя игнорировать
Вот список документов по ПД, которые наверняка потребуются вам в 2023 году:
-
Положение о работе с персональными данными работников
-
Положение о порядке уничтожения персональных данных
-
Приказ о создании комиссии по уничтожению документов с персональными данными
-
Общая форма согласия на передачу и обработку персональных данных
-
Согласие на обработку персональных данных на сайте
-
Обязательство о неразглашении персональных данных
Какие данные являются персональными и при каких условиях
Какие данные являются персональными — важный вопрос для любой организации или ИП, поскольку при обработке таких данных требуется соблюдать требования закона, а за их невыполнение предусмотрены суровые меры ответственности. Расскажем, по каким критериям можно понять, относятся ли данные к персональным, и разберем, какие именно данные сегодня можно однозначно отнести к персональным.
Защите личной информации посвящен закон «О персональных данных» от 27.07.2006 № 152-ФЗ. В п. 1 ст. 3 закреплено определение термина.
Персональные данные — это любые сведения, которые прямо или косвенно относятся к определенному или определяемому физическому лицу, иначе говоря, субъекту персональных данных.
Однако в законе не конкретизируется, какая именно информация может быть отнесена к личной. Нет ответа и на один из самых распространенных вопросов: являются ли ФИО персональными данными?
Частично конкретизируют расплывчатое определение Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора от 30.05.2017 № 94.
На основании п. 2.5 указанного документа к личным данным относятся:
- имя, отчество и фамилия гражданина;
- дата его рождения (число, месяц и год);
- место рождения;
- адрес регистрации или место фактического проживания;
- сведения о семейном положении и детях;
- социальное положение;
- данные об имуществе;
- размер и источники дохода;
- сведения об оконченных учебных заведениях;
- профессия и занимаемая должность.
При этом Роскомнадзор приводит только примерный перечень, указывая, что любые другие сведения, относящиеся к субъекту, также являются персональными.
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Что такое обработка персональных данных?
Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
- работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
- продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
- покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.
Требования к согласию
Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.
Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).
В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.
Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.
Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.
Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.
Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.
Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.
Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.
Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:
-
в течение трех рабочих дней с момента обращения;
-
или в срок, указанный в постановлении суда;
-
или в течение трех рабочих дней с момента вступления решения суда в законную силу.
Что включает понятие персональные данные
В связи с тем, что статьей 3 Закона о персональных данных понятие персональных данных имеет очень обобщенный характер, а законодательство об использовании персональных данных ужесточается, вопрос о том, что такое персональные данные, становится еще более актуальными.
Исходя из статьи 3 Закона о персональных к персональным данным можно отности следующую информацию:
- фамилия, имя, отчество;
- пол, возраст;
- дата и место рождения;
- паспортные данные;
- адрес регистрации по месту жительства и адрес фактического проживания;
- номер телефона (домашний, мобильный);
- данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации;
- семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления мне льгот, предусмотренных трудовым и налоговым законодательством;
- отношение к воинской обязанности;
- сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
- СНИЛС;
- ИНН;
- информация о приеме, переводе, увольнении и иных событиях, относящихся к моей трудовой деятельности в ООО «Ромашка»;
- сведения о доходах в ООО «Ромашка»;
- сведения о деловых и иных личных качествах, носящих оценочный характер.
Статья 3 Закона о персональных данных порождает больше вопросов, чем дает ответы на них, к примеру:
-
Какое сочетание указанной выше информации дает основание считать ее персональными данными?
-
Каков минимальный объем информации позволяет считать ее персональными данными?
-
Является ли фамилия (без указания имени и отчества) персональными данными?
-
Является ли адрес электронной почты персональными данными?
-
Является ли номер телефона персональными данными?
Использование личной информации в компании
Часто возникает вопрос о том, что входит в состав персональных данных работника юридического лица и как осуществлять хранение подобной информации. Согласно Трудовому Кодексу, к ПДн сотрудника относится информация, позволяющая составить представление о нем как о работнике, то есть стаж деятельности, уровень квалификации и зарплаты, пенсионные и налоговые отчисления и т.д. Обязанность предприятия — позаботиться об их защите и использовании для создания оптимальных условий развития профессиональных навыков и повышения квалификации. Кроме того, работодатель должен сообщить, как именно будут использоваться персональные данные физического лица. Предварительно создаются и внедряются специальные распорядительные документы внутреннего использования, в частности, требуется Инструкция либо Положение о ПДн.
Сбор сведений производится для выполнения следующих задач:
- профилактики разглашения корпоративной тайны и обеспечения сохранности имущества;
- приема на работу и документального закрепления этого события;
- получения оснований для установления той или иной заработной платы;
- проверки выполнения персоналом возложенных на них обязанностей;
- выявления и подтверждения причин для перевода сотрудника на более высокую должность.
При нарушениях законодательства либо утечке персональных данных (намеренной либо из-за недостаточно эффективной системы защиты) предприятие может быть привлечено к административной ответственности в виде штрафа до 18 миллионов рублей. Выявить недоработки и своевременно их исправить позволит аудит, проведенный специалистами нашего Центра — наши специалисты помогут установить, насколько защищены частные данные, и составят рекомендации по оптимизации.
Средства защиты и охраны персональных данных
Надежность ПД обеспечивается:
- установлением рисков при обработке ПД в ИС;
- постоянное использование технических и организационных мер для установления защищенности, согласно установленным Правительством РФ уровням безопасности;
- процедура совершенствования средств и результативности защиты;
- постоянное рассмотрение машинных носителей ПД;
- мгновенное установление неразрешенного проникновения;
- восстановление ПД, которые были заражены вирусом или уничтожены при взломе базы данных;
- фиксация и учет всех действий, которые совершаются в ИС;
- используется сотрудничество с вневедомственной охраной;
- база данных защищена паролями, известными только людьми, у которых есть право доступа;
Персональные данные – использование на предприятии
В главе 14 Трудового кодекса РФ раскрывается понятие ПД работника. Это данные, которые позволяют получить определенные характеристики человека в качестве сотрудника конкретной компании (стаж работы, профессиональная квалификация, заработная плата, данные по ФНС, ПФР и пр.).
Такие ПД должны храниться должным образом и применяться для того, чтобы помочь работнику выполнять его обязанности в соответствии с его должностью и профессией, продвигаться по служебной лестнице, повышать свою квалификацию и получать новые профессиональные знания. Также ПД используются с целью защиты сотрудников и имущества компании.
Личная информация сотрудника может содержать только те данные, которые относятся к его профессиональным качествам, особенностям, позволяющим ему выполнять трудовые обязанности. По Конституции Российской Федерации, личная жизнь считается неприкосновенной и конфиденциальной, ее частью являются ПД.
В Трудовом кодексе узко определено данное понятие. В нем говорится, что ПД работника являются сведениями, необходимыми руководству предприятий для выполнения им своих профессиональных обязанностей, эта информация относится к конкретному работнику.