Документы по персональным данным

Итак, что же такое персональные данные? Законодательство дает достаточно сухую формулировку. В частности, указывается, что персональные данные – любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о ПДн)).

На первый взгляд, из данного определения вообще ничего не ясно, давайте разбираться. Начнем с того, что в законе упоминается «физическое лицо», данный термин знаком каждому. Предлагаем принять за аксиому, что физическое лицо – это человек, от рождения до смерти и даже немного после (да, персональные данные умерших людей не перестают быть таковыми[1]).

Из данной части мы можем подчерпнуть, что персональные данные - это только данные о людях. В части регулирования данных об организациях Закон о ПДн не применим (если они не содержат сведений о людях, конечно).

Вторая часть определения – информация. Посмотрим как закон определяет этот термин. Согласно п. 1 ст. 2 Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» информация - сведения (сообщения, данные) независимо от формы их представления. Помимо знания о логической ошибке в норме (персональные данные – это данные), мы можем понять, что персональные данные могут быть выражены в абсолютно любой форме, например, написаны на бумаге, стене, заборе, сказаны в слух или же записаны в виде нулей и единиц в памяти компьютера.

Осталась последняя часть определения: «Относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Из данной части определения следует, что к персональным данным относится не вся информация, а лишь та, с помощью которой можно идентифицировать конкретное физическое лицо. На практике это выглядит так: «наименование улицы, номер дома, номер квартиры и сумма задолженности не является персональными данными субъекта (собственника, нанимателя квартиры) без указания дополнительной информации о фамилии, имени, отчестве, позволяющей однозначно определить ее принадлежность конкретному физическому лицу (субъекту персональных данных)»[2].

В то же время, например, Роскомнадзор относит к числу персональных данных[3], среди прочего, следующие сведения: фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другую информацию, относящуюся к субъекту персональных данных, хотя очевидно, что, например, зная только ФИО лица или год рождения вряд ли получится идентифицировать кого-либо (мало ли полных тесок или людей, родившихся в один день).

Суды[4] также иногда относят к персональным данным серию и номер паспорта, ИНН, хотя очевидно, что это просто набор цифр и, имея только эти данные, установить конкретного человека без участия ФНС или МВД не удастся.

Итак, ПДн - это любая информация, выраженная на любом носителе, с помощью которой можно каким-либо образом установить конкретного человека. Однако учитывая несовершенство законодательных формулировок и отсутствия единообразия в правоприменительной практике, в случае наличия сомнений относятся ли конкретные данные к ПДн, лучше расценивать такие данные как ПДн.

[1] Ч. 7 ст. 9 Закона о ПДн
[2] Определение Первого кассационного суда общей юрисдикции от 18.11.2020 г. по делу № 88-26394/2020
[3] П. 2.4. Приказа Роскомнадзора от 30.05.2017 г. № 94
[4] Постановление Девятнадцатого арбитражного апелляционного суда от 10.03.2017 г. № 19АП-126/2017 по делу № А48-4470/2016

Существует великое множество классификаций ПДн, однако почти все из них нужны лишь для теории. С точки зрения практики, лучше разделять персональные данные на (1) общие или обычные ПДн, (2) биометрические ПДн, (3) специальные ПДн, а также (4) ПДн, разрешенные субъектом персональных данных для распространения.

(1) Обычные персональные данные - это те, которые мы упомянули в самом начале письма. В частности, к ним относятся такие данные, как ФИО, адрес, телефон, место работы, паспортные данные. Иными словами, в данную категорию по остаточному принципу относятся все данные, которые не попадают в иные категории.

(2) Под биометрическими ПДн[1] понимаются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

Что видно из вышеуказанной формулировки? Что биометрические ПДн - это данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Например, к данной категории относится отпечаток пальца, фотография, ДНК, информация о росте, весе, цвете волос и т.д. Однако в норме ещё важно то, что для целей закона такие данные будут биометрическими только в том случае, если они будут использоваться оператором для целей идентификации конкретного человека.

Например, если вы установите камеру видеонаблюдения на входе в офис для целей обеспечения безопасности и не осуществляете идентификацию своих посетителей при помощи этой камеры, то изображения людей на записи с этой камеры не будут являться биометрическими персональными данными.[2] Однако, если вы размещаете фотографии своих сотрудников на пропусках и при входе в офис охранник сверяет лицо работника с фотографией на пропуске, или вы используете систему Face ID на входе, то в таком случае вы обрабатываете биометрические ПДн[3], со всеми вытекающими обязанностями (по крайней мере вы должны взять письменное согласие).

Здесь и далее мы часто будем писать «оператор». Таким термином оперирует законодательство и Роскомнадзор. В законе под оператором указано следующее: оператор - … юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн[4]. Если проще, то, как правило, под оператором понимается лицо, которое собирает ПДн с физических лиц. Он может это делать сам или через помощников (третьих лиц). Физические лица, которым принадлежат ПДн называются субъектами.

(3) Закон не устанавливает понятие специальной категории персональных данных, а лишь дает их перечисление. В частности, к таким данным относится: расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, а также данные о судимости[5].

Особенностью таких данных является то, что их обработка возможна только при наличии письменного согласия. Данные о наличии судимости вообще можно обрабатывать лишь в исключительных, установленных законом случаях. Например, при найме педагогического работника[6].

(4) ПДн, разрешенные субъектом персональных данных для распространения. Чтобы определить эти данные, нужно посмотреть что такое распространение ПДн: действия, направленные на раскрытие персональных данных неопределенному кругу лиц[7]. Соответственно, ПДн, разрешенные субъектам персональных данных для распространения – это данные, в отношении которых человек разрешил оператору сделать их общедоступными, например, разместить ФИО, должность, телефон у себя на сайте.

На практике это означает, что для размещения персональных данных в общедоступных источниках необходимо взять специальное согласие, форма и содержание которого отдельно регламентированы законом.

[1] ч. 1 ст. 11 Закона о ПДн
[2] Кассационное определение Второго кассационного суда общей юрисдикции от 31.07.2020 г. № 88а-17020/2020
[3] Письмо Минцифры России от 17.07.2020 г. № ОП-П24-070-19433
[4] Ч. 2 ст. 3 Закона о ПДн
[5] Ч. 1 ст. 10 Закона о ПДн
[6] Ст. 311 Трудового кодекса Российской Федерации (далее – ТК РФ)
[7] П. 3 ст. 3 Закона о ПДн

На самом деле документов, которые требуется разработать в области персональных данных, великое множество, однако большая часть из них относится к вопросам кибербезопасности и не охватывается курсом по трудовому праву для HR. Если включить в настоящую статью эту информацию, то мы уверены, что ни один HR не дочитает её до конца.

Основная часть таких документов направлена на предотвращение утечек данных, а не регулирование трудовых отношений.

В настоящей статье речь пойдет о следующих документах: согласие на обработку персональных данных, положение об обработке персональных данных, а также ещё несколько документов (здесь оставляем интригу, чтобы вы нашли их в письме).

3.1. Согласие на обработку персональных данных
Согласие на обработку персональных данных необходимо получать всегда, когда возможность обработки персональных данных без согласия не предусмотрена законом. В частности, не требуется согласие на обработку персональных данных работника (соискателя), получаемых[1]:

• из документов (сведений), предъявляемых при заключении трудового договора в соответствии со ст. 65, ч. 4 ст. 275 ТК РФ;
• по результатам обязательного предварительного медицинского осмотра о состоянии здоровья[2];
• в объеме, предусмотренном унифицированной формой № Т-2 (утв. Постановлением Госкомстата России от 05.01.2004 г. № 1), в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат)[3];
• от кадрового агентства, действующего от имени соискателя или если резюме соискателя размещено на публичном ресурсе[4]. Да, в остальных случаях при проведении собеседования или зачисления человека в кадровый резерв потребуется согласие.

Выделяется три вида согласий на обработку персональных данных: (1) простое согласие; (2) письменное согласие, (3) согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

• Простое согласие берется в тех случаях, когда по закону не нужно брать письменное согласие. Особенность такого согласия в том, что оно может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме[5].

Это может быть и письменное согласие, и проставление «галочки» на сайте и положение в договоре. Законом не установлены четкие требования о содержании такого согласия, но во избежание претензий контролирующих органов рекомендуем включать в него те же данные, что и в письменное согласие.

• Письменное согласие работодатель обязан получить в случаях, предусмотренных законом. В частности, в отношении работника письменное согласие нужно получить:
• при обработке ПДн специальных категорий[6];
• при обработке биометрических ПДн[7];
• при трансграничной передаче в страны, не обеспечивающие адекватный уровень защиты прав субъектов[8];

Обратите внимание: с марта 2023 г. в законодательство вносятся изменения, суть которых состоит в том, что оператор перед началом осуществления трансграничной передачи данных обязан будет уведомлять Роскомнадзор, а Роскомнадзор будет вправе такую передачу запретить.

Также напоминаем, что с сентября 2022 года всем операторам персональных данных нужно подать обновленное уведомление о включении в реестр операторов ПДн. По факту это касается всех работодателей в России. Новая форма утверждена только 26.12.22.

• при включении ПДн в общедоступные источники (например, адресные книги, рекламные брошюры)[9];
• при принятии решений на основании автоматизированной обработки данных без участия человека[10];
• при передаче ПДн работников третьим лицам[11] и при получении персональных данных работников от третьих лиц[12]. Это пункт особенно важен, поскольку чаще всего нарушается работодателями. Всегда, когда вы передаете данные третьим лицам, требуется получать согласие. Это передача транспортным, логистическим компаниям, сервисам бронирования билетов, страховым компаниям и прочие передачи.

Ниже мы опишем требования к согласию. Если прямо сейчас вы не готовите текст согласия, то эту часть текста можно пропустить. Но мы рекомендуем вам проверить себя – открыть вашу типовую форму согласия и пройтись по списку, все ли учтено. В 90% случаев при получении запросов на проверку согласий мы выявляем ошибки. Нарушения требований к согласиям – это также один из самых простых способов привлечь компанию к ответственности при проверке Роскомнадзора.

Какие требование применяются к письменному согласию[13]:
Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. Иными словами, формулировки должны быть полными, точными, понятными, не должны трактоваться двусмысленно. В нем должно быть раскрыто понятие «обработка персональных данных»[14].

Оно должно содержать:

• фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• получении согласия от представителя субъекта ПДн: фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя;
• наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
• цель обработки ПДн;

Обратите внимание: «цель» указано в единственном числе, соответственно, есть правило: «одна цель – одно согласие», т.е. нельзя включить в одно согласие цели, например, взятие биометрических данных для СКУД и передача личной информации для целей статистики в иностранную компанию.

– перечень ПДн, на обработку которых дается согласие субъекта ПДн;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
– перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
– срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено законом;
– подпись субъекта ПДн.

Такое согласие может быть оформлено либо на бумажном носителе с подписью субъекта, либо в электронном виде, подписанный усиленной квалифицированной электронной подписью субъекта персональных данных[15].

(3) Отдельно от других согласий на обработку ПДн нужно оформлять согласие на обработку ПДн, разрешенных для распространения. При этом работнику нужно дать возможность определить их перечень по каждой категории, указанной в согласии на обработку. Он вправе также установить, например, запрет на передачу данных неограниченному кругу лиц[16].

Требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 г. № 18, их можно посмотреть тут. Обращаем внимание, что требования к отдельной форме таких согласий вступили в силу в 2021 году. Поэтому если вы не обновляли пакет документов по ПДн в 2021 году или позднее, то пора срочно это делать.

3.2. Положение об обработке персональных данных
Необходимость разработки и утверждения положения об обработке ПДн обусловлена обязанностью, установленной в п. 6 ч. 1 ст. 18.1 Закона о ПДн.

Данный документ принимается и разрабатывается как обычный локальный нормативный акт. В целом, он представляет собой руководство для сотрудников организации по работе с ПДн. Качество разработки и соблюдения его сотрудниками существенным образом определяет, привлекут ли организацию к ответственности по результатам проверки Роскомнадзора.

Ниже мы опишем требования к положению. Если прямо сейчас вы не готовите его текст, то эту часть текста можно пропустить. Но мы рекомендуем вам проверить себя – открыть ваше действующее положение и пройтись по списку, все ли учтено. В 70% случаев при получении запросов на проверку положений мы выявляем ошибки. Чаще всего они вызваны изменением законодательства, но иногда – изменением бизнес-процессов компании.

Мы рекомендуем включить в положение следующие элементы:

• «Общие положения» - отражаются вопросы, которые регулирует положение, порядок его вступления в силу, внесения изменений;
• «Категории субъектов персональных данных» – разбивка всех субъектов на категории. Например, кандидаты к приему на работу, работники организации, бывшие работники организации;
• «Цели обработки персональных данных» – перечень всех целей обработки компанией ПДн;
• «Перечень персональных данных» – какие именно данные обрабатываются;

Обратите внимание, что в положении должны быть указаны категории субъектов и перечень данных для каждой цели. Например, указывается цель – «рассмотрение резюме и подбор кандидатов на вакантные должности для дальнейшего трудоустройства», для этой цели указывается категория субъектов – «Кандидаты для приема на работу в компанию», далее указывается состав персональных данных обрабатываемых по этой категории для этой цели (ФИО, телефон, адрес, электронная почта и т.п.).

• «Порядок и условия обработки персональных данных». Указываем перечень действий, совершаемых оператором с ПДн субъектов, а также используемые оператором способы обработки ПДн.
• «Сроки обработки и хранения персональных данных» - указывается, в частности, сколько нужно хранить документы, которые содержат персональные данные;
• «Правовые основания обработки персональных данных». В качестве правового основания обработки могут быть указаны:
• законы, регулирующие отношения, связанные с деятельностью оператора. Здесь указываются именно специализированные нормативные акты, а не Закон о ПДн в целом;
• уставные документы оператора;
• договоры, заключаемые между оператором и субъектом ПДн;
• согласия на обработку ПДн.
• «Порядок блокирования и уничтожения персональных данных» - определяются, например, сроки уничтожения персональных данных при достижении максимальных сроков хранения документов, в которых они содержатся;
• «Защита персональных данных» - указываем процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений; перечисляются локальные нормативные акты, которые принимаются во исполнение положения, указывается порядок осуществления контроля за соблюдением у работодателя требований законодательства в области ПДн и т.п.
• «Порядок обработки обращений субъектов персональных данных» – указывается порядок действий работников компании при получении обращения субъектов ПДн, например, об отзыве согласия.
• «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных» – указываются последствия нарушения законодательства в области ПДн.

Положение утверждается приказом руководителя организации, с ним нужно ознакомить всех работников под роспись в порядке, предусмотренном для утверждения локальных нормативных актов организации.

3.2. Иные документы
Итак, два самых базовых документа мы рассмотрели. Они есть у большинства компаний в том или ином виде. Чаще всего - в виде очень сырого документа, подписанного лет 10 назад. Хотя последние годы ввиду активности Роскомнадзора и роста сумм штрафов в несколько сотен раз, доля компаний с обновленными документами стабильно растет.
Какие еще базовые документы нужны всем работодателям?

Обязательство о неразглашении
Согласно п. 7 ст. 86 ТК РФ работодатель обязан обеспечить защиту ПДн работника от неправомерного их использования или утраты. Следовательно, работники, которые имеют доступ к ПДн других работников, обязаны не разглашать эти данные. При этом привлечь к ответственности работников, которые разгласили такую информацию, можно, только если она стала известна им в связи с исполнением трудовых обязанностей, и они обязались не разглашать такие сведения (п. 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 г. № 2).

Соответственно, для целей возможного привлечения работников к ответственности за разглашение вверенных им ПДн, рекомендуется оформить отдельное обязательство работника о неразглашении персональных данных, где указать:

• ФИО работника, его должность.
• Наименование и реквизиты работодателя, трудового договора с работником.
• Тезис о том, что работник понимает, что он имеет доступ к ПДн.
• Обязанность работника не разглашать вверенные ему ПДн, а также перечень этих данных.
• Положение о возможной ответственности за разглашение ПДн.
• Дата, должность, ФИО и личную подпись работника. Рекомендуется чтобы всё это работник написал от руки.

Назначение ответственного лица
Также одной из обязанностей оператора является назначение ответственного за организацию обработки ПДн[17]. Согласно закону, такое лицо подчиняется непосредственно директору (единоличному исполнительному органу) оператора, и в его обязанности входит[18]:

• осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;
• доводить до сведения работников оператора положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
• организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

В международной практике должность такого лица звучит как DPO (Data Protection Officer), и в его обязанности входит намного больше элементов, чем указано выше. По сути это менеджер, который должен выстроить систему комплаенса по работе с персональными данными. В практике работы российских компаний только крупнейшие организации, работающие в сфере медиа, связи и телекоммуникации имеют такие должности в штате. Для соблюдения закона достаточно будет формализации и исполнения обязанностей, указанных в законе.

Ответственным может быть назначен как специально нанятый работник, так и работник выполняющий другие функции. Во втором случае необходимо дополнить его должностную инструкцию необходимыми обязанностями, а также рекомендуется компенсировать работнику в денежном выражении выполнение такой дополнительной работы, о чем заключить дополнительное соглашение к трудовому договору.

Назначение ответственного осуществляется приказом.

Политика в области обработки персональных данных
Ещё одним документом, необходимым для выполнения минимальных требований законодательства в области ПДн является политика в области обработки персональных данных. Оператор обязан опубликовать такую политику в Интернете[19]. Обычно такая политика называется «Политика о конфиденциальности» или “Data protection policy” и размещена в самом конце различных сайтов или ссылка на неё «выскакивает» при входе на сайт. Не стоит путать данный документ с положением об обработке персональных данных, т.к. это два разных документа.

Не смотря на то, что по мнению Роскомнадзора определение структурного и содержательного наполнения политики в отношении обработки персональных данных отнесено к компетенции оператора[20], мы рекомендуем обязательно включить в политику категории субъектов и перечень данных для каждой цели обработки персональных данных (как в положении). Также при составлении уведомления можно руководствоваться Рекомендациями Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Уведомление Роскомнадзора
Согласно ч. 1 ст. 22 Закона о ПДн оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных. Подается это уведомлении в территориальный орган Роскомнадзора по месту регистрации, форму можно заполнить на сайте Роскомнадзора, там же её распечатать и направить в соответствующий орган по почте или нарочно. Также можно направить электронно при условии подписания электронной подписью или через «Госуслуги».

Обратите внимание, что в сентябре 2022 г. законодательство о ПДн поменялось, также была утверждена новая форма уведомления[21], в которой добавлены новые данные для заполнения. Поэтому даже если вы уже подавали вышеуказанное уведомление до 26.12.2022 г., необходимо подать уведомление об изменении сведений, форму также можно заполнить на сайте Роскомнадзора, способ подачи такой же как и с уведомление о начале обработки.

[1]П. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о ПДн
[2]Ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» (далее – Разъяснения Роскомнадзора)
[3]П. 2 Разъяснений Роскомнадзора
[4]Абз. 12 п. 5 Разъяснений Роскомнадзора
[5] Ч. 1 ст. 10 Закона о ПДн
[6] П. 1 ч. 2 ст. 10 Закона о ПДн
[7] Ч. 1 ст. 11 Закона о ПДн
[8] П. 1 ч. 4 ст. 12 Закона о ПДн
[9] Ч. 1 ст. 8 Закона о ПДн
[10] Ч. 2 ст. 16 Закона о ПДн
[11] Абз. 2 ст. 88 ТК РФ.
[12] Ч. 3 ст. 86 ТК РФ.
[13] Ст. 9 Закона о ПДн
[14] Постановление Одиннадцатого арбитражного апелляционного суда от 29.11.2021 г. по делу № А65-15999/2021
[15] Ч. 4 ст. 9 Закона о ПДН, ч. 3 ст. 19 Федерального закона от 06.04.2011 г. № 63-ФЗ «Об электронной подписи»
[16] ч. 1, 9 ст. 10.1 Закона о ПДн
[17] Ст. 22.1 Закона о ПДн
[18] Ч. 4 ст. 22.1 Закона о ПДн
[19] Ч. 2 ст. 18.1 Закона о ПДн
[20] Письмо Роскомнадзора от 19.10.2021 г. № 08-71063 «О разъяснении законодательства»
[21] Приказ Роскомнадзора от 28.10.2022 г. № 180 (Зарегистрировано в Минюсте России 15.12.2022 г. № 71532)