В статье разберемся, что относится к персональным данным и как правильно работать с такой информацией, чтобы не нарушать действующий закон.
Согласно принятому в 2006 году Федеральному закону № 152-ФЗ, организации обязаны защищать любую информацию о своих сотрудниках и клиентах. Оператором персональных данных (ПД) считается любая организация, у которой есть хотя бы один сотрудник или клиент. Ответственность за нарушение этого закона может понести и физическое лицо — например, самозанятый, работающий с частными клиентами и хранящий сведения о них. Большие компании обычно содержат штат юристов, знающих нюансы работы с ПД. На какие моменты стоит обратить внимание небольшой фирме?
Что такое персональные данные
Согласно закону № 152-ФЗ, персональными данными (ПД) считается любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. Действие закона распространяется как на граждан РФ, так и на иностранцев.
Персональными данными являются только те сведения, на основе которых можно понять, о каком именно физическом лице идет речь. Например, управляющая компания может вывесить в подъезде список квартир, имеющих долги за коммунальные платежи. А вот указывать в нем фамилии должников и сумму задолженности уже нельзя: это будет разглашением конфиденциальных сведений.
Какие данные являются персональными
Единый перечень персональных данных в РФ не утвержден. В законе выделяют четыре группы ПД:
- Общие. Это основные сведения о физическом лице: Ф. И. О., дата рождения, номера документов, подтверждающих личность, места работы или учебы, адрес и телефон, гражданином какой страны является человек, состоит ли в браке.
- Специальные. Здесь речь идет о личности субъекта: его расе и национальности, религиозных и политических взглядах, личной жизни. Сюда же относится информация об особенностях физического здоровья.
- Биометрические. Такими данными являются все биологические особенности: внешность, результаты дактилоскопии, цвет кожи и глаз, рост, вес, группа крови.
- Иные. Это все данные, которые нельзя отнести к предыдущим группам: например, принадлежность к определенному социуму, увлечения, сведения о финансовом положении.
Любая комбинация понятий, которые входят в этот перечень и позволяют определить конкретного субъекта, является ПД и охраняется законом.
Но все не так однозначно. Например, среди не только юристов, но даже чиновников Роскомнадзора нет однозначного мнения, считать ли просто фамилию, имя и отчество человека персональными данными. Все зависит от целей, контекста и того, с какими еще данными используются ФИО.
В каких случаях требуется собирать персональные данные
Чаще всего компаниям приходится собирать сведения о своих сотрудниках и заказчиках. Сведения о работниках необходимы для ведения деятельности компании, информация о клиентах обычно нужна для реализации маркетинговых кампаний. А иногда для совершенствования процессов требуется знать больше о представителях партнерских организаций. В любом случае субъекты должны предоставить согласие на все действия с персональными данными, к которым относятся сбор, передача, запись и хранение.
Таким образом, львиная доля компаний, ведущих свою деятельность, становится операторами ПД. Реестр операторов ведет Роскомнадзор, порядок попадания туда — заявительный. Организация сама сообщает регулятору, что ведет обработку ПД. Но отсутствие компании в реестре не освобождает ее от исполнения закона.
ПД сотрудников попадают в компанию еще до подписания трудового договора: работа менеджера по персоналу в том числе подразумевает ведение базы кандидатов, где есть сведения о профессии, номер телефона и имена. Сервисы по поиску работы иногда защищают работодателей, включают пункт об использовании информации из резюме в пользовательское соглашение, однако считается, что лучше взять согласие на обработку ПД у кандидата еще раз, на этапе собеседования.
Что касается сбора сведений о клиентах, необходимо найти баланс между желанием компании узнать как можно больше о своих заказчиках, чтобы делать им релевантные предложения, и требованиями законодательства. Правовые отношения могут считаться начатыми уже в момент, когда человек впервые зашел на сайт компании и одобрил cookies (это файлы, где хранится информация о поведении пользователя в сети.
Сбор информации о юридических лицах не входит в текст закона № 152-ФЗ. Однако часто компании ведут базы, в которых содержатся личные сведения о представителях их партнеров. Например, многие хранят даты рождения руководителей и ключевых сотрудников своих контрагентов, чтобы поздравлять их. Этот случай тоже относится к ситуациям, когда нужно получить разрешение от субъектов ПД или хотя бы не сохранять эту информацию в рабочих программах.
Обработка персональных данных и ее особенности
Организация может собирать, передавать, записывать, хранить, извлекать и обезличивать сведения о своих клиентах и сотрудниках.
Все эти операции должны осуществляться согласно закону. Это значит, что субъект ПД должен подписать согласие на каждую из перечисленных выше операций. К примеру, если вы практикуете передачу списков сотрудников для оформления пропусков администрации бизнес-центра, в котором расположен офис, нужно учесть этот факт при подготовке бумаг на трудоустройство.
При получении согласия важно обозначить цели, для которых будут использованы ПД. Отступать от них нельзя. Если вы сохранили телефоны клиентов исключительно для отправки уведомлений о статусе заказа, не стоит отправлять на них рекламные рассылки. И, разумеется, нельзя предоставлять базу данных партнерским организациям: это считается грубым нарушением. Правда, до недавнего времени штрафы за это были мизерными. Но в декабре 2023 года Путин подписал закон №589, вносящий изменения в КОАП и устанавливающий штраф до 1 млн рублей за нарушения при обращении с биометрическими персональными данными и за обработку ПД без согласия до 700 тыс. рублей для юрлиц.