Является ли инн персональными данными физического лица

Является ли адрес электронной почты персональным данным?

Судебной практики по этому вопросу найти не удалось.

Минкомсвязи России в своем Письме от 07.07.2017 № П11-15054-ОГ выразил следующее мнение: «. абонентский номер или адрес электронной почты могут быть признаны персональными данными в случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу».

Персональные данные являются общедоступными при выполнении двух условий:

они предоставлены владельцем

доступны неопределенному кругу лиц.

Если согласие владельца персональных данных на размещение сведений о нем в соцсетях отсутствует, то нельзя их отнести к общедоступным источникам. При этом оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных, в случае его отзыва, только при наличии соответствующих оснований, например, для противодействия терроризму или коррупции (ч. 2 ст. 9 Закона № 152-ФЗ).

Такой вывод делает судебная практика: Арбитражный суд города Москвы определил, что обработка персональных данных допускается в случаях, когда персональные данные доступны неопределенному кругу лиц, имеется согласие владельца данных и сведения предоставлены непосредственно самим субъектом (п. 1, п. 10 ч. 1 ст. 6 Закона № 152-ФЗ). Суд подчеркнул, что без письменного согласия субъекта персональных данных нельзя утверждать о предоставлении согласия именно указанным лицом. По его мнению, если владелец сделал персональные данные общедоступными для всех, то они могут содержаться только в общедоступных источниках (ст. 8 Закона № 152-ФЗ). По мнению суда, соцсети не являются такими источниками получения персональных данных, соответственно информация о лице, размещенная в них, не может быть отнесена к общедоступной.

В Определении Верховного Суда РФ от 1 марта 2006 г. по делу № 13-В05-13 указано, что ИНН по своему законодательному предназначению подлежит, наряду с другими сведениями, использованию исключительно в целях налогового учета и не заменяет имя человека.

В Апелляционном определении Санкт-Петербургского городского суда от 3 февраля 2015 г. № 33-1644/2015 по делу № 2-3097/2014 суд сделал вывод, что ИНН как таковой нельзя причислить к персональным данным. В обоснование своей позиции суд сослался на Определение Конституционного Суда РФ от 10 июля 2003 г. № 287-О, в котором отмечено, что присвоение ИНН, по сути, не нарушает свободы совести и вероисповедания.

Статья написана и размещена 14 сентября 2017 года. Дополнена 26.09.2019

Копирование статьи без указания прямой ссылки запрещено. Внесение изменений в статью возможно только с разрешения автора.

Требования к защите

Глава 14 Трудового кодекса предусматривает требования, касающиеся защиты данных. Устанавливается обязанность руководителя во время обработки информации учитывать требования. Целью обработки выступает обеспечение законных положений и содействие человеку в устройстве на работу. Чтобы определить объем сведений, требуется руководствоваться основным законом страны, ТК.

Получение информации допускается только от самого сотрудника. Когда получить ее можно у третьего лица – человек должен заранее сообщить об этом руководству компании. Потребуется подписать согласие. Работодателем не обрабатываются данные, отнесенные к группе специальных. Это сведения об интимной жизни, расе и т. п.

Меры по защите информации принимаются руководством компании. Оплачиваются средствами предприятия. Порядок защиты отражается в законах. Ознакомление сотрудников с документацией, отражающей порядок сбора данных, проводится под подпись.

Установлено, что человек не должен лишаться своих правомочий для того, чтобы сохранить тайну. Выработка мер по защите осуществляется работодателями вместе с сотрудниками. Исключительные ситуации отражаются в законах.

Положение о работе с персональными данными

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее — Положение). Унифицированной формы документа нет. Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы. Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.

Таблица 2. Структура Положения о персональных данных работников

Что такое ПДн

Почему так важно определиться с понятиями? Дело в том, что, если этого не сделать сейчас, в дальнейшем будет трудно о чем-либо договариваться. Важно понимать, что относится к персональным данным и что необходимо защищать при размещении их в облаке

Итак, законодательство РФ понимает под персональными данными (ПДн) «любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу — субъекту персональных данных».

Обратите внимание, что это определение довольно широкое и здесь не сказано про идентификацию конкретного лица. Хотя на портале персональных данных, официальном сайте Роскомнадзора, вопрос подобного характера уже задавался и звучал так: каков минимальный набор персональных данных, достаточный для идентификации человека? На что Роскомнадзор ответил: «Указанный минимальный перечень действующим законодательством не установлен

Более того, по результатам мониторинга законодательства, проведенного Роскомнадзором, было установлено, что 75 международных правовых актов, 13 кодексов РФ, более 100 федеральных законов и 250 актов Правительства Российской Федерации устанавливают различные перечни запрашиваемых персональных данных».

На этом также сделан акцент в научно-практическом комментарии к закону «О персональных данных». В документе поясняется, что «при буквальном трактовании рассматриваемой нормы к понятию «персональные данные» можно отнести широкий круг информации, в том числе выходящий за рамки разумно ожидаемого в данном контексте». То есть здесь нет указания на связь между информацией, прямой или косвенной определенностью или «определяемостью» физического лица. Отсюда напрашивается вывод, что на сегодняшний день отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные относятся к персональным, а в каких — нет.

Увольнение за разглашение

Расторгнуть трудовые отношения с человеком в связи с разглашением сведений можно при условии, что информация к нему поступила при исполнении обязанностей на работе. Такое правило отражено в статье 81 ТК. К числу таких сотрудников относят руководящий состав организации, представителей кадровых подразделений, финансовых отделов. Работа этих граждан прямо связана с обработкой информации о сотрудниках. Когда сведения попали к человеку по случайному стечению обстоятельств – увольнение на этом основание считается не соответствующим закону.

Это связано с тем, что в перечень обязанностей человека не включается работа с персональными данными. Указанная мера носит дисциплинарное значение. Поэтому при наложении взыскания требуется учитывать правила, закрепленные в законах. Сотрудник может оспорить увольнение.

Тогда руководителю потребуется с помощью документации доказать виновность человека в разглашении сведений. Доказывают, что информация поступила к человеку в результате исполнения трудовых обязанностей. Документально подтверждают, что человек обязан был не разглашать информацию.

Можно привести пример из судебной практики. Гражданин И. обратился в судебный орган и попросил признать расторжение трудового соглашения незаконным. Просьба касалась возмещения морального время. Суд при рассмотрении установил, что И. трудоустроен в фирме был электромонтером. Сотрудники кадрового отдела вызвали его для того, чтобы почить кабель от телефона.

Пока И. чинил кабель – он увидел соглашение, где отражалось увольнение гражданки Р. В документе предусматривалась значительная выплата в виде компенсации. Этот акт сотрудница отдела кадров оставила на столе. Назавтра И. пришел к руководителю организации, попросил уволиться по соглашению сторон с аналогичной выплатой.

Директор отказал. И. обиделся и рассказывал об этой ситуации другим сотрудникам. По итогу И. уволили в соответствии с приказом руководства. Причиной стало разглашение данных.

Судья удовлетворил требования И. Указали, что в обязанности И. не входила работа с персональной информацией.

Особенности

Особенностью защиты персональных данных выступает множество спорных моментов возникающихт у работодателя при определении категории «персональные данные» как таковой.

Законодательство, хоть и указывает на некоторые конкретные типы таких данных, все же оставляет возможность дополнить их в соответствии с потребностями предприятия.

Поэтому перед внедрением средств защиты нужно четко определить, какие именно сведения будут ее объектом.

. Ведь такая необходимость связана не только с законодательными требованиями, но и с рядом других причин:

1. Информация – ценный ресурс, и ее утечка может быть использована третьими лицами в преступных целях (конкурентами, мошенниками, обиженными сотрудниками).
2. Развитие информационных технологий и появление множества технических средств предоставили широкое поле деятельности для мошенников – информацию теперь легче скопировать, украсть, повредить или уничтожить.
3. Влияние человеческого фактора – данные обрабатываются сотрудниками, и это не всегда одни только представители кадровой службы. Некоторые данные получает бухгалтерия или сотрудники сектора делопроизводства. Далеко не все эти люди выполняют требования по неразглашению информации, поэтому данный фактор тоже следует учесть.

При защите данных стоит принимать во внимание все эти особенности и возможные пути утечки информации

Если есть профсоюз

Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый — согласиться. Второй — в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий. После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

Как хранить и использовать?

Руководством предприятия устанавливается порядок, по которому осуществляется хранение и применение информации о сотрудниках. Указанные правила подлежат отражению в нормативах локального значения. Установлено, что они полностью должны отвечать требованиям законов.

Перечень типовых управленческих документов устанавливает срок, в течение которого хранятся сведения. Постоянный срок хранения применим к тем, кто занимал руководящие должности. Аналогичные положения отнесены к сотрудникам, имеющим звания и награды, премии. Для других работников такой период равняется 75 годам. Главный акт, где отражена информация о работе – трудовая книжка.

В ней прописаны данные персонального значения. Порядок хранения такого акта отражен в Правилах, утвержденных Правительством под № 225. Согласно указанному документу на руководство компании возлагается ответственность за сохранность книжек. Руководитель вправе издать приказ и с его помощью переложить ответственность на другого сотрудника.

Руководство компании обязано создать условия для сохранности информации. Сохранить их требуется от доступа других лиц, уничтожений. В некоторых ситуациях стараются внести изменения или распространить сведения. Подобных ситуаций потребуется избегать.

Что включает понятие персональные данные

Исходя из статьи 3 Закона о персональных к персональным данным можно отности следующую информацию:

• фамилия, имя, отчество;
• пол, возраст;
• дата и место рождения;
• паспортные данные;
• адрес регистрации по месту жительства и адрес фактического проживания;
• номер телефона (домашний, мобильный);
• данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации;
• семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления мне льгот, предусмотренных трудовым и налоговым законодательством;
• отношение к воинской обязанности;
• сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
• СНИЛС;
• ИНН;
• информация о приеме, переводе, увольнении и иных событиях, относящихся к моей трудовой деятельности в ООО » Ромашка «;
• сведения о доходах в ООО » Ромашка «;
• сведения о деловых и иных личных качествах, носящих оценочный характер.

Статья 3 Закона о персональных данных порождает больше вопросов, чем дает ответы на них, к примеру:

Какое сочетание указанной выше информации дает основание считать ее персональными данными?

Каков минимальный объем информации позволяет считать ее персональными данными?

Является ли фамилия (без указания имени и отчества) персональными данными?

Является ли адрес электронной почты персональными данными?

Начнем с простого вопроса: является ли сочетание фамилия + имя + отчество персональными данными?

Судебная практика отвечает на этот вопрос так: «

Ссылка ответчика на то обстоятельство, что фамилия, имя и отчество не являются персональными данными, не может быть принята во внимание, как противоречащая действующему законодательству, так как, исходя из положений п. 1 ст

3 ФЗ «О персональных данных» от 27 июля 2006 г. N 152-ФЗ персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) . » (Апелляционное определение Московского городского суда от 06.09.2012 по делу № 11-17136). Подобный вывод содержит также Постановление Нижегородского областного суда от 12.05.2015 № 4а-288/2015.

Вопрос посложнее: является ли сочетание имя + отчество персональными данными?

Вопрос посложнее: является ли сочетание фамилия + инициалы персональными данными?

Управление Роскомнадзора по Республике Карелия в своем Обзоре обращений граждан за II квартал 2012 года отвечает на этот вопрос так: «. Фамилия и инициалы гражданина — это, несомненно, персональные данные субъекта. Однако без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно. ФИО (фамилия, имя, отчество) наряду со многими другими способами используются для идентификации отдельного человека среди других. По своей природе это составной ключ, идентификатор, основанный на комбинациях трех параметров фамилии, имени и отчества, на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать.

Характер сведений, опубликованных в статье, не позволяет определить пол человека, его имя и отчество. Фамилия гражданки С. не является уникальной и довольно распространена».

На этом основании Управление Роскомнадзора не обнаружило в действиях редакции газеты признаков нарушения установленного законом порядка использования или распространения информации о гражданах (персональных данных).

Виды персональных данных работника

Личные данные работника в своей основной части хранятся в отделе кадров. Частично они также могут находиться в ОТИЗе и других отделах предприятия, занимающихся обработкой персональных данных.

Например, на предприятиях с усиленным режимом часть конфиденциальной информации о сотрудниках может храниться в отделе, ответственным за режим и охрану.

Отдел кадров получает и начинает хранить конфиденциальную информацию о работнике при его поступлении на работу.

Трудовой кодекс содержит минимальный перечень документов, которые претендующий на получение работы должен предоставить. В вы можете ознакомиться с этим списком.

Некоторые должности, сферы деятельности, многие учреждения государственной службы, государственные организации требуют в соответствии с законом предоставления специальной персональной информации в виде дополнительных сведений.

Кроме того, в теории ст. 349.1 ТК РФ обязывает сотрудников госкомпаний для избегания конфликта интересов и личной заинтересованности в выполнении возложенных на них функций предоставлять персональную информацию о членах своих семей.

Таким образом, мы можем выделить четыре вида личных данных сотрудников:

1. Общая персональная информация.
2. Специальная персональная информация.
3. Данные, являющиеся результатом или появляющиеся в процессе трудовой деятельности.
4. Персональные данные о членах семьи.

Рассмотрим более подробно, что включает каждая из этих групп.

Кто такие операторы персональных данных и чем они занимаются

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

• самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
• определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!

Какие сведения о компании не включаются в состав налоговой тайны (ИНН, среднесписочная численность и прочие)

К налоговой тайне не относятся сведения, полученные налоговыми органами и другими госструктурами, относимые к исключениям, указанным в подп. 1–13 п. 1 ст. 102 НК РФ. Они следующие:

• Сведения, предоставленные налоговыми или правоохранительными органами других стран, переданные в рамках международных договоренностей о сотрудничестве указанных ведомств этих стран с РФ.
• Информация о применении налогоплательщиком спецрежимов или участии его в консолидированной группе плательщиков налогов.
• С июня 2016 года среднесписочная численность работников за предшествующий год не относится к данным, составляющим налоговую тайну.
• С этого же периода не является тайной информация об уплаченных налогах, взносах и сборах организации за предыдущий год. Исключения — сведения о суммах таможенных сборов, взимаемых в рамках ЕАЭС, а также суммах, переведенных в рамках обязательств налогового агента.
• Информация о размере доходов и расходов за предшествующий год, предоставленная в налоговые органы в составе бухгалтерской (финансовой) отчетности.
• С 2016 года открытой считается также информация о постановке на учет организаций и физических лиц других стран.

Нормативно-правовая база

Основные юридические документы, устанавливающие принципы использования ПДн:

• Конституция Российской Федерации. Статьи 23 и 24 гарантируют гражданам неприкосновенность частной жизни, личную и семейную тайну, конфиденциальность в переписке, телефонных разговорах и иных сообщениях. Согласно этим положениям, ПДн принадлежат только их носителю и не должны контролироваться третьими лицами без его согласия. Со стороны государства гарантируется защита этого права граждан.
• Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006 определяет, кто и на каких условиях может использовать ПДн гражданина.

Для работников различных отраслей существуют отдельные нормативные акты, регулирующие правила обработки личной информации:

• Для трудящихся в организациях энергетической отрасли – Приказ Минэнерго России №166 «О работе по обработке персональных данных» от 11.11.2008.
• Для госслужащих – Федеральный Закон №79-ФЗ «О государственной гражданской службе РФ» от 27.07.2004.

На кого распространяются требования ФЗ 152

Доступ к ПДн конкретного лица разрешен специальным операторам. Это представители структур или организаций, которые производят получение и обработку ПД конкретного физического лица. При отсутствии разрешения субъекта любые операции с его ПДн являются нарушением закона. Личная информация о человеке обязательно должна быть ликвидирована после того, как отпала необходимость в ее использовании.

Законодательство не определяет срок действия согласия на обработку ПДн, поэтому он может быть указан непосредственно в бланке, который подписывает субъект. Такой период может определяться прямо или косвенно – например, «на 3 года» или «на время, указанное в трудовом договоре». Подписывая такие бумаги, проверяйте сроки и следите за тем, чтобы они были написаны реально.

Ответственность за использование персональных данных без согласия

Для нарушителей есть список штрафных санкций. Сюда относятся случаи:

• Обработки ПД в ситуациях, не предусмотренных законом. Это нарушение влечет за собой предупреждение или штраф: для граждан – 1000–3000, для должностных лиц – 5000–10 000, для юрлиц – 30 000–50 000 рублей.
• Обработки личных данных без письменного согласия субъекта. За это предусмотрены штрафные санкции: для граждан – 3000–5000, для должностных лиц – 10 000–20 000, для юрлиц – 15 000–75 000 рублей.

Использование ПДн без согласия субъекта может являться составной частью проступка, влекущего наказание по статье 137 Уголовного кодекса РФ. Сюда входят:

• Незаконное собирание сведений о частной жизни лица, являющихся его личной или семейной тайной. Это подразумевает штраф до 200 000 рублей, обязательные работы до 360 часов либо арест до 4 месяцев и др. Для должностных лиц возможна дисквалификация на срок до 3 лет.
• Действия по сбору разной информации о человеке, которое совершено с использованием служебного положения. Влечет штраф до 300 000 рублей, принудительные работы на срок до 4 лет либо арест до 6 месяцев и др. В большинстве случаев после наложения этой санкции гражданин лишается права занимать определенные должности на срок до 5 лет.