Как наладить работу с персональными данными

Персональные данные (далее — ПД) в компании — это не просто Ф. И. О. и паспорт, а репутация компании, доверие работников и реальный риск штрафов. Даже небольшая утечка или забытое согласие могут обернуться проверкой и серьезными последствиями. Но если выстроить систему правильно, ПД перестают быть головной болью и превращаются в управляемый процесс: понятный, прозрачный и безопасный.

С чего начать работу с ПД, как сделать это без хаоса и формальностей «ради галочки»: разберемся по шагам.

ЧТО ТАКОЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Основные понятия

ПД — любая информация, прямо или косвенно относящаяся к субъекту ПД[1]. То есть это любая информация, которая позволяет идентифицировать конкретного человека. Даже если нет паспорта и других документов, но по набору любых имеющихся сведений можно определить человека — это уже ПД[2].

Субъект ПД — это физическое лицо, к которому относится собираемая и обрабатываемая информация.

В контексте работодателя это прежде всего:

• работники (в т. ч. бывшие работники);

• кандидаты на замещение вакантных должностей;

• состав кадрового резерва;

• родственники работников (если их данные запрашиваются для льгот, налоговых вычетов или соцгарантий, а также для ведения воинского учета);

• клиенты, подрядчики, контрагенты и их представители — любые люди (физические лица), чьи ПД компания получает и обрабатывает.

Лицо (физическое или юридическое), которое обрабатывает ПД, является оператором. С точки зрения трудовых отношений, основным оператором выступает работодатель: именно на него закон возлагает всю полноту ответственности за соблюдение установленного порядка обработки ПД своих работников.

Под самой обработкой понимается любое действие или набор действий, совершаемых с ПД: сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление и уничтожение. Обработку ПД следует производить тщательно, учитывая требования законодательства, рекомендации госорганов и судебную практику.

Три ключевые категории персональных данных

Есть три ключевые категории ПД:

• «общие» ПД;

• биометрические ПД;

• специальные категории ПД.

1. «Общие» ПД обычно запрашиваются при трудоустройстве и в процессе работы. Это, в частности[3]:

• фамилия, имя, отчество;

• пол, возраст;

• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;

• место жительства;

• семейное положение, наличие детей, родственные связи;

• финансовое положение, сведения о заработной плате, банковский счет, номер банковской карты;

• факты биографии и предыдущая трудовая деятельность (место работы, служба в армии, работа на выборных должностях, на государственной службе и др.);

• контактные данные;

• иные сведения, которые могут идентифицировать человека.

2. Биометрические ПД — сведения, которые позволяют установить личность по физиологическим или биологическим характеристикам[4]:

• фотография (например, на пропуске или на сайте);

• видеозапись с камер наблюдения;

• отпечатки пальцев, радужка глаза, образец голоса, ДНК;

• скан паспорта или фото в формате, пригодном для распознавания лица.

Например, цветное цифровое фотоизображение лица владельца документа является его биометрическими ПД[5]. Требования к формату изображения лица, предназначенного для хранения в записи биометрических данных, установлены ГОСТ Р ИСО/МЭК 19794-5-2013[6].

Обработка данных, которые отнесены к биометрическим ПД, по общему правилу должна осуществляться только с письменного согласия субъекта ПД.

3. Специальные категории ПД — это сведения, которые затрагивают чувствительную сферу частной жизни, и которые можно обрабатывать в установленных законом случаях, в том числе:

• состояние здоровья, инвалидность, больничные листы, медосмотры;

• судимость;

• национальность, расовая принадлежность;

• религиозные и политические взгляды, философские убеждения;

• интимная жизнь.