Является ли изображение гражданина его персональными данными

Обновлено: 28.06.2024

Что можно считать распространением персональных данных в кадровой работе? Когда следует получать у работников согласие о распространении их данных? Какова форма этого согласия?

Ответы на эти и многие другие вопросы вы найдете в нашей статье.

КОГДА ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ЯВЛЯЕТСЯ РАСПРОСТРАНЕНИЕМ

• обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

• распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

• предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Можно сделать следующие выводы:

1. Передача ПД может осуществляться путем их распространения, предоставления или открытием доступа к ним.

2. Распространение ПД — это один из видов передачи данных, при котором ПД раскрываются неопределенному кругу лиц.

Эти выводы очень важны, поскольку позволяют четко разделить, когда происходит распространение (данные видит неограниченный круг лиц), а когда предоставление (данные получают строго определенные лица).

Например, является ли предоставление ПД работника в банк для оформления зарплатной карты или передача данных работника для покупки билета на самолет распространением его ПД? Нет, не является, потому что эти данные предоставляются строго ограниченному кругу лиц. Их не сможет увидеть больше никто, кроме работников банка или специалистов по оформлению билетов.

Если все так очевидно, то почему мнения юристов и консультантов так противоречивы?

Полагаем, что законодатели сами несколько запутали ситуацию, применяя в п. 12 ст. 10.1 Федерального закона № 152-ФЗ все термины, характеризующие передачу ПД:

Извлечение из Федерального закона № 152-ФЗ

12. Передача (распространение, предоставление, доступ)[2] персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных.

Из этого некоторые специалисты делают некорректные выводы:

• все виды передачи ПД (в т. ч. их представление в ПФР, соцстрах, налоговую инспекцию) с 01.03.2021 обязательно должны сопровождаться получением от работника согласия на распространение его ПД;

• все данные о работнике, которые использует работодатель, должны быть включены в согласие, а работник сам отметит, к каким ПД он разрешает доступ, какие можно предоставлять, а какие — распространять.

ОБ ИЗМЕНЕНИИ ТЕКСТА СОГЛАСИЯ НА ОБРАБОТКУ ПД

Согласие на обработку ПД работников необходимо получать, только если работодатель собирает, обрабатывает и хранит данные, которые не связаны с исполнением трудового договора (фотография, адрес личной электронной почты и т. п.) То есть такие ПД, которые Трудовой кодекс РФ требовать у работника не обязывает.

Соответственно, если работодатель обрабатывает только обязательную информацию, установленную в ст. 65 ТК РФ и в разделах личной карточки формы № Т-2, согласие на обработку ПД работников может отсутствовать. Именно такие разъяснения ранее давал Роскомнадзор[3].

РАСПРОСТРАНЯЕТ ЛИ РАБОТОДАТЕЛЬ ПД СВОИХ РАБОТНИКОВ?

Извлечение из Федерального закона № 152-ФЗ

1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)[4];

В настоящее время практически каждая компания каким-либо образом представлена в Интернете:

• у нее есть свой сайт или страничка в социальной сети;

• она включена в каталоги предприятий или организаций города;

В офисах на досках объявлений размещают поздравления с днем рождения, фотографии лучших работников или фотоотчеты о мероприятиях, графики дежурств или какие-либо списки. И конечно, почти в каждом офисе на кабинетах есть таблички с указанием должностей и фамилий начальников или специалистов.

Откройте страницу 3 нашего журнала. Справа указаны фамилия и инициалы шеф-редактора, его заместителя, научного редактора, должности и фамилии авторов статей. Любой человек может видеть эти ПД.

Если ПД работников может увидеть любой человек, который откроет журнал, зайдет в помещение организации или на ее сайт в Интернете, то распространение ПД имеет место.

В соответствии с изменениями в законодательстве у каждого работника, чьи ПД находятся на всеобщем обозрении, следует взять согласие на распространение его персональных данных. Однако из этого правила есть исключение: получать согласие не требуется, если обязанность размещать ПД работников в сети Интернет предусмотрена законодательством РФ [5] .

[2] В извлечении выделено автором.

[4] Пункт 1 ч. 1 ст. 3 Федерального закона № 152-ФЗ.

[5] Разъяснения от 14.12.2012, п. 15 ст. 10.1 Федерального закона № 152-ФЗ.

А. Н. Славинская,
специалист по кадрам

Для физических лиц

История становления института защиты персональных данных Мировая история защиты персональных данных

С начала 60-х годов прогресс в области электронной обработки данных и появление первых ЭВМ позволило государственным органам и крупным предприятиям создавать обширные банки данных для повышения эффективности и увеличения сбора, обработки взаимосвязанных личных данных. Хотя такое развитие событий привнесло значительные преимущества с точки зрения эффективности и производительности, в свою очередь, это породило и явную тенденцию к массовому электронному хранению данных, касающихся частной жизни людей.

Первые шаги в этом направлении были предприняты в начале 70-х годов, когда впервые были установлены Принципы защиты персональных данных в автоматизированных банках данных в частном и государственном секторе. Цель состояла в том, чтобы привести в движение развитие национального законодательства на основе этих резолюций. Однако в ходе подготовки этих документов стало очевидно, что комплексная защита персональных данных будет эффективной только через дальнейшее укрепление таких национальных правил посредством обязательных международных норм. Это же предложение было сделано на Конференции европейских министров юстиции в 1972 году.

Основными принципами обработки и защиты персональных данных, предлагаемыми Конвенцией 108, стали добросовестность и законность получения и обработки персональных данных, хранение персональных данных для определенных и законных целей и неиспользование их способом, не совместимым с этими целями. Защита персональных данных должна осуществляться с применением соответствующих мер безопасности, что делает невозможным их случайное или несанкционированное уничтожение или случайную потерю, а также предотвращает несанкционированный доступ, модификацию и распространение персональных данных.

Предпосылки к построению системы защиты ПД

В связи со стремительным развитием информационной и телекоммуникационной сферы, с внедрением новых технологий, распространением инновационных, глобализационных и интеграционных процессов, Конвенция 108 стала основой для дальнейшего развития регулирования в сфере защиты персональных данных.

Поскольку ст. 4 предусматривает, что государства должны ввести в действие адекватное законодательство, прежде чем стать участником Конвенции, 38 государств ратифицировали Конвенцию и 13 ратифицировали дополнительный протокол. Другие страны готовятся ратифицировать документы, которые, с прецедентным правом Европейского суда по правам человека, являются частью образованного сообщества. Вместе с тем, эти инструменты не ограничиваются государствами-членами Совета Европы, поскольку ст. 23 для государств, которые не являются членами Совета Европы, предусматривается присоединение к Конвенции.

Эта эволюция представляет собой огромную проблему с точки зрения защиты персональных данных. Сегодня всевозрастающее число новых проблем и практических вопросов направляется в национальные органы по защите данных - в большинстве стран ими являются уполномоченные органы по защите данных.

Уполномоченные органы, как омбудсмены, которые стали неотъемлемой частью системы управления в демократическом обществе, должны интерпретировать принципы Конвенции и применять их при решении новых проблем и вопросов. Вместе с тем, опыт показывает, что ни принципы Конвенции, ни национальные правила по защите данных не могут регулировать точно каждую ситуацию, в которой персональные данные собраны в различных секторах: медицинская помощь и исследования, социальное обеспечение, страхование, банки, полиция, телекоммуникация и прямой маркетинг и т.д. Конечно, в каждой из этих областей данные должны быть собраны и обработаны в соответствии с основными принципами Конвенции, но пути и средства могут быть разными.

Защита персональных данных в Российской Федерации

Необходимо знать и помнить, что по степени информативности персональные данные разделяются. Кроме того, ответственность за действия с разными категориями персональных данных различна, равно как и ответственность тех, кто их обрабатывает. Например, существует информация, позволяющая только определить личность субъекта, - фамилия, имя и дата рождения. Информацией, по которой можно идентифицировать человека и получить о нем дополнительные сведения, могут быть адрес и сведения о заработках. Специальные категории персональных данных включают в себя информацию о национальной и расовой принадлежности субъекта, о религиозных либо философских убеждениях, информацию о здоровье и интимной жизни субъекта, судимости и пр. Также существуют общедоступные и обезличенные персональные данные. Общедоступные персональные данные, в соответствии с законодательством, не могут подвергаться сокрытию. Например, это могут быть сведения о доходах представителей органов государственной и муниципальной власти либо персональные данные, доступ к которым предоставлен с разрешения самого субъекта (пример социальных сетей – субъект размещает о себе ту информацию, которую считает необходимой, в открытом доступе на своей странице). Обезличенными персональными данными является информация, по которой невозможно определить ее принадлежность к конкретному физическому лицу. Такие данные могут быть зашифрованы, содержать код или идентификатор, наиболее часто такой метод используется в медицинских системах, в статистической отчетности и пр.

Берегите ваши персональные данные!

Помните: в соответствии с требованиями российского законодательства субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, соответственно, оператор персональных данных обязан предоставить данную информацию субъекту по запросу.

Защита прав субъектов персональных данных – ключевое направление в деятельности Роскомнадзора. Портал персональных данных создан для того, чтобы граждане страны - субъекты персональных данных получали оперативную, актуальную и квалифицированную помощь и поддержку в вопросах, связанных с обработкой их данных в государственных, коммерческих и иных информационных системах, и защитой их прав.

На Ваши вопросы готовы ответить специалисты Управления.

Имена, фамилии, должности, фотографии – неотъемлемые элементы публикаций СМИ. Они же – персональные данные граждан, защищаемые законом. На публикацию каких личных сведений в СМИ обращает внимание Роскомнадзор, какие данные относятся к персональным, в каких случаях журналист может использовать их без разрешения, а в каких нет – рассказываем в Карточках АНРИ.

Карточки подготовлены по материалам вебинаров, проведенных юристами Михаилом Хохолковым и Светланой Кузевановой в рамках проекта Альянса независимых региональных издателей (АНРИ) с использованием гранта Президента РФ на развитие гражданского общества, предоставленного Фондом президентских грантов.

Материал обновлен в 2021 году.

1. Что такое персональные данные?

Персональные данные (ПД) − это любая информация, прямо или косвенно относящаяся к физическому лицу, с помощью которой он может быть идентифицирован. Закрытого перечня таких данных не существует – к ним относят любые сведения, по которым можно идентифицировать человека: ФИО, паспортные данные, ИНН, СНИЛС, место работы и должность, сведения об образовании, имуществе и здоровье, cookie в браузере пользователя, семейное и социальное положение, а также изображение человека вкупе с другими данными. Для определения того, могут ли сведения идентифицировать человека важны скорее не сами данные, а их совокупность.

2. При чем тут СМИ?

Редакции СМИ имеют дело с персональными данными, когда (1) распространяют сведения в журналистских материалах; (2) выступают операторами данных и занимаются их обработкой (например, данных своих сотрудников или подписчиков).

Здесь мы рассказываем о первом случае использования персональных данных.

3. Какой закон регулирует защиту персональных данных?

Контроль защиты ПД осуществляет Роскомнадзор, который имеет довольно широкие полномочия и может составлять протоколы об административных правонарушениях. Ведомство самостоятельно определяет, являются ли распространяемые сведения персональными данными. В случае выявления нарушения РКН выносит редакции предупреждение. После двух предупреждений в течение года Роскомнадзор имеет право обратиться в суд с иском о прекращении деятельности СМИ.

4.

Абсолютно любые действия, совершаемые с персональными данными, называются их обработкой (сбор, хранение, распространение).

Закон закрепляет принципы обработки:

Законное и справедливое основание обработки ПД.

Подразумевается, что работать с данными можно либо с согласия субъекта ПД, либо без согласия – в случаях, предусмотренных законом.

Роскомнадзор в своей практике не относит к персональным данным ФИО или фото сами по себе, поэтому их можно публиковать без получения разрешения (при соблюдении требований ст. 152.2. Гражданского кодекса РФ). А вот фото вкупе с именем и/или должностью уже считаются персональными данными.

5. Когда можно публиковать ПД без согласия человека?

Понятно, что получить у героя публикации согласие на публикацию ПД невозможно, если статья носит разоблачительный характер.

В законе есть оговорки, позволяющие публиковать данные без согласия человека:

При распространении общественно-значимой информации.
При осуществлении профессиональной деятельности журналиста.
Если персональные данные общедоступны (картотеки судебных дел, государственные реестры).
Если персональные данные содержатся в документах, подлежащих обязательному опубликованию в соответствии с федеральным законом: например, декларации чиновников о доходах.

6. Общественно значимые цели публикации

Роскомнадзор самостоятельно не определяет наличие или отсутствие в публикации общественно значимых целей, поэтому журналисту стоит позаботиться о собственном обосновании общественного интереса и корреляции с этим интересом публикуемых личных данных, взятых, например, из Instagram конкретного чиновника.

7. Как должно выглядеть согласие героя публикации на распространение его персональных данных?

Согласие на обработку ПД может быть получено в письменной либо иной форме, позволяющей подтвердить факт его получения. Такие формы согласия, как электронные письма, переписка в мессенджере, видео, аудиозапись, допустимы, но ненадежны.

Требования к письменной форме согласия установлена законом и должна обязательно содержать (ч. 4 ст. 9 ФЗ «О персональных данных): ФИО, адрес субъекта или его представителя, данные паспорта; наименование или ФИО и адрес оператора, получающего согласие субъекта ПД; цель обработки ПД; перечень ПД, на обработку которых соглашается человек; наименование или ФИО, адрес третьего лица, которому передают ПД; перечень действий с ПД, на совершение которых дается согласие; срок, в течение которого действует согласие, а также способ его отзыва; подпись субъекта ПД.

8. Являются ли фотографии персональными данными?

Биометрические ПД – это сведения, характеризующие физиологические и биологические особенности человека, с помощью которых можно установить его личность. Роскомнадзор к таким данным относит отпечатки пальцев, радужную оболочку глаза, анализы ДНК, рост, вес, а также фото и видеоизображение человека.

Кроме того, публикуя портретное фото, журналисту нужно помнить о праве на изображение. Об этом мы писали в серии Карточек об авторском праве.

9. Существуют ли ограничения при работе с открытыми реестрами данных?

Журналисты много работают с государственными общедоступными реестрами: картотеками судебных решений, ЕГРЮЛ, декларациями чиновников и т.п., часто совмещая в одной публикации сведения из разных источников.

10. Что можно, а чего нельзя писать о детях?

При публикации информации о детях, их фотографий всегда необходимо письменное согласие родителей (опекуна).

Те же условия действуют в ситуации, когда речь идет о несовершеннолетнем, совершившим преступление (административное правонарушение или антиобщественное действие) либо подозреваемым в его совершении.

11. Как публиковать объявления о розыске ребенка?

Постарайтесь сохранять скриншоты ориентировок и писем правоохранительных органов – они страхуют СМИ от возможных претензий.

12. Как публиковать информацию об обвиняемом в преступлении?

СМИ могут публиковать данные о подозреваемом или обвиняемом в преступлении (имя, фамилия, возраст, место преступления) в том объеме, в котором ее предоставляют официальные источники – следственные органы, прокуратура или МВД. Не забывайте про скриншоты пресс-релизов, поскольку правоохранительные органы часто меняют или удаляют ранее распространенную информацию.

13. Так как сделать журналистский материал и не нарушить закон о персональных данных?

Итого, журналисту необходимо заручиться согласием субъекта данных либо соблюсти одно из четырех условий свободного использования ПД:

распространение общественно-значимой информации,
осуществление законной профессиональной деятельности журналиста,
использование данных, обязательных к раскрытию.

Обратите внимание: согласие на распространение персональных данных — отдельный документ, его нельзя оформлять в совокупности с другими документами.

Что указывать в согласии

Содержание согласия определяется Приказом № 18. В документе обязательно должны быть:

Фамилия, имя, отчество субъекта персональных данных.
Контактная информация субъекта персональных данных: номер телефона, адрес электронной или обычной почты.
Сведения об организации — операторе персональных данных, которому человек предоставляет согласие.

Если оператором выступает юридическое лицо, субъект должен указать наименование организации, адрес из ЕГРЮЛ, ИНН и госномер, если он его знает.

Если ИП — ФИО, ИНН и госномер, если знает.

Если вы размещаете сведения на нескольких сайтах, укажите полные адреса всех. Человек должен знать, где будет опубликована информация о нем.

Цель или цели обработки и распространения персональных данных.
Категории и перечень ПД, которые можно распространять. Приказ № 18 предлагает объемный перечень, куда входят ФИО субъекта персональных данных, дата рождения, образование, профессия, доходы и пр. В этот раздел может быть отнесена биометрия, а также все, что ст. 10 и 11 Закона № 152-ФЗ относят к специальной категории ПД: национальность, расовая принадлежность, политические взгляды, религиозные и философские убеждения и пр.

Обратите внимание: сотрудник не обязан давать согласие на распространение всех сведений из списка. Он может установить запрет в отношении любого вида информации.

Категории и перечень персональных данных, которые субъект запрещает распространять. Здесь же указываются условия запрета.

Исключения — информация, которая необходима в рамках действующего законодательства, исполнения требований судебными органами и пр. Здесь никто ограничивать работу с персональными данными не может.

Условия передачи оператором данных:

только по внутренним сетям, доступ к которым имеет ограниченный круг сотрудников;
по информационно-телекоммуникационным сетям;
полный запрет на передачу сведений куда-либо.

Срок действия согласия, который устанавливает сам субъект.

Как получить согласие

Согласие можно получать непосредственно у субъекта в бумажном или электронном формате или через информационную систему Роскомнадзора, которая заработает с 1 марта 2022 года. Приказ о ее создании уже утвержден.

Что делать, если человек отозвал согласие

Если человек передумал, он должен подать оператору, которому предоставлял согласие, требование о прекращении обработки и распространения персональных данных (ст. 10.1 Закона № 152-ФЗ). Это может быть любое лицо работодателя: генеральный директор, руководитель или специалист отдела кадров — закон не уточняет.

В требовании должны быть указаны: фамилия, имя, отчество (при наличии), контактная информация (номер телефона, адрес электронной почты или почтовый адрес), а также перечень персональных данных, обработка которых подлежит прекращению.

Требование лучше составить в письменной, а не электронной форме, потому что в уже сложившейся практике электронная форма не всегда принимается в качестве доказательств. Поскольку работодатели только начинают работать с согласиями на распространение ПД, то отдельной практики по этому вопросу ни инспекционной, ни судебной пока нет.

Если работодатель самостоятельно не прекращает распространять информацию в течение трех рабочих дней с момента получения требования, человек может обратиться в суд. Если суд не определил дату прекращения распространения персональных данных, то у организации есть три рабочих дня с момента вступления решения суда в законную силу.

Судебное разбирательство очень неудобно прежде всего для самого субъекта, потому что есть установленные законодательством регламенты и сроки. Рассмотрение претензии может затянуться на месяц или дольше.

За отказ прекратить распространение персональных данных предусмотрена административная ответственность. Ущерб может оказаться существенно больше, чем предполагаемая выгода от распространения.

Зачем нужна информационная система (ИС) Роскомнадзора

Новая ИС для работы с согласиями на распространение персональных данных откроется
с 1 марта 2022 года (Приказ Роскомнадзора от 21.06.2021 № 106). Система будет аккумулировать следующую информацию:

факт предоставления согласия;
цели обработки ПД;
информационные ресурсы оператора;
категории и перечни ПД, которые разрешено распространять;
категории и перечни ПД, для которых установлены условия и запреты;
перечень условий и запретов, устанавливаемых в отношении персональных данных.

Это будет единая база по всем подписанным и отозванным согласиям, запретам и ограничениям.

Важно! Само согласие и содержащиеся в нем персональные данные не передаются в информационную систему Роскомнадзора, оператору и иным третьим лицам.Чтобы сотрудник мог воспользоваться ИС Роскомнадзора, ему необходимо получить электронную подпись, зарегистрироваться в ИС, ввести в форму согласия свои данные и при желании установить запреты и/или ограничения. Работодатель увидит всю информацию тоже только после регистрации. Подробную инструкцию предлагает Приказ Роскомнадзора № 106, но как на практике выстроится взаимодействие, покажет время.

Какие штрафы ждут работодателей

Большинство нарушений подпадает под действие ч. 1 ст. 13.11 КоАП — обработка персональных данных, не соответствующая требованиям законодательства или заявленным целям. К ней относятся ошибки в локальных нормативных актах, в порядке сбора и передачи информации и пр.

гражданам от 2 000 до 6 000 руб.;
должностным лицам — от 10 000 до 20 000 руб.;
юридическим лицам — от 60 000 до 100 000 руб.

Если Роскомнадзор обнаружит, что ситуация повторяется, штраф увеличится более чем в два раза (ч. 1.1 ст. 13.11 КоАП).

Для согласий на обработку и распространение персональных данных выделена ч. 2 ст. 13.11 КоАП, она касается нарушений в порядке получения документов или их отсутствия. Поэтому внимательно сверяйте свои документы с требованиями законодательства. Согласие на обработку — со ст. 9 Закона № 152-ФЗ, согласие на распространение — со ст. 10.1 Закона № 152-ФЗ и Приказом № 18.

Обязательно проанализируйте, по всем ли сведениям у вас есть согласие. Чаще всего из поля зрения работодателей выпадают соискатели, совместители, родственники сотрудников и иные третьи лица, чьи данные обрабатываются в организации.

Штрафы за первое нарушение по ч. 2 ст. 13.11 КоАП:

гражданам — от 6 000 до 10 000 руб.;
должностным лицам — от 20 000 до 40 000 руб.;
юридическим лицам — от 30 000 до 150 000 руб.

При повторном нарушении максимальный размер штрафа сейчас может достигать суммы в 500 000 руб. на организацию. Санкции могут применяться к каждому согласию, оформленному с нарушениями или неполученному в установленном порядке, так что ошибки в работе с согласиями на обработку и распространение персональных данных могут обойтись очень дорого.

Но самые суровые части — ч. 8 и 9 ст. 13.11. Они предусматривают наказание за однократные и повторяющиеся нарушения в порядке сбора ПД граждан РФ, их записи, систематизации, хранения, блокировки и уничтожения.

Максимальный штраф на организацию по ч. 8 — 6 млн руб., по ч. 9 — 18 млн руб.

Чтобы не выплачивать огромные суммы, сейчас важно получить сами согласия и проверить их содержание. На этот участок работы Роскомнадзор будет обращать внимание в первую очередь.

Читайте также:

Является ли изображение гражданина его персональными данными

​1.

​​​Что такое персональные данные?

​​2.

При чем тут СМИ?

​3.

Какой закон регулирует защиту персональных данных?

​​4.

5.

Когда можно публиковать ПД без согласия человека?

6.

​Общественно значимые цели публикации

7.

Как должно выглядеть согласие героя публикации на распространение его персональных данных?

8.

​​​Являются ли фотографии персональными данными?

9.

​Существуют ли ограничения при работе с открытыми реестрами данных?

10.

​​​Что можно, а чего нельзя писать о детях?

11.

​​​Как публиковать объявления о розыске ребенка?

12.

​​​Как публиковать информацию об обвиняемом в преступлении?

13.

Так как сделать журналистский материал и не нарушить закон о персональных данных?

Что указывать в согласии

Как получить согласие

Что делать, если человек отозвал согласие

Зачем нужна информационная система (ИС) Роскомнадзора

Какие штрафы ждут работодателей

1.

Что такое персональные данные?

2.

3.

4.

Общественно значимые цели публикации

Являются ли фотографии персональными данными?

Существуют ли ограничения при работе с открытыми реестрами данных?

Что можно, а чего нельзя писать о детях?

Как публиковать объявления о розыске ребенка?

Как публиковать информацию об обвиняемом в преступлении?