Кадровые специалисты каждый день работают с персональными данными работников и знают, что необходимо соблюдать конфиденциальность этих данных. У большинства специалистов есть четкое понимание того, что ФИО, ИНН, СНИЛС, серия и номер паспорта, адрес регистрации, номер телефона и e-mail относятся к персональным данным сотрудника. Но персональные данные не ограничиваются перечисленной информацией.
Персональные данные — юридическое определение
Пункт 1 статьи 3 Федерального закона № 152-ФЗ от 27 июля 2006 г. «О персональных данных» дает следующее определение персональным данным: это «любая информация, прямо или косвенно относящаяся к определяемому или определенному физическому лицу».
Пояснения Минцифры и Роскомнадзора
Согласно ответу Минцифры(есть в распоряжении редакции) табельный номер однозначно относится к персональным данным. Вот цитата из комментария ведомства:
«Учитывая, что табельный номер сотрудника (в том числе уволенного) не может быть присвоен другому сотруднику, то данные сведения позволяют идентифицировать конкретное физическое лицо, а, следовательно, являются персональными данными»
При этом в письме Роскомнадзора(есть в распоряжении редакции) дается несколько иной ответ. Роскомнадзор пишет, что табельный номер работника может быть персональными данными только при условии, что он прямо или косвенно связан с «определенным или определяемым физическим лицом».
Как трактовать ответы государственных служб?
Как стоит интерпретировать ответы ведомств? Минцифры ответило более формально, руководствуясь буквой закона. Если закон говорит, что любая информация, относящаяся к определенному лицу, является персональными данными, то табельный номер точно относится к определенному физическому лицу, поэтому считается персональными данными.
Ответ Роскомнадзора в большей степени ориентирован на реальную практику, чем на закон. По сути ведомство сообщает следующее: если где-то написан номер «12345», то это еще не персональные данные, т.к. не понятно, является ли это число табельным номером, а также с какой организацией или физическим лицом связан этот номер. А если в документе определенной организации указан табельный номер «12345», то это уже персональные данные, т.к. табельный номер в определенной организации однозначно связан с неким конкретным физическим лицом. Например, если к кадровому специалисту кто-то обращается с вопросом, трудоустроен ли в организации сотрудник с табельным номером «12345», то эта информация становится персональными данными — и ее нельзя раскрывать без законных оснований. При этом не имеет значения, что вместе с табельным номером не указываются никакие другие данные сотрудника, такие как ФИО, паспортные данные или ИНН.
Как компании непреднамеренно нарушают закон
Компании часто неосознанно нарушают конфиденциальность персональных данных своих сотрудников. Так, кадровые специалисты могут объединить в один приказ информацию, касающуюся нескольких работников, чтобы не формировать отдельные документы для каждого работника. Делается это чаще всего ради экономии времени и сил. Но нужно понимать, что при ознакомлении с таким приказом один сотрудник будет видеть персональные данные другого сотрудника, а это уже нарушение федерального закона №152-ФЗ, который запрещает передавать персональные данные третьим лицам без согласия субъекта персональных данных.
Есть четкое понимание, что нельзя разглашать размер заработной платы или премии, потому что это потенциально может вызывать трения в коллективе. Работники спросят: почему у кого-то зарплата больше, а у кого-то меньше? При этом кажется, что упоминание имени сотрудника в приказе или сообщение о том, что он выйдет на работу в субботу, не является чувствительной информаций, однако это не так. Перечисленная информация относится к персональным данным. У людей могут быть разные личные и семейные обстоятельства. Иногда раскрытие каких-то персональных данных может иметь последствия для личной жизни человека, а за нарушение неприкосновенности частной жизни предусмотрена ответственность по статье 137 Уголовного кодекса РФ.
Не стоит забывать и о социальной инженерии. Технологии мошенников работают таким образом, что из жертвы или ее окружения постепенно вытягивают все нужные сведения. Возможно, по отдельности имя, табельный номер, сведения о родственниках и детях нельзя использовать во вред, однако вместе они образуют единую картину, открывающую пространство для мошенничества, манипуляций и прочих угроз.
Есть четкое понимание, что нельзя разглашать размер заработной платы или премии, потому что это потенциально может вызывать трения в коллективе. Работники спросят: почему у кого-то зарплата больше, а у кого-то меньше? При этом кажется, что упоминание имени сотрудника в приказе или сообщение о том, что он выйдет на работу в субботу, не является чувствительной информаций, однако это не так. Перечисленная информация относится к персональным данным. У людей могут быть разные личные и семейные обстоятельства. Иногда раскрытие каких-то персональных данных может иметь последствия для личной жизни человека, а за нарушение неприкосновенности частной жизни предусмотрена ответственность по статье 137 Уголовного кодекса РФ.
Не стоит забывать и о социальной инженерии. Технологии мошенников работают таким образом, что из жертвы или ее окружения постепенно вытягивают все нужные сведения. Возможно, по отдельности имя, табельный номер, сведения о родственниках и детях нельзя использовать во вред, однако вместе они образуют единую картину, открывающую пространство для мошенничества, манипуляций и прочих угроз.
Разглашение персональных данных сотрудника квалифицируется как административное правонарушение. За однократное нарушение закона с юридических лиц суд может взыскать от 60 до 100 тысяч рублей. Повторное нарушение облагается штрафом от 100 до 300 тысяч. Однако если действия, повлекшие за собой разглашение персональных данных сотрудников, будут квалифицированы по другим пунктам статьи 13.11 КОАП, штраф может достигать 6 млн. рублей.
Как EasyDocs помогает клиентам соблюдать закон о персональных данных
Экономия времени кадровых специалистов — это важно. Но экономия не должна быть сопряжена с дополнительными рисками. Система КЭДО помогает оптимизировать работу с документами, позволяя создавать индивидуальные приказы в один клик. К тому же КЭДО корректно обрабатывает данные, защищает их, что не увеличивает трудоемкость для кадровых специалистов.
В EasyDocs мы понимаем, насколько важно соблюдать конфиденциальность персональных данных и обеспечивать их безопасную обработку. Сервера компании находятся в надежном дата-центре на территории РФ. Также мы регулярно проводим оценку эффективности мер по обеспечению безопасности персональных данных. Это делает работу с КЭДО EasyDocs надежной и безопасной.
В EasyDocs мы понимаем, насколько важно соблюдать конфиденциальность персональных данных и обеспечивать их безопасную обработку. Сервера компании находятся в надежном дата-центре на территории РФ. Также мы регулярно проводим оценку эффективности мер по обеспечению безопасности персональных данных. Это делает работу с КЭДО EasyDocs надежной и безопасной.