Существует ли перечень необходимых документов по организации работы по защите персональных данных в государственном казенном учреждении?

Передача ПД работников в пределах одной организации

Работодатель обязан «осуществлять передачу ПД работника в пределах организации, у одного ИП в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись» (абз. 5 ст. 88 ТК РФ).

Передача ПД работников в пределах одной организации – это перемещение данных между структурными подразделениями. Сюда не входят случаи передачи ПД в группе компаний, которая равнозначна передаче ПД третьим лицам.

Во внутреннем локальном акте у каждой компании и ИП должны быть описаны процедура передачи ПД работников, правила и цели их обработки, перечислены структурные подразделения компании, участвующие в обработке, и т.д. С этим актом работник должен быть ознакомлен во время подписания трудового договора.

Часто предприниматели не соблюдают правило о создании локальных актов о ПД. Также многие не знают о том, что документы, регулирующие правила обработки ПД, должны быть разработаны не только для работников, но и для других категорий субъектов ПД (соискателей, клиентов и т.д.).

Работодатель обязан «разрешать доступ к ПД работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД работника, которые необходимы для выполнения конкретных функций» (абз. 6 ст. 88 ТК РФ).

Работодатель обязан «передавать ПД работника представителям работников в порядке, установленном настоящим кодексом , и ограничивать эту информацию только теми ПД работника, которые необходимы для выполнения указанными представителями их функций» (абз. 8 ст. 88 ТК РФ).

В каждой организации и у ИП должны быть назначены сотрудники, которые имеют право работать с ПД коллег. Одного из них необходимо приказом руководителя назначить ответственным за обработку ПД. В его обязанности должны входить создание локальных актов в сфере обработки ПД и контроль за соблюдением работниками правил, прописанных в этих актах. Наличие такого сотрудника позволяет минимизировать риски компании и разгрузить отдел кадров и руководителя.

Остальные работники должны выполнять обязанности по непосредственной обработке ПД. Обычно это сотрудники бухгалтерии и отдела кадров. Их список необходимо установить приказом или внутренним локальным актом. Эти документы также должны содержать перечень ПД работников, которые могут обрабатываться каждым сотрудником.

Нередко компании не назначают ответственного за обработку ПД и не создают отдельных документов с перечнем лиц, наделенных правом на обработку данных сотрудников.

Ответственность за нарушение закона: штраф для ИП – от 1 тыс. до 5 тыс. руб., для юрлиц – от 30 тыс. до 50 тыс. руб. В случае повторного нарушения штраф для ИП – от 10 тыс. до 20 тыс. руб., для юрлиц – от 50 тыс. до 70 тыс. руб. (ч. 1, 2 ст. 5.27 КоАП РФ).

Также придется выплатить компенсацию морального вреда работнику, чьи права были нарушены.

Пример из личной практики

К нам обратилась компания, которую привлекли к административной ответственности в виде штрафа в размере 45 тыс. руб. по ч. 1 ст. 5.27 КоАП РФ. Госинспекция труда при проверке обнаружила отсутствие локального акта, устанавливающего порядок внутренней передачи ПД работников. Также было вынесено предписание об устранении выявленных нарушений, так как не был составлен перечень лиц, имеющих право на обработку ПД сотрудников.

Запасаемся бумагами

Итак, с ответственностью за нарушение правил работы с персональными данными мы разобрались. Давайте теперь посмотрим, что же надо сделать организации, дабы избежать штрафов.

Надо отметить, что правила, установленные Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных», касаются не только тех организаций, которые имеют дело с клиентскими базами данных. Соблюдать требования этого закона должны все организации, в которых есть хотя бы один работник. Связано это с тем, что к персональным данным законодатели среди прочего отнесли и те сведения, которые предприятие получает от своих сотрудников, принимая их на работу. А это значит, что организация обязана их защищать в полном соответствии с законом.

Отметим, что закон не делает каких-то различий между тем, на каких носителях в организации существуют документы, содержащие персональные данные. Так что, и тот работодатель, который внедрил высокотехнологические информационные системы, и тот, который ведет работу с кадровыми документами на бумаге, обязаны принять ряд организационных и технических мер по защите персональных данных сотрудников. Именно формальное выполнение этих мер в большинстве случаев и контролируют специалисты Роскомнадзора.

Первое, что захотят увидеть проверяющие, — это приказ руководителя о назначении ответственного за работу с персональными данными и обеспечении их защиты. Таким ответственным может быть как конкретное лицо (образец приказа можно скачать здесь), так и подразделение (образец приказа можно скачать здесь). В последнем случае личную ответственность несет руководитель такого подразделения.

Далее потребуется утвердить документ, содержащий перечень персональных данных (образец приказа можно скачать здесь), которые реально используются в деятельности организации. Составляя такой документ, не забудьте включить в него все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

В этом перечне должны быть:

• заявление о приеме на работу;
• анкета сотрудника;
• личная карточка;
• личное дело;
• трудовой договор;
• приказы;
• трудовая книжка;
• материалы аттестационных комиссий.

Это один раздел перечня. Если же в организации имеется внутренний документооборот, содержащий сведения о сотрудниках (например, отчеты и материалы, которые составляются для акционеров, учредителей, головной организации и т.п.), то эти отчеты тоже нужно включить в перечень.

Помимо этого, в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Здесь заметим, что подготовка такого перечня важна не только для соблюдения требований законодательства. Он позволит упорядочить работу с персональными данными внутри организации

Дело в том, что трудоемкость защиты персональных данных напрямую зависит от степени важности обрабатываемых сведений. Например, информация о политических и религиозных взглядах, личной жизни человека, здоровье, национальности законом отнесена к категориям информации, которые подлежат более надежным методам и средствам защиты, чем данные, идентифицирующие личность

Поэтому анализ составленного перечня и исключение из него данных, не являющихся безусловно необходимыми в деятельности организации, позволит существенно удешевить систему защиты персональных данных.

Следующий этап работы — подготовка и утверждение списка лиц, допущенных к работе с персональными данными. Этот документ утверждается приказом руководителя и доводится под подпись до всех указанных в нем сотрудников (образец приказа можно скачать здесь).

Еще один документ, который нужно подготовить и утвердить — Положение о работе с персональными данными (примерный образец Положения см. здесь; на основании этого образца нужно составить свое Положение, дополнив его особенностями сбора, обработки и использования персональных данных работников вашей компании). В Положении о работе с персональными данными нужно детально прописать все требования к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а также гарантии по их защите. С Положением нужно под подпись ознакомить всех сотрудников, включенных в список лиц, допущенных к работе с персональными данными.

Что содержит пакет сопровождающей документации?

В поле деятельности операторов входят различные операции с информацией. Это обработка, сбор, хранение, защита, передача и разглашение идентификационных данных.

Для каждого из этих действий предусмотрены нормативные документы.

Сбор и обработка

• Перечень должностей и других лиц, допущенных к ОПД – Основания передачи данных на обработку, списки контрагентов и сотрудников.
• Перечень обрабатываемой информации – Содержит цели и основания обработки, условия ее прекращения, состав данных, категорию субъектов.
• Перечень помещений для ОПД – Адреса офисов и помещений, где возможна обработка ПД.
• Инструкция ответственного за организацию обработки – Документ, который устанавливает права, обязанности и ответственность ответственного за организацию процесса (юридической фирмы, сотрудника, системного интегратора).
• Об обработке данных – Положение, устанавливающее правила обработки, хранения и использования информации, ответственность оператора и права субъекта.
• Политика в отношении ОПД – Публичный документ без содержания отсылок, который располагается на видном месте офисов и на сайте оператора.
• Уведомление об ОПД – Документ, который подается в РКН потенциальным оператором до начала работы с информацией с целью включения фирмы, индивидуального предпринимателя, физического лица или другого объекта, имеющего дело с ПД в реестр операторов ПД.

Хранение

Регламент учета, хранения и уничтожения носителей – Определяет все процедуры учета, хранения и, в предусмотренных законом случаях, возможные способы уничтожения носителей.

Защита

Документы, регулирующие защиту персональных данных:

• Приказ о назначении комиссии – Приказ, определяющий состав комиссии, которая, руководствуясь специальным Положением, будет следить за соответствием обеспечиваемых мер защиты действующему законодательству (В данном случае 152-ФЗ).
• О комиссии по защите – Положение, которое определяет права, обязанности и ответственность членов Комиссии.
• Перечень средств защиты – Содержит список специализированных средств, применяемых в конкретной компании.
• Приказ о назначении лиц, ответственных за обработку и защиту.
• Положение по защите – Информация о системе защиты, требования к ней и порядок ее реализации.
• Регламент определения уровней защищенности – Определяет и описывает уровни защищенности, видов угроз и ущерба.
• ТЗ на систему защиты данных – Описание необходимых защитных подсистем, которые должны обеспечить корректную безопасную работу операторов.

Передача

Бумаги, касающиеся передачи персональных данных:

• Регламент по трансграничной передаче информации – Определяет порядок передачи данных через границу РФ.
• Заявление физического лица о согласии на передачу оператором данных третьим лицам – Образец заявления, которое свидетельствует о добровольном согласии субъекта.
• Согласие на передачу данных работника третьим лицам – Документ, который в случае необходимости пишется наемным сотрудником в пользу работодателя, который в данном случае является оператором.

Разглашение

Обязательство о неразглашении – обязательство, которое подписывается при приеме на работу новым сотрудником. Регламентирует его ответственность за обработку и разглашение ПД.

Роскомнадзор – это структура с широким спектром полномочий и обязанностей, а персональные данные – довольно сложная тема, вызывающая много споров. Для успешного взаимодействия с исполнительными органами и законом нужно изучить большое количество тонкостей.

К счастью, в современных реалиях, в век широкой доступности информации, в сети можно найти любой интересующий оператора или субъекта документ и изучить его, что сильно облегчает задачу. В этой сфере нет мелочей и нужно быть крайне внимательным, ведь то, что может показаться сотруднику незначительным, может оказаться нарушением законодательства.

Как передаются персональные данные

Использование конфиденциальной информации о сотрудниках внутри самой компании регламентировано Положением о персональных данных, которое принимается руководителем. Сотрудники непременно должны быть ознакомлены с этим порядком, что подтверждается их личными подписями.

Организация должна предусмотреть круг лиц, которым предоставляется по долгу службы санкционированный доступ к персональным сведениям. Этими лицами должно быть подписано Обязательство о неразглашении, форма которого также разрабатывается в рамках организации.

1. Запрещение предоставления данных любым третьим лицам или органам без наличия письменного согласия самого физического лица (исключение – угроза жизни и/или здоровью).
2. Запрет на коммерческое использование полученных данных.
3. При передаче четко регламентировать цель сообщения сведений и предупредить о ней получающее лицо.
4. То или иное лицо, которому разрешено использовать персональные данные, может это делать только в объеме должностной инструкции.
5. Отклонение от установленного порядка предусматривает серьезную ответственность виновного лица.

Алгоритм утверждения положения о защите персональных сведений

Положение, регламентирующее процесс работы с персональной информацией, раскрывает, как должны храниться и использоваться сведения, относящиеся к служащим фирмы, пациентам лечебного учреждения, клиентам и т.д. Законодатель не устанавливает, какая форма должна быть у документа. Компании разрабатывают его самостоятельно.

Процесс принятия и внедрения локального акта состоит из нескольких этапов:

• создание проекта;
• получение согласования от компетентных специалистов компании;
• введение в действие путем подписания приказа;
• доведение документа до сотрудников, которые знакомятся с ним под роспись.

В большинстве организаций к личной относится информация о сотрудниках, поэтому разработкой положения занимается кадровая служба. Приказ о внедрении локального акта в работу составляется в свободном виде.

Как регулировалось распространение ПД до 1 марта 2021 г.?

1. Законность распространения ПД подтверждалась несколькими способами.

• Оформление согласия на обработку ПД. Оно могло оформляться как письменно, так и путем заполнения формы на сайте4.

  Пример: предоставление согласия на обработку ПД на сайте объявлений о продаже автомобилей. Сайт получает согласие продавца, размещает его имя и номер телефона, чтобы с ним могли связаться покупатели.

• Заключение договора с лицом, по которому компания распространяла ПД в его интересах. В этом случае согласие не требовалось5.

  Пример: заключение договора с рекрутинговым агентством, по которому оно размещает на своем сайте анкету с ПД соискателя и к ней получает доступ неограниченное число лиц.

2. Если оператор незаконно получил и распространил ПД, то «пострадавшее» лицо доказывало факт незаконности получения оператором его ПД. Оператор обязан был уничтожить ПД, если лицо предоставляло сведения, подтверждавшие, что ПД были получены оператором незаконно6.

Насколько необходимо Положение о персональных данных

Наниматель, принимая на свое попечение физических лиц с присущим им комплектом персональных данных, законодательно обязан позаботиться об одобренных государством способах их обработки. При этом он обязан руководствоваться вышеприведенной нормативной базой, а индивидуальные тонкости отразить в специальных внутренних документах.

Как составить приказ об утверждении положения о защите персональных данных работников?

Самостоятельно регламентировать особенности действий с персональными данными сотрудников работодателей обязали недавно. Ст. 90 ТК РФ устанавливает ответственность лица, нанимающего персонал, за утечку или неправомерное использование конфиденциальных сведений, предоставляемых сотрудниками, причем ответственность предусмотрена во всех сферах права – дисциплинарной, административной, уголовной и гражданской.

Поэтому на каждом предприятии необходимо разработать и утвердить как минимум три обязательных внутренних акта, касающихся работы с такими сведениями:

• положение о защите персональных данных наемных сотрудников;
• обязательство о сохранении в тайне (неразглашении) полученных персональных сведений;
• согласие самого работника на обработку персональных данных.

ОБРАТИТЕ ВНИМАНИЕ! Первый документ разрабатывается и закрепляется на основании приказа руководства организации, второй должен быть подписан теми лицами, которые осуществляют сбор персональных данных и имеют к ним доступ (кадровая служба, отдел безопасности, бухгалтерия и др.). Сотрудники обязаны ознакомиться с этой документацией под роспись

Согласие нанимаемого может быть выражено подписью под соответствующей строкой в анкете или личной карточке.

Состав Положения о персональных данных

Разделы данного документа содержат следующие необходимые подпункты:

• общие сведения;
• перечисление данных, считающихся персональными в конкретной компании;
• регламент применения данной информации;
• особенности доступа к этим сведениям;
• меры, принимаемые при нарушении принципов обработки информации, и ответственность виновных;
• приложения (форма заявления для сотрудника о согласии на обработку и/или проверку предоставленных личных данных, форма обязательства не разглашать полученную информацию для сотрудников, у которых она будет в пользовании).

Источник получения персональных данных

Легитимным, с точки зрения официальных законодательных документов, принятых в нашей стране, является только один способ получения конфиденциальной информации – от самого гражданина, пожелавшего добровольно ее сообщить в устной или письменной форме.

Косвенные способы получения персональных сведений о человеке (например, запрос на прежнее место работы) могут использоваться только в том случае, если сотрудник дал на это свое письменное согласие.

К СВЕДЕНИЮ! Чтобы иметь возможность получать информацию о сотруднике не только непосредственно от него, кадровые работники иногда используют не запрещенный законом прием. В анкете, заполняемой при трудоустройстве, может иметься пункт «Не возражаю против проверки предоставленных данных» или «Разрешаю получить информацию обо мне в следующих источниках (указать, в каких)».

Если к работодателю пришел запрос о сотруднике, который когда-то у него работал, лучше перестраховаться и потребовать письменное разрешение на предоставление персональных данных, подписанное самим физическим лицом. Это касается даже ситуаций, когда эти сведения требуют работники правоохранительных органов (вместо разрешения может быть подписанный их руководством приказ).

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

• штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
• либо обязательными работами на срок от 120 до 180 часов;
• либо исправительными работами на срок до одного года;
• либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

• штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
• либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
• либо арестом на срок от четырех до шести месяцев.

Что нужно знать работодателю о защите персональных данных?

Техническая защита персональных данных Технические меры защиты информации предполагают использование программно — аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов предприятия.

• Инструкции администраторов безопасности персональных данных;
• Инструкции пользователей по работе с персональными данными;

перечень мероприятий по защите персональных данных:

• определение круга лиц, допущенного к обработке персональных данных;
• организация доступа в помещения, где осуществляется обработка ПДн;
• разработка должностных инструкций по работе с персональными данными;
• установление персональной ответственности за нарушения правил обработки ПДн;
• определение продолжительности хранения ПДн и т.д.

Меры организационного характера осуществляются на предприятии независимо от того, нужно подавать уведомление в Роскомнадзор или нет, обработка ПДн осуществляется с использованием средств автоматизации или без использования таких средств.

• аттестация ИСПДН (аттестация или декларирование соответствия информационных систем персональных данных (ИСПДн) требованиям безопасности информации)
• повышение квалификации сотрудников в области защиты персональных данных

Вопросы, которые требуется решить каждому предприятию:

• Как обеспечить защиту персональных данных в соответствии с требованиями законодательства?
• Как завершить работы в установленный срок?
• Как минимизировать затраты на создание системы защиты?

Действие 1. С чего начинать? Вначале нужно ответить на ряд вопросов, от которых зависит дальнейший план действий по выполнению требований законодательства. Для этого предстоит провести предварительный анализ информационных ресурсов предприятия.

Инфо

Классификация ИСПДн осуществляется в соответствии с таблицей, рекомендованной регуляторами: До 1 000 субъектов ПДн 1 000 — 100 000 субъектов ПДн Более 100 000 субъектов ПДн Категория ПДн Класс системы 4 К4 К4 К4 3 К3 К3 К2 2 К3 К2 К1 1 К1 К1 К1 В зависимости от класса зависят требования по обеспечению безопасности информационной системы ПДн. Чем выше класс информационной системы ПДн, тем выше требования по обеспечению ее защиты.

1.5. Полученные результаты и способы защиты персональных данных После проведения предварительного анализа информационных ресурсов собственного предприятия можно получить представление о состоянии информационных ресурсов в части обработки персональных данных (перечень и характеристики обрабатываемых ПДн), осознать масштаб сложности решаемых задач и определить дальнейшие шаги по выполнению требований Закона «О персональных данных».

Какие сведения являются такой информацией?

Согласно Федеральному закону №-152 ФЗ «О персональных данных» вступившего в силу 27 января 2007 года, целью которого является обеспечение защиты прав и свобод человека, персональными данными (далее ПДн) считается абсолютно любая информация, имеющая отношение к определяемому или определенному физическому лицу.

Главные ПДн, с которыми мы постоянно сталкиваемся в повседневной жизни – это:

• фамилия, имя, отчество;
• место жительства или регистрация;
• дата и место рождения;
• семейное, социальное или имущественное положение;
• сведения об образовании, доходах, профессии и пр.

Существует несколько видов ПДн, которые разделяются по степени информативности.

1. К этому виду относятся специальные категории ПДн, которые включают в себя такие сведения, как: информация о расовой и национальной принадлежности субъекта; его религиозные или философские убеждения; информация о состоянии здоровья и о его интимной жизни. Эта информация может содержаться в анкете, которая заполняется сотрудниками при приёме на работу, медицинских справках и т.д.
2. Этот вид содержит в себе информацию, которая помогает идентифицировать человека, чтобы получить о нем такие сведения, как: Ф.И.О. субъекта; адрес; сведения о доходах и пр.
3. К этому виду относятся биометрические сведения человека: анализ ДНК, отпечаток пальцев и ладони, сетчатка глаза, особенности строения тела субъекта.
4. К этому виду относятся все обезличенные или общедоступные ПДн. Обезличенные ПДн представляют собой информацию, из-за которой невозможно определить её принадлежность к конкретному физическому лицу. Общедоступные – это сведения, которые, согласно законодательству Российской Федерации, не могут быть сокрытыми, то есть не являются конфиденциальными.

   Например: данные, доступ к которым был разрешен самим субъектом; сведения и информация о доходах представителей муниципальной и государственной власти.

У граждан

Персональными данными физических лиц считаются:

• фамилия, имя и отчество;
• дата рождения;
• идентификационный номер;
• место рождения;
• гражданство;
• информация о регистрации по месту жительства или месту проживания;
• свидетельство о смерти или объявлении физического лица умершим, без вести пропавшим, недееспособным или ограничено дееспособным;
• сведения о семейном положении (о супруге, детях и родителях);
• информация об образовании;
• информация о роде занятий;
• о пенсии;
• о ежемесячных страховых выплатах по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваниях;
• о налоговых обязательствах;
• об исполнении воинской обязанности.

У юридических лиц?

• Наименование юридического лица.
• Организационно-правовая форма.
• Ююридический адрес.
• Адрес местонахождения юридического лица.
• ОГРН (основной государственный регистрационный номер).
• ИНН (идентификационный номер).
• КПП (код причины постановки на учет).
• Расчетный счет.

Также в некоторых случаях учитываются ПДн руководителя юридического лица.