Блокировка учётных записей пользователей Меркурия, не указавших свои номера телефона и СНИЛС ожидается 29 марта 2021 года. До конца этой недели нужно успеть указать.
В связи с тем, что многие сотрудники отказываются предоставлять свой номер телефона, Россельхознадзором выпущено официальное разъяснительное письмо следующего содержания:
“Уважаемые дамы и господа,
К нам продолжают поступать вопросы относительно номеров мобильных телефонов лиц, указываемых при регистрации. Некоторые компании задают такие вопросы, из которых понятно, что они действительно хотят разобраться в этом вопросе. Для их сведения приводим наши ответы, данные на вопросы одной из таких компаний. Вопрос был вот каким:
«При оформлении на работу операторов, мы не требуем номер личного телефона и сотрудники часто отказываются указывать его где либо. Этот момент мы решили путем приобретения одного мобильного телефона – рабочего ( на случай падения электричества в сети основных городских телефонных операторов)
Проблема – при заполнении данных в Ветис обязательно нужно указать номер личного сотового телефона сотрудника. Указанные рядовые сотрудники (не руководство и не те, кто имеет расширенный доступ) отказываются давать личный номер телефона для данной системы, ссылаясь на закон о персонифицированных данных и на то, что мы не можем их побуждать давать “добро” на использование их личных домашних данных. По СНИЛС, паспорту и месту работы их всегда можно идентифицировать. Конечно они дают свой мобильный бухгалтеру для зарплаты по карте, но, как правило, в доп соглашении к договору указывают – без передачи третьим лицам, кроме ФНС, ПФР и банка, через который они получают з/плату
Поддержка Меркурия не дает никаких рекомендаций по этому поводу, отмечая при этом, что
- один мобильный (рабочий) на нескольких сотрудников указывать нельзя
- если графа личный мобильный не будет указана, то 1 марта сотрудника отключат
На наши замечания, что в случае если не будет доступа к Меркурию, сотрудник останется без работы и указывать в обосновании “отсутствие личного телефона” является нарушение других норм законодательства, Меркурий отсылает в Ваше ведомство, отсылая наше замечание о неправомочности требований в части личных данных в рамках законодательства к каким то Вашим требованиям в виде ТЗ
А ведь требовать номер личного телефона для работы мы не имеем права.
Сажать несколько на один аккаунт тоже не совсем правильно (простой народ все равно “боится” эту надзорную систему) , покупать им все мобильные телефоны – и затратно и небезопасно.
Будем очень признательны, если Вы нам порекомендуете нормативный акт, который позволит нам урегулировать данную ситуацию и в пользу РСХН и в пользу наших работников или просто посоветуете нам как это делать, чтобы найти золотую середину . Возможно ли , что для компаний, который попадают под такой вид деятельности как в нашем случае, Вы отмените обязательство указывать личный номер пользователей, который имеют “Облегченный статус ” в системе Меркурий?
Про администраторов и руководителей мы не спрашиваем – их данные будут все.»
Наш ответ следующий.
Ситуация по интересующему вас вопросу следующая.
В настоящее время номер мобильного телефона пользователя ВетИС вообще и ее компонента Меркурий в частности, требуется представлять по той причине, что он используется для двойного подтверждения факта входа в систему или для подтверждения некоторых действий в системе, и для того, чтобы наши администраторы смогли экстренно связаться с пользователем в случае необходимости.
Соответственно, номер личного телефона нигде не публикуется и не передается третьим лицам. По этой причине к данному случаю никакие положения Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных”, регулирующие ПУБЛИКАЦИЮ персональных данных не применяются.
Исключением является лишь случай, когда при регистрации данный пользователь сам выражает пожелание о публикации своего номера телефона (для этого номер вносится в специальное поле «Контактный телефон»). В таком случае номер его телефона публикуется и становится доступным для неограниченного числа третьих лиц.
Что касается ОБРАБОТКИ персональных данных, то ее Россельхознадзор, как оператор ФГИС ВетИС, действительно производит. Соответственно положения упомянутого закона на этот процесс распространяются.
Что предписывает в данном случае упомянутый Закон (это к вашему вопросу о нормативном акте, который я могу вам порекомендовать – это N 152-ФЗ)?
В нем есть две важных в аспекте вашего вопроса нормы.
Первая содержится в подпункте 1 пункта 1 Статьи 6 упомянутого ФЗ, который гласит: «Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;»
В соответствии с этой нормой Россельхозадзор, как оператор системы, получает при регистрации пользователя его согласие на обработку персональных данных, каким бы путем пользователь не регистрировался. Этих путей три:
- Если будущий пользователь при регистрации, которая производится им САМОСТОЯТЕЛЬНО, не подтвердит свое согласие проставлением галочки в специальном поле, то он не может быть зарегистрирован. Т.е. каждый пользователь ВетИС, который успешно прошел САМОСТОЯТЕЛЬНУЮ регистрацию, уже подтвердил свое согласие на обработку своих персональных данных, в том числе и телефона.
- Если будущий пользователь регистрируется не самостоятельно, а его регистрирует Администратор той организации, в которой он работает, то администратор обязан получить согласие регистрируемого пользователя и, получив его, подтверждает через свой личный кабинет в ВетИС.Паспорт, что он согласие регистрируемого пользователя получил. При отсутствии такого подтверждения Администратор не может зарегистрировать нового пользователя.
- Если будущий пользователь регистрируется через ЕПГУ, то для того, чтобы он мог воспользоваться этим сервисом, у него должен быть заполненный и подтвержденный профиль пользователя ЕПГУ, в том числе подтвержденный номер телефона. При использовании данного сервиса ЕПГУ регистрируемый пользователь ВетИС подтверждает передачу своих регистрационных данных в ВетИС.
Таким образом, любой зарегистрированный пользователь ВетИС УЖЕ ДАЛ свое согласие на обработку своих персональных данных каким бы путем он не регистрировался.
Как можно расценивать несогласие человека с тем, на что он уже дал свое согласие? Как мне кажется, это либо капризы, либо частичная недееспособность (дал согласие на обработку его персональных данных, но не понял того, что он ее дал), либо полное непонимание законодательства в этой сфере.
Теперь переходим к второй из упомянутых мною выше норм этого же ФЗ.
Эта вторая норма содержится в подпункте 2 пункта 1 Статьи 6 упомянутого ФЗ, который гласит: «Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
………………………………………………….
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;»
Обратите внимание на то, что весь этот пункт (пункт 1) представляет собой перечень случаев, когда допускается обработка персональных данных. Т.е. каждый последующий подпункт связан с предыдущим логическим И/ИЛИ. Каждый, включая первый, который содержит слова «с согласия субъекта персональных данных».
Если бы законодатель имел в виду, что обработка персональных данных возможна только в случае, если субъект персональных данных дал согласие на это, то было бы написано так:
«Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается с согласия субъекта персональных данных в следующих случаях:
И дальше бы следовали подпункты начиная со второго.
Таким образом, первый подпункт, если иными словами его изложить, говорит, если субъект персональных данных дал согласие кому-то на обработку его персональных данных, то больше ничего для такой обработки не требуется (естественно, обработка производится без ущерба для требований в остальных пунктах закона). А остальные подпункты как раз и описывают случаи, когда обработка персональных данных может проводиться без согласия субъекта персональных данных.
В соответствии с этой нормой ДАЖЕ ЕСЛИ БЫ при регистрации регистрируемое лицо НЕ ДАВАЛО СОГЛАСИЯ на обработку своих персональных данных, то Россельхознадзор, как оператор ФГИС, имел бы право на обработку персональных данных пользователей ФГИС, поскольку эта обработка необходима для защиты данных в ФГИС, а защита ФГИС есть обязанность оператора.
В отношении того можно ли «сажать на один аккаунт (номер телефона)» несколько пользователей, я подтверждаю то, что вам ответила поддержка: этого делать нельзя. Кроме того, что нельзя, это совершенно бессмысленное дело, так как личный номер телефона и может использоваться для подтверждения только потому, что он личный – принадлежит данному человеку, за ним зарегистрирован и используется именно им.
Более того, не только нельзя «сажать на один аккаунт (номер телефона)» несколько пользователей, но и при регистрации нельзя указывать номер корпоративного телефона вместо номера личного телефона даже, если им пользуется только один сотрудник данной организации. По той же причине – владелец такого номера – организация, а не пользователь.
Иными словами, в контексте этого вашего вопроса, вы можете, если решите, что это вам нужно, купить каждому из своих сотрудников, являющихся пользователями ВетИС, по телефонному аппарату, а потом и еще оплачивать им услуги связи – это вопрос между вами и вашими сотрудниками. Но при этом, СИМ-карту для купленного организацией телефона пользователь, для которого он приобретён, все равно должен будет приобрести сам и зарегистрировать на свое имя.
В отношении совета как поступить в данном случае могу сказать следующее.
Я, конечно, не знаю всех нюансов вашего стиля отношений с персоналом, но понимая (в силу возраста и опыта) природу человека в этом контексте, вижу в качестве оптимального подхода следующий:
- Во-первых, нужно разъяснять своим сотрудникам, о которых вы пишите, упомянутые положения N 152-ФЗ, чтобы они понимали их. Большая часть людей этого закона никогда не читали и что там написано не представляют себе даже отдаленно.
- Во-вторых, нужно им разъяснять, что если они предоставят свой номер телефона при регистрации в ВетИС, то он не будет публиковаться или кому-то без их согласия передаваться, а свое согласие на обработку персональных данных они уже предоставили при регистрации. Большая часть людей не отдает себе отчета в большинстве своих действий: по клавишам клацают (это я о процессе регистрации) не задумываясь зачем, почему, не отдавая себе отчета в правовых и иных последствиях клацанья.
- В-третьих, им нужно разъяснять, что их будущее общение с ВетИС не приведет к возрастанию их расходов на услуги связи – он лишь время от времени будет получать входящие СМС, которые не оплачиваются получателем.
- В-четвертых, нужно им разъяснять, что ВетИС защищена от несанкционированного доступа может и несколько похуже, чем ЕПГУ, но никак не хуже, чем многие другие системы, куда они предоставляют свой номер телефона (банки, магазины, авиакомпании, коммунальные службы и т.д.), поэтому «утечка» их персональных данных, включая номер телефона, кончено, не исключена, как не исключена и для любой иной системы – хакеры взламывают все -, но крайне мало вероятна. Во всяком случае за 14 лет эксплуатации ВетИС ни одного такого случая не было. Так что этот риск минимален.
Думаю, что для разумного пользователя этого будет достаточно.
Если нет, то для меня бы, если бы я работал администратором в вашей компании, это было бы достаточно, чтобы понять, что с упорствующим в своей неразумности сотрудником проще расстаться, чем пытаться его образумить.
Кроме того, администратору стоит подумать и о том, что может данный сотрудник не неразумен, а, наоборот, слишком «разумен», и о том, что не стоит ли за этим необоснованным, на первый взгляд, капризом, то, что данный сотрудник собирается что-то такое делать со своего аккаунта, за что боится ответственности в случае если его идентифицируют?
Если не удается ничего до сотрудника донести объяснениями, но он для вас ценен, то с ним надо попытаться договориться.
Для этого надо понять ПОЧЕМУ (по какой причине) он не желает предоставлять номер своего телефона, чего он опасается. И поняв, попытаться решить эту проблему.
Если, например, дело только в деньгах, то купите ему за счет фирмы дешевый смартфон (ваши затраты наверняка будут многократно ниже месячной зарплаты сотрудника) и оплачивайте ему какой-то минимальный по затратам тариф за СИМку, которую он сам себе купит. Тогда у него будет два личных телефона – один для личных надобностей, второй – для рабочих. В этом случае даже в принципе будет исключено, что кто-то узнает первый из них.
В отношении вашего вопроса об отмене требования указывать личный номер телефона для регистрируемых пользователей ФГИС ВетИС сообщаю, что в обозримом будущем такого не планируется. Мы уже попробовали обходиться без этого, но ничего хорошего не получилось: слишком много жуликов используют невозможность их идентифицировать.”