Алексей Ветров
Эксперт по защите данных IC-TECH
Да, СНИЛС (страховой номер индивидуального лицевого счёта) относится к персональным данным. Это уникальный идентификатор, который присваивается каждому гражданину индивидуально и позволяет прямо определить его личность. Следовательно, обработка СНИЛСа подпадает под действие Федерального закона № 152-ФЗ «О персональных данных».
Организации, которые собирают и хранят СНИЛС сотрудников, клиентов или иных лиц, обязаны соблюдать требования закона: определять правовые основания обработки, ограничивать цели использования, обеспечивать защиту от утечек.
Организации, которые собирают и хранят СНИЛС сотрудников, клиентов или иных лиц, обязаны соблюдать требования закона: определять правовые основания обработки, ограничивать цели использования, обеспечивать защиту от утечек.
Обоснование по законодательству
- Ст. 3 ФЗ-152 — персональные данные — любая информация, относящаяся к прямо или косвенно определяемому физическому лицу.
- Письмо Роскомнадзора № 08-35361 от 26.08.2013 — прямо указывает, что СНИЛС относится к персональным данным.
- Постановление Конституционного Суда РФ № 17-П от 09.07.2013 — разъясняет, что уникальные идентификаторы, такие как СНИЛС, ИНН и иные номера учётных записей, являются персональными данными.
Практика проверок Роскомнадзора
- В одной компании сотрудники отдела кадров хранили СНИЛС работников без установленных правил защиты. Роскомнадзор признал это нарушением и потребовал включить СНИЛС в перечень обрабатываемых персональных данных и закрепить меры защиты.
- В медицинской организации при обработке СНИЛС пациентов для оформления документов на полисы ОМС отсутствовали согласия. Проверка подтвердила, что СНИЛС — это персональные данные, и для его обработки нужно правовое основание (договор, закон или согласие).
Важный нюанс
СНИЛС обрабатывается работодателями и другими организациями на законных основаниях, например:
- для ведения пенсионного учёта (обязанность работодателя по Трудовому кодексу и ФЗ «Об индивидуальном (персонифицированном) учёте в системе обязательного пенсионного страхования»);
- при заключении трудовых договоров;
- при взаимодействии с фондами и госорганами.
В этих случаях отдельное согласие не требуется. Но для иных целей (например, публикации или передачи третьим лицам, не связанным с исполнением закона) необходимо получать согласие субъекта.
Рекомендации и выводы
СНИЛС — это персональные данные, которые необходимо защищать наравне с паспортными данными и ИНН. Организации должны:
- Включить СНИЛС в перечень обрабатываемых ПДн.
- Определить законные основания для обработки (ТК РФ, договор, согласие).
- Обеспечить организационные меры защиты (ограничение доступа, хранение в закрытых шкафах и системах).
- Включить порядок обработки СНИЛС в комплект документов по 152-ФЗ.
Компания ICTech поможет вашей организации грамотно выстроить работу с персональными данными и подготовить пакет документов по 152-ФЗ. Это обеспечит соответствие требованиям закона, снизит риск штрафов и подготовит к проверкам Роскомнадзора.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
