В век информации и интернет-пространства данные передаются и распространяются с невиданной доселе быстротой. Социальные сети подливают масла в огонь, делая личные данные пользователей практически общедоступными. Но всегда ли сам владелец согласен с тем, что сведения о нём собирают, изучают, хранят и передают?

Персональные данные: что к ним относится?

Сведения о лице столь важны и значимы, что законодатель решил, наконец, юридически урегулировать эту сферу и определил персональные данные как информацию о лице, которая его идентифицирует.

Сюда относятся:

• имя, отчество, фамилия;
• место проживания;
• дата и место рождения.

Отдельный правовой режим установлен для сведений, представляющих риск для прав и свобод субъекта персональных данных и включающих сведения о:

• расовом или этническом происхождении;
• национальности;
• религиозных и мировоззренческих взглядах;
• членстве в политических партиях и профсоюзах;
• привлечении к уголовной ответственности;
• здоровье, половой жизни, биометрических и генетических данных.

К персональным относятся паспортные и другие регистрационные сведения, данные о семейном или имущественном положении (за исключением государственных служащих) и многие другие, так как их перечень законодателем не ограничен.

Законом установлена и форма согласия на обработку персональных данных. Такое разрешение оформляется письменно, дабы быть уверенным в безусловном согласии владельца информации.

В чём заключается обработка персональных данных?

Каждый гражданин может знакомиться со сведениями о другом лице как по роду работы, так и в процессе неофициального общения, читая газеты или просматривая интернет-страницы. Такое ознакомление не означает обработку персональных данных: прочёл, услышал, узнал - и, возможно, забыл. Или просто взял на заметку.

Если же информация о лице собирается для последующей систематизации, использования, передачи или хранения - это уже обработка личных данных. Такой процедурой занимаются, например, поликлиники или школы: полученные данные регистрируются, заносятся в базы и каталоги, классифицируются для последующего использования в своих уставных целях.

Журналист, писатель или частное лицо может обрабатывать личную информацию исключительно в творческих целях без соблюдения юридических норм.

Ограничения на обработку личной информации

Сбор и обработка персональных данных допускаются исключительно для выполнения уставных задач и достижения установленной цели. Например, поликлиника может использовать полученную от пациентов личную информацию только для оказания медицинской помощи указанным лицам.

Целые массивы с личной информацией обрабатывают страховые компании, турагентства, транспортные предприятия, коммунальные службы и другие подобные юридические лица. Указанные организации могут пользоваться такой информацией только для выполнения своих задач перед потребителем и не имеют права собирать сведений больше, чем это необходимо для конкретной ситуации.

Нельзя собирать данные, представляющие риск для прав и свобод лица, если такие сведения не предоставлены самим лицом, например, член политической партии представил сведения о себе непосредственно партийной организации.

Кто имеет право обрабатывать сведения о лице?

Проводить какие-либо действия с персональными данными может исключительно тот, кому владелец данных дал согласие.

Бывают и исключения из правил, например, следственные органы могут обрабатывать информацию об обвиняемом без его согласия. Такое право следователя вызвано необходимостью защиты общественных интересов и выполнением им своих должностных обязанностей.

Налоговые, пенсионные органы также производят различные операции с личной информацией не только для выполнения своих обязанностей, но и для обеспечения прав граждан.

Мобильные операторы обладают немалым объёмом личных сведений об абонентах. Разумеется, такую информацию они могут использовать только для предоставления качественной мобильной связи пользователю.

Персональные данные на работе

Чаще всего личную информацию предоставляют при трудоустройстве. Законом установлен перечень обязательных сведений о работнике, без которых приём на работу невозможен:

• имя, отчество, фамилия;
• дата рождения;
• место жительства;
• серия, номер, дата выдачи паспорта;
• регистрационные налоговые и страховые номера;
• семейное положение;
• состояние здоровья и некоторые другие сведения.

С получением указанных данных закон связывает определённые правовые последствия по оплате труда, предоставлению отпусков, льгот и многим другим вопросам.

Разумеется, каждый гражданин может отказаться от разглашения сведений о себе, но в этом случае работодатель получает право отказать ему в приёме на работу - такова правовая взаимосвязь. Чаще всего проблем при оформлении не возникает, так как работник добровольно предоставляет нужную информацию.

Впрочем, следует помнить, что работодатель не имеет права на операции с данными работника о национальной или партийной принадлежности, религиозных взглядах и некоторых других.

Что такое согласие на обработку персональных данных?

Разрешение владельца персональных данных на их обработку обычно оформляется в письменной форме, в том числе и при трудоустройстве.

Наученные горьким опытом или просто осторожные компании просят потребителей подписать соответствующие заявления при оформлении дисконтных карт и участии в акциях; поликлиники, школы, вузы и другие учреждения также разработали типовое согласие на обработку персональных данных.

Образец перед подписанием следует внимательно изучить и убедиться, что запрашиваемая информация действительно необходима конкретному лицу. Письменная форма согласия на обработку персональных данных позволяет подтвердить добрую волю владельца.

Оговорки о персональных данных вносятся практически во все договоры: хозяйственные, трудовые, потребительские, ведь в деле соблюдения закона лучше немного перестараться, чем недоглядеть.

Письменное оформление

Ниже приведена письменная форма согласия работника на обработку персональных данных.

Директору завода «Сельхозмаш»

Иванову И. И.

тракториста цеха механизации

Аристова Олега Аркадьевича.

Место составления.

Данным заявлением даю письменное разрешение на сбор, обработку, использование и хранение моих персональных данных, в пределах, необходимых для обеспечения моих трудовых и социальных прав, оплаты установленных налогов, сборов и других обязательных платежей, внесения обязательных взносов в государственные фонды, а также для иных целей, вытекающих из трудовых и смежных с ними правоотношений между мной и работодателем и в пределах, предусмотренных действующим законодательством.

Работодатель имеет право передавать мои персональные данные третьим лицам только в случаях, прямо установленных законом.

Согласие на сбор и обработку персональных данных работник обычно подписывает при оформлении на работу и предоставлении всех необходимых документов. Имеет смысл затребовать от него такое заявление до подписания приказа о приёме на работу.

Согласие на обработку персональных данных: образец

Одним из нестандартных вариантов в сфере обработки личных данных становится выдача родителями согласия образовательному учреждению на операции с личными данными их несовершеннолетнего ребенка. Разумеется, школа вынуждена использовать сведения о детях и их родителях для предоставления образовательных услуг. Выдать такое разрешение имеют право родители как законные представители несовершеннолетних детей.

Совет юриста: о согласиях на обработку персональных данных ребенка следует спрашивать обоих родителей, независимо от того, состоят ли они в официальном, гражданском браке или находятся в разводе. Исключение составляет лишение родительских прав по решению суда.

Ниже приведён примерный образец согласия, составленного обоими родителями.

Директору средней школы № 30

г. Москва

Ивановой И. И.

родителей ученика 4-В класса

Петрова Петра Петровича, 2005 г. р.,

проживающего: Харьковское шоссе, 356, кв. 2,

Матери Петровой Ирины Леонидовны,

проживающей: Харьковское шоссе, 356, кв. 2,

Отца Петрова Игоря Ивановича,

проживающегоя: Харьковское шоссе, 356, кв. 2,

Согласие на обработку персональных данных ребёнка

Настоящим заявлением мы даём разрешение администрации школы на сбор, обработку, использование и хранение персональных данных нашего ребёнка исключительно в пределах, необходимых для обеспечения образовательного процесса и смежных с ним правоотношений, связанных с социальными правами нашего ребёнка.

Передачу третьим лицам персональных данных нашего ребёнка разрешаем исключительно в случаях, предусмотренных действующим законодательством, о чём администрация должна уведомить нас в установленном порядке.

Петрова И. Л., дата.

Петров И. И., дата.

По желанию родители могут составить отдельные листы согласия на обработку персональных данных, каждый от своего имени.

Можно ли обрабатывать сведения о лице без согласия владельца?

По общему правилу обработка личной информации без добровольного согласия владельца незаконна. Исключение составляют случаи, когда информация обрабатывается без согласия владельца для защиты его жизненно важных интересов.

В некоторых случаях можно обрабатывать личную информацию без письменного согласия её владельца:

• при выдаче владельцу базы данных разрешения;
• при заключении сделки в интересах гражданина и по некоторым иным основаниям.

Какие санкции предусмотрены за нарушение порядка обращения с личной информацией?

• Дисциплинарная. Применяется к работникам, в нарушение должностных обязанностей не обеспечившим защиту персональных данных.
• Административная. Ответственность в виде штрафов довольно серьёзна и налагается на виновное лицо (на граждан - в размере от 300 до 500 руб.; на должностных лиц - от 500 до 1000 руб.; на юридических лиц - от 5000 до 10 000 руб. - в зависимости от совершённого правонарушения и правового статуса нарушителя).
• Материальная. Может наступить по решению суда, если нарушением прав лица на сохранность персональных данных ему причинен материальный или моральный ущерб.

Информация о лице защищена законом в силу её особой важности, а значит, необходимо выполнять все требования закона о защите персональных данных.

Все организации собирают, хранят и используют сведения о своих сотрудниках. Информация личного характера сейчас имеет высокую ценность, а при попадании в руки мошенников она становится средством для совершения преступлений. В этой статье мы расскажем, как и с какой целью компании обрабатывают персональные данные и должны ли они получать на это согласие работников.

Что такое обработка персональных данных

Понятие «обработка персональных данных» включает любые действия, совершаемые оператором с индивидуальной информацией. Среди них:

1. сбор;
2. уточнение;
3. систематизация;
4. использование;
5. удаление;
6. хранение.

Все организации и предприятия являются операторами персональных данных, поскольку обрабатывают их. В ст. 22 закона № 152-ФЗ дается правовое основание обработки персональных данных. Исходя из текста статьи, работодатель вправе совершать действия с личной информацией работников без уведомления об этом намерении органов Роскомнадзора.

Для совершения действий с личной информацией применяются несколько способов. Автоматизированная обработка персональных данных - это обработка на компьютере. Неавтоматизированный способ предполагает использование бумажных носителей. Сейчас в большинстве случаев применяется смешанная обработка, которая сочетает в себе элементы автоматизированной и неавтоматизированной.

Цели обработки персональных данных на предприятии

Выделяют следующие цели обработки персональных данных в организации:

1. Заключение, исполнение и прекращение гражданско-правовых договоров с гражданами, юридическими лицами, ИП и другими лицами в ситуациях, предусмотренных законодательством и Уставом предприятия.
2. Организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам.
3. Ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами.
4. Исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физлиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование.
5. Заполнение первичной статистической документации в соответствии с Трудовым, Налоговым кодексом и федеральными законами.

Что такое согласие на обработку персональных данных

Вместе с предоставлением необходимых документов при заключении трудового договора подписывается согласие работника на обработку персональных данных работника. Согласно ст. 3 ФЗ №152 , к таким данным относятся все сведения о человеке - от имени и фамилии до записей в трудовой книжке.

Персональные данные делятся на 3 категории:

• Общедоступные - основные анкетные данные, включая ФИО, пол, дату и место рождения.
• Биометрические - информация о внешности и некоторых физиологических особенностях, если они определяются визуально.
• Специальные - национальность, вероисповедание, состояние здоровья, судимости, частично - сведения о работе (причины увольнения и др.).

Персональные данные конфиденциальны (за исключением общедоступных), поэтому для их обработки необходимо получать согласие человека.

В обязательном порядке устанавливается срок действия согласия на обработку персональных данных. Моментом его окончания становится либо конкретная дата, либо определенное событие, в том числе отзыв работником своего согласия. Это требование указано в п. 4 ст. 9 ФЗ №152.

В каких случаях нужно согласие на обработку персональных данных

Согласие требуется на обработку специальных и биометрических данных. Общедоступную информацию разрешается свободно использовать, если только это не противоречит закону, а также общепринятым нормам морали и этики.

Ситуации, когда согласие на обработку персональных данных не требуется

Исключение составляют случаи, когда расследуется уголовное дело, проводятся оперативно-розыскные мероприятия. Биометрические данные могут понадобиться, чтобы установить личность при отсутствии у человека документов. В таких ситуациях не требуется согласие на обработку личной информации.

Примерная форма оформления согласия и описание документа

Заявление о согласии на обработку личной информации подается на имя руководителя организации в письменной форме. В шапке документа указываются:

1. должность руководителя и наименование организации, которую он возглавляет;
2. ФИО руководителя;
3. должность работника;
4. ФИО работника;
5. дата;
6. место составления.

Примерный текст документа следующий:
«Данным заявлением я подтверждаю свое согласие на сбор, обработку, использование и хранение моих персональных данных в пределах, необходимых для обеспечения моих трудовых и социальных прав, уплаты установленных налогов, сборов и иных обязательных платежей, отчисления обязательных взносов в государственные фонды и для других целей, вытекающих из трудовых и смежных с ними правоотношений между мной и работодателем в рамках действующего законодательства. Работодатель вправе предоставлять мои персональные данные третьим лицам только в установленных законом случаях».
Под текстом заявления работник ставит свою подпись.

Возможен ли отказ от обработки персональных данных с позиции закона

По закону, отказ от согласия на обработку персональных данных не несет юридических последствий. В ч. 1 ст. 9 ФЗ №152 указано, что само согласие выражается свободно и добровольно.

Ч. 5 ст. 6 того же закона допускает отсутствие согласия на обработку личной информации в случае, если это требуется для исполнения договора, в том числе трудового. Поэтому работодатели, выполняя свои обязанности, в интересах сотрудников могут обрабатывать их персональные данные без получения на то согласия. Это касается только работников, которые уже числятся в штате. Принять человека на работу при его отказе от обработки персональных данных нельзя. В таком случае еще не заключен трудовой договор. Раз этого документа нет, то и обязанности исполнять его у работодателя не возникает.

Иногда отказ от обработки личной информации чреват негативными последствиями. Если на предприятии действует пропускной режим, то при таких обстоятельствах работнику нельзя будет оформить либо заменить пропуск - такое действие выйдет за рамки служебных целей. Поэтому отсутствие согласия повлечет за собой невозможность выполнения трудовых функций.

Задавайте вопросы в комментариях к статье и получите ответ специалиста

Сотрудникам кадровой службы постоянно приходится иметь дело с персональными данными работников организации.

Персональные данные работников

Сотрудникам кадровой службы постоянно приходится иметь дело с персональными данными работников организации. Причем деятельность по работе с персональными данными включает не только их получение как у потенциальных, так и у работающих сотрудников, но и обработку, хранение, передачу и иные виды использования этих сведений. Однако не всегда кадровики имеют полное представление о правилах работы с персональными данными, не во всех организациях разработаны и утверждены соответствующие локальные нормативные акты. Нередко имеют место случаи нарушения прав работников на защиту персональных данных. Вместе с тем действующее законодательство устанавливает довольно жесткие меры ответственности за нарушение норм, регулирующих обработку и защиту персональных данных, в связи с чем владение информацией о правилах работы с ними является на сегодняшний день достаточно актуальным.

Основную правовую базу в этой сфере составляют Трудовой кодекс РФ и Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (вступил в силу с 26 января 2007 г., далее - Закон N 152-ФЗ). Редакция ТК РФ, вступившая в силу в октябре 2006 г., внесла изменения в гл. 14 "Защита персональных данных работника", большинство из которых носит технический характер и связано с принятием Закона N 152-ФЗ. Но среди них есть и более существенные изменения, касающиеся передачи персональных данных и наказания лиц, виновных в нарушении порядка получения, обработки и защиты персональных данных. Эти нововведения будут изложены ниже.

Что такое персональные данные?

Прежде всего выясним, какие именно сведения могут быть отнесены к персональным данным.

Согласно ст. 3 Закона N 152-ФЗ персональные данные представляют собой любую информацию, относящуюся к определенному или определяемому на основании такой информации лицу, в том числе его:

Фамилия, имя, отчество;

Год, месяц, дата и место рождения;

Семейное, социальное и имущественное положение;

Образование и профессия;

Доходы и другая информация.

Как видно, Закон N 152-ФЗ содержит довольно широкий список сведений, относящихся к персональным данным. Приведенный перечень является открытым. Но все ли из этих данных необходимы для успешного осуществления работником его трудовых функций? Безусловно, нет. К примеру, информация о социальном и имущественном положении не относится к трудовой деятельности работника. С учетом этого ТК РФ более узко определяет персональные данные работника.

В частности, в соответствии со ст. 85 ТК РФ персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Другими словами, это сведения, которые могут охарактеризовать человека именно как работника. Каких-либо иных критериев, как и конкретного перечня персональных данных работника, ТК РФ не устанавливает. Как правило, это информация, необходимая для заключения трудового договора, заполнения личной карточки, назначения на другую должность и т.д.

Персональные данные работника содержатся в следующих документах:

В документе, удостоверяющем личность работника;

В трудовой книжке работника;

В страховом свидетельстве обязательного пенсионного страхования;

В документах воинского учета;

В документах об образовании, квалификации или о наличии специальных знаний или подготовки;

В иных документах, представляемых работником (справки, резюме, грамоты и др.);

В приказах по персоналу;

Докладных и аналитических записках;

В материалах служебных проверок и расследований.

Перечень документов, из которых можно почерпнуть персональные данные работника, также является открытым. Кроме того, в зависимости от конкретной ситуации информация может быть предоставлена работником и устно либо путем заполнения различных анкет, опросных листов. Значительная часть бумаг, содержащих персональные данные работника, находится в его личном деле.

Важно, что персональные данные работника относятся к конфиденциальной информации. Конфиденциальность означает, что любое лицо, получившее доступ к персональным данным, не должно допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания (ст. 3 Закона N 152-ФЗ). Не требуется обеспечивать конфиденциальность обезличенных и общедоступных персональных данных.

Так, к обезличенным персональным данным относятся данные, в отношении которых невозможно определить их принадлежность к конкретному лицу. А если не известно, кому именно принадлежат эти данные, то режим конфиденциальности снимается.

К общедоступным персональным данным относятся данные, доступ к которым с согласия гражданина может быть предоставлен неограниченному кругу лиц (например, с согласия гражданина такие сведения находятся в справочниках, адресных книгах и др.). В общедоступных источниках могут содержаться сведения о профессии, квалификации. Поскольку любой желающий имеет к ним доступ, то специальной охраны они уже не требуют.

Работодатель должен обеспечивать "секретность" персональных данных работника. Как правило, сбором и обработкой персональных данных в конкретной организации занимаются сотрудники кадровых служб или бухгалтеры. В трудовом договоре с работниками, обрабатывающими персональные данные, должны быть предусмотрены обязанности по обеспечению и сохранению конфиденциальности персональных данных.

Справка. Персональные данные отдельных категорий работников могут относиться к сведениям, составляющим государственную тайну. В первую очередь это касается государственных служащих. Так, в соответствии с ч. 5 ст. 14 Федерального закона от 27 мая 2003 г. N 58-ФЗ "О системе государственной службы Российской Федерации" персональные данные, внесенные в личные дела и документы учета государственных служащих, являются персонифицированными и в случаях, установленных федеральными законами и иными нормативными правовыми актами РФ, относятся к сведениям конфиденциального характера. К примеру, согласно ст. 17 Федерального закона от 3 апреля 1995 г. N 40-ФЗ "О федеральной службе безопасности" сведения о сотрудниках органов службы государственной безопасности, выполнявших (выполняющих) специальные задания в специальных службах и организациях иностранных государств, в преступных группах, составляют государственную тайну.

Обработка персональных данных

Поскольку персональные данные - это информация, с которой нужно работать (например, специалистам кадровых служб), законодательство вводит такое понятие, как обработка персональных данных, и устанавливает конкретные требования к работе с ними.

Согласно ст. 85 ТК РФ обработка персональных данных - это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника. Закон N 152-ФЗ более подробно раскрывает указанное понятие. Действия (операции) с персональными данными, согласно ст. 3 Закона N 152-ФЗ, включают:

Систематизацию;

Накопление;

Хранение;

Уточнение (обновление, изменение);

Использование;

Распространение (в том числе передачу);

Обезличивание;

Блокирование;

Уничтожение персональных данных.

Таким образом, под обработкой персональных данных подразумеваются любые действия, производимые с персональными данными. Например, формирование списков работников по организации, по структурным подразделениям, профессии, образованию и др.

Статья 86 ТК РФ устанавливает следующие требования к обработке персональных данных работника, предъявляемые к работодателю (соответственно, и к работнику кадровой службы) и направленные прежде всего на защиту персональных данных:

1. Обработка персональных данных работника может осуществляться в строго определенных целях, а именно для соблюдения действующего законодательства, содействия работникам в трудоустройстве, обучения и продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Следовательно, в каких-либо иных целях организации обработка персональных данных запрещена.

2. При определении объема и содержания обрабатываемых персональных данных работодатель должен руководствоваться действующим законодательством. То есть сведения, непосредственно не характеризующие человека как работника, не могут быть истребованы у него или переданы третьим лицам и др.

3. Важное требование, нередко нарушаемое на практике, устанавливает п. 3 ст. 86 ТК РФ: все персональные данные работника должны быть получены от него самого. В случае, когда указанные сведения можно получить только у третьей стороны, работника следует уведомить об этом заранее. Но одного уведомления недостаточно, необходимо также получить его письменное согласие. При уведомлении работника следует сообщить о целях, предполагаемых источниках и способах получения персональных данных, о характере этих данных и о последствиях отказа работника дать письменное согласие на их получение. Соответственно, сбор сведений о работнике без его ведома не допускается.

4. Во всех случаях работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и о частной жизни. Обратите внимание, что если запрет на получение и обработку данных о политических и религиозных убеждениях является безусловным, то ТК РФ разрешает получение данных о частной жизни, но только в случаях, непосредственно связанных с вопросами трудовых отношений, и лишь с письменного согласия работника.

5. Работодателю запрещается получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или о его профсоюзной деятельности.

6. При принятии решений, затрагивающих интересы работника, нельзя основываться на его персональных данных, полученных исключительно путем их автоматизированной обработки или электронного получения. Указанный запрет связан с тем, что полученные данные могут быть использованы не в том контексте. В каждой ситуации необходимо руководствоваться информацией, полученной путем комплексного сбора информации.

7. Защита персональных данных от неправомерного их использования или утраты обеспечивается работодателем за счет его средств и в порядке, установленном ТК РФ и другими федеральными законами. Это обязанность работодателя, осуществляемая за его счет.

8. Работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Такими документами могут быть положение, инструкция и др.

9. Работники не должны отказываться от своих прав на сохранение и защиту тайны. Так, если в трудовой договор будет включена норма о том, что работник отказывается от указанного права, то в этой части трудовой договор будет считаться недействительным.

10. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных. Примером таких мер является принятие локальных нормативных актов о персональных данных.

Хранение и использование персональных данных

Согласно ст. 87 ТК РФ работодатель должен установить порядок хранения и использования персональных данных работников. Соответствующие нормы могут быть включены в локальный акт организации о персональных данных. При этом они должны отвечать требованиям, установленным ТК РФ и иными федеральными законами.

Основные документы, содержащие персональные данные работника, объединяются, как правило, в его личное дело. Порядок ведения и хранения личного дела устанавливается работодателем. Вместе с тем сроки хранения документов, содержащих персональные данные работника, определяются в соответствии с Перечнем типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения (утв. Федеральной архивной службой России 6 октября 2000 г., в ред. Решения от 27 октября 2003 г.). Так, личные дела руководителя организации, членов руководящих, исполнительных, контрольных органов организации, работников, имеющих государственные и иные звания, премии, награды, ученые степени и звания, хранятся постоянно. Личные дела остальных работников хранятся в течение 75 лет.

Главным документом о трудовой деятельности и трудовом стаже работника, содержащим и его персональные данные, является трудовая книжка. Порядок хранения трудовых книжек устанавливают Правила ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей (утв. Постановлением Правительства РФ от 16 апреля 2003 г. N 225). Согласно п. 45 Правил ответственность за организацию работы по ведению, хранению, учету и выдаче трудовых книжек и вкладышей к ним возлагается на работодателя. Для этого приказом (распоряжением) работодателя назначается специально уполномоченное лицо.

Постановлением Госкомстата России от 5 января 2004 г. N 1 утверждены унифицированные формы первичной учетной документации по учету труда и его оплаты, в соответствии с данным Постановлением работодатель осуществляет хранение указанных документов.

Распоряжением Правительства РФ от 21 марта 1994 г. N 358-р предусматривается, что в целях обеспечения сохранности документов по личному составу увольняемых работников в результате преобразования, реорганизации и ликвидации юридических лиц, а также социальной защищенности граждан, выполняющих работу по договору, учредителям вновь образующихся коммерческих и некоммерческих организаций рекомендовано включать в свои учредительные документы правила учета и сохранности документов по личному составу, а также своевременной передачи их на государственное хранение при реорганизации или ликвидации юридического лица.

Поскольку обязанность по защите персональных данных ТК РФ возлагает на работодателя, то для осуществления такой защиты следует произвести определенные действия по созданию соответствующих технических условий, в частности особый режим доступа в те помещения, где хранятся персональные данные, оборудование мест для хранения такой информации, меры, направленные на защиту персональных данных от случайного уничтожения, утраты, несанкционированного доступа, изменений или распространения персональных данных.

Передача персональных данных работников

Одной из разновидностей обработки персональных данных работника является их передача как внутри организации, так и за ее пределы. Требования к передаче персональных данных работника устанавливает ст. 88 ТК РФ:

1. При передаче персональных данных работника запрещается сообщать их без его согласия:

В коммерческих целях;

Любой иной третьей стороне.

Исключением являются случаи, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также иные случаи, предусмотренные ТК РФ и федеральными законами (например, согласно ст. 228 ТК РФ при несчастном случае на производстве работодатель обязан немедленно проинформировать ряд государственных органов).

Пример 1. ООО "Астана" обратилось к ОАО "Пермэнерго" с просьбой предоставить сведения о бывшем сотруднике ОАО "Пермэнерго". Предоставление таких сведений возможно только при наличии письменного запроса и приложенного к нему заявления самого работника. В заявлении должно быть указано, на предоставление каких именно сведений дает согласие работник.

Например:

Генеральному директору

ОАО "Пермэнерго"

Петрову Ю.Т.

от Иванова А.А.

Заявление

Прошу передать ООО "Астана", где я работаю в настоящее время, копии документов, хранящихся в личном деле.

15.06.2007 Иванов А.А. Иванов

Из этого следует, что персональные данные работников собираются для внутреннего сведения и осуществления нормальной работы организации и без согласия работника не подлежат передаче третьим лицам как письменно, так и устно.

2. Необходимо предупредить лиц, получающих персональные данные работника, о том, что они могут быть использованы только в целях, для которых были сообщены. Работодатель вправе требовать подтверждения того, что это правило соблюдено. Лица, получившие персональные данные (в том числе работники кадровых служб), обязаны соблюдать режим секретности (конфиденциальности). Это требование не относится к случаям передачи персональных данных в порядке, установленном федеральными законами (например, случаи, установленные Федеральным законом от 12 августа 1995 г. N 144-ФЗ "Об оперативно-розыскной деятельности". Согласно ст. 6 указанного Закона при осуществлении оперативно-разыскной деятельности проводятся такие мероприятия, как опрос, наведение справок, отождествление личности, исследование предметов и документов, снятие информации с технических каналов связи и др.).

3. Передача персональных данных в пределах одной организации или у одного индивидуального предпринимателя должна осуществляться в соответствии с локальным нормативным актом, с которым работники должны быть ознакомлены под подпись.

Справка. Новшеством ТК РФ является то, что теперь и индивидуальные предприниматели обязаны передавать персональные данные согласно локальному акту и под подпись работников.

4. Доступ к персональным данным работника разрешается только специально уполномоченным лицам. При этом указанные лица вправе получать только те персональные данные, которые необходимы им для выполнения конкретных функций. Следовательно, документы или информация, содержащая персональные данные работника, может быть частично предоставлена другим сотрудникам.

Например, руководителям структурных подразделений только в пределах их компетенции. На практике сделать это бывает довольно непросто, поскольку значительное количество персональных данных собирается в одном месте и хранится централизованно. Упорядочить работу по передаче указанных данных поможет локальный нормативный акт о персональных данных, в котором может быть прописано, кто именно из руководителей и других работников и в каком объеме исходя из их компетенции имеет доступ к персональным данным работников.

5. Запрещается запрашивать информацию о состоянии здоровья работника, кроме сведений, относящихся к вопросу о возможности выполнения работником его трудовой функции. Запрос такой информации возможен для принятия решения о переводе беременной женщины на другую работу, исключающую воздействие неблагоприятных факторов (ст. 254 ТК РФ).

6. Передача персональных данных работника представителям работников допускается лишь в объеме, необходимом для выполнения представителями указанных ими функций. Так, при расторжении трудового договора по инициативе работодателя на основании п. п. 2, 3, 5 ч. 1 ст. 81 ТК РФ на работника - члена профсоюза работодатель передает профсоюзному органу копии документов, являющихся основанием для увольнения, и проект приказа (ст. 373 ТК РФ).

Права работников на защиту персональных данных, хранящихся у работодателя

Статья 89 ТК РФ предусматривает, что в целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

Полную информацию об их персональных данных и об обработке этих данных.

К примеру, в соответствии с п. 12 Правил ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей (утв. Постановлением Правительства РФ от 16 апреля 2003 г. N 225) работодатель обязан знакомить владельца трудовой книжки под подпись в личной карточке с каждой записью, вносимой в трудовую книжку (о выполняемой работе, о переводе на другую постоянную работу и увольнении);

Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом.

Следует иметь в виду, что действующим законодательством за отказ в предоставлении должностным лицом информации предусмотрена уголовная и административная ответственность (ст. 140 УК РФ - штраф от 200 до 500 МРОТ или доход осужденного за период от 2 до 5 месяцев либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет; ст. 5.39 КоАП РФ - штраф от 5 до 10 МРОТ);

Определение собственных представителей для защиты своих персональных данных. В основном представителями работников в отношениях с работодателями являются профсоюзы (в том числе и в вопросах защиты персональных данных), также работник может защищать свои права самостоятельно;

Доступ работника к своим медицинским данным с помощью медицинского специалиста, которого вправе выбрать сам работник;

Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ. Так, согласно п. 27 указанных Правил работодатель обязан оказать работнику необходимую помощь в случаях выявления неправильной или неточной записи в трудовой книжке. При отказе работодателя исключить или исправить персональные данные работника последний вправе заявить в письменной форме о своем несогласии с его обоснованием. При этом персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

Требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

Обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Ответственность за нарушение правил работы с персональными данными

ТК РФ предусматривает, что лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных работника, могут быть привлечены к дисциплинарной и материальной, гражданско-правовой, административной и уголовной ответственности (ст. 90 ТК РФ).

За нарушение правил работы с персональными данными работников сотрудник организации, ответственный за хранение таких данных, может быть привлечен к дисциплинарной ответственности путем применения к нему одного из дисциплинарных взысканий, предусмотренных ТК РФ (замечание, выговор, увольнение). Дисциплинарные взыскания могут быть наложены только на тех сотрудников, в чьих трудовых договорах содержится обязанность по соблюдению правил работы с персональными данными. При этом трудовой договор с сотрудником, разгласившим охраняемую законом тайну (к которой относятся и персональные данные), может быть расторгнут по инициативе работодателя (пп. "в" п. 6 ст. 81 ТК РФ). Однако нужно иметь в виду, что увольнение по этому основанию возможно именно за разглашение персональных данных. За иные нарушения правил работы с персональными данными работодатель вправе наложить другое дисциплинарное взыскание.

Пример 2. По вине работника кадровой службы ОАО "Цветы Москвы" Сидорова П.А. личные дела сотрудников были залиты водой. Поскольку разглашения персональных данных работников не произошло, то отсутствуют основания для расторжения трудового договора с Сидоровым П.А. по пп. "в" п. 6 ст. 81 ТК РФ. По итогам проведенной проверки ему было сделано замечание.

Что касается административной ответственности, в соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 3 до 5 МРОТ, на должностных лиц - от 5 до 10 МРОТ, на юридических лиц - от 50 до 100 МРОТ.

Кроме того, поскольку персональные данные относятся к конфиденциальной информации, необходимо иметь в виду ст. 13.14 КоАП РФ, которая предусматривает, что разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от 5 до 10 МРОТ, на должностных лиц - от 40 до 50 МРОТ.

К материальной ответственности могут быть привлечены работники, обрабатывающие персональные данные (кадровики), если работодатель должен заплатить работнику, которому был причинен ущерб по их вине. Например, в результате неправильной записи в трудовой книжке (не та формулировка причины увольнения и т.п.) он был лишен возможности продолжать свою трудовую деятельность в иной организации и понес моральный и материальный ущерб.

Привлечение к гражданско-правовой ответственности возможно в виде денежной компенсации за причиненный моральный вред, обязанности опровержения сведений, порочащих честь, достоинство или деловую репутацию гражданина, и т.д. (ст. ст. 150, 151, 152 ГК РФ).

УК РФ предусматривает наступление уголовной ответственности за злоупотребления и незаконные действия с информационными данными о частной жизни (ст. 137 УК РФ), за неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, если эти деяния причинили вред правам и законным интересам гражданина (ст. 140 УК РФ), и др.

Положение о персональных данных

Согласно ст. ст. 8 и 22 ТК РФ работодатель вправе принимать в пределах своей компетенции локальные нормативные акты, предусматривающие в том числе порядок хранения и обработки информации о персональных данных работника. Локальный акт (документ) организации о персональных данных работника может быть разработан в виде положения или инструкции. Разработкой его занимается, как правило, кадровая служба. Четких требований к структуре и содержанию данного локального акта действующее законодательство не содержит, но по общему смыслу он должен устанавливать порядок обработки персональных данных работников, их передачи, а также права, обязанности работника и работодателя, ответственность за нарушение установленных правил.

Примерная структура положения о персональных данных может выглядеть следующим образом.

1. Общие положения:

Цели и задачи организации в области защиты персональных данных работников;

Понятие и состав персональных данных работников;

Документы, содержащие персональные данные работников;

Порядок получения персональных данных работников.

2. Порядок хранения, использования и передачи персональных данных:

Меры, предпринимаемые к защите от несанкционированного доступа к персональным данным;

Место хранения, лицо, ответственное за хранение персональных данных работников (например, "персональные данные работников вместе с необходимыми документами передаются на хранение в отдел кадров");

Перечень лиц, имеющих доступ к персональным данным работников (руководитель организации, начальник отдела кадров, сотрудники отдела кадров и др.);

Общие требования к передаче персональных данных работников;

Порядок передачи персональных данных работников в пределах организации (в какое подразделение может быть передана соответствующая информация, порядок ее хранения в этих подразделениях, перечень лиц, имеющих право доступа к указанной информации в данных подразделениях).

3. Обязанности работодателя по хранению и защите персональных данных работников:

Обязанности по обеспечению защиты персональных данных, ознакомлению работников с внутренними документами, регламентирующими работу с персональными данными, обеспечению доступа к персональным данным и др.

4. Права работников на защиту персональных данных:

Право на бесплатный доступ к своим персональным данным, на получение копий любой записи, на определение своих представителей для защиты своих персональных данных и др.

5. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

Перечень лиц, имеющих доступ к персональным данным работников организации, целесообразно оформить в качестве приложения к положению о персональных данных.

Приложение

к положению о персональных данных

Список лиц, имеющих доступ к персональным данным работников

Генеральный директор Дорошенко Н.Н. Дорошенко

С положением каждый работник должен быть ознакомлен под расписку, которая остается у работодателя.

Расписка

Я, Иванов Петр Сергеевич, ознакомлен с положением о персональных данных работника, права и обязанности в области персональных данных мне разъяснены.

12.01.2007 Иванов С.П. Иванов

Напомним, что разработка локального нормативного акта о персональных данных работников является обязанностью работодателя, неисполнение которой может повлечь привлечение к административной ответственности по ст. 5.27 КоАП РФ, а именно наложение административного штрафа на должностных лиц в размере от 5 до 50 МРОТ; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, - от 5 до 50 МРОТ или административное приостановление деятельности на срок до 90 суток; на юридических лиц - от 300 до 500 МРОТ или административное приостановление деятельности на срок до 90 суток.

Судебно-арбитражная практика. Общество с ограниченной ответственностью (далее - Общество) обратилось в суд с кассационной жалобой, в которой просило отменить Постановление суда апелляционной инстанции.

Из материалов судебного дела следует, что постановлением Государственной инспекции труда по г. Москве на основании протокола об административном правонарушении Общество было привлечено к административной ответственности за совершение правонарушения, предусмотренного ч. 1 ст. 5.27 КоАП РФ, выразившееся в нарушении п. 8 ст. 86 ТК РФ, поскольку работник Общества Г. не был ознакомлен под подпись с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Общество обратилось в Арбитражный суд г. Москвы о признании незаконным постановления Государственной инспекции труда г. Москвы. Решением Арбитражного суда г. Москвы в удовлетворении заявленных требований отказано. Постановлением Девятого арбитражного апелляционного суда данное решение оставлено без изменения.

Как указано в кассационной жалобе, по мнению Общества, вывод суда о нарушении Обществом норм трудового законодательства не соответствует фактическим обстоятельствам и имеющимся в деле доказательствам, поскольку на момент проведения проверки Г. не являлся работником Общества, поэтому не требовалось его знакомить с документами, устанавливающими порядок обработки персональных данных.

Судом в удовлетворении кассационной жалобы было отказано. При этом суд указал, что у Общества была реальная возможность для соблюдения правил и норм трудового законодательства, но оно свою обязанность не выполнило без наличия уважительных причин (Постановление ФАС Московского округа от 27 ноября 2006 г. N КА-А40/11424-06).

Судебно-арбитражная практика. Страховое общество (далее - Общество) обратилось в суд с кассационной жалобой, в которой просило отменить Постановление суда апелляционной инстанции.

Из материалов судебного дела следует, что постановлением Государственной инспекции труда по г. Москве на основании протокола об административном правонарушении Общество было привлечено к административной ответственности за совершение правонарушения, предусмотренного ч. 1 ст. 5.27 КоАП РФ, выразившееся в нарушении ст. ст. 86 - 88 ТК РФ, а именно в неиздании локального нормативного акта, которым устанавливается порядок обработки персональных данных работников, а также их права и обязанности в этой области. На Общество был наложен штраф в размере 30 тыс. руб.

Общество попыталось оспорить указанное постановление в судебном порядке. Но Решением Арбитражного суда г. Москвы в удовлетворении заявленных требований было отказано. Постановлением Девятого арбитражного апелляционного суда данное решение оставлено без изменения.

Как указано в кассационной жалобе, по мнению Общества, нарушение является малозначительным, а назначенное наказание - чрезмерно суровым, в связи с чем Обществом был поставлен вопрос об отмене судебных актов, состоявшихся по делу.

Судом в удовлетворении кассационной жалобы было отказано. При этом суд указал, что отсутствуют основания для признания данного правонарушения малозначительным (Постановление ФАС Московского округа от 1 ноября 2006 г. N КА-А40/10787-06).

Таким образом, из статьи и приведенных примеров судебно-арбитражной практики видно, что требования о защите персональных данных работников, заключающиеся в том числе в издании локального нормативного акта организации о персональных данных, носят обязательный характер. Реализация их на практике позволит избежать привлечения к ответственности, а также дополнительных затрат в случае проведения проверок.

Г.А.Соколова Юрист юридического департамента ООО "Орион-Эстейт"
Подписано в печать 28.06.2007 "Кадровая служба и управление персоналом предприятия", 2007, N 7

• Кадровое делопроизводство и Трудовое право

24 февраля 2016 в 17:35

Основы обработки персональных данных

• Законодательство в IT ,
• Патентование ,
• Блог компании Зарцын и партнеры

Мы уже начинали говорить о персональных данных, их сборе и обработке. Но, об этом можно говорить бесконечно и мы продолжим. В прошлый раз мы говорили об изменениях в законе, но не учли самого главного - САМ ЗАКОН ВЫ НЕ ЧИТАЛИ!.. И, судя по обратной связи, информация требует более детальной проработки.
Поэтому мы несколько раз перечитали все законы и дополнения к ним. Сделали из него эдакую выжимку. Четко по пунктам расписав основные его нормы и требования.

Основы основ

«Обработка персональных данных базируется на принципах законности и справедливости» - гласит ФЗ-152 «О персональных данных». Из этих понятиях зиждятся остальные принципы, отражающие суть обработки персональных данных как процесса. И вот что вам необходимо запомнить:

1. Обработка персональных данных должна отвечать целям сбора персональных данных;
Это значит, что Субъект обработки ПДн (покупатель, клиент, работник и т.д.) должен быть уведомлен о целях обработки. Поэтому цели должны быть отражены в форме письменного согласия на обработку персональных данных.

2. Не должны объединяться базы данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях;
Тут все очевидно: не должны быть объединены базы персональных данных, содержащие, например, фискальную информацию о работниках компании, и базы персональных данных клиентов компании.

3. Обрабатываемый объем персональных данных не должен быть избыточным по отношению к целям их обработки;
Получается, что интернет-магазин продающий носки может обрабатывать персональные данные покупателей, которые могут содержать информацию о предпочтениях, о маркетинговой активности, но персональные данные покупателя, говорящие о наличии у него, скажем, заболеваний, будут явно избыточными.

4. При обработке персональных данных должны быть обеспечены их точность, достаточность и актуальность по отношению к целям обработки;
Это необходимо в первую очередь для качественного и своевременного выполнения какого-либо юридически значимого действия, при котором используются персональные данные. Например, для непосредственной покупки товара.

5. Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей. То есть если интернет-магазин закрывается, то базу персональных данных его покупателей нельзя оставлять «врагам», необходимо ее хотябы обезличить.

Этапы работы с персональными данными

1. Сбор
При сборе персональных данных с посетителей сайта мы рекомендуем в любом случае указывать:

• наименование оператора;
• цель обработки персональных данных и ее правовое основание;
• предполагаемые пользователи персональных данных;
• установленные законом права субъекта персональных данных;
• источник получения персональных данных.

Кроме того, по запросу гражданина оператор по обработке персональных должен предоставить:

• Подтверждение факта обработки персональных данных оператором;
• Наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
• Сроки обработки персональных данных;
• Информацию об осуществленной или о предполагаемой трансграничной передаче данных;

2. Хранение
Хранение и запись, систематизация, накопление, уточнение, должны осуществляться на территории РФ – это уже все знают. Хранение персональных данных может осуществляться в любой форме, в том числе бумажной.
Обработка персональных данных может осуществляться за границей, если база данных в РФ содержит равный или больший объем персональных данных.

3. Использование
Помните! Действия, совершаемые с собранными персональными данными должны осуществляться строго согласно целям, для которых они были предоставлены.
То есть, если данные собраны при покупке носков в интернет магазине «А», то и использоваться они должны только для продаж магазина «А», которому эти данные оставили. Если эти данные использовать для продажи квартир на другом ресурсе, то это уже будет считаться неправомерным использованием персональных данных.

4. Блокирование
Если субъект обнаружил что его данные используют неправомерно и обратился к вам с претензией (или его представитель/ соответствующий орган), то вы обязаны блокировать его персональные данные и проверить правомерность их использования. Если данные эти обрабатывает подрядчик, то вы обязаны сделать все для блокировки и проверки данных обратившегося.
Все тоже самое вы обязаны провернуть в том случае, если субъект обнаружил неточности в своих данных.
Блокировка должна осуществляться с момента такого обращения или получения запроса на время проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

5. Уничтожение
А вот уничтожить данные или обеспечить прекращение использования вы обязаны в случае отзыва согласия. Также, если сохранение персональных данных более не требуется для целей обработки персональных данных.
Произвести все это необходимо в срок не более тридцати дней с даты поступления отзыва, если иное не предусмотрено договором.

Напомним, что нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах влечет предупреждение или наложение административного штрафа:

• на граждан в размере от трехсот до пятисот рублей;
• на должностных лиц - от пятисот до одной тысячи рублей;
• на юридических лиц - от пяти тысяч до десяти тысяч рублей.

Суммы сами по себе небольшие, но сам факт привлечения внимания надзорных органов может повлечь гораздо более серьезные проблемы.

БОНУС

Трансграничная передача данных возможна, ее никто не запрещал.
НО, вы обязаны

• хранить и актуализировать все данные на серверах в РФ (первичная БД)
• указать в «Соглашении на обработку ПДн» то, что вы планируете передавать эти данные в другую страну и для каких конкретных целей (писать ли конкретную страну в законе не указано)

Ответственность за использование переданных данных несет тот Оператор, которому переданы эти базы данных.

Предоставление удаленного доступа к базам данных, находящихся на территории РФ, с территории другого государства ФЗ-242 не запрещается.

На этом все, коллеги. Да прибудет с вами милость Эру!

Есть заблуждение, что с персональными данными работают только мобильные операторы и банки. На самом деле это не так. Любая компания обрабатывает персональные данные как минимум своих работников, а еще контрагентов, клиентов, посетителей офисов и т.д. В статье мы рассказали, что такое персональные данные и как их правильно обрабатывать. Читайте и не нарушайте закон - с 1 июля штрафы для компаний вырастут в семь раз.

С персональными данными работает каждая компания, но не каждый юрист знает, что такое персональные данные и как их правильно обрабатывать. Если до 1 июля 2017 года это было еще не так страшно - штрафы за нарушения были невелики, то теперь ситуация изменилась. С этой даты вступают в силу поправки в КоАП РФ, которые увеличивают штрафы для компаний за нарушения при обработке персональных данных и вводят 7 новых составов правонарушений (Федеральный закон от 07.02.17 № 13-ФЗ). Штрафы будут платить не только компании, но и работники, которые нарушили закон - включая юристов. Мы решили помочь вам не нарушать закон и рассказали про азы обработки персональных данных, которые касаются каждой компании.

Какая информация относится к персональным данным

Персональные данные - это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (п. 1 ст. 3 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»; далее - Закон № 152-ФЗ). Более конкретно перечень такой информации определен в Указе Президента РФ от 06.03.97 № 188 «Об утверждении Перечня сведений конфиденциального характера»: это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, которые позволяют идентифицировать его личность, за исключением сведений, подлежащих распространению в СМИ в случаях, установленных законом.

В работе юридических и кадровых служб компаний обрабатываемые персональные данные обычно включает в себя следующие сведения о лице:

• фамилия, имя, отчество;
• год, месяц, дата и место рождения;
• адрес;
• семейное, социальное, имущественное положение;
• образование, профессия, должность, доходы;
• биометрические персональные данные.

Судебная практика расширяет перечень персональных данных. Например, суды признавали персональными данными:

• сведения о смерти гражданина (постановление АС Поволжского округа от 25.09.14 по делу № А49-2005/2014);
• номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.13 по делу №33-9241/2015);
• фотографии гражданина (апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33-5232/2015).

В последнее время есть явная тенденция - перечень сведений, которые составляют персональные данные, становится все шире. Так, Европейский суд справедливости в Решении от 19.10.16 по делу № 582/14 (Патрик Брейр против Германии) признал, что при определенных условиях даже IP-адрес интернет-пользователя может признаваться персональными данными.

Что такое обработка персональных данных

Обработка персональных данных - это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 Закона № 152-ФЗ).

Например, компания обрабатывает персональные данные, если собирает анкеты клиентов (в бумажном виде или через сайт), ведет и хранит клиентскую базу, передает контакты клиентов в call-центр, фиксирует паспортные данные посетителей офиса на контрольно-пропускном пункте и т.д. Фактически персональные данные обрабатывает любая компания.

Nota bene!
Дополнительные условия для обработки персональных данных соискателей и работников установлены гл. 14 ТК РФ и разъяснениями Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

Когда нужно уведомлять Роскомнадзор

Если компания обрабатывает персональные данные, она является оператором (п. 2 ст. 3 Закона № 152-ФЗ). Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении (п. 1 ст. 22 Закона № 152-ФЗ).

Направлять уведомление не требуется (п. 2 ст. 22 Закона № 152-ФЗ), если компания-оператор обрабатывает персональные данные, в частности:

• только своих работников;
• для целей заключения и исполнения договоров (например, персональные данные контрагентов);
• для однократного пропуска лица на территорию компании;
• без использования средств автоматизации (персональные данные используют, уточняют, распространяют и уничтожают при непосредственном участии человека - см. Постановление Правительства РФ от 15.09.08 № 687).

Проверьте, подпадает ли компания под исключения, которые указаны в Законе № 152-ФЗ. Если нет - составьте уведомление по официальной форме (Приложение № 2 к административному регламенту, утв. Приказом Минкомсвязи России от 21.12.11 № 346). Затем направьте его в территориальный орган Роскомнадзора по месту регистрации компании. Отправить уведомление можно как на бумажном носителе, так и в форме электронного документа через портал «Госуслуги» (gosuslugi.ru) или официальный сайт Роскомнадзора (pd.rkn.gov.ru/).

Роскомнадзор внесет сведения о компании в реестр операторов в течение 30 дней с даты поступления уведомления. Проверить, включена ли компания в реестр, можно на официальном сайте ведомства (pd.rkn.gov.ru/).

Как правильно собирать персональные данные

По общему правилу, чтобы собирать персональные данные, нужно получить согласие их владельца - субъекта персональных данных (пп. 1 п. 1 ст. 6 Закона № 152-ФЗ). Согласие должно быть конкретным, информированным и сознательным (п. 1 ст. 9 Закон № 152-ФЗ). Это значит, что перечень оснований для обработки персональных данных должен быть указан как можно более конкретно, а также содержать срок обработки и порядок отзыва согласия (постановление АС Уральского округа от 29.09.14 по делу № А60-31459/2013, постановление Пятого ААС от 13.08.14 по делу № А59-48/2014).

Закон не устанавливает форму согласия на обработку персональных данных, за исключением особых сведений. Субъект может дать согласие в любой форме, которая позволит подтвердить факт его получения (п. 1 ст. 9 Закона № 152-ФЗ). В частности, согласие может быть выражено в электронной форме путем заполнения анкеты на сайте (постановление ФАС Северо-Западного округа от 13.12.10 по делу № А56-73636/2009, апелляционное определение Омского областного суда от 07.08.13 по делу № 33-5139/2013).

СНОСКА
Письменное согласие субъекта нужно для обработки специальных категорий персональных данных - например, о национальной принадлежности и состоянии здоровья лица (ст. 10 Закона № 152-ФЗ). Согласие можно получить на бумажном носителе или в электронной форме с усиленной квалифицированной электронной подписью.

Получать согласие на обработку в типовой форме договора рискованно, если пункт о согласии просто включен в текст. Суд может признать такой способ ненадлежащим, если потребитель не может изменить это условие - например, сделать отметку о своем согласии или отказе (постановление АС Северо-Западного округа от 18.07.16 по делу № А44-9647/2015, постановление АС Уральского округа от 22.12.16 по делу № А76-5164/2016).

В случае проверки или судебного спора именно оператор обязан доказать, что получит согласие на обработку персональных данных (п. 3 ст. 9 Закона № 152-ФЗ). Поэтому заранее определите, какой тип персональных данных обрабатывает ваша компания. В зависимости от этого разработайте форму получения согласия на обработку. Важный момент - субъект вправе в любое время отозвать свое согласие (п. 2 ст. 9 Закона № 152-ФЗ). Если в компанию поступило такое обращение - она обязана прекратить обработку персональных данных.

Nota bene!
Согласие на обработку персональных данных не нужно, если субъект сам сделал их общедоступными. Например, при регистрации на форуме или в социальной сети. Если субъект потом отзовет согласие на обработку - его можно не учитывать (пп. 10 п. 1 ст. 6, пп. 2 п. 2 ст. 10 Закона).

Как получить согласие у работников

Работников надо ознакомить под роспись с документами компании, которые устанавливают порядок обработки персональных данных, а также их права и обязанности в этой сфере (п. 8 ст. 86 ТК РФ). Такой порядок можно прописать в самом трудовом договоре, приложениях к нему, правилах внутреннего трудового распорядка или других локальных актах - например, политике компании об обработке персональных данных. Факт ознакомления работников с этими документами нужно отдельно фиксировать - например, в специальном журнале.

СНОСКА
За нарушения при обработке персональных данных работников компанию могут привлечь к ответственности по ст. 5.27 КоАП РФ (до 80 тыс рублей штрафа).

Согласие работника на обработку персональных данных не нужно в следующих случаях (см. разъяснения Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей…»):

• обработка персональных данных близких родственников работника в объеме, предусмотренном личной карточкой по форме Т-2;
• получение мотивированных запросов от прокуратуры, правоохранительных органов, органов безопасности, государственных инспекторов труда;
• обработка нужна для исполнения заключенного с работником договора или возложенных на работодателя обязанностей;
• обработка связана с выполнением работником его трудовых обязанностей, в том числе, при отправлении его в командировки.

Как обеспечить безопасность персональных данных

Персональные данные относятся к конфиденциальным сведениям (ст. 7 Закона № 152-ФЗ). Операторы и иные лица, получившие к ним доступ, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта. Оператор обязан обеспечить безопасность персональных данных. Меры зависят от способа обработки данных - с использованием средств автоматизации или вручную.

Если компания ведет автоматизированную обработку персональных данных, на нее распространяются Требования к защите персональных данных при их обработке в информационных системах, утв. постановлением Правительства РФ от 01.11.12 № 1119 и Приказ ФСТЭК России от 18.02.13 № 21. Чтобы выполнить эти требования, нужно привлекать IT-специалистов.

Для защиты персональных данных без автоматизации предусмотрены рекомендательные меры (ст. 19 Закона № 152-ФЗ и п. 13-15 Положения, утв. постановлением Правительства РФ от 15.09.08 № 687). Одна из таких мер - определить во внутренних документах компании перечень лиц, которые обрабатывают персональные данные или имеют к ним доступ. Можно обеспечить безопасность данных, если раздельно хранить носители персональных данных, которые обрабатываются в различных целях (например, раздельно хранить данные работников, посетителей офисов и клиентов).

Что и кому грозит за нарушения в сфере персональных данных

За нарушения при обработке персональных данных компанию могут привлечь к гражданско-правовой и административной ответственности по ст. 13.11 КоАП РФ. До 1 июля 2017 года максимальным наказанием для должностного лица был штраф в 1 тысячу рублей, а для компании - до 10 тысяч рублей.

С 1 июля 2017 года вступают в силу поправки, которые усиливают административную ответственность (Федеральный закон от 07.02.17 № 13-ФЗ). Поправки вводят дополнительные составы правонарушений в ст. 13.11 КоАП РФ и увеличивают штрафы. В частности, закон вводит ответственность юридических лиц за следующие нарушения:

• обработку персональных данных в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ) - штраф от 30 тыс до 50 тыс рублей;
• обработку персональных данных без согласия в письменной форме, когда закон требует получить такое согласие (ч. 2 ст. 13.11 КоАП РФ) - штраф от 15 до 70 тыс рублей;
• неопубликование оператором политики в отношении обработки персональных данных, когда такая обязанность предусмотрена законом (ч. 3 ст. 13.11 КоАП РФ) - штраф от 15 до 30 тысяч рублей.

Работника могут привлечь к административной ответственности, но не только. Дополнительно он несет материальную (п. 7 ст. 243 ТК РФ) дисциплинарную (пп. «в» п. 6 ч. 1 ст. 81 ТК РФ) и даже уголовную ответственность (ч. 2 ст. 137 УК РФ).

К ответственности привлекут как работника-нарушителя (например, скопировавшего базу клиентов на свою флешку и передавшего ее конкуренту), так и работника, который несет ответственность за обработку персональных данных в компании.