Передача третьим лицам

  Автор:

Содержание

> Для чего необходима передача персональных данных: что это такое и как происходит?

Что это такое?

Сведения о фамилии, имени, отчестве, месте и дате рождения, а также его адресе, семейном, социальном статусе, доходах и активах, образовании относят к персональной информации, которая не может становиться публичной без согласия на это самого человека. Исчерпывающее определение этого понятия указано в законе «О персональных данных», принятом еще в 2006 году.

Передача данных возможна:

  • трансграничная (на территорию иностранного государства);
  • внутренняя (на территории РФ).

СПРАВКА! Сбор и хранение этих сведений осуществляют операторы (государственные, муниципальные учреждения или коммерческие организации). На их плечи ложится и обязанность сохранять конфиденциальность.

Защита данных не требуется только в том случае, когда они являются общедоступными либо обезличенными. Например, если информация о человеке размещена на его сайте или уже была использована в СМИ или других открытых источниках либо если сведения поданы в виде статистики для научных целей.

Можно ли передавать ее в другие организации?

Личную информацию о человеке передавать можно, но для этого необходимо заручиться его согласием. К примеру, работодатель должен получить от сотрудника письменное одобрение, за исключением случаев, когда передача сведений необходима в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ). Не допускается также передача информации в коммерческих целях, к примеру, для последующей рассылки спама или рекламы.

Какие данные работника охраняются законом:

  • номер паспорта;
  • контактные данные;
  • номер свидетельства о присвоении ИНН;
  • сведения о составе семьи, уровне дохода, штрафах;
  • номер страхового пенсионного свидетельства;
  • сведения из диплома, трудовой, медицинской книжки;
  • номер водительских прав и пр.

Речь идет о сведениях, который любой работник самостоятельно передает в бухгалтерию или отдел кадров, когда оформляется на работу. Сам работодатель эту информацию не собирает. Это не должно попасть в посторонние руки, например, в базу данных клиентов телефонной компании или любой другой коммерческой компании.

Работодатель также не вправе требовать отчета о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им своих обязанностей. Сведения о человеке (заполненная им анкета, личная карточка, результаты аттестации и пр.) могут быть переданы только специально уполномоченным лицам.

Личные сведения передаются и при регистрации в онлайн-магазинах. Для этого покупатель всегда ставит галочку в онлайн-форме договора о своем согласии. Передается информация и в других случаях: от устройства ребенка в школу и до получения кредита.

Даже если вы хотите подписаться на рассылку, где требуется предварительно заполнить анкету со сведениями о ваших доходах, семейном положении и прочем, необходимо будет давать согласие на обработку и хранение всех перечисленных сведений.

ВНИМАНИЕ! Регистрация в соцсетях, в том числе в популярном Facebook, также связана с дачей согласия на хранение и обработку данных.

Кому можно получать?

Передавать данные можно всем, кто их запрашивает в рамках заключения договора (в том числе трудового) или другой деятельности.

Наиболее часто мы передаем данные банку, страховщику, лизинговой компании и другим коммерческим организациям, с которыми оформляем письменный договор. Защита информации о вкладах, кредитах и других договорах клиента очень важна, так как любая утечка может привести к взлому карточного или другого счета либо нарушить банковскую тайну клиента.

По законодательству вся информация об операциях клиента банка должна храниться на электронных носителях не менее пяти лет. В случае отзыва у банка лицензии, электронные носители должны быть переданы в Банк России. Защищаются только данные физлиц, поскольку на компании действие закона не распространяется.

Данные клиентов хранятся в системе Клиент-Банк, перевода денег, а также на сайте компании и других ресурсах. Для защиты сведений в банковских и других структурах используются самые разные технические и организационные меры, например, подсистемы контроля доступа, регистрации, межсетевой безопасности, антивирусные меры, средства для обнаружения вторжений. Операторы шифруют свои архивы, документы, каналы связи и используют пакетную коммутацию MPLS.

Особенности распространения личной информации

Передача сведений может быть с согласия их владельца либо без согласия. Например, человек, который устраивается на работу, обязан передать информацию о себе в компанию, а если в отношении его начато следствие, то — нет.

Передавать сведения в банки безопасно, так же как и в любые другие организации, которые работают с большим количеством клиентов, соблюдают все требования по защите данных и стремятся к тому, чтобы утечки ценных сведений не происходило.

С разрешения владельца

С согласия владельца передаются данные при любом заключении договора, а также при трудоустройстве. От работника в этом случае требуется письменное согласие. Если данные сотрудника, возможно, получить только у третьей стороны, то работодатель уведомляет его о запросе не позднее 5 рабочих дней.

ВАЖНО! При изменении данных работник должен уведомить работодателя и в течение двух недель предоставить копии документов, подтверждающие перемены (например, свидетельство о браке, подтверждающее факт смены фамилии).

Письменное согласие работника требуется:

  • при получении сведений у третьей стороны;
  • при обработке специальных категорий данных.

К спецкатегориям относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. Для обработки этих данных нужно обязательное письменное одобрение сотрудника.

Без его согласия

Без согласия информация передается в том случае, если она обезличена (для статистических или иных научных целей) либо является общедоступной. Обработка биометрических данных может осуществляться без согласия только в связи с осуществлением правосудия, в целях безопасности, в рамках оперативно-розыскной деятельности, следствия.

Согласие работника не требуется, если обработка данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.

Процедура отправки

Передать данные очень просто. Если требуется согласие, то его нужно дать в письменной форме или в виде электронной записи. Однако учтите, что регистрируясь на сайте интернет-магазина, нельзя передавать пин-коды карты.

СПРАВКА! Желательно также не делать отметки о своем доходе, медицинскую и личную информацию. Иными словами, если можно уменьшить количество сведений, которые вы передаете, то лучше это сделать.

Как передать данные третьим лицам:

  1. Определиться с набором сведений, которые будут переданы.
  2. Дать согласие на передачу.
  3. Получить информацию о возможном отзыве согласия (например, адрес электронной почты, куда можно направить заявление в случае, если вы передумаете).

После того как согласие будет передано, можно будет приступать к онлайн-покупкам или к выполнению трудовых обязанностей, пользоваться кредитом, страховкой и так далее.

Подготовка документов

Основной документ, подтверждающий готовность передать персональные сведения о себе, называется письменное согласие.

Это может быть документ, в котором указывается дата, персональные данные и контакты, а также дается разрешение на их передачу. Либо пользователь принимает его путем регистрации на сайте или подачи заявки на получение товара или услуги. В последнем случае достаточно будет просто поставить отметку напротив соответствующей фразы.

Письменное согласие включает в себя:

  • Ф.И.О., адрес, номер паспорта;
  • наименование и адрес оператора;
  • цель обработки, перечень данных и действий с ними;
  • срок, в течение которого действует согласие, а также порядок его отзыва.

Согласие дается на срок действия договора и в течение 5 лет после его окончания. Отзыв согласия может быть произведен в письменной форме не ранее даты прекращения договора или даты исполнения обязательств в соответствии с ним.

Согласие дается на целый ряд действий: от сбора до уничтожения и трансграничной передачи. Обработка осуществляется путем хранения, записи на электронные носители и их хранение, составления перечней, маркировки. Если вы регистрируетесь на сайте, то оператор должен разъяснить, как может быть отозвано согласие и что для этого нужно сделать.

Трудовой договор

При заключении письменного договора с работодателем иногда дается одновременное согласие на передачу данных. Оформляется оно в виде отдельного пункта соглашения. Подписывая договор, работник одновременно дает согласие. В пунктах соглашения может быть отражено, какие именно данные будут обрабатываться.

Согласие работника действует со дня заключения договора до прекращения трудовых отношений и может быть отозвано. После заключения договора, сведения о работнике можно, например, публиковать на сайте компании (например, информацию об образовании, возрасте и пр.).

Каналы

Передавать данные можно из рук в руки, когда вы заключаете письменный договор, по открытым каналам связи (например, по телефону), а также по электронной почте. Передача может осуществляться внутри страны или за ее пределами (трансграничный вариант). Прежде чем рассказывать личную информацию о себе по телефону или высылать по электронной почте стоит убедиться, что это действительно необходимо и безопасно.

Досрочный отзыв

В любой момент, даже если данные уже переданы, можно запретить их обработку и хранение другими лицами. В случае отзыва согласия оператор обязан по закону прекратить обработку и уничтожить их в течение месяца.

Как отозвать разрешение на обработку данных:

  1. Подготовить заявление об отзыве согласия.
  2. Направить его на адрес оператора с просьбой прекратить обработку данных в течение 3-5 дней.
  3. Получить уведомление о выполнении просьбы заявителя.

Например, часто отказываются от дальнейшей обработки и хранения медицинских данных родители детей, которые передавали их при оформлении в детские сады. Для этого пишется отзыв согласия в виде заявления на имя руководства учреждения. Аналогичные действия могут предпринимать и жильцы дома, которые протестуют против опубликования списка должников по коммунальным услугам.

Оформление заявления

СПРАВКА! Образец этого документа легко найти в Сети. Он составляется произвольно, но с обязательным указанием контактов, Ф.И.О. заявителя, даты и причины требования отзыва согласия.

В заявлении необходимо указать:

  • сроки прекращения;
  • просьбу о письменном уведомлении о результатах рассмотрения заявления.

Нужно перечислить и какие именно данные нужно перестать обрабатывать. Например, если заявление составляется для банка, то речь может идти об адресе и регистрации, контактах работодателей, телефонов (личных и, например, поручителей, родственников). К заявлению может быть приложена копия договора и паспорта заявителя.

Запрет на отправку своих сведений

Если владелец данных не намерен передавать их в другие организации, например, при заключении договора, то он может просто отказаться от его подписания. Подписать договор, наложив запрет на передачу данных зачастую просто невозможно. Отказ от обработки данных делает невозможным заключение договора.

Точно также нельзя отказаться от передачи данных при трудоустройстве. Однако владелец данных всегда может отозвать их, если он считает это необходимым, написав заявление об отзыве.

Обращение в суд в случае несанкционированного разглашения

СПРАВКА! Иск о гражданской ответственности подается только в том случае, когда оператор допустил утечку данных и причинил вред владельцу сведений (п.6.1 ст. 29 ГПК РФ).

Подается исковое заявление по месту жительства истца или ответчика. Госпошлина при подаче иска составляет 200 рублей. Оператора также можно привлечь к административной или уголовной ответственности.

Полезное видео

Смотрим видео о защите и передаче персональных данных:

Персональные данные можно использовать во вред владельцу, например, в мошеннических целях. Именно поэтому их сбор, обработка и хранение охраняется законом.

Запрещается передача сведений о человеке без его согласия в любые сторонние организации. Всегда требуется запрашиваться согласие на обработку и передачу личной, а тем более биометрической информации о владельце. Согласие на обработку и хранение можно отозвать в любое время. При нарушении прав можно обращаться за их защитой в суд или с жалобой в Роскомнадзор.

Работодатель, принимая на работу нового сотрудника, запрашивает у него согласие на обработку персональных данных.

Сегодня разберем, что такое персональные данные, какой правовой режим устанавливается в отношении персональных данных и какие обязанности возникают у работодателя.

Трудовой кодекс РФ (далее — ТК РФ) устанавливает особенности защиты, а также хранения, использования и передачи персональных данных работника в Главе 14 «Защита персональных данных работника». Правила работы с персональными данными содержатся в Федеральном законе «О персональных данных» от 27.07.2006 № 152-ФЗ.

Под персональными данными понимаетсялюбая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Платформа ОФД 📌 РекламаОФД со скидкой 30%. Новогодняя акция на подключение касс ОФД поможет бухгалтеру сдать отчеты + аналитика продаж + работа с Честным ЗНАКом Узнать больше

Т.е. персональными данными является огромное количество информации, позволяющей идентифицировать человека, начиная от даты рождения, фамилии, имени, отчества, и заканчивая информацией о расовой, национальной принадлежности человека, его политических взглядах.

Можно привести примерный перечень персональных данных работника:

  • фамилия, имя, отчество;
  • дата рождения;
  • адрес места регистрации/места жительства;
  • сведения, содержащиеся в документах, предоставляемых при трудоустройстве: паспорте, трудовой книжке, документе об образовании, свидетельстве о государственном пенсионном страховании;
  • сведения о трудовом (страховом) стаже;
  • сведения о привлечении работника к материальной ответственности;
  • сведения о состоянии здоровья и результатах медицинского обследования работника;
  • любые иные сведения, позволяющие определить работника.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В терминах Закона № 152-ФЗ организация-работодатель является оператором персональных данных, так как организует и осуществляет обработку персональных данных, а также совершает иные действия с персональными данными. Следовательно, работодатель при принятии на работу работника, оформляя должным образом все необходимые документы, будет являться оператором, осуществляющим обработку персональных данных.

Источник получения персональных данных

Источником получения персональных данных о работнике может являться не только он сам. Однако, для исключения возможных неточностей все персональные данные работника следует получать у него самого.

Если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных.

Например, если работодатель решит получить дополнительную информацию о профессиональной подготовке работника в другой организации, то ему необходимо получить письменное согласие работника на такой запрос. Для получения согласия работодатель может направить работнику уведомление о получении персональных данных работника от третьих лиц с просьбой дать согласие на получение таких данных.

Работа с персональными данными

Согласие на обработку персональных данных оформляется исключительно в письменной форме.

Однако из данного правила имеются исключения. В частности, допускается обработка персональных данных в случаях, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Данное правило распространяется и на стороны трудового договора, то есть работника и работодателя.

Из сказанного следует, если работодатель получает от работника, хранит и передает лишь ту информацию, которая необходима для исполнения трудового договора, получение согласия работника на такие действия не требуется.

Возникает большое количество вопросов относительно контактных данных работника, ведь отсутствие такой информации не влечет невозможность исполнения трудового договора. Согласно статье 65 ТК РФ предоставление каких-либо документов с контактными данными не требуется. Поэтому, если работодатель желает получить такого рода информацию (а также иную информацию, неполучение которой не влечет невозможность исполнения договора), ему необходимо получить на это согласие работника.

Между тем, даже если у работника не берется согласие на обработку персональных данных, в целях соблюдения положений статьи 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Статьей 88 ТК РФ установлены требования к передаче персональных данных работника.

Так, работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника и в иных предусмотренных законодательством случаях. Были даны разъяснения, в каких случаях при передаче персональных данных работника третьим лицам согласия работника не требуется:

  • в Фонд социального страхования РФ, Пенсионный фонд РФ;
  • в банковские организации, открывающие и обслуживающие банковские карты для начисления заработной платы в случаях:
  • когда договор на выпуск банковской карты заключался напрямую с работником и в его тексте предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
  • наличия у работодателя доверенности на представление интересов работника;
  • когда соответствующая форма и система оплаты труда прописана в коллективном договоре

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований законодательства, а именно путем утверждения Положения о хранении и использовании персональных данных работников. В Положении стоит указать порядок допуска к работе с персональными данными, перечень данных, с которыми работают должностные лица, порядок передачи данных внутри и за пределы организации.

Доступ к персональным данным работника должен быть разрешен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

Защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет собственных средств.

Отдельные вопросы порядка работы с персональными данными

Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством. К таким случаям, в частности, относится обработка персональных данных для целей бухгалтерского и налогового учета. Также в случаях наличия согласия работника работодатель вправе хранить копию трудовой книжки уволенного работника.

Интересна позиция Роструда при оформлении пропусков для доступа к месту работы, которые представляют собой копию паспорта работника. Так, на сайте Роструда был задан вопрос, нарушает ли положение о защите персональных данных предъявление такого рода пропуска сотрудникам охранной организации (то есть третьему лицу). По мнению Роструда, оформление такого рода пропусков и обязание работников предъявлять такие пропуска сторонней организации возможно только с письменного согласия работника.

Необходимо отметить, что в случае хранения в личном деле каких-либо документов, касающихся родственников работников (например, копия свидетельства о рождении ребенка для получения вычета, копии свидетельства о заключении брака, др.), работодатель должен получить согласие на обработку персональных данных либо от совершеннолетних членов семьи, либо от самого работника, как полномочного представителя своих несовершеннолетних детей.

Кроме того, в целях соблюдения положений законодательства о персональных данных, не допускается издание одного приказа, например, о переводе нескольких работников на новые должности, так как такой приказ будет нарушать конфиденциальность персональных данных: в приказ включается информация о заработной плате каждого работника, а такие сведения не подлежат разглашению третьим лицам.

Многих работодателей интересует вопрос о возможности ведения видеонаблюдения на территории организации и необходимости получения согласия работников. Из статьи 22 ТК РФ вытекает право работодателя осуществлять контроль за трудовой деятельностью работников. Формы такого контроля законодательством не установлены. Они закрепляются локальными нормативными актами, действующими в организации. Следовательно, для введения системы видеонаблюдения работодателю необходимо издать соответствующий локальный нормативный акт, с которым ознакомить работников.

При осуществлении контроля работодатель обязан соблюдать конституционные права граждан, а также требования законодательства о защите персональных данных работников.

Ответственность за нарушения в сфере обработки персональных данных

Статьей 13.11 КоАП РФ предусмотрена ответственность за обработку персональных данных в случаях, не предусмотренных законодательством РФ, либо их обработка, не совместимая с целями сбора персональных данных. Организация по этой норме будет оштрафована на сумму от 30 000 до 50 000 рублей.

Частью 2 статьи 13.11 КоАП РФ выделен самостоятельный состав правонарушения, который образует обработка персональных данных без письменного согласия их субъекта (работника) либо обработка персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие. Должностному лицу компании-работодателя грозит штраф в размере от 10 000 до 20 000 рублей, а организации — от 15 000 до 75 000 рублей.

По материалам журнала «Наша бухгалтерия»

Добрый день! Согласно п.2 ст.3 Федерального закона «О персональных данных», оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Согласно ст.ст.6,9 Федерального закона «О персональных данных», обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных Федеральным законом от 27 мая 1996 года N 57-ФЗ «О государственной охране».
Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.
В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.
В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
Согласно ст.102 Налогового кодекса, налоговую тайну составляют любые полученные налоговым органом, органами внутренних дел, следственными органами, органом государственного внебюджетного фонда и таможенным органом сведения о налогоплательщике, плательщике страховых взносов, за исключением сведений:
1) являющихся общедоступными, в том числе ставших таковыми с согласия их обладателя — налогоплательщика (плательщика страховых взносов). Такое согласие представляется по выбору налогоплательщика (плательщика страховых взносов) в отношении всех сведений или их части, полученных налоговым органом, по форме, формату и в порядке, утверждаемым федеральным органом исполнительной власти, уполномоченным по контролю и надзору в области налогов и сборов;
2) об идентификационном номере налогоплательщика;
3) исключен. — Федеральный закон от 09.07.1999 N 154-ФЗ;
3) о нарушениях законодательства о налогах и сборах (в том числе суммах недоимки и задолженности по пеням и штрафам при их наличии) и мерах ответственности за эти нарушения;
4) предоставляемых налоговым (таможенным) или правоохранительным органам других государств в соответствии с международными договорами (соглашениями), одной из сторон которых является Российская Федерация, о взаимном сотрудничестве между налоговыми (таможенными) или правоохранительными органами (в части сведений, предоставленных этим органам), в том числе в рамках международного автоматического обмена информацией;
5) предоставляемых избирательным комиссиям в соответствии с законодательством о выборах по результатам проверок налоговым органом сведений о размере и об источниках доходов кандидата и его супруга, а также об имуществе, принадлежащем кандидату и его супругу на праве собственности;
6) предоставляемых в Государственную информационную систему о государственных и муниципальных платежах, предусмотренную Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
7) о специальных налоговых режимах, применяемых налогоплательщиками, а также об участии налогоплательщика в консолидированной группе налогоплательщиков;
8) предоставляемых органам местного самоуправления (органам государственной власти городов федерального значения Москвы, Санкт-Петербурга и Севастополя) в целях осуществления контроля за полнотой и достоверностью информации, представленной плательщиками местных сборов, для расчета сборов, а также о суммах недоимки по таким сборам;
9) о среднесписочной численности работников организации за календарный год, предшествующий году размещения указанных сведений в информационно-телекоммуникационной сети «Интернет» в соответствии с пунктом 1.1 настоящей статьи;
10) об уплаченных организацией в календарном году, предшествующем году размещения указанных сведений в информационно-телекоммуникационной сети «Интернет» в соответствии с пунктом 1.1 настоящей статьи, суммах налогов и сборов (по каждому налогу и сбору) без учета сумм налогов (сборов), уплаченных в связи с ввозом товаров на таможенную территорию Евразийского экономического союза, сумм налогов, уплаченных налоговым агентом, о суммах страховых взносов;
11) о суммах доходов и расходов по данным бухгалтерской (финансовой) отчетности организации за год, предшествующий году размещения указанных сведений в информационно-телекоммуникационной сети «Интернет» в соответствии с пунктом 1.1 настоящей статьи;
12) о постановке на учет в налоговых органах иностранных организаций в соответствии с пунктом 4.6 статьи 83 настоящего Кодекса.
13) о постановке на учет в налоговых органах физических лиц в соответствии с пунктом 7.3 статьи 83 настоящего Кодекса.
Сведения об организации, указанные в подпункте 3 (в части сведений о суммах недоимки и задолженности по пеням и штрафам (по каждому налогу и сбору, страховому взносу), налоговых правонарушениях и мерах ответственности за их совершение) и в подпунктах 7, 9 — 11 пункта 1 настоящей статьи, размещаются в форме открытых данных на официальном сайте федерального органа исполнительной власти, уполномоченного по контролю и надзору в области налогов и сборов, в информационно-телекоммуникационной сети «Интернет», за исключением сведений об организации, составляющих государственную тайну. Сведения, подлежащие размещению, по запросам не представляются, за исключением случаев, предусмотренных федеральными законами.
Сроки и период размещения сведений, указанных в абзаце первом настоящего пункта, порядок их формирования и размещения утверждаются федеральным органом исполнительной власти, уполномоченным по контролю и надзору в области налогов и сборов.
Налоговая тайна не подлежит разглашению налоговыми органами, органами внутренних дел, следственными органами, органами государственных внебюджетных фондов и таможенными органами, их должностными лицами и привлекаемыми специалистами, экспертами, за исключением случаев, предусмотренных федеральным законом.
К разглашению налоговой тайны относится, в частности, использование или передача другому лицу информации, составляющей коммерческую тайну (секрет производства) налогоплательщика, плательщика страховых взносов и ставшей известной должностному лицу налогового органа, органа внутренних дел, следственного органа, органа государственного внебюджетного фонда или таможенного органа, привлеченному специалисту или эксперту при исполнении ими своих обязанностей.
Не является разглашением налоговой тайны представление налоговым органом ответственному участнику консолидированной группы налогоплательщиков сведений об участниках этой группы, составляющих налоговую тайну, а также представление в финансовые органы субъектов Российской Федерации, на территориях которых осуществляют деятельность участники консолидированной группы налогоплательщиков, информации о прогнозируемых поступлениях налога на прибыль организаций в бюджеты субъектов Российской Федерации от консолидированной группы налогоплательщиков в текущем финансовом году, на очередной финансовый год и плановый период и о факторах, оказывающих влияние на планируемые поступления налога на прибыль организаций, полученной в соответствии с подпунктом 9 пункта 3 статьи 25.5 настоящего Кодекса.
Поступившие в налоговые органы, органы внутренних дел, следственные органы, органы государственных внебюджетных фондов или таможенные органы сведения, составляющие налоговую тайну, имеют специальный режим хранения и доступа.
Доступ к сведениям, составляющим налоговую тайну, имеют должностные лица, определяемые соответственно федеральным органом исполнительной власти, уполномоченным по контролю и надзору в области налогов и сборов, федеральным органом исполнительной власти, уполномоченным в области внутренних дел, федеральным государственным органом, осуществляющим полномочия в сфере уголовного судопроизводства, федеральным органом исполнительной власти, уполномоченным в области таможенного дела.
Утрата документов, содержащих составляющие налоговую тайну сведения, либо разглашение таких сведений влечет ответственность, предусмотренную федеральными законами.
Положения настоящей статьи в части определения состава сведений о налогоплательщиках (плательщиках страховых взносов), составляющих налоговую тайну, запрета на разглашение указанных сведений, требований к специальному режиму хранения и доступа к указанным сведениям, а также ответственности за утрату документов, содержащих указанные сведения, либо разглашение таких сведений распространяются на сведения о налогоплательщиках (плательщиках страховых взносов), полученные организациями, подведомственными федеральному органу исполнительной власти, уполномоченному по контролю и надзору в области налогов и сборов, осуществляющими ввод и обработку данных о налогоплательщиках (плательщиках страховых взносов), а также на работников указанных организаций.
Положения настоящей статьи в части запрета на разглашение сведений, составляющих налоговую тайну, требований к специальному режиму хранения указанных сведений и доступа к ним, ответственности за утрату документов, содержащих указанные сведения, или за разглашение таких сведений распространяются на сведения о налогоплательщиках (плательщиках страховых взносов), поступившие в государственные органы, органы местного самоуправления или организации в соответствии с законодательством Российской Федерации о противодействии коррупции.
Доступ к сведениям, составляющим налоговую тайну, в государственных органах, органах местного самоуправления или организациях, в которые такие сведения поступили в соответствии с законодательством Российской Федерации о противодействии коррупции, имеют должностные лица, определяемые руководителями этих государственных органов, органов местного самоуправления или организаций.
Положения настоящей статьи в части запрета на разглашение сведений, составляющих налоговую тайну, требований к специальному режиму хранения указанных сведений и доступа к ним, ответственности за утрату документов, содержащих указанные сведения, или за разглашение таких сведений распространяются на сведения о размере и об источниках доходов работников (их супругов и несовершеннолетних детей) организаций с государственным участием, поступившие в государственные органы в соответствии с нормативными правовыми актами Президента Российской Федерации, Правительства Российской Федерации.
Доступ к указанным в настоящем пункте сведениям, составляющим налоговую тайну, в государственных органах, в которые такие сведения поступили в соответствии с нормативными правовыми актами Президента Российской Федерации, Правительства Российской Федерации, имеют должностные лица, определяемые руководителями этих государственных органов.
Сведения, содержащиеся в специальной декларации, представленной в соответствии с Федеральным законом «О добровольном декларировании физическими лицами активов и счетов (вкладов) в банках и о внесении изменений в отдельные законодательные акты Российской Федерации», и (или) прилагаемых к ней документах и (или) сведениях, признаются налоговой тайной с учетом следующих особенностей:
1) такие сведения признаются налоговой тайной без исключений, установленных подпунктами 1 — 3 и 5 — 8 пункта 1 настоящей статьи;
2) разглашение таких сведений и утрата представленных специальных деклараций и (или) прилагаемых к ним документов и (или) сведений являются основанием для привлечения к уголовной ответственности за незаконное разглашение сведений, составляющих налоговую тайну, в соответствии с Уголовным кодексом Российской Федерации;
3) должностное лицо налогового органа, которому такие сведения стали известны, не может быть привлечено к ответственности за отказ от дачи показаний по обстоятельствам, которые стали ему известны из сведений, указанных в абзаце первом настоящего пункта;
4) такие сведения могут быть истребованы у налогового органа только по запросу самого декларанта, признаваемого таковым в соответствии с указанным в абзаце первом настоящего пункта Федеральным законом;
5) в случае необходимости подтверждения факта представления в налоговый орган специальной декларации и документов и (или) сведений, прилагаемых к декларации, и достоверности содержащихся в них сведений должностное лицо органа государственной власти или банка, которому в качестве основания для предоставления гарантий, предусмотренных указанным в абзаце первом настоящего пункта Федеральным законом, была представлена копия специальной декларации с отметкой налогового органа о ее принятии, вправе направить ее в федеральный орган исполнительной власти, уполномоченный по контролю и надзору в области налогов и сборов, для сверки с оригиналом специальной декларации, находящейся на централизованном хранении. Федеральный орган исполнительной власти, уполномоченный по контролю и надзору в области налогов и сборов, в пятидневный срок после получения такой копии специальной декларации направляет ответное уведомление о том, соответствует либо не соответствует полученная копия специальной декларации оригиналу.
Положения настоящей статьи в части запрета на разглашение сведений, составляющих налоговую тайну, требований к специальному режиму хранения указанных сведений и доступа к ним, ответственности за утрату документов, содержащих указанные сведения, или за разглашение указанных сведений распространяются на сведения, поступившие в финансовые органы субъектов Российской Федерации, на территориях которых осуществляют деятельность участники консолидированной группы налогоплательщиков, в составе информации о прогнозируемых поступлениях налога на прибыль организаций в бюджеты субъектов Российской Федерации от участников консолидированной группы налогоплательщиков в текущем финансовом году, на очередной финансовый год и плановый период и о факторах, оказывающих влияние на планируемые поступления налога на прибыль организаций.
Доступ к указанным в настоящем пункте сведениям, составляющим налоговую тайну, в финансовых органах субъектов Российской Федерации имеют должностные лица, определяемые руководителями этих финансовых органов.
Таким образом, собирать и обрабатывать пероснальных данные может любое лицо, но необходимо Ваше согласие на обработку персональных данных, за исключением случаев, предусмотренных законом.

Ответить

Меры по защите персональных даных сотрудников

Юлия Бронских, начальник отдела безопасности «Джон Дир Русь»

Источник: Журнал «Директор по безопасности»

Что такое персональные данные?

За рубежом сложились два основных подхода к определению персональных данных: в некоторых государствах (Нидерланды, Швеция, Новая Зеландия и др.) они отождествляются с любой информацией, имеющей отношение к конкретному лицу, в других – прослеживается детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.). В Великобритании не допускается сбор данных о расовом происхождении, политических, религиозных и прочих взглядах работников, их физическом и умственном здоровье, сексуальной жизни, судимости. В США многие штаты приняли законы, запрещающие предпринимателям проводить расследования прошлого нанимаемых работников. Согласно этим законам, прежде чем вступить в контакт с прежним работодателем, новый наниматель должен получить согласие на это кандидата на рабочее место.

У нас в соответствии с ТК РФ под персональными данными подразумевается информация, необходимая работодателю в связи с установлением трудовых отношений и касающаяся конкретного работника (ст. 85). При этом законодатель не устанавливает перечня таких сведений.

А это означает, что круг сведений и вид информации, которые составляют персональные данные работника, компаниям следует определять в локальном нормативном акте, но в пределах, установленных федеральным законодательством.

Другой документ, где дается характеристика персональным данным, – это ФЗ № 152 «О персональных данных». В нем указывается, что персональные данные – это любая информация, относящаяся к определенному или определяемому на ее основе физическому лицу (субъекту персональных данных). Она включает фамилию, имя, отчество, число, месяц, год и место рождения, а также адрес, сведения о семейном, социальном, имущественном положении, об образовании, профессии, доходах и иные.

Обязательное и добровольное предоставление данных

Предоставление данных может быть обязательным и добровольным. Обязательное предусмотрено федеральными законами (например, ФЗ от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования») в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (перечень приведен в п. 2 ст. 9 ФЗ «О персональных данных»).

Без получения согласия субъекта может осуществляться обработка его персональных данных в целях исполнения договора, одной из сторон которого он является, либо в случае, если это необходимо для доставки почтовых отправлений и т. п. Полный перечень таких исключений приведен в п. 2 ст. 6 ФЗ № 152

Соблюдения конфиденциальности не требуется и в отношении общедоступных персональных данных. Так, столичный мировой суд отказал советнику Президента РФ Сергею Дубику в претензиях к порталу «Гражданский контроль», обнародовавшему неправомерно, по мнению чиновника, его персональные данные. Суд признал законной публикацию на сайте «Гражданский контроль» фамилии и должности советника Путина, и судья постановила, что использование в публикациях информации об именах и должностях госслужащих не является нарушением закона.

Является ли ваша компания оператором?

Если организация, например, передает данные работника в банк для выпуска «зарплатной» карты, то она является оператором. Если у фирмы есть клиенты – физические лица, то ее также следует считать оператором. Если предприятие осуществляет передачу персональных данных в другие организации, любым лицам, то и оно – оператор.

Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Уведомления должны быть посланы в письменной форме и подписаны уполномоченным лицом или отправлены в электронном виде и подписаны электронной цифровой подписью Операторам необходимо зарегистрироваться в Реестре операторов персональных данных на сайте Роскомнадзора: http://www.rsoc.ru/p582/p585/ и указать цель обработки персональных данных.

Это может быть, например, кадровый учет сотрудников по трудовому договору; исполнение трудового договора; подбор кадров; поддержка иностранных сотрудников; продвижение товаров на рынке; продажа рекламных мест; возврат утерянных паспортов; учет обращений в медицинский кабинет; организация пропускного режима; автоматизация обмена почтовыми сообщениями.

Что касается оснований, при которых работодатель вправе обрабатывать персональные данные без уведомления Роскомнадзора, то они перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В частности, это можно делать, если персональные данные работника используются в соответствии с трудовым законодательством. Обрабатывать такие данные разрешается исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, оказания содействия работникам в трудоустройстве, обучении и продвижении по службе, создания условий для личной безопасности персонала и сохранности имущества организации, контроля качества выполняемой работы (ст. 86 ТК РФ).

Итак, направлять уведомления об обработке персональных данных в Роскомнадзор нет необходимости в том случае, когда персональные данные работников обрабатываются согласно трудовому законодательству. При этом, если работодатель планирует в рамках совместного с банком «зарплатного» проекта выплачивать зарплату работнику через банковскую карту или оформить ему договор добровольного медицинского страхования, то такие отношения выходят за рамки трудового законодательства. В такой ситуации необходимо отослать в Роскомнадзор уведомление установленного образца.

Защита персональных данных

Любое юридическое лицо в силу требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обязано принимать меры по защите персональных данных, при этом перечень таких мер оно вправе определять самостоятельно.

Мероприятия по защите персональных данных можно разделить на две большие подгруппы: по внутренней и внешней защите персональных данных.

К мерам по внутренней защите персональных данных относятся следующие действия:

• ограничение числа работников (с регламентацией их должностей), которым открыт доступ к персональным данным. Кого может включать этот перечень? Абсолютно всех, кто имеет доступ к личным делам, т. е. сотрудников отделов кадров или ответственных за кадровое делопроизвод-
ство, работников бухгалтерии, секретарей-делопроизводителей, специалистов, которые заключают договоры с физическими лицами, а также инженеров, программистов, юристов;

• назначение ответственного лица, обеспечивающего исполнение организацией законодательства в рассматриваемой сфере;

• утверждение перечня документов, содержащих персональные данные;

• издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением;

• ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами; проведение систематических проверок соответствующих знаний работников, обрабатывающих персональные данные, и соблюдения ими требований нормативных документов по защите конфиденциальных сведений. Следует иметь в виду, что все сотрудники, которые имеют доступ к персональным данным других людей, должны быть ознакомлены с особенностями законодательства в области защиты персональных данных;

• рациональное размещение рабочих мест для исключения несанкционированного использования защищаемой информации;

• утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;

• утверждение порядка уничтожения информации;

• выявление и устранение нарушений требований по защите персональных данных;

• проведение профилактической работы с сотрудниками по предупреждению разглашения ими персональных данных.

Среди мер по внешней защите персональных данных следует выделить такие:

• введение пропускного режима, порядка приема и учета посетителей;

• внедрение технических средств охраны, программных средств защиты информации на электронных носителях и др.

Несмотря на то что законом не установлены конкретные требования к количеству и содержанию локальных актов, принимаемых в организации по вопросам обработки и защиты персональных данных, практика реализации данного нормативного акта сформировала необходимый минимум документов, которые должны быть разработаны в компании:

• общий документ, определяющий политику фирмы в отношении обработки персональных данных, например положение о персональных данных;

• список лиц, обрабатывающих персональные данные;

• приказ о назначении сотрудника, ответственного за организацию обработки персональных данных. Указанное лицо должно осуществлять внутренний контроль за соблюдением компанией и ее работниками законодательства о персональных данных, в том числе требований к их защите, доводить до сведения персонала положения законодательства о персональных данных, локальных актов по вопросам их обработки, а также требования к защите таких данных, организовывать прием и обработку обращений и запросов субъектов персональных данных и (или) контролировать прием и обработку таких обращений и запросов;

• положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных. В данном положении рекомендуется прописать конкретные меры по защите персональных данных (введение пропускного режима, применение программных средств защиты информации – паролей, антивирусных программ, хранение персональных данных обособленно от других сведений, на отдельных материальных носителях и в специально оборудованных помещениях с ограниченным доступом и т. д.);

• локальный акт, устанавливающий процедуры,направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений. Так, в компании могут быть разработаны план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, вестись журнал антивирусных проверок и контроля работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных.

Иные организационные и технические меры, направленные на защиту персональных данных

Следует позаботиться также об организационных и технических мерах, предназначенных для защиты персональных данных. Вот как может выглядеть их список:

• утверждение требований к помещению, где хранятся персональные данные.

Следует иметь в виду, что законодательством они не установлены. Однако если исходить из имеющихся аналогичных законов, учитывать положения Трудового кодекса РФ, то во избежание несанкционированного доступа к персональным данным на бумажных носителях необходимо оборудовать помещение, где они хранятся, запирающимися шкафами. В локальном нормативном акте следует установить требования к помещению, где хранятся персональные данные, а также издать приказ об определении помещений, где обрабатываются персональные данные, и утвердить перечень лиц, имеющих допуск туда;

• обеспечение программной защиты информационной системы организации. При использовании электронных систем обработки персональных данных необходимо учитывать требования по обеспечению безопасности таких данных, установленные в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. В том числе следует ограничить доступ к определенным сведениям в информационных системах (например, установить пароли и т. д.). Целесообразно также ограничить доступ к электронным базам данных, содержащим персональные данные акционеров, двухуровневой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли должны устанавливаться администратором баз данных и администратором сети соответственно и сообщаться индивидуально сотрудникам, имеющим доступ к персональным данным, при этом их следует как можно чаще (например, ежемесячно) менять;

• ведение журнала учета работы с персональными данными. В целях соблюдения конфиденциального режима работы с персональными данными целесообразно вести журнал учета выдачи персональных данных другим лицам, организациям и государственным органам. В нем следует регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дате передачи персональных данных или факте уведомления об отказе в их предоставлении, а также отмечать, какая именно информация была передана.

Передача персональных данных третьим лицам

Поводов для передачи персональных данных третьим лицам может быть масса – заключение договоров дополнительного медицинского страхования, получение «зарплатных» банковских карт и т. д. Если организация большая – несколько тысяч работников, то получение с каждого из них согласия на обработку персональных данных может занять много времени. Да и сами работники от этого будут не в восторге. Таким образом, возникает вопрос: можно ли заранее решить эту проблему, включив данный пункт в трудовой договор?

По своему опыту скажу, что собирать со всех согласие на передачу данных в любом случае придется. В трудовой договор, конечно, можно включить соответствующий пункт, но все равно необходимо будет выполнить требование о получении согласия работника. Причем проще будет оформить это согласие отдельно.

Сделайте коллективный договор с работниками и перечислите там всех тех третьих лиц, которым будут передаваться персональные данные, указав их наименование, адрес, цель передачи им данных, включив перечень их возможных действий с персональными данными и обозначив срок, в течение которого они будут обрабатывать эти данные. Все работники распишутся – и дело будет закрыто.

Какие контрольные органы вправе затребовать персональные данные

Суды и другие правоохранительные органы могут беспрепятственно получать от компаний персональные данные сотрудников, клиентов или контрагентов без согласия последних. Но ответ на вопрос о том, имеют ли аналогичные права другие контролирующие структуры и какие именно, приходится искать не только в законах, но и в судебной практике.

Так, Девятый арбитражный апелляционный суд в своем постановлении от 25.06.09 г. по делу № А40-76345/08-122-112 указал, что сотрудник службы судебных приставов не имеет права запрашивать и получать сведения, содержащие личные данные граждан. В частности, суд отметил, что ни Федеральный закон от 21.07.1997 № 118-ФЗ «О судебных приставах», ни Федеральный закон от 02.01.2007 № 229-ФЗ «Об исполнительном производстве» не предоставляют судебным приставам-исполнителям права получать персональные данные без согласия их субъектов, не устанавливают условия получения таких данных, не определяют круг субъектов, персональные данные которых подлежат обработке, а также полномочия судебного приставаисполнителя по их обработке.

Трансграничные передачи

Если ваша компания осуществляет передачу персональных данных в другую страну, то возникает проблема защиты персональных данных при их трансграничных перемещениях.

Что такое трансграничная передача данных? Это передача персональных данных оператором через государственную границу Российской Федерации органу власти, физическому или юридическому лицу иностранного государства. В Российской Федерации одним из критериев оценки государства с точки зрения организации им адекватного уровня защиты может выступать факт ратификации им Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г., ETS № 108.

До начала передачи оператор должен убедиться в том, что на территории иностранного государства обеспечена адекватная защита прав субъектов персональных данных.

Камнем преткновения является формулировка «адекватная защита», так как критерии адекватности нигде не определяются, при этом здравый смысл подсказывает, что адекватной можно считать защиту, которая соответствует российскому законодательству.

Присоединение иностранного государства к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 1981 г.; с изменениями 1999 г.) позволяет причислять его к числу тех, кто гарантирует вполне адекватную защиту. Но, например, США эту конвенцию не ратифицировали. Есть такая программа U.S. – EU Safe Harbor. Она упорядочивает отношения только между ЕС и США. Мы же в ЕС не входим. В США законодательства, регулирующего область персональных данных, как такового не существует. Есть только упоминание в законах штатах о так называемом privacy (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data: /www.oecd.org/internet/interneteconomy/oecdgu idelinesontheprotectionofprivacyandtransborderfl owsofpersonaldata.htm).

Для обоснования адекватности защиты персональных данных при передаче их в зарубежный филиал компании необходимо реализовать ряд мероприятий, включая разработку документа (или нескольких), который отражает следующие основные моменты:

• общие положения (организационная структура компании; страна (страны), в которую передаются персональные данные; цель передачи и
обработки персональных данных за границей);

• правовое обоснование трансграничной передачи персональных данных (перечень нормативно-правовых документов, на основаникоторых осуществляется передача и обработка персональных данных);

• описание объекта защиты;

• характеристики передаваемых персональных данных (категории персональных данных, отправляемых за границу; категории субъектов персональных данных; способы обработки данных: автоматизированная, неавтоматизированная, смешанная);

• регламент обеспечения безопасного информационного обмена персональными данными с зарубежными филиалами (представительствами) (описание информационных систем персональных данных, из которых они передаются, а также ИСПДн, куда они передаются, перечисление каналов передачи данных, стандартов и протоколов передачи данных и т. д.). Описание мероприятий и средств обеспечения защиты передаваемых данных (организационные меры; технические средства защиты информации, в том числе криптографические);

• состав законодательства иностранного государства, отражающего вопросы защиты персональных данных;

• заключительные положения (обязательства зарубежного филиала соблюдать законодательство по обработке персональных данных страны, в которой он находится; обеспечивать соответствующую защиту полученных и обрабатываемых персональных данных, заверенные подписью ответственных лиц головной организации и зарубежного филиала).

Эти мероприятия позволят минимизировать риски реализации угроз для персональных данных при их трансграничной передаче, повысить ответственность должностных лиц за соблюдением установленных норм информационной безопасности.

Сколько хранить?

Режим конфиденциальности персональных данных снимается в случаях их обезличивания или по истечении 75-летнего срока их хранения, если иное не определено законом.

Согласно ФЗ-152, персональные данные должны быть уничтожены оператором по достижении цели их обработки. А, например, первичные документы по кадровому учету и заработной плате необходимо хранить в течение 75 лет. Но они должны находиться в архиве, а ФЗ-152 на архив не распространяется в соответствии с законом об архиве. Таким образом, после сдачи документов в архив организация уже не может хранить эти сведения у себя.

Что касается больничных листов, то это касается субъекта. К примеру, если работник уволился, заново никуда устроиться не успел и заболел, то больничный рассчитывается ему на основании дохода по последнему месту работы. А в организации в соответствии с налоговым законодательством обязаны хранить все финансовые документы за пять прошедших лет для налоговой проверки. Причем отсчет срока хранения ведется от начала нового финансового года или даты передачи дела в архив, а это тоже обычно происходит в конце года. И кстати, до пяти лет допускается хранение документов в организации, без передачи их в архив.

Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Итак, постановление Правительства РФ 2007 г. № 781 утратило силу. В новом постановлении № 1119 объединены два проекта, один из которых определяет уровни защищенности информации, содержащей персональные данные, а второй – требования к их безопасности. Подробнее ознакомиться с текстом документа можно на сайте www.government.ru. По сути дела, мало что изменилось. Та же оценка соответствия, тот же непонятный электронный журнал, те же требования об утверждении списка допущенных лиц, установлении режима безопасности в помещениях, та же отсылка к нормативным документам ФСТЭК и ФСБ. Постановление определяет, что набор средств защиты оператор должен выбирать самостоятельно, основываясь на ранее принятых нормативных актах ФСБ и ФСТЭК.

Согласно документу, актуальными угрозами для безопасности персональных данных являются условия и факторы, создающие потенциаль-ную опасность несанкционированного доступа к базам данных при их обработке, в результате которого данные могут быть уничтожены, изменены, заблокированы или предоставлены третьим лицам, не имеющим к ним права доступа. Кроме того, в постановлении определены три типа угроз информационным системам, содержащим пользовательские базы данных, а также четыре уровня защищенности информационных систем.

Пункт 13 постановления № 1119 требует, чтобы в помещениях, где производится обработка персональных данных, был обеспечен режим безопасности в соответствии с 4-м (минимальным) уровнем защищенности. При выполнении этой нормы документа становится практически невозможным использование мобильных устройств для обработки персональных данных за пределами помещения, где обеспечен режим безопасности. Следовательно, применение сотрудниками ГИБДД, таможенниками или врачами планшетов и смартфонов за пределами своих офисов оказывается также неправомерным.

Теперь подробной классификации угроз нет, поэтому проводим их оценку самостоятельно и устанавливаем соответствующий уровень защищенности в целях их нейтрализации. Для обеспечения нужного уровня защищенности необходимо реализовать ряд организационных и технических мероприятий по выбору средств защиты информации, причем сделать это надо, ориентируясь на документы ФСБ и ФСТЭК.

Есть ли какие-либо ограничения по применению средств защиты для различных уровней защищенности? Данный вопрос не раскрыт ни в ФЗ-152, ни в постановлении Правительства РФ № 1119.

Статья 88. Передача персональных данных работника

Статья 88. Передача персональных данных работника

1. В комментируемой статье определены основные требования, предъявляемые к работодателю при передаче персональных данных работника как в пределах организации (специально уполномоченным лицам, представителям работника), так и вовне.

2. Законом установлено общее правило — передача персональных данных работника возможна только с его письменного согласия.

Исключение из общего правила составляют два случая:

1) когда это необходимо в целях предупреждения угрозы жизни и здоровью работника;

2) когда это установлено ТК и иными федеральными законами.

Таким образом, к компетенции работодателя относится вопрос оценки ситуации как угрожающей жизни и здоровью работника. Например, на основании положений ст. 228 ТК работодатель обязан при несчастном случае на производстве:

— доставить пострадавшего в медицинскую организацию, если это необходимо;

— немедленно проинформировать органы и организации, указанные в ТК, других федеральных законах и иных нормативных правовых актах РФ, а также родственников пострадавшего при тяжелом несчастном случае или несчастном случае со смертельным исходом.

3. Согласно ст. 9 Федерального закона «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» работодатель (страхователь) представляет в соответствующий орган Пенсионного фонда РФ сведения о работающих у него застрахованных лицах в следующих случаях:

— при начальной регистрации застрахованных лиц для индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования;

— при приеме на работу граждан, не имевших до этого страхового стажа и страхового свидетельства обязательного пенсионного страхования или при заключении с ними договоров гражданско-правового характера, на вознаграждения по которым в соответствии с законодательством РФ начисляются страховые взносы;

— при ликвидации, реорганизации юридического лица, прекращении физическим лицом деятельности в качестве индивидуального предпринимателя, снятии с регистрационного учета в качестве страхователя — работодателя адвоката, нотариуса, занимающегося частной практикой;

— при утрате работающим у него застрахованным лицом страхового свидетельства обязательного пенсионного страхования;

— при изменении передаваемых сведений о работающих у него застрахованных лицах.

4. На основании ст. 11 Федерального закона «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» работодатель представляет в органы Пенсионного фонда РФ сведения об уплачиваемых страховых взносах на основании данных бухгалтерского учета, а сведения о страховом стаже — на основании приказов и других документов по учету кадров.

Работодатель (страхователь) ежеквартально до 1-го числа второго календарного месяца, следующего за отчетным периодом (т.е. до 1 мая, 1 августа, 1 ноября т.д.) представляет о каждом работающем у него застрахованном лице следующие сведения, в которых указывает:

1) страховой номер индивидуального лицевого счета;

2) фамилию, имя и отчество;

3) дату приема на работу (для застрахованного лица, принятого на работу данным страхователем в течение отчетного периода) или дату заключения договора гражданско-правового характера, на вознаграждение по которому в соответствии с законодательством РФ начисляются страховые взносы;

4) дату увольнения (для застрахованного лица, уволенного данным страхователем в течение отчетного периода) или дату прекращения договора гражданско-правового характера, на вознаграждение по которому в соответствии с законодательством РФ начисляются страховые взносы;

5) периоды деятельности, включаемые в стаж на соответствующих видах работ, определяемый особыми условиями труда, работой в районах Крайнего Севера и приравненных к ним местностях;

6) сумму заработка (дохода), на который начислялись страховые взносы обязательного пенсионного страхования;

7) сумму начисленных страховых взносов обязательного пенсионного страхования;

8) другие сведения, необходимые для правильного назначения трудовой пенсии;

9) суммы страховых взносов, уплаченных за застрахованное лицо, являющееся субъектом профессиональной пенсионной системы;

10) периоды трудовой деятельности, включаемые в профессиональный стаж застрахованного лица, являющегося субъектом профессиональной пенсионной системы.

Кроме того, работодатель представляет сведения о начисленных и уплаченных страховых взносах в целом за всех работающих у него застрахованных лиц. Такие сведения представляются 1 марта года, следующего за отчетным.

Сведения о включаемых в страховой стаж периодах работы и (или) иной деятельности, которые приобретены всеми работающими у данного работодателя застрахованными лицами до их регистрации в системе индивидуального (персонифицированного) учета, представляются в порядке, определяемом уполномоченным Правительством РФ федеральным органом исполнительной власти.

В случае ликвидации страхователя — юридического лица (прекращении физическим лицом деятельности в качестве индивидуального предпринимателя) он представляет названные сведения в течение месяца со дня утверждения промежуточного ликвидационного баланса (принятия решения о прекращении деятельности в качестве индивидуального предпринимателя), но не позднее дня представления в федеральный орган исполнительной власти, осуществляющий государственную регистрацию юридических лиц и индивидуальных предпринимателей, документов для государственной регистрации при ликвидации юридического лица (прекращении физическим лицом деятельности в качестве индивидуального предпринимателя).

При ликвидации страхователя — юридического лица (прекращении физическим лицом деятельности в качестве индивидуального предпринимателя) в случае применения процедуры банкротства указанные сведения представляются до представления в арбитражный суд отчета конкурсного управляющего о результатах проведения конкурсного производства в соответствии с Федеральным законом «О несостоятельности (банкротстве)». Прекратившие свою деятельность адвокаты, частные нотариусы представляют названные сведения одновременно с заявлением о снятии их с регистрационного учета в качестве страхователей. Копия сведений о каждом работнике передается ему в этот же срок.

При выходе на трудовую пенсию указанные сведения работнику передаются в течение 10 календарных дней со дня подачи заявления. В день увольнения работника или в день прекращения договора гражданско-правового характера, на вознаграждение по которому в соответствии с законодательством РФ начисляются страховые взносы, работодатель обязан передать ему названные сведения и получить от него письменное подтверждение о передаче (см. ст. 11 Федерального закона «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»).

5. Работодатель вправе дополнять и уточнять переданные им сведения о работниках (застрахованных лицах) по согласованию с органом Пенсионного фонда РФ. Он обязан контролировать соответствие реквизитов страхового свидетельства обязательного пенсионного страхования, выданного застрахованному лицу, реквизитам документов, удостоверяющих личность указанного лица, работающего у него по трудовому договору или заключившего договор гражданско-правового характера, на вознаграждение по которому в соответствии с законодательством РФ начисляются страховые взносы (ст. 15 Федерального закона «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»).

Органы Пенсионного фонда РФ обязаны осуществлять контроль за правильностью представления работодателями сведений (ст. 16 Федерального закона «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»).

6. В ряде случаев закон дает работодателю возможность запрашивать информацию, содержащую персональные данные работника. Например, он может обратиться:

— в учреждения медико-социальной экспертизы, если в отношении трудовой рекомендации, содержащейся в индивидуальной программе реабилитации инвалида, у него возникают вопросы о применении труда инвалида в данной организации;

— в медицинское учреждение, выдавшее беременной женщине заключение о переводе ее на другую работу, с целью выяснения, какой характер работы может быть ей предложен, и т.д.

7. Работодатель передает персональные данные работника: выборному профсоюзному органу в связи с необходимостью учесть его мотивированное мнение при увольнении работника — члена профсоюза (п. 2, 3, 5 ч. 1 ст. 81 ТК); органу, уполномочившему работника на представительство при ведении коллективных переговоров, поскольку в период их ведения он не может быть без предварительного согласия этого органа подвергнут дисциплинарному взысканию, переведен на другую работу или уволен по инициативе работодателя (за исключением случаев расторжения трудового договора за совершение проступка, за который в соответствии с ТК, иными федеральными законами предусмотрено увольнение с работы).

Работодатель представляет проект приказа, а также документы, являющиеся основанием для расторжения трудового договора, наложения дисциплинарного взыскания, перевода на другую работу.

8. В некоторых ведомственных нормативных правовых актах закрепляются требования, соблюдение которых необходимо при использовании персональных данных работника. Так, в Порядке аттестации лиц, осуществляющих профессиональную деятельность, связанную с оперативно-диспетчерским управлением в электроэнергетике, утвержденном приказом Минпромэнерго России от 20 июля 2006 г. N 164*(120), указывается: передача персональных данных аттестуемого лица осуществляется диспетчерским центром с соблюдением требований действующего законодательства.

9. В некоторых соглашениях обращается внимание на то, что представители профсоюза могут знакомиться с документами, содержащими персональные сведения работника только с его согласия. Например, в тарифном соглашении от 31 марта 2009 г. между Московским региональным союзом потребительской кооперации и Московским региональным профсоюзом работников потребительской кооперации и торгового предпринимательства на 2009-2011 годы закреплено, что представители профсоюза, осуществляя контроль за соблюдением трудового законодательства, беспрепятственно посещают организации, на которых работают члены профсоюза, знакомятся с документами, касающимися трудовых прав и интересов работников, в случаях, предусмотренных законом, иными нормативными актами с согласия работника (персональные данные), или администрации (документы, относящиеся к коммерческой и служебной информации).

10. Применение норм о передаче персональных данных работника на практике показало:

— расчетные и платежные ведомости, содержавшие сведения о заработной плате, премиях и иных выплатах членам правления акционерного общества, относятся к персональным данным и не могут быть сообщены третьей стороне, в том числе акционерам общества, без письменного согласия работника (постановление ФАС Московского округа от 19 января 2006 г., от 12 января 2006 г. N КГ-А40/13411-05);

— трудовой договор с генеральным директором общества содержит персональные данные работника — его доходы (размер заработной платы), поэтому он может быть представлен обществом акционерам только с согласия работника, являющегося стороной по этому договору (постановление ФАС Московского округа от 29 апреля 2010 г. N КА-А40/4062-10 по делу N А40-159104/09-93-1333);

— требование профсоюзного органа, обращенное к работодателю, о предоставлении списка работников, которые по результатам медицинского осмотра не могли выполнять работу, обусловленную трудовым договором, является незаконным. Работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом, равно как в силу того, что информация о состоянии здоровья гражданина составляет врачебную тайну (определение Свердловского областного суда от 9 ноября 2006 г. по делу N 33-7868/2006).

Согласие на передачу персональных данных третьим лицам

Работодатель обязан получить от работника согласие на передачу персональных данных третьим лицам. Равно как и любой другой оператор данных. То есть юридическое или физическое лицо, которое осуществляет обработку персональных данных. Условие о передаче персональных данных третьим лицам можно включить в текст основного согласия на обработку таких данных. А можно (а в некоторых случаях необходимо) оформить отдельно письменное согласие именно на передачу данных третьим лицам.

Пример составления документа

Я, Громова Ульяна Викторовна, 18.11.2000 года рождения, паспорт серия 48 98 № 46941364, выдан Территориальным отделом полиции Кировского района г. Ульяновска 15.12.2020 г., зарегистрированная по адресу: Россия, Ульяновская область, г. Ульяновск, ул. Свердлова, 13-59,

даю согласие Обществу с ограниченной ответственностью “КонсалтингКадр”, ИНН 469851314684, юридический адрес: Россия, Ульяновская область, г. Ульяновск, ул. Казакова, д. 19,

на передачу моих персональных данных третьим лицам:

  • фамилия, имя, отчество
  • сведения об образовании
  • сведения о стаже работы, должности
  • паспортные данные
  • сведения о регистрации по месту жительства

в целях подбора вакансий с целью дальнейшего трудоустройства у работодателей-юридических лиц или индивидуальных предпринимателей, осуществляющих свою деятельность на территории города Ульяновска или города Москвы, состоящих в базе данных ООО “КонсалтингКадр” в качестве работодателей.

Настоящее согласие выдано на срок до 01.01.2022 года. По истечении срока действия настоящего согласия персональные данные отзываются.

Громова У.В. 10.10.2021 г.

Когда необходимо получить согласие на передачу персональных данных третьим лицам

Работодатель вправе передать персональные данные работника, в том числе в коммерческих целях, только при условии получения письменного согласия работника. Причем он должен сначала получить согласие, а потом осуществить передачу. Это правило устанавливает ст. 88 Трудового кодекса РФ. Например, работодатель-учредитель организации не предоставил на собрании учредителей копию трудового договора с генеральным директором. Может он так сделать? Да, так как ст. 88 Трудового кодекса РФ устанавливает запрет на передачу данных.

Такое согласие целесообразно получить и при заключении организацией в отношении своих работников договоров на добровольное медицинское страхование, страхование ответственности (в т.ч. ОСАГО), курсов повышения квалификации или учебы и т.п.

Как составить документ и где его хранить

К содержанию согласия на обработку персональных данных Закон предъявляет определенные требования. Он прямо устанавливает, какие элементы обязательно включаются в текст. В том числе это перечень действий с персональными данными, на совершение которых дается согласие. Однако цели обработки данных и их передачи третьему лицу могут отличаться. Именно в таких случаях получайте отдельное согласие на передачу. К его содержанию требований Закон не устанавливает. Но! Чтобы документ в дальнейшем контролирующие органы приняли именно как согласие, необходимо включить:

  • сведения о субъекте персональных данных
  • формулировку “даю согласие на передачу персональных данных”
  • кому дается согласие
  • круг третьих лиц, которым может осуществляться передача, – конкретная организация (например, банк), признаки (как в примере – работодатели)
  • категории персональных данных, которые разрешают передавать
  • цель передачи персональных данных
  • срок действия согласия
  • подпись и дата

Согласие на передачу персональных данных третьему лицу должно быть оформлено до факта передачи сведений. В противном случае может наступить ответственность за разглашение персональных данных. От дисциплинарной до уголовной.

Хранить согласие на передачу персональных данных третьим лицам можно в личном деле или по общим правилам хранения персональных данных.

Передача персональных данных

Скачайте документы по теме:

Журнал учета передачи личной информацииИспользуйте готовый образецСогласие сотрудникаПравильный образец от экспертов

Как передавать персональные данные третьим лицам

Передавать персональные данные можно только на основании запроса третьих лиц. Такой запрос позволяет работодателю получить от сотрудника письменное разрешение на использование данных конфиденциального характера. Унифицированного бланка запроса нет, поэтому документ оформляют в произвольной форме.

В нем должна быть следующая информация:

  • данные о лице, делающем запрос;
  • наименование адресата;
  • требуемый перечень персданных;
  • цель, на основании которой потребовалась данная информация конфиденциального характера.

Важно! Передача персональных данных третьим лицам проводится по запросу, где указана цель их предоставления. В противном случае можно отказать в предоставлении информации конфиденциального характера.

Далее работодатель обязан уведомить работника о предоставлении согласия на обработку персональных данных (см. образец). Уведомление составляют в произвольной форме. Унифицированного бланка такого документа не разработано. В документ включают наименование лица, которое направило запрос, цель запроса. С уведомлением следует ознакомить работника под подпись.

Эксперт «Системы Кадры» расскажет, как организовать обработку персданных. Из статьи вы узнаете, какая информация относится к общедоступной, как получить разрешение от сотрудника на обработку. Каким способом уведомить Роскомнадзор, как обеспечить защиту сведений конфиденциального характера и т.д.

Вопрос-ответ от эксперта «Системы Кадры»

Может ли организация передать персональные данные бывшего сотрудника его новому работодателю?

Нина Ковязина, заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России

Организация вправе предоставить персональные данные бывшего сотрудника по запросу нового работодателя только при наличии письменного согласия сотрудника. При этом новый работодатель может…

Передача персональных данных работника третьим лицам: получение согласия

После получения запроса на предоставление персональных данных третьим лицам от работника получают письменное разрешение. Документ составляют в произвольной форме, унифицированный бланк не разработан, в нем указывают:

  1. Ф.И.О работника.
  2. Паспортные данные.
  3. Перечень конфиденциальной информации, которая будет передана.
  4. Цель ее предоставления.
  5. Полное наименование лица, которому передают персданные.

Важно! При выдаче разрешения работник может указать срок его действия. Для обработки конфиденциальной информации дополнительного согласия не потребуется.

Согласие субъекта персональных данных на обработку его персональных данных

Смотреть пример

Эксперт «Системы Кадры» расскажет, какая ответственность грозит организации и ее должностным лицам за нарушения в работе с персональными данными. Из статьи вы узнаете, какие виды ответственности предусмотрены за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников, нарушение передачи.

В каких случаях можно передавать персональные данные третьим лицам без согласия сотрудника

Третьи лица могут получить информацию конфиденциального характера без предварительного согласия сотрудника. Это возможно, если:

  • обработка персданных нужна для исполнения заключенного с сотрудником договора;
  • для достижения соответствующих целей, предусмотренных законом с целью осуществления и выполнения возложенных законодательством РФ на оператора функций, определенных полномочий или обязанностей (ст. 6 Закона от 27.07.2006 №152-ФЗ).

Передача и обработка персональных данных третьими лицами проводится при предоставлении сведений конфиденциального характера в следующие организации:

  1. В Пенсионный фонд (ст. 9 Федерального закона 01.04.1996 № 27-ФЗ).
  2. В налоговые органы (ст. 24 НК РФ).
  3. В военные комиссариаты (ст.4 Федерального закона от 28.03.1998 № 53-ФЗ).
  4. В иные органы, если обязанность передачи таких сведений, относящихся к информации конфиденциального характера, закреплена за работодателем соответствующими законами или же необходима для достижения установленных законами целей (например, в суды, в прокуратуру и так далее).

Важно! Получать согласие уволенного сотрудника на обработку его персональных данных для целей налогового и бухгалтерского учета не нужно.

Ситуации, в которых персональные данные могут быть переданы третьим лицам без полученного письменного разрешения:

  • если обязанность по обработке уже предусмотрена законодательством;
  • персданные субъекта были размещены в сети Интернет
  • при необходимости оформить алименты, социальные выплаты, допуск к государственной тайне;
  • если нужно произвести обработку сведений, касающихся здоровья сотрудника, чтобы выяснить возможность выполнять трудовую функцию, возложенную на определенного специалиста;
  • для установления пропускного режима на территории помещений, служебных зданий (п. 1-5 Разъяснений Роскомнадзора от 14.12.2012).

Все возможные случаи, когда не потребуется получать разрешение на обработку персональных данных, приведены в пунктах 2–11 части первой статьи шестой, части второй статьи 10 и части второй статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ.

Эксперт журнала «Кадровое дело» расскажет, за какие ошибки при работе с персданными компании могут начислить крупные штрафы. Из статьи вы узнаете, когда разрешение на обработку персональных данных не требуется. Можно ли хранить в отделе кадров копии паспортов. В какой срок уничтожить персональные данные работников.

Можно ли при трудоустройстве сразу получить согласие на предоставление персональных данных третьим лицам

Работодатель передает персональные данные третьим лицам на основании полученного запроса и письменного согласия сотрудника. При заключении трудового договора получить такой документ сразу нельзя. Без письменного разрешения сотрудника информацию конфиденциального характера можно передавать третьим лицам только в случаях, предусмотренных федеральными законами, а также, если жизни и здоровью субъекта что-то угрожает. Об этом сказано в части первой статьи 88 ТК РФ.

Трудовой кодекс РФ не содержит требований к содержанию письменного согласия на передачу персданных. При этом пунктом первым статьи девятой Закона от 27.07.2006 №152-ФЗ установлено, что такой документ должен быть конкретным, информированным, выданным сознательно.

Из этого можно сделать вывод, что организация обязана запрашивать его у сотрудника для каждого случая передачи информации конфиденциального характера третьему лицу. Только при таких условиях требование о конкретности, о сознательности выданного согласия может считаться выполненным.

Эксперт журнала «Кадровое дело» расскажет о разъяснениях Роскомнадзора, как обрабатывать персданные сотрудников без нарушений. Из статьи вы узнаете, на какие ошибки в работе с персданными Роскомнадзор сразу обратит внимание. Нужно ли с соискателем подписывать разрешение на обработку персональных данных. Можно ли указывать контакты рекомендателей без получения такого документа.

Вывод

Передача персональных данных может осуществляться на основании запроса третьих лиц. Такой запрос позволяет работодателю получить от сотрудника письменное разрешение на использование данных конфиденциального характера. Персональные данные переданы третьим лицам могут быть без полученного согласия, если обязанность по обработке уже предусмотрена законодательством.

Обработка персональных данных

Законодательство об обработке персональных данных в России появилось в 2006 году, однако даже в настоящее время компании сталкиваются с проблемами, например, со спорами с работниками, административными штрафами, проблемами передачи персональных данных третьим лицам. Достаточно спорными являются вопросы уведомления Роскомнадзора об обработке данных, сбора персональных данных и согласия на обработку. В этой связи очень важным является вопрос систематизации знаний о персональных данных.
Что относится к персональным данным?
Почему важно понимать, что относится к персональным данным?
Во-первых, часть 1 ст.24 Конституции РФ запрещает сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.
Во-вторых, согласно п.1 ст.152.2 Гражданского кодекса РФ не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни.
В-третьих, несоблюдение законодательства о персональных данных предусматривает значительные штрафы, которые будут повышены с 1 июля 2017 года.
Сначала определимся, что является персональными данными? Ответ мы находим в статье 3 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) «О персональных данных».
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Но данное определение является достаточно «расплывчатым», например, друзья размещают фотографии в Интернете, охраняются ли такие фотографии законодательством о защите персональных данных?
К персональным данным относится следующая информация:
— фамилия, имя, отчество человека;
— паспортные данные;
— пол и возраст;
— семейное положение, наличие детей и родственников;
— профессия (Апелляционное определение Московского городского суда от 18.11.2016 N 33-45913/2016);
— социальное, имущественное положение (Апелляционное определение Санкт-Петербургского городского суда от 30.01.2017 N 33а-2104/2017 по делу N 2а-6384/2016);

— место жительства;
— сведения о заработной плате (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681 «О передаче работодателем третьим лицам сведений о заработной плате работников»);
— национальная принадлежность, политические взгляды религиозные или философские убеждения, состояние здоровья, интимная жизнь (Постановленипе ФАС Северо-Кавказского округа от 21.04.2014 по делу N А53-13327/2013);
— физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись) (Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
— деловые и иные личные качества, которые носят оценочный характер.
На практике некоторые вопросы отнесения к персональным данным являются спорными, например, персональные данные широко распространены в Интернете, например, люди активно регистрируются и размещают самую распространенную информацию, такую как фамилия, имя, отчество, фотографии. И такая информация сразу становится общедоступной. Однако такая информация продолжает оставаться персональными данными. Принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным. Информация в объеме: фамилия, имя, отчество физического лица является персональными данными, обработка которых должна осуществляться в строгом соответствии с требованиями Федерального закона N 152-ФЗ (Письмо Роскомнадзора от 20.01.2017 N 08АП-6054 «О результатах рассмотрения обращения Казначейства России»). При этом перечень персональных данных является открытым.
Но для того, чтобы не подпасть под штрафы и правильно организовать работу с персональными данными, нужно понять, в каких документах содержатся персональные данные работника.
Перечень документов, в которых содержатся персональные данные, также установлен; вместе с тем возможно выделить следующие документы:

— паспорт гражданина РФ;
— загранпаспорт гражданина РФ;
— дипломатический паспорт;
— свидетельство пенсионного страхования (СНИЛС);
— ИНН;
— трудовая книжка работника;
— анкета, другой документ, заполняемый кандидатом на должность при собеседовании;
— документы воинского учета;
— документы об образовании, квалификации, наличии специальных знаний;
— свидетельство о регистрации или расторжении брака;
— свидетельство о рождении ребенка;
— личная карточка (форма N Т-2 утверждена постановлением Госкомстата России от 5 января 2004 г. N 1);
— справка с предыдущего места работы;
— справка о заработной плате 2-НДФЛ;
— медицинская карта;
— листок нетрудоспособности;
— трудовой договор;
— выписка из штатного расписания или штатное расписание;
— приказы по личному составу;
— права на автомобиль.
Таким образом, перечень документов, в которых содержатся персональные данные, является достаточно обширным. Поскольку перечень персональных данных и перечень документов являются открытыми, то целесообразно в трудовом договоре, согласии на обработку персональных данных указать, что подобные сведения могут содержаться и в иных документах.
Обработка персональных данных
Что можно делать с персональными данными?
Персональные данные предполагают 3 фазы работы:
— обработка персональных данных;
— распространение персональных данных;
— блокирование персональных данных.

Схема

Фазы работы с персональными данными

Что представляет собой обработка персональных данных?
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В соответствии со ст.7 Федерального закона «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Обработка персональных данных осуществляется:
— через оператора персональных данных;
— через третье лицо.
Соответственно, если данные передаются третьим лицам, то в этом случае необходимо согласие субъекта персональных данных.
Когда требуется такое дополнительное согласие?
В некоторых случаях работодатели привлекают аутсорсинговые компании:
— для ведения кадровой работы;
— расчета заработной платы;
— расчета страховых взносов;
— заключения договоров;
— оформления виз и билетов для поездок в командировки.
Такие действия аутсорсинговой компании являются обработкой персональных данных.
Приведем еще пример привлечения третьих лиц для обработки персональных данных.
Например, компания заключила договор охраны и вход в офис осуществляется по пропускам, соответственно паспортные данные необходимы для:
— оформления пропусков для входа физических лиц;
— оформления провоза грузов на автомобиле.
При обработке персональных данных важно назначить лицо, которое будет ответственным за сбор и обработку данных. Ответственное лицо назначается приказом по компании и должно выполнять следующие трудовые обязанности:
— осуществлять внутренний контроль за соблюдением законодательства о персональных данных;
— доводить до работников положения законодательства;
— разрабатывать локальные акты и ознакамливать с ними работников;
— разрабатывать и доводить до работников требования по защите персональных данных;
— организовывать прием и обработку обращений и запросов;
— осуществлять контроль за приемом и обработкой обращений.
Какие риски возникают у оператора персональных данных при обработке персональных данных?
1. Риск административных штрафов
В качестве примера приведем ситуацию, когда компания заключала договор оказания медицинских услуг и не брала с пациента согласие на обработку персональных данных, мотивируя это тем, что при заключении договора его заключает само физическое лицо. Однако в Постановлении Самарского областного суда от 08.02.2016 N 4а-130/2016 суд с этим не согласился и привлек компанию к ответственности по статье 13.11 КоАП РФ. Суд это мотивировал тем, что юридическое лицо, осуществляющее обработку персональных данных, в том числе медицинская организация, профессионально занимающаяся медицинской деятельностью и обязанная сохранять врачебную тайну, обязана получать согласие субъекта персональных данных в письменной форме на обработку его персональных данных.
2. Риск споров при передаче персональных данных
Передача персональных данных третьим лицам должна осуществляться с согласия субъекта персональных данных. При этом субъект персональных данных должен четко понимать, что например, работодатель, кредитная организация могут передать персональные данные третьим лицам.
Так, в Апелляционном определении Верховного суда Республики Татарстан от 28.01.2016 по делу N 33-1566/2016 суд признал правомерным передачу персональных данных третьему лицу. В данном судебном споре шла речь о передаче кредитной организацией данных коллекторам.
3. Риск компенсации морального вреда
Если работодатель или иное лицо использует персональные данные с нарушением порядка их использования, то субъект персональных данных может подать в суд для взыскания морального вреда.
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта. Согласно ст.7 Закона операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Из системного толкования приведенных норм следует, что сбор, обработка, передача, распространение персональных данных возможны только с согласия субъекта персональных данных. Соответственно, отсутствие согласия может привести к появлению морального вреда (Апелляционное определение Алтайского краевого суда от 29.09.2015 по делу N 33-9241/2015).

Уведомление Роскомнадзора об обработке персональных данных

По общему правилу, оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
То есть в общем случае нужно направить уведомление в Роскомнадзор.
Форму уведомления можно заполнить прямо на сайте ведомства:
http://pd.rkn.gov.ru/operators-registry/notification/form/
Приведем пример заполнения уведомления.

Уведомление об обработке
(о намерении осуществлять обработку) персональных данных

Общество с ограниченной ответственностью «Персональные данные»
(полное и сокращенное наименования, фамилия, имя, отчество оператора)
121375, Москва, ул.Яблочкова, д.7, кор.2, офис 35

(адрес местонахождения и почтовый адрес оператора)
руководствуясь: Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», Трудовым кодексом
(правовое основание обработки персональных данных)
с целью:
оказания аутсорсинговых услуг по поиску персонала, ведения личных карточек и дел работников, заключения трудовых договоров с третьими лицами, составления анкет
(цель обработки персональных данных)
осуществляет обработку:
Фамилия, имя, отчетство, образование, социальный статус, опыт работы, заработная плата на предыдущем месте работы, профессия, семейное положение
(категории персональных данных)
принадлежащих:
ООО «Смальта», ИП Караваев, третьим лицам
(категории субъектов, персональные данные которых обрабатываются)
Обработка вышеуказанных персональных данных будет осуществляться путем:
сбор, анализ, обобщение, хранение, изменение, дополнение, передача
(перечень действий с персональными данными, общее описание используемых
уничтожение персональных данных; обработка персональных данных будет осуществляться смешанным способом с передачей по внутренней сети оператора
оператором способов обработки персональных данных)
Для обеспечения безопасности персональных данных принимаются следующие меры:
сейф, шкаф (запирающийся на ключ) для хранения носителей информации с персональными данными; наличие установленного антивирусного программного обеспечения
(описание мер, предусмотренных ст.ст.18.1 и 19 Федерального закона N 152-ФЗ от 27.07.2006 «О персональных данных», в т.ч. сведения о наличии шифровальных (криптографических)
Ответственное лицо: Морозов Олег Дмитриевич, 8-916-666-88-77, morozov@gmail.com
средств и наименования этих средств; фамилия, имя, отчество физического лица или наименование

Общество с ограниченной ответственностью «Персональные данные»
юридического лица, ответственных за организацию обработки персональных данных,
121375, Москва, ул.Яблочкова, д.7, кор.2, офис 35, persdannye@yandex.ru
и номера их контактных телефонов, почтовые адреса и адреса электронной почты)
Cведения о наличии или об отсутствии трансграничной передачи персональных, трансграничная передача персональных данных отсутствует
Сведения о наличии или об отсутствии трансграничной передачи персональных данных:
(при наличии трансграничной передачи персональных данных в процессе их обработки указывается
нет
перечень иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных)
Москва, ул.Беговая, 7
Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации:
Москва, ул.Беговая, 7
нет
(страна, адрес местонахождения базы данных, наименование информационной системы (базы данных)
Сведения об обеспечении безопасности персональных данных:
Лица, осуществляющие передачу данных, проинструктированы под подпись; хранение носителей баз данных, содержащих персональные данные, обеспечено; неконтролируемое проникновение или пребывание посторонних лиц в помещениях, где ведется обработка персональных данных, исключено; контроль учета лиц, допущенных к работе с персональными данными, ведется.

Закладка Постоянная ссылка.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *