Хто опрацьовує дані. Персональні дані працівника: за безпеку та захист запитують суворіше. Персональні дані: штрафи

Коли оператор повинен повідомляти владу про здійснення обробки персональних даних?

Які відомства мають право проводити перевірки операторів персональних даних?

Чи адвокати, прокурори, судові пристави можуть отримувати персональні дані?

Якою є відповідальність за порушення закону про захист персональних даних?

Правову основу регулювання відносин у сфері персональних даних становить Федеральний закон від 27 вересня 2006 р. № 152-ФЗ «Про персональні дані» (далі – Закон № 152-ФЗ) та прийняті відповідно до нього інші нормативні правові акти. Дія законодавства про персональні дані поширюється на всі державні та муніципальні органи, юридичні та фізичні особи, включаючи індивідуальних підприємців.

Персональні дані – будь-яка інформація, що відноситься прямо або опосередковано до фізособи (суб'єкт персональних даних). Сюди, зокрема, належать прізвище, ім'я, по батькові суб'єкта, рік, місяць, дата та місце народження, адреса, сімейний, соціальний, майновий стан, освіта, професія, доходи та інші дані.

Будь-які дії чи операції з персональними даними називаються обробкою персональних даних. До таких дій належать: збирання, запис, систематизація, накопичення, зберігання, уточнення (оновлення, зміна), вилучення, використання, передача (поширення, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних. Всі ці дії можуть здійснюватися за допомогою засобів автоматизації або без таких.

Юридичні та фізичні особи (у тому числі індивідуальні підприємці), державні та муніципальні відомства, що організовують та (або) здійснюють обробку персональних даних, а також визначальні цілі обробки, склад даних, що підлягають обробці, дії (операції), що здійснюються з персональними даними, називаються операторами персональних даних (ст. 3 Закону №152-ФЗ).

Наша довідка

Конституцією встановлено: кожен має право на недоторканність приватного життя, особисту та сімейну таємницю, захист своєї честі та доброго імені, на таємницю листування, телефонних переговорів, поштових, телеграфних та інших повідомлень. Збір, зберігання, використання та розповсюдження інформації про приватне життя особи без її згоди не допускаються (статті 23 та 24)

Наймаючи співробітників, індивідуальний підприємець отримує персональні дані фізосіб. Але, крім відомостей про працівників, під час діяльності ІП отримує інформацію про партнерів, клієнтів. Усі ці дані також підпадають під дію Закону №152-ФЗ. Зокрема, необхідність дотримання заходів щодо захисту персональних даних належить до туроператорів, готелів, продавців, які реалізують свої товари дистанційним способом, які під час укладання договору запитують у споживача інформацію про його персональні дані (ст. 19 Закону № 152-ФЗ, п. 16 Правил продажу товарів дистанційним способом, затверджених постановою Уряду РФ від 27 вересня 2007 р. № 612), громадським, політичним та релігійним організаціям, які при прийомі до своїх лав нових членів запитують їх персональні дані, до операторів телефонних та інтернет-послуг.

Обов'язки оператора персональних даних

До початку обробки персональних даних оператор зобов'язаний надіслати повідомлення до територіального відділення Роскомнагляду за місцем свого знаходження. Форма бланка та рекомендації щодо його заповнення затверджено наказом Роскомнагляду від 16 липня 2010 р. № 482.

У статті 22 Закону № 152-ФЗ наведено закритий перелік випадків, коли надсилати повідомлення не потрібно (таблиця 1).

Таблиця 1

Випадки, коли оператор має право здійснювати обробку персональних даних без повідомлення Роскомнагляду

Випадок

Персональні дані обробляються відповідно до трудового законодавства

Персональні дані отримані оператором у зв'язку з укладанням договору, стороною якого є суб'єкт персональних даних, якщо персональні дані не поширюються, а також не надаються третім особам без згоди суб'єкта персональних даних та використовуються оператором виключно для виконання зазначеного договору та укладання договорів із суб'єктом персональних даних

Суб'єкт персональних даних зробив дані загальнодоступними

Персональні дані включають лише прізвища, імена та по батькові суб'єктів персональних даних

Персональні дані необхідні з метою одноразового пропуску суб'єкта персональних даних на територію, на якій знаходиться оператор, або в інших аналогічних цілях

Персональні дані включені:

- в інформаційні системи персональних даних, що мають відповідно до федеральних законів статус державних автоматизованих інформаційних систем;

– до державних інформаційних систем персональних даних, створених з метою захисту безпеки держави та громадського порядку

Персональні дані обробляються без використання засобів автоматизації відповідно до федеральних законів або інших нормативних правових актів, що встановлюють вимоги до забезпечення безпеки персональних даних при їх обробці та дотримання прав суб'єктів персональних даних

Персональні дані обробляються у випадках, передбачених законодавством РФ про транспортну безпеку, з метою забезпечення сталого та безпечного функціонування транспортного комплексу, захисту інтересів особи, суспільства та держави у сфері транспортного комплексу від актів незаконного втручання

Персональні дані відносяться до членів (учасників) громадського об'єднання або релігійної організації та обробляються відповідними громадським об'єднанням або релігійною організацією, що діють відповідно до законодавства РФ, для досягнення законних цілей, передбачених їх установчими документами, за умови, що персональні дані не поширюватимуться чи розкриватимуться третім особам без згоди у письмовій формі суб'єктів персональних даних

Оператор зобов'язаний вживати заходів щодо захисту персональних даних, але при цьому перелік таких заходів він має право визначати самостійно. До них, зокрема, віднесено такі заходи: призначення відповідальної особи, видання внутрішніх документів із захисту персональних даних, здійснення контролю за їх дотриманням, ознайомлення своїх працівників із чинними нормативами у сфері захисту персональних даних та своїми внутрішніми правилами. Оператор зобов'язаний опублікувати чи іншим чином забезпечити необмежений доступ до документа, що визначає його політику щодо обробки персональних даних (ст. 18.1 Закону № 152-ФЗ).

Оператор персональних даних зобов'язаний протягом 30 днів надати інформацію про наявність у нього персональних даних та надати можливість ознайомлення з ними суб'єкту персональних даних, а також Роскомнагляду та його територіальним органам за відповідними запитами (п. 1 та 4 ст. 20 Закону № 152-ФЗ ).

Контроль за обробкою персональних даних

Контроль та нагляд за обробкою персональних даних здійснюють кілька відомств. Роскомнагляд загалом контролює обробку персональних даних відповідно до вимог законодавства. Крім того, відомство веде реєстр операторів, які здійснюють обробку персональних даних.

Федеральна служба з технічного та експортного контролю (ФСТЕК) здійснює нагляд за технічними засобами обробки персональних даних за винятком криптографічних засобів. Крім того, повноваженнями з контролю за виконанням організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах наділено ФСБ РФ. Наглядовими повноваженнями у сфері персональних даних має прокуратура в силу статті 1 Федерального закону «Про прокуратуру РФ» від 17 січня 1992 № 2202-1.

Вимоги та розпорядження відомств, які не уповноважені здійснювати контроль та нагляд у сфері захисту персональних даних, є неправомірними. Федеральний арбітражний суд Північно-Кавказького округу в ухвалі від 22 липня 2011 р. № А32-26161/2008 зазначив, що податкова інспекція, направивши компанії вимогу про відключення від системи електронного документообігу через порушення законодавства про персональні дані, порушила право фірми на свободу підприємницької діяльності. Інспектори, припустивши зайвого адміністративного контролю, вийшли за межі своєї компетенції.

Згода на обробку персональних даних

Обробка персональних даних здійснюється оператором за згодою суб'єкта персональних даних, за винятком окремих випадків, які розглянемо пізніше.

Суб'єкт персональних даних надає інформацію та дає свою згоду на її обробку, керуючись виключно своєю волею та своїми інтересами. До речі, дати згоду на обробку персональних даних може і представник суб'єкта персональних даних, але в цьому випадку обов'язково має бути документ, що підтверджує повноваження даного представника давати згоду від імені суб'єкта (довіреність).

Згода має бути конкретною, поінформованою і свідомою, висловлюватися прямо, а не бути припущенням. Так, в одній судовій справі оператора послуг телефонного зв'язку було притягнуто до адміністративної відповідальності за те, що в типовому договорі на надання послуг міжміського та міжнародного телефонного зв'язку було визначено лише порядок надання даних послуг, але не було безпосередньої вказівки про згоду або відмову абонента на доступ до зазначеним послугам та надання відомостей про нього третім особам (ухвала Федерального арбітражного суду Північно-Західного округу від 13 травня 2009 р. № А66-17/2009).

Згода надається в письмовій формі і повинна включати певні відомості, встановлені статтею 9 Закону № 152-ФЗ (таблиця 2).

Рівнозначною згодою, що містить власноручний підпис суб'єкта, визнається згода, яка надана у формі електронного документа, підписаного електронним підписом (п. 4 ст. 9 Закону № 152-ФЗ).

Обов'язок надати докази згоди суб'єкта персональних даних щодо їх обробки покладається на оператора.

Таблиця 2

Відомості, які мають утримуватися у згоді суб'єкта персональних даних на обробку інформації

Відомості

Прізвище, ім'я, по батькові, адресу суб'єкта персональних даних, номер основного документа, що засвідчує його особу, відомості про дату видачі зазначеного документа і орган, що його видав.

Прізвище, ім'я, по батькові, адреса представника суб'єкта персональних даних, номер основного документа, що засвідчує його особу, відомості про дату видачі зазначеного документа та орган, що видав його, реквізити довіреності або іншого документа, що підтверджує повноваження цього представника (при отриманні згоди від представника суб'єкта персонального даних) )

Найменування або прізвище, ім'я, по батькові та адресу оператора, який отримує згоду суб'єкта персональних даних

Ціль обробки персональних даних

Перелік персональних даних, на обробку яких надається згода суб'єкта персональних даних

Найменування або прізвище, ім'я, по батькові та адресу особи, яка здійснює обробку персональних даних за дорученням оператора, якщо обробка буде доручена такій особі

Перелік дій з персональними даними, на вчинення яких надається згода, загальний опис способів обробки персональних даних, що використовуються оператором

Термін, протягом якого діє згода суб'єкта персональних даних, і навіть спосіб його відкликання, якщо інше встановлено федеральним законом

Підпис суб'єкта персональних даних

У деяких випадках, названих у статті 6 Закону № 152-ФЗ, отримувати згоду від суб'єкта персональних даних необов'язково (таблиця 3).

Згода суб'єкта персональних даних на їхню обробку не обов'язково, якщо вона здійснюється в рамках виконання укладеного з ним договору. Так, суд відхилив аргумент позивача про порушення його прав на захист персональних даних через дзвінок на його особистий телефон з боку відповідача, що діє за дорученням кредитора позивача. Позивач не погасив заборгованість перед кредитором і той доручив стягнення заборгованості третій особі, повідомивши персональні дані боржника. Суд зазначив, що в даному випадку спеціально вираженої згоди не потрібна (касаційна ухвала Омського обласного суду від 10 листопада 2010 р. № 33-7056/2010). У ухвалі Федерального арбітражного суду Східно-Сибірського округу від 12 травня 2011 р. № А33-10809/2010 зазначено, що надання керуючою компанією фізичним особам, які проживають в обслуговуваних будинках, платіжних документів із зазначенням у них персональних даних останніх, є частиною діяльності останньої рамках прийнятих він зобов'язань з управлінню житловими будинками.

Ще один випадок – клієнти замовляють товари, роботи чи послуги, заповнюючи анкету на сайті в електронному вигляді, що містить інформацію про персональні дані. Окремої згоди на обробку даних не потрібно. Відправляючи свої дані за вказаним алгоритмом заповнення анкети, фізичні особи фактично висловлюють свою згоду на передачу своїх персональних даних, тобто при обробці персональних даних письмова згода вважається одержаною (постанова Федерального арбітражного суду Північно-Західного округу від 13 грудня 2010 р. № А56-736 /2009).

Згода суб'єкта на обробку персональних даних у державних інформаційних реєстрах не потрібна, якщо він спочатку сам направив туди інформацію про себе. Федеральний арбітражний суд Московського округу в ухвалі від 9 листопада 2007 р. № КГ-А40/11450-07 зазначив, що, стаючи акціонером товариства, відомості про яке утримуються в ЄДРЮЛ, особа тим самим висловлює свою згоду на використання його персональних даних в ЄДРЮЛ.

Деякі відомості не стосуються інформації, що підпадає під дію закону про захист персональних даних. Наприклад, не є конфіденційною інформацією про те, що громадянин не оплачує комунальні послуги. Подібна інформація не відноситься до приватного життя цієї особи і не є таємницею, яку особа, яка володіє цією інформацією, не має права розголошувати через свої професійні обов'язки (касаційне ухвалу Пермського крайового суду від 5 жовтня 2010 р. № 33-8722). Крім того, наявність персональних даних у матеріалах наглядового провадження прокуратури не є їх обробкою, у зв'язку з чим дії прокуратури не можуть бути визнані незаконними (касаційне ухвалу Санкт-Петербурзького міського суду від 8 грудня 2010 р. № 33-16601).

Таблиця 3

Випадки обробки персональних даних, коли отримувати згоду суб'єкта персональних даних необов'язково

Обробка персональних даних:

необхідна для досягнення цілей, передбачених міжнародним договором РФ або законом, для здійснення та виконання покладених законодавством РФ на оператора функцій, повноважень та обов'язків

необхідна для здійснення правосуддя, виконання судового акта, акта іншого органу або посадової особи, що підлягають виконанню відповідно до законодавства РФ про виконавче провадження

необхідна для надання державної або муніципальної послуги відповідно до Федерального закону від 27 липня 2010 року № 210-ФЗ «Про організацію надання державних та муніципальних послуг», для забезпечення надання такої послуги, для реєстрації суб'єкта персональних даних на єдиному порталі державних та муніципальних послуг

необхідна для виконання договору, стороною якого або вигодонабувачем або поручителем за яким є суб'єкт персональних даних, а також для укладання договору з ініціативи суб'єкта персональних даних або договору, за яким суб'єкт персональних даних буде вигодонабувачем або поручителем

необхідна для захисту життя, здоров'я або інших життєво важливих інтересів суб'єкта персональних даних, якщо отримання згоди суб'єкта персональних даних неможливе

необхідна для здійснення прав та законних інтересів оператора або третіх осіб або для досягнення суспільно значущих цілей за умови, що при цьому не порушуються права та свободи суб'єкта персональних даних

необхідна для здійснення професійної діяльності журналіста та (або) законної діяльності ЗМІ або наукової, літературної чи іншої творчої діяльності за умови, що при цьому не порушуються права та законні інтереси суб'єкта персональних даних

здійснюється у статистичних або інших дослідницьких цілях, за винятком цілей, зазначених у статті 15 Закону № 152-ФЗ, за умови обов'язкового знеособлення персональних даних

здійснюється обробка персональних даних, доступ необмеженого кола осіб до яких надано суб'єктом персональних даних або на його прохання

здійснюється обробка персональних даних, що підлягають опублікуванню або обов'язковому розкриттю відповідно до федерального закону

Назвемо ще кілька ситуацій щодо надання персональних даних на основі судової практики.

Надання персональних даних без згоди суб'єкта допускається арбітражного керуючого. Він у силу статей 66 і 67 Федерального закону про банкрутство від 26 жовтня 2002 р. № 127-ФЗ вправі отримувати будь-яку інформацію та документи, що стосуються діяльності боржника (постанова Федерального арбітражного суду Західно-Сибірського округу від 1 вересня 2010 р. № А80-13 /2009).

Не допускається надання персональних даних міграційною службою військовому комісару. Дії міграційної служби у частині виконання законодавства про військовий обов'язок та військову службу мають самостійний характер і не передбачають надання інформації щодо осіб, які ухиляються від військової служби (рішення Перворіченського районного суду м. Владивостока від 26 січня 2011 р. № 2-287/11).

Персональні дані не можуть надаватися Федеральній антимонопольній службі та Федеральній службі фінансових ринків. Даним відомствам не надано право вимагати інформацію про персональні дані (постанови Федерального арбітражного суду Уральського округу від 18 травня 2011 р. № Ф09-2525/11-С1, Федерального арбітражного суду Московського округу від 5 серпня 2010 р. № КА-А30 10).

Адвокати не мають права вимагати у відомств персональні відомості. Право адвоката збирати відомості, необхідні для надання юридичної допомоги, та обов'язок відповідного органу йому таку інформацію надати, не поширюється на встановлені законом конфіденційні відомості. Причому, ненадання адвокату конфіденційної інформації не перешкоджає реалізації адвокатом права на надання кваліфікованої юридичної допомоги (постанова Федерального арбітражного суду Східно-Сибірського округу від 18 грудня 2008 р. № А58-558/08-Ф02-6318/08, Визначення Московського листопада 2010 р. № 33-31358).

На окремий розгляд заслуговує питання про надання персональних даних судовим приставам.

Надання персональних даних судовим приставам

До певного часу суди одностайно вказували, що судові пристави немає права отримання персональних даних. Арбітри виходили з наступного.

Згода суб'єкта персональних даних не вимагається у випадках, коли обробка персональних даних здійснюється на підставі федерального закону, що встановлює її мету, умови отримання персональних даних та коло суб'єктів, персональні дані яких підлягають обробці, а також визначальний повноваження оператора. Ані законом про виконавче провадження (Федеральний закон від 2 жовтня 2007 р. № 229-ФЗ), ані законом про судові пристави (Федеральний закон від 21 липня 1997 р. № 118-ФЗ) названі необхідні умови обробки персональних даних не встановлено. Зокрема, названі закони не містять переліку суб'єктів, персональні дані яких підлягають обробці. Відповідно, для надання персональних даних третій особі, оператору персональних даних необхідна письмова згода суб'єкта (ухвала Федерального арбітражного суду Поволзького округу від 19 липня 2011 року № А12-23512/2010).

Федеральний закон від 25 липня 2011 р. № 261-ФЗ вніс зміни до Закону № 152-ФЗ. Зокрема, стаття 6 цього закону передбачає опрацювання персональних даних для здійснення правосуддя, виконання судового акта, акта іншого органу або посадової особи, які підлягають виконанню відповідно до законодавства про виконавче провадження. І згода суб'єкта у цих ситуаціях не потрібна.

Положення Федерального закону від 27 липня 2010 р. № 213-ФЗ про внесення змін до закону про судові пристави та статтю 64 закону про виконавче провадження передбачають, що судовий пристав отримує та обробляє персональні дані за умови, що вони необхідні для своєчасного, повного та правильного виконання виконавчих документів в обсязі, необхідному для цього. Отримані судовим приставом-виконавцем у ході примусового виконання судових актів, актів інших органів чи посадових осіб персональні дані обробляються ним виключно для виконання виконавчих документів у необхідному для цього обсязі з урахуванням вимог, встановлених Законом про персональні дані.

Таким чином, в даний час закон надає судовим приставам право запитувати персональні дані у операторів та обробляти їх, при цьому судовий пристав у своєму запиті повинен вказати, яким чином інформація, що запитується, сприяє виконанню виконавчих документів.

Смерть суб'єкта персональних даних

У разі смерті суб'єкта персональних даних згоду на обробку його даних дають спадкоємці, якщо така згода не була надана суб'єктом за його життя (п. 7 ст. 9 Закону № 152-ФЗ). До форми та змісту такої згоди застосовуються загальні правила, встановлені для згоди суб'єкта. У разі недотримання цієї вимоги персональні дані не можуть бути надані. Так, організація взяла він зобов'язання виготовити зі своїх матеріалів, доставити і встановити, а замовники (громадяни, які взяли він обов'язок увічнити пам'ять загиблих) зобов'язалися прийняти надгробні пам'ятники загиблим військовослужбовцям і ветеранам ВВВ. Організація звернулася до Пенсійного фонду за довідкою про військовослужбовців, які підтверджують їхню належність до інвалідів ВВВ, і, отримавши відмову, звернулася до суду. Відмовляючи у задоволенні вимог організації, Федеральний арбітражний суд Волго-Вятського округу вказав, що фірма не мала законних підстав для отримання персональних даних (ухвала від 27 лютого 2009 р. № А38-1119/2008-4-104). В іншій справі суд визнав неправомірними дії інформаційного агентства щодо поширення інформації про самогубство неповнолітньої дівчинки та її персональних даних без згоди рідних. Суд відхилив доводи агентства про те, що згода не вимагалася, оскільки правоздатність та представництво громадянина припинено з моменту його смерті, вказавши на необхідність забезпечення охорони особистих прав громадянина та після його смерті (ухвала Федерального арбітражного суду Східно-Сибірського округу від 1 липня 2008 р.). № А33-14182/07-Ф02-2899/08).

Відповідальність за порушення закону про персональні дані

За порушення встановленого законом порядку збору, зберігання, використання чи розповсюдження інформації про громадян (персональних даних) передбачено відповідальність у вигляді попередження чи штрафу. Штрафи встановлюється у таких розмірах: для громадян від 300 до 500 руб.; для посадових осіб - від 500 до 1000 руб.; для юридичних – від 5 тис. до 10 тис. руб. (Ст. 13.11 КоАП РФ).

Крім того, сам суб'єкт персональних даних, якому незаконними діями оператора персональних даних, пов'язаними з їх поширенням, завдано шкоди, вправі вимагати компенсації моральної шкоди або повного відшкодування збитків (ст. 11, 12, 15, 152, гл. 59 ЦК України).

Відповідно до ч. 2 ст. 85 ТК РФ обробка персональних даних працівника -це отримання, зберігання, комбінування, передача чи інше використання персональних даних працівника.

Обробка персональних даних працівника може здійснюватися виключно з метою забезпечення дотримання законів та інших нормативних правових актів, сприяння працівнику у працевлаштуванні, навчанні та просуванні по службі, забезпечення столичної безпеки, а також контролю кількості та якості виконуваної ним роботи та забезпечення збереження майна (п. 1 ст.86 ТК РФ).

Відповідно до п. 3 ст. 3 Федерального закону «Про персональні дані» обробка персональних даних — це дії (операції) з персональними даними, включаючи збирання, систематизацію, накопичення, зберігання, уточнення (оновлення, зміну), використання, поширення (зокрема передачу), знеособлення, блокування знищення персональних даних. Слід мати на увазі, що незалежно від кількості функціональних операцій, що перераховуються в законодавстві, правове регулювання має охоплювати всі стадії обробки персональних даних — від отримання до знищення без будь-яких вилучень і винятків.

До принципів обробки персональних даних зазначений Закон відносить:

  • законність цілей та способів обробки та сумлінність;
  • відповідність цілей обробки цілям, заздалегідь визначеним та заявленим при зборі персональних даних, а також повноваженням оператора;
  • відповідність обсягу та характеру оброблюваних даних, способів обробки цілям їх обробки;
  • достовірність персональних даних, їх достатність для цілей обробки, неприпустимість обробки персональних даних, які не стосуються цілей, заявлених при зборі даних;
  • неприпустимість об'єднання створених для несумісних між собою цілей баз даних інформаційних систем персональних даних.

Обробка персональних даних працівника починається з отримання. За загальним правилом усі персональні дані слід отримувати у самого працівника. У виняткових випадках, коли персональні дані працівника можна отримати лише у третьої сторони, працівник повинен бути повідомлений про це заздалегідь і від нього має бути отримана письмова згода. Роботодавець зобов'язаний повідомити працівника про цілі, передбачувані джерела та способи отримання персональних даних, а також про характер підлягають отриманню персональних даних та наслідки відмови працівника дати письмову згоду на їх отримання (п. 3 ст. 86 ТК РФ). Однак персональні дані працівника про його політичні, релігійні та інші переконання та приватне життя роботодавець не має права отримувати та обробляти (п. 4 ст. 86 ТК РФ). Також роботодавець не може вимагати інформацію про стан здоров'я працівника, якщо це не відноситься до вирішення питання про можливість виконання працівником трудової функції (ст. 88 ТК РФ).

Окремі вимоги ТК РФ пред'являє до організації та технології обробки персональних даних роботодавцем. Обов'язок ознайомлення працівників та їх представників під розпис із документами роботодавця, які встановлюють порядок опрацювання персональних даних працівників, а також про їхні права та обов'язки у цій галузі, передбачає необхідність розробки та прийняття відповідного локального нормативного правового акта. Такий акт, залежно від специфіки діяльності та розсуду роботодавця, може іменуватися положенням або інструкцією і, як правило, включає наступні розділи:

  • основні поняття та положення;
  • обробка персональних даних працівника;
  • формування персональних даних працівника;
  • облік, зберігання та передача персональних даних працівника;
  • права та обов'язки працівника в галузі обробки та захисту його персональних даних.

Такий локальний нормативний правовий акт визначає режим конфіденційності (обмеженого доступу) персональних даних працівника певного роботодавця. Співробітники роботодавця, отримують персональні дані працівника, зобов'язані дотримуватися цього режиму, що необхідно вказати у їхніх посадових інструкціях, а й у що укладаються із нею трудових договорах. Положення (інструкція) про захист персональних даних є основним документом, що відображає специфіку обробки та передачі персональних даних працівника у межах конкретної організації, у певного індивідуального підприємця. У разі наявності в рамках цієї діяльності автоматизованої складової роботодавець не має права приймати щодо працівника рішення, що базуються на персональних даних, отриманих виключно внаслідок їх автоматизованої обробки або електронного отримання (п. 6 ст. 86 ТК РФ). Роботодавець може обмежуватися прийняттям положення про захист персональних даних працівників у своїй організації. Проте наявність цього локального акта є обов'язковою, яке відсутність розглядається державною інспекцією праці як серйозне порушення трудового законодавства.

За це та інші порушення норм, що регулюють отримання, обробку та працівника, роботодавець може притягувати винних осіб до матеріальної, дисциплінарної відповідальності, а відповідні державні органи – до цивільно-правової, адміністративної та кримінальної.

Сьогодні просто неможливо уявити діяльність будь-якої організації без обробки інформації.

Кожне підприємство збирає, зберігає та використовує різні , партнери з бізнесу, клієнтів, та інших фізичних осіб.

Несанкціонований доступ до цих даних може призвести до втрати або зміни, що може негативно позначитися на діяльності фірми.

Однак, якщо планується передавати особисту інформацію, наприклад, для оформлення банківської зарплатної картки або за програмою медичного страхування, то повідомлення оформляти і надсилати обов'язково. Цей документ можна скласти як у паперовій, так і в електронній формі.

Після цього кожному роботодавцю слід призначити особу, відповідальну за організацію обробки даних. Такою особою може бути будь-який працівник, який пройшов інструктаж.

Розуміючи високу значущість та цінність персональної інформації, держава піклується про дотримання прав усіх своїх громадян у сфері захисту індивідуальних відомостей та зобов'язує всіх роботодавців створювати умови для цього в рамках своєї організації.

Як зберігати дані, підприємство вирішує самостійно, закріплюючи порядок зберігання у певному документі, як правило, у Положенні про персональні дані, або у Правилах внутрішнього розпорядку.

При обробці особистих даних працівника необхідно пам'ятати, що:

  • передача індивідуальних відомостей третім особам суворо заборонено без згоди працівника. Винятком тут є ситуації, коли це потрібно для попередження загрози здоров'ю та життю людини;
  • під забороною знаходиться передача даних про співробітника з комерційною метою без його дозволу;
  • особи, які обробляють персональні дані, не повинні їх розголошувати, дотримуватися режиму конфіденційності (відповідальність за нерозголошення можна закріпити в посадових інструкціях);
  • інформація передається в рамках однієї організації, в одного роботодавця відповідно до внутрішньофірмового нормативного акту, з яким повинен бути ознайомлений кожен співробітник;
  • доступ до бази даних дозволяється лише окремим особам і працюють вони виключно з інформацією, необхідною їм для виконання трудових функцій;
  • заборонено збирання відомостей про стан здоров'я працівників, за винятком тієї інформації, яка безпосередньо пов'язана з питанням про можливість виконання посадових обов'язків.

Винятком у галузі передачі даних є інформування деяких Державних органів про нещасний виробничий випадок, а також надсилання відомостей до ПФР, податкової служби, ФСС, служби держконтролю та нагляду за виконанням трудового законодавства.

Найкраще, якщо спеціалісти, які обробляють персональні дані, знаходяться окремо від інших працівників. На робочих місцях цих осіб мають бути розміщені сейфи для зберігання документів.

Трудовий кодекс вказує на такі права працівників:

  • знати, яка персональна інформація зберігається у роботодавця, і як вона обробляється;
  • мати вільний доступ до своїх даних та отримувати копії записів;
  • визначати представників захисту своїх даних;
  • отримувати медичні дані про своє здоров'я;
  • вимагати виключення або виправлення неправильної інформації про себе;
  • просити роботодавця про повідомлення всіх третіх осіб, яким були передані неправильні або неповні відомості, про всі виправлення, доповнення, винятки;
  • звертатися до суду у разі неправомірних дій роботодавця у галузі обробки та захисту інформації.

Таким чином, організація обробки персональних відомостей працівників на сьогодні вимагає застосування цілого ряду заходів:

  • починаючи з вивчення цілей та складу роботи з персональної інформацій, розробки внутрішньофірмових нормативних актів тощо,
  • закінчуючи придбанням спеціального устаткування зберігання документів, використанням від неправомірного доступу третіх осіб.

1. Обробка персональних даних повинна здійснюватися з дотриманням принципів та правил, передбачених цим Законом. Обробка персональних даних допускається у таких випадках:

1) обробка персональних даних здійснюється за згодою суб'єкта персональних даних на обробку його персональних даних;

2) обробка персональних даних необхідна для досягнення цілей, передбачених міжнародним договором Російської Федерації або законом, для здійснення та виконання покладених законодавством Російської Федерації на оператора функцій, повноважень та обов'язків;

3) обробка персональних даних здійснюється у зв'язку з участю особи у конституційному, цивільному, адміністративному, кримінальному судочинстві, судочинстві в арбітражних судах;

3.1) обробка персональних даних необхідна виконання судового акта, акта іншого органу чи посадової особи, які підлягають виконанню відповідно до законодавством Російської Федерації про виконавче провадження (далі - виконання судового акта);

4) обробка персональних даних необхідна для виконання повноважень федеральних органів виконавчої влади, органів державних позабюджетних фондів, виконавчих органів державної влади суб'єктів Російської Федерації, органів місцевого самоврядування та функцій організацій, що беруть участь у наданні відповідно державних та муніципальних послуг, передбачених Федеральним законом від 27 липня 2010 року N 210-ФЗ "Про організацію надання державних та муніципальних послуг", включаючи реєстрацію суб'єкта персональних даних на єдиному порталі державних та муніципальних послуг та (або) регіональних порталах державних та муніципальних послуг;

(див. текст у попередній редакції)

5) обробка персональних даних необхідна для виконання договору, стороною якого або вигодонабувачем або поручителем за яким є суб'єкт персональних даних, а також для укладання договору з ініціативи суб'єкта персональних даних або договору, за яким суб'єкт персональних даних буде вигодонабувачем або поручителем;

(див. текст у попередній редакції)

6) обробка персональних даних необхідна для захисту життя, здоров'я або інших життєво важливих інтересів суб'єкта персональних даних, якщо отримання згоди суб'єкта персональних даних неможливе;

7) обробка персональних даних необхідна для здійснення прав та законних інтересів оператора або третіх осіб, у тому числі у випадках, передбачених Федеральним законом "Про захист прав та законних інтересів фізичних осіб при здійсненні діяльності щодо повернення простроченої заборгованості та про внесення змін до Федерального закону" Про мікрофінансової діяльності та мікрофінансових організаціях", або для досягнення суспільно значущих цілей за умови, що при цьому не порушуються права та свободи суб'єкта персональних даних;

(див. текст у попередній редакції)

8) обробка персональних даних необхідна для здійснення професійної діяльності журналіста та (або) законної діяльності засобу масової інформації або наукової, літературної чи іншої творчої діяльності за умови, що при цьому не порушуються права та законні інтереси суб'єкта персональних даних;

9) обробка персональних даних здійснюється в статистичних або інших дослідницьких цілях, за винятком цілей, зазначених у статті 15 цього Закону, за умови обов'язкового знеособлення персональних даних;

10) здійснюється обробка персональних даних, доступ необмеженого кола осіб до яких надано суб'єктом персональних даних або на його прохання (далі - персональні дані, зроблені загальнодоступними суб'єктом персональних даних);

11) здійснюється обробка персональних даних, що підлягають опублікуванню або обов'язковому розкриттю відповідно до федерального закону.

1.1. Обробка персональних даних об'єктів державної охорони та членів їх сімей здійснюється з урахуванням особливостей, передбачених Федеральним законом від 27 травня 1996 N 57-ФЗ "Про державну охорону".

2. Особливості обробки спеціальних категорій персональних даних, і навіть біометричних персональних даних встановлюються відповідно і цього Закону.

3. Оператор вправі доручити обробку персональних даних іншій особі за згодою суб'єкта персональних даних, якщо інше не передбачено федеральним законом, на підставі договору, що укладається з цією особою, в тому числі державного або муніципального контракту, або шляхом прийняття державним або муніципальним органом відповідного акта (далі - Доручення оператора). Особа, яка здійснює обробку персональних даних за дорученням оператора, зобов'язана дотримуватися принципів і правил обробки персональних даних, передбачених цим Федеральним законом. У дорученні оператора повинні бути визначені перелік дій (операцій) з персональними даними, які будуть здійснюватися особою, що здійснює обробку персональних даних, та мети обробки, має бути встановлений обов'язок такої особи дотримуватися конфіденційності персональних даних та забезпечувати безпеку персональних даних при їх обробці, а також мають бути зазначені вимоги до захисту оброблюваних персональних даних відповідно до статті 19 цього Закону.

4. Особа, яка здійснює обробку персональних даних за дорученням оператора, не зобов'язана отримувати згоду суб'єкта персональних даних на обробку його персональних даних.

5. Якщо оператор доручає обробку персональних даних іншій особі, відповідальність перед суб'єктом персональних даних за дії зазначеної особи несе оператор. Особа, яка здійснює обробку персональних даних за дорученням оператора, відповідає перед оператором.

Федеральним законом від 07.02.2016 № 13-ФЗ (далі – Закон № 13-ФЗ) посилено адміністративну відповідальність за порушення законодавства про захист персональних даних та диференційовано склад адміністративних правопорушень. З 1 липня 2017 року відповідальність за недотримання правил щодо персональних даних, встановлених Федеральним законом від 27.07.2006 № 152-ФЗ (далі – Закон № 152-ФЗ), підвищиться у рази.

Максимальний розмір штрафу юридичних становитиме 75 тис. крб. (Зараз - 10 тис. руб.). Очевидно, роботодавцям, які досі не приділяють належної уваги правилам обробки персональних даних, необхідно на цьому зосередитись. В іншому випадку необачність може обернутися для них суттєвими фінансовими втратами.

Нові адміністративні штрафи

Законом № 13-ФЗ наново переписані положення ст. 13.11 КпАП РФ. Новою редакцією уточнено склади адміністративних правопорушень за законодавством про персональні дані та збільшено розміри штрафів.

Склад адміністративного правопорушення

Розмір штрафу,

Обробка персональних даних у випадках, не передбачених законодавством РФ, або їх обробка, несумісна з метою збору цих даних, за винятком випадків, передбачених ч. 2 цієї статті, якщо ці дії не містять кримінально караного діяння

Для ДЛ – від 5 до 10, для ДЛ – від 30 до 50.

Обробка персональних даних без згоди у письмовій формі їх суб'єкта на обробку його даних у випадках, коли така згода має бути отримана відповідно до законодавства РФ, якщо ці дії не містять кримінального діяння, або обробка персональних даних з порушенням встановлених законодавством РФ вимог до складу відомостей, що включаються за згодою у письмовій формі суб'єкта персональних даних на обробку його даних*

Для ДЛ – від 10 до 20, для ДЛ – від 15 до 75

Невиконання оператором передбаченої законодавством РФ обов'язки з опублікування або забезпечення іншим чином необмеженого доступу до документа, що визначає політику оператора щодо обробки персональних даних, або відомостей про вимоги, що реалізуються, до захисту персональних даних

Для ДЛ – від 3 до 6, для ІП – від 5 до 10, для ПЛ – від 15 до 30.

Замість штрафу може бути зроблено попередження

Невиконання оператором передбаченого законодавством РФ обов'язки щодо надання суб'єкту персональних даних інформації щодо обробки його персональних даних

Для ДЛ – від 4 до 6, для ІП – від 10 до 15, для ПЛ – від 20 до 40.

Замість штрафу може бути зроблено попередження

Невиконання оператором у строки, встановлені законодавством РФ, вимоги суб'єкта персональних даних або його представника або уповноваженого органу щодо захисту прав цих суб'єктів про уточнення персональних даних, їх блокування або знищення у разі, якщо дані є неповними, застарілими, неточними, незаконно отриманими або не є необхідними для заявленої мети обробки

Для ДЛ – від 4 до 10, для ІП – від 10 до 20, для ПЛ – від 25 до 45.

Замість штрафу може бути зроблено попередження

Невиконання оператором при обробці персональних даних без використання засобів автоматизації обов'язки щодо дотримання умов, що забезпечують відповідно до законодавства РФ збереження персональних даних при зберіганні матеріальних носіїв персональних даних та виключають несанкціонований до них доступ, якщо це спричинило неправомірний або випадковий доступ до персональних даних, їх знищення , Зміна, блокування, копіювання, надання, поширення або інші неправомірні події щодо персональних даних, за відсутності ознак кримінально караного діяння

Для ДЛ – від 4 до 10, для ІП – від 10 до 20, для ПЛ – від 25 до 50

* Зазначений штраф накладається за кожне допущене порушення, тому спочатку заявлена ​​сума штрафу 15 - 75 тис. руб. в результаті може зрости до значних розмірів.

Повноваження щодо порушення справ про адміністративні правопорушення за ст. 13.11 КоАП РФ передані від прокурорів Роскомнагляду (у новій редакції п. 58 ч. 2 ст. 28.3 та ч. 1 ст. 28.4 КоАП РФ). Але розглядати ці справи, як і раніше, будуть суди (ч. 1 ст. 23.1 КоАП РФ).

До відома:

Крім Роскомнагляду перевірити дотримання роботодавцем вимоги законодавства у сфері персональних даних може Роструд. Адже положеннями гол. 14 ТК РФ (нарівні із Законом № 152-ФЗ) визначено вимоги до обробки персональних даних працівників та гарантії їх захисту. Інспектори праці наділені повноваженнями щодо складання протоколів про адміністративні правопорушення, у тому числі передбачених ст. 5.27 КоАП РФ, у разі порушення трудового законодавства (пп. 16 год. 2 ст. 28.3 КоАП РФ).

Перш ніж розглядати питання про те, як роботодавцю уникнути штрафів, пояснимо, що розуміється під персональними даними, обробкою персональних даних та оператором.

Персональні дані.

Персональні дані – це інформація, що прямо чи опосередковано відноситься до суб'єкта персональних даних (тобто фізичної особи) (ч. 1 ст. 3 Закону № 152-ФЗ). Тобто вона дозволяє однозначно визначити, про яку саме особу йдеться.

Будь-яких конкретних вказівок у тому, які відомості вважати персональними даними, у чинному законодавстві немає (їх немає ні у Законі № 152-ФЗ, ні в гол. 14 ТК РФ). У ньому закріплено лише загальні принципи. По суті, поняття, що розглядається, є оцінним, що дає певний простір при кваліфікації тих чи інших відомостей про фізичну особу як персональні дані. Очевидно, що такими слід вважати насамперед відомості, на підставі яких можлива безпомилкова ідентифікація суб'єкта персональних даних. Такі відомості співробітник, як правило, повідомляє сам, приймаючи на роботу. Персональні відомості можна отримати і з третьої сторони, щоправда, з письмової згоди співробітника (год. 3 ст. 86 ТК РФ). У свою чергу знеособлені відомості не можуть бути віднесені до категорії персональних даних.

  • прізвище ім'я по батькові;
  • Дата та місце народження;
  • адресу (місце реєстрації);
  • сімейне, соціальне та майнове становище;
  • освіта, професія;
  • доходи, майно та майнові зобов'язання.

Це загальні особисті дані. Крім них, у Законі № 152-ФЗ згадуються:

  • спеціальні персональні дані (стосуються расової, національної приналежності, політичних поглядів, релігійних чи філософських переконань, стану здоров'я, інтимного життя). За загальним правилом обробка цих даних заборонена. Виняток – випадки, передбачені ч. 2 ст. 10 названого закону;
  • біометричні персональні дані (характеризують фізіологічні та біологічні особливості людини, на підставі яких можна ідентифікувати її особистість). Для обробки таких відомостей потрібна згода суб'єкта персональних даних. Виняток – випадки, встановлені ч. 2 ст. 11.

До відома:

Персональні дані працівників, як правило, містяться в наступних документах:

  • у паспорті чи іншому документі, що засвідчує особу;
  • у трудовій книжці;
  • у документах про військовий облік, освіту, склад сім'ї;
  • у довідці про доходи з попереднього місця роботи;
  • в анкеті, що заповнюється під час працевлаштування;
  • у особистій картці працівника (форма Т-2);
  • у свідоцтвах про укладання шлюбу, народження дитини;
  • у медичних довідках; та ін.

У роботодавця зберігаються копії перелічених документів, крім анкет, трудових книжок і особистих карток.

Опрацювання персональних даних.

Під обробкою персональних даних розуміється будь-яку дію (або сукупність дій), що відбувається з ними (з використанням засобів автоматизації або використання таких). Під дією розуміються збирання, запис, систематизація, накопичення, зберігання, уточнення (оновлення, зміна), вилучення, використання, передача (поширення, надання, доступ), знеособлення, блокування, видалення, знищення даних (ч. 3 ст. 3 Закону № 152-ФЗ).

Цілі обробки персональних даних визначено ч. 1 ст. 86 ТК РФ, та її основні принципи – ст. 5 Закону №152-ФЗ.

* Відповідно до ст. 87 ТК РФ порядок зберігання та використання персональних даних працівників встановлює кожен роботодавець самостійно з дотриманням вимог Трудового кодексу та інших федеральних законів (включно із Законом № 152-ФЗ).

Важливий нюанс: законодавством не визначено вимог до обсягу персональних даних, які оператор (роботодавець) може обробляти за згодою (або без) їх суб'єкта. Отже, сторони вправі встановити обсяг одержуваних та оброблюваних відомостей самостійно. У цьому необхідно враховувати, що вимоги закону порядку отримання згоди на обробку відомостей і до порядку їх обробки різняться залежно від виду (розряду) персональних даних.

Оператор.

Оператор – особа, яка організовує та здійснює обробку персональних даних (ч. 2 ст. 3 Закону № 152-ФЗ).

Під наведене визначення підпадає будь-який роботодавець (юридична особа чи індивідуальний підприємець), який одержав персональні дані працівника своє розпорядження. Отже, з цього моменту на нього відповідно до вимог Закону № 152-ФЗ покладаються обов'язки щодо захисту та забезпечення безпеки персональних даних працівників.

При цьому відповідно до ч. 1 ст. 18.1 Закону № 152-ФЗ кожен оператор повинен самостійно визначити склад та перелік заходів, необхідних та достатніх для забезпечення виконання обов'язків, передбачених цим законом. Одним із цих заходів є видання оператором локального нормативного акта, що встановлює порядок обробки персональних даних працівників в організації. Цього від оператора вимагають ст. 86 та 87 ТК РФ. У локальному акті (зазвичай він називається Положенням про персональні дані) визначаються правничий та обов'язки як суб'єкта персональних даних, і оператора.

Підкреслимо: наявність зазначеного документа у роботодавця є обов'язковою. За його відсутність фахівці Роскомнагляду можуть оштрафувати оператора (та його посадових осіб) на підставі ч. 3 ст. 13.11 КпАП РФ.

Вимоги до оформлення положення щодо персональних даних.

При складанні Положення про персональні дані необхідно врахувати вимоги про отримання, обробку, зберігання та використання персональних даних працівників, встановлені Законом № 152-ФЗ та гол. 14 ТК РФ. Виходячи з названих нормативних актів, у положенні про Персональні дані слід зазначити:

  • перелік відомостей, що належать до категорії персональних даних;
  • які документи, що містять персональні дані працівників, оператор подаватиме до різних держструктур (позабюджетні фонди, податкову, трудову інспекції, органи статистики тощо);
  • перелік посадових осіб, наділених повноваженнями з обробки, зберігання та використання персональних даних та, відповідно, відповідальних за порушення вимог законодавства;
  • хто та в якому порядку має доступ до отриманих персональних даних;
  • заходи, спрямовані на збереження та нерозголошення персональних даних, а також порядок їх передачі (всередині організації та третіх осіб);
  • порядок надання суб'єкту персональних даних інформації щодо обробки його даних;
  • процедуру уточнення персональних даних працівників, їх блокування та знищення;
  • умови та порядок зберігання персональних даних співробітників.

Важливий аспект: роботодавцю слід врахувати вимогу ч. 8 ст. 86 ТК РФ, де сказано, що працівники та їх представники мають бути під розпис ознайомлені з Положенням про персональні дані. Оператор з метою виконання зазначеної вимоги може, наприклад, оформити відповідний журнал, у якому працівники розписуватимуться, підтверджуючи факт ознайомлення. Але є й інші способи ознайомлення під розпис, наприклад, відображення даного факту в трудовому договорі.

Отже, положення про персональні дані – це, мабуть, головний документ, наявність якого потрібна з законодавства. Його відсутність може стати підставою для накладення штрафу за ч. 3 та 4 ст. 13.11 КпАП РФ. Але це не єдиний документ, який оператор має оформити для належного виконання вимог закону.

Згода на обробку та передачу персональних даних.

У частині 1 ст. 9 Закону № 152-ФЗ говориться, що згода має бути конкретною, поінформованою та свідомою. Воно може бути дано суб'єктом персональних даних (або його представником) у будь-якій формі, що дозволяє підтвердити факт його отримання, якщо інше не встановлено Законом № 152-ФЗ. Прямо у тому, що згоду працівника на обробку персональних даних має бути оформлено письмово, у цьому законі не сказано.

Але! Частиною 2 ст. 13.11 КоАП РФ визначено відповідальність оператора та його посадових осіб за обробку персональних даних:

  • без згоди у письмовій формі суб'єкта персональних даних на обробку його даних у випадках, коли така згода має бути отримано за законодавством РФ, якщо ці дії не містять кримінального діяння;
  • або з порушенням встановлених законодавством РФ вимог до складу відомостей, що включаються за згодою у письмовій формі суб'єкта персональних даних на обробку його даних.

Виходить, коли чинне законодавство у сфері персональних даних вимагає отримання згоди від суб'єкта цих даних, ця згода має бути оформлена письмово (довільно, оскільки єдиний бланк законодавством не передбачено). Адже у разі виникнення спірних ситуацій довести факт отримання згоди має саме оператор (ч. 3 ст. 9 Закону № 152-ФЗ). І письмова форма згоди в цьому випадку буде дуже доречною.

З урахуванням сказаного роботодавцю-оператору має сенс розробити та затвердити як додаток до Положення про персональні дані бланк згоди працівника на обробку та передачу таких даних. Додамо, що Закон № 152-ФЗ припускає оформлення згоди у формі електронного документа.

Що потрібно вказати у злагоді?

Вимоги до змісту письмової згоди для випадків, коли вона необхідна через закон, встановлені ч. 4 ст. 9 Закону №152-ФЗ. І тут згоду має включати:

  1. П. І. О., адреса працівника, реквізити документа, що засвідчує його особу, включаючи дату видачі та відомості про орган, що його видав.
  2. При отриманні згоди від представника працівника – його П.І.Б., адреса, реквізити документа, що засвідчує його особу, включаючи дату видачі та відомості про орган, що видав його, реквізити довіреності або іншого документа, що підтверджує повноваження представника.
  3. Найменування або П. І. О. та адресу роботодавця.
  4. Ціль обробки персональних даних.
  5. Перелік персональних даних, що підлягають обробці.
  6. П. І. О. та адресу особи або найменування організації, що здійснюють обробку персональних даних за дорученням роботодавця, якщо вона доручена такій особі чи організації.
  7. Перелік дій із персональними даними, скоєння яких працівником дано згоду, загальний опис способів їх обробки.
  8. Строк, протягом якого діє згода працівника на обробку його персональних даних, та спосіб відкликання згоди.
  9. Підпис працівника.

В інших випадках (коли законодавство не вимагає отримання згоди працівника), спеціальних вимог до змісту згоди Законом № 152-ФЗ не встановлено. Водночас загальне правило, передбачене ч. 1 ст. 9 цього закону (про конкретну, поінформовану та свідому згоду), ніхто не скасовував. Тому у згоді у будь-якому разі має бути зазначений конкретний обсяг персональних даних, цілі та способи їх обробки та зберігання.

Коли згоду на обробку даних потрібно отримувати, а коли – ні?

Закон № 152-ФЗ допускає опрацювання персональних даних співробітників як за їх згодою (п. 1 ч. 1 ст. 6), так і без нього.

Тут слід звернути увагу на Роз'яснення Роскомнагляду. На думку чиновників, обробка персональних даних працівника не вимагає отримання відповідної згоди зазначеної особи за умови, що обсяг оброблюваних роботодавцем персональних даних не перевищує встановлених переліків, а також відповідає цілям обробки, передбаченим трудовим законодавством (див. таблицю).

Не потрібно оформлювати згоду працівника на обробку персональних даних, якщо вони отримані

Джерело

З документів (відомостей), що пред'являються під час укладання трудового договору

Стаття 65 ч. 4 ст. 275 ТК РФ, п. 5 год. 1 ст. 6 Закону №152-ФЗ

За результатами обов'язкового попереднього медичного огляду стану здоров'я

Стаття 69 ТК РФ, п. 3 Роз'яснень Роскомнагляду

З особистої картки чи інших випадках, встановлених законодавством РФ (наприклад, при отриманні аліментів, оформленні допуску до державної таємниці, оформленні соціальних виплат)

Пункт 2 Роз'яснень Роскомнагляду

Від кадрового агентства, що діє від імені претендента на вакантну посаду

Пункт 5 Роз'яснень Роскомнагляду

З резюме претендента, розміщеного в Інтернеті та доступного необмеженому колу осіб

Пункт 10 год. 1 ст. 6 Закону № 152-ФЗ, п. 5 Роз'яснень Роскомнагляду

Якщо персональні дані про співробітника можуть бути отримані лише у третьої сторони (нагадаємо, відповідна можливість передбачена ст. 86 ТК РФ), то він повинен бути заздалегідь повідомлений про це та від нього має бути отримана згода на обробку відомостей.

Згода також потрібна, якщо роботодавець планує обробляти інші дані працівника (наприклад, контактні дані – номер стільникового телефону, адреса електронної пошти).

Про згоду на передачу даних.

Крім згоди на обробку даних, оператору необхідно заручитися згодою працівника на їх передачу третім особам (у тому числі з комерційною метою), що випливає з абз. 2, 3 ч. 1 ст. 88 ТК РФ. У цій згоді також чітко прописують, які саме операції з персональними даними здійснює роботодавець і яка їхня мета.

Зверніть увагу:

Оператор повинен попередити третіх осіб про те, що персональні дані можуть бути використані лише з метою, для яких вони повідомлені, і вимагати від зазначених осіб підтвердження того, що цього правила дотримано (абз. 4 ч. 1 ст. 88 ТК РФ).

У ряді випадків згоду працівника на передачу персональних даних третім особам оформляти не потрібно. Подаємо ці випадки в таблиці.

Згода не оформляється під час передачі даних*

Джерело

Третім особам з метою попередження загрози життю та здоров'ю працівника

Абзац 2 ст. 88 ТК РФ, абз. 1 п. 4 Роз'яснень Роскомнагляду

У позабюджетні фонди

Абзац 15 год. 2 ст. 22 ТК РФ, абз. 3 п. 4 Роз'яснень Роскомнагляду

У податкові органи та військові комісаріати

Підпункти 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Роз'яснень Роскомнагляду

На запит професійних спілок з метою контролю за дотриманням трудового законодавства роботодавцем

Стаття 370 ТК України, абз. 5 п. 4 Роз'яснень Роскомнагляду

За мотивованим запитом органів прокуратури та правоохоронних органів

Абзац 7 п. 4 Роз'яснень Роскомнагляду

За запитом від державних інспекторів праці під час здійснення ними наглядово-контрольної діяльності

Абзац 3 год. 1 ст. 357 ТК РФ, абз. 7 п. 4 Роз'яснень Роскомнагляду

В органи та організації, які повинні бути повідомлені про тяжкий нещасний випадок, у тому числі зі смертельним наслідком

Абзац 5 ст. 228 ТК РФ

* Члени сім'ї, страхові компанії, кредитні установи, благодійні організації, недержавні пенсійні фонди та інші аналогічні організації до зазначеного переліку третіх осіб не увійшли. Тому передати згаданим особам персональні дані працівника оператор має право лише за його письмовою згодою.

"Про внесення змін до Кодексу Російської Федерації про адміністративні правопорушення".

Текст нормативного акту надруковано у «Актах та коментарях для бухгалтера», № 3, 2017.

"Про персональні дані".

Див. Постанову ФАС СКО від 11.03.2014 у справі № А53-10287/2013.

Положення про персональні дані, як і будь-який інший локальний нормативний акт, затверджується керівником організації. За наявності у створенні представницького органу працівників (профспілки) зазначений документ має прийматися з урахуванням вимог, встановлених ст. 372 ТК РФ.

«Питання щодо обробки персональних даних працівників, претендентів на заміщення вакантних посад, а також осіб, які перебувають у кадровому резерві». Розміщено на офіційному сайті відомства www.rsoc.ru 24.12.2012.

Актуальні питання бухгалтерського обліку та оподаткування, №3, 2017 рік