Передача третьему лицу обязанность обработки персональных данных. Требования при передаче персональных данных третьим лицам. Обработка персональных данных работников
Обработка персональных данных без согласия субъекта возможна только в установленных законом случаях. Использование таких сведений с нарушением порядка или без соответствующих оснований влечет привлечение виновных к гражданской, трудовой, административной и уголовной ответственности.
В каких случаях допускается передача третьим лицам и иная обработка персональных сведений о субъекте?
Закон «О персональных данных» от 27.07.2006 № 152-ФЗ установил 2 варианта, при которых обработка личных сведений гражданина (субъекта) законна:
- При получении его согласия на это.
- Без получения согласия в случаях:
- использования информации иными людьми для личных и семейных нужд, если это не нарушает права гражданина;
- внесения персональной информации в базу Архивного фонда России;
- принятия решения об отнесении информации к государственной тайне (в данном случае согласия субъекта не требуется для засекречивания сведений о нем);
- необходимости использования сведений в целях осуществления Россией условий международных договоров и законов;
- участия лица в процессе судопроизводства и в связи с таковым участием;
- использования для исполнения судебного акта или положений документа, принятого органами исполнительного производства;
- получения лицом муниципальных или государственных услуг;
- признания человеком сведений о себе общедоступными;
- заключения и исполнения договора, в котором субъект выступает стороной или выгодоприобретателем;
- невозможности получения согласия при угрозе жизни, здоровью, важным интересам лица;
- реализации прав, обеспечения интересов оператора (обрабатывающего информацию лица) или третьих лиц, достижения общественно значимых целей;
- осуществления профессиональной деятельности журналистами и СМИ, творческой деятельности, когда это не нарушает права человека;
- использования обезличенных сведений о лице в исследовательских и статистических целях, за исключением политической агитации, продвижения товаров, услуг и работ на рынке;
- необходимости обязательного раскрытия, опубликования данных на основании указания закона (например, госслужащие обязаны раскрывать сведения о своих доходах).
Порядок обработки (хранения, распространения и т. п.) информации без получения одобрения субъекта
Общая процедура обработки операторами личных данных о гражданах без их специального разрешения выглядит следующим образом:
- Оператор при наличии законных оснований получает информацию. Извещать лицо о начале обработке его сведений не требуется, но в ряде случаев уведомление направляется в Роскомнадзор.
- Оператор осуществляет необходимые действия (собирает, записывает, передает, уточняет и т. д.). Как указано в ст. 5 закона № 152-ФЗ, действия пользователя ограничены целью обработки.
- После достижения целей или после прекращения необходимости использования данные уничтожаются или обезличиваются.
Дополнительным этапом может стать оспаривание физическим лицом правомерности использования информации о нем. Органом рассмотрения споров является (на выбор гражданина) суд или Роскомнадзор. В ходе разрешения конфликта оператором предъявляются доказательства наличия обстоятельств, позволяющих ему использовать данные без одобрения или вопреки запрету гражданина.
Ответственность оператора
В случае нарушения оператором процедуры и условий обработки персональной информации он может быть привлечен к различным видам ответственности:
|
Вид ответственности |
Пример нарушения |
Наказание |
Правовое основание |
|
Гражданская |
Причинение морального вреда |
Выплата компенсации |
Ст. 24 закона № 152-ФЗ, ст. 1099 ГК |
|
Дисциплинарная |
Разглашение персональных сведений о другом трудящемся |
Увольнение |
|
|
Нарушение законодательства при обработке информации |
Привлечение к дисциплинарной и материальной ответственности |
||
|
Административная |
Обработка сведений, противоречащая цели сбора данных |
|
Ч. 1 ст. 13.11 КоАП |
|
Уголовная |
Посягательство на неприкосновенность частной жизни |
Санкция альтернативная:
|
Ч. 1 ст. 137 УК |
|
Отказ или обман со стороны должностного лица при предоставлении гражданину информации о нем |
Штраф (200 000 руб. или доход за срок до полутора лет) либо лишение права заниматься определенной деятельностью в течение 2-5 лет |
||
|
Доступ к компьютерной информации без права на это |
Штраф (200 000 руб. или доход за срок до полутора лет), исправительные работы до года либо принудительные работы, ограничение или лишение свободы сроком до 2 лет |
Ч. 1 ст. 272 УК |
Таким образом, обработка информации без разрешения субъекта возможна, если оператору такое право предоставлено законодательно. Использование сведений при этом должно осуществляться в той мере, которая требуется для достижения целей оператора, после чего данные уничтожаются или обезличиваются. Лицо, считающее, что его персональные данные использованы незаконно, вправе обратиться в суд или Роскомнадзор.
Не знаете свои права?
ОБРАЗЦЫ ДОКУМЕНТОВ
Формы подготовлена с использованием правовых актов по состоянию на 17.09.2010.
Уведомление работника о получении его персональных данных от третьих лиц
(образец заполнения)
ООО «Полигон-2»
Инженеру строительного отдела
О.Л. Потаповой
УВЕДОМЛЕНИЕ
О получении персональных данных от третьих лиц
Уважаемая Ольга Львовна!
Уведомляем Вас о том, что в соответствии с Вашим заявлением об утрате трудовой книжки и просьбе оказать содействие в сборе сведений о предыдущих местах работы и периодах трудовой деятельности ООО «Полигон-2» запросит эти персональные данные от третьих лиц. Данные сведения будут запрошены в целях подтверждения страхового стажа. Сведения будут запрашиваться в письменной форме при помощи средств почтовой связи. Просим Вас дать согласие на получение персональных данных от третьих лиц (п. 3 ст. 86 ТК РФ).
Начальник отдела кадров ___________________А.А. Петрова
С уведомлением ознакомлена,
инженер строительного отдела _________________ О.Л. Потапова
Согласие работника на получение работодателем персональных данных от третьих лиц
(образец заполнения)
ООО «Полигон-2»
Генеральному директору
Антонову С.Н.
от Чижова Андрея Николаевича,
паспорт серия 00 55 N 456789
СОГЛАСИЕ
на получение персональных данных от третьих лиц
Я, Чижов Андрей Николаевич, в соответствии со статьей 9 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» даю согласие Обществу с ограниченной ответственностью «Полигон-2» (ООО «Полигон-2»), расположенному по адресу: город Москва, ул. Веселая, дом 11, на получение моих персональных данных о предыдущих местах работы и периодах трудовой деятельности от третьих лиц.
Чижов А.Н.
Согласие работника
(образец заполнения)
ООО «Полигон-2»
Генеральному директору
Антонову С.Н.
от Чижова Андрея Николаевича,
зарегистрированного по адресу:
117565 г. Москва ул. Гарибальди д. 4 кв. 108,
паспорт серия 00 55 N 456789
выдан 20.04.2007 г. Черемушинский УВД г. Москвы
СОГЛАСИЕ
на обработку персональных данных
Я, Чижов Андрей Николаевич, в соответствии со статьей 9 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» даю согласие Обществу с ограниченной ответственностью «Полигон-2» (ООО «Полигон-2»), расположенному по адресу: город Москва, ул. Веселая, дом 11, на автоматизированную, а также без использования средств автоматизации обработку моих персональных данных, а именно совершение действий, предусмотренных пунктом 3 части первой статьи 3 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных», со сведениями о фактах, событиях и обстоятельствах моей жизни, представленных в ООО «Полигон-2».
Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.
Чижов А.Н.
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Отзыв работником согласия на обработку персональных данных
(образец заполнения)
ООО «Полигон-2»
Генеральному директору
Антонову С.Н.
от Чижова Андрея Николаевича,
зарегистрированного по адресу:
117565 г. Москва ул. Гарибальди д. 4 кв. 108,
паспорт серия 00 55 N 456789
выдан 20.04.2007 г. Черемушинский УВД г. Москвы
ОТЗЫВ СОГЛАСИЯ
на обработку персональных данных
Я, Чижов Андрей Николаевич, в соответствии с п. 1 ст. 9 Федерального закона «О персональных данных» N 152-ФЗ от 27.07.2006 года отзываю у Общества с ограниченной ответственностью «Полигон-2» согласие на обработку моих персональных данных.
Прошу прекратить обработку моих персональных данных в течение трех рабочих дней с момента поступления настоящего отзыва.
Чижов А.Н.
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Приказ о допуске к информационной системе
(образец заполнения)
(ООО «Полигон-2»)
04.02.2010 №4-лс Москва
Об установлении списка лиц, имеющих доступ
к информационной системе «1C» в части
обработки персональных данных работников
В соответствии с п. 14 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных от 17.11.2007 N 781
ПРИКАЗЫВАЮ:
- Допустить к информационной системе «1С» для работы с персональным данными работников ООО «Полигон-2» следующих работников:
зам. Генерального директора по персоналу С.Л. Ефимова;
главного бухгалтера Т.В. Карасеву;
начальника отдела кадров И.А. Литвинова;
специалиста по кадрам И.А. Перова.
- Предупредить указанных работников об ответственности за разглашение и (или) утрату информации, представляющей персональные данные работников Общества.
- Контроль исполнения приказа возложить на зам. Генерального директора по персоналу Ефимова С.Л.
Генеральный директор _________________________ С.Н. Антонов
С приказом ознакомлены:(подписи, даты)
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Приказ об утверждении списка лиц, имеющих доступ к персональным данным работников
(образец заполнения)
Общество с ограниченной ответственностью «Полигон-2»
(ООО «Полигон-2»)
04.02.2010 №3-лс Москва
Об установлении списка лиц, имеющих доступ к персональным данным работников ООО «Полигон-2»
В соответствии со ст. 88 ТК РФ и п. 4.1 Положения о персональных данных ООО «Полигон-2»
ПРИКАЗЫВАЮ:
- Определить следующий перечень работников Общества, имеющих доступ к персональным данным работников ООО «Полигон-2»:
Генеральный директор С.Н. Антонов;
Зам. Генерального директора по персоналу С.Л. Ефимов;
Начальник отдела кадров И.А. Литвинова;
Специалист по кадрам И.А. Перова;
Главный бухгалтер Т.В. Карасева;
Начальник юридического отдела Ю.В. Киселев;
Начальник производственного отдела А.Л. Кирилов (доступ к личным данным только работников своего подразделения);
Начальник строительного отдела Г.М. Анохин (доступ к личным данным только работников своего подразделения).
- Контроль исполнения приказа возложить на Зам. Генерального директора по персоналу Ефимова С.Л.
С приказом ознакомлены: (подписи, даты)
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Обязательство о неразглашении персональных данных
(образец заполнения)
Обязательство
о неразглашении персональных данных
Я, Петрова Ирина Анатольевна, паспорт серии 50 06 номер 465783, выдан УВД Зюзинского района г. Москвы «16» мая 2006 года
понимаю, что получаю доступ к персональным данным работников ООО «Полигон-2». Я также понимаю, что во время исполнения своих обязанностей я занимаюсь сбором, обработкой и хранением персональных данных работников.
Я понимаю, что разглашение такого рода информации может нанести ущерб работникам организации, как прямой, так и косвенный.
В связи с этим даю обязательство при работе (сборе, обработке и хранении) с персональными данными сотрудника соблюдать все описанные в Положении о персональных данных требования.
Я подтверждаю, что не имею права разглашать сведения о (об):
— анкетных и биографических данных;
— образовании;
— трудовом и общем стаже;
— составе семьи;
— паспортных данных;
— воинском учете;
— заработной плате работника;
— специальности;
— занимаемой должности;
— наличии судимостей;
— адресе места жительства, домашнем телефоне;
— месте работы или учебы членов семьи и родственников;
— составе декларируемых сведений о наличии материальных ценностей;
— подлинниках и копиях приказов по личному составу;
— личных делах и трудовых книжках сотрудников;
— копиях отчетов, направляемых в органы статистики.
Я предупрежден(а) о том, что в случае разглашения мной сведений, касающихся персональных данных работника, или их утраты я несу ответственность в соответствии с ст. 90 ТК РФ.
С Положением о порядке обработки персональных данных работников ООО «Полигон-2» и гарантиях их защиты ознакомлен(а).
специалист по кадрам Петрова Ирина Анатольевна
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Лист ознакомления с локальными нормативными актами
(образец заполнения)
Приложение N 1 к
трудовому договору от 01.12.2009 N 56
До подписания трудового договора работник ознакомлен со следующими локальными нормативными актами:
| п/п | Наименование локального нормативного акта |
дата | подпись |
| 1. | Правила внутреннего трудового распорядка ООО «Полигон-2», в ред. от 01.01.2007 |
01.12.2009 | Снегирева |
| 2. | Положение об оплате труда, премировании и социальном обеспечении сотрудников ООО «Полигон-2», в ред. от 02.06.2008 |
01.12.2009 | Снегирева |
| 3. | Инструкция по информационной безопасности, утв. приказом от 15.06.2008 N 7-К |
01.12.2009 | Снегирева |
| 4. | Положение о персональных данных, в ред. от 25.08.2008 |
01.12.2009 | Снегирева |
| 5. | Положение о материальной ответственности работников за ущерб, причиненный ООО «Полигон-2», в ред. от 28.08.2009 |
01.12.2009 | Снегирева |
| 6. | Приказ о внутреннем документообороте, утв. приказом от 01.09.2009 N 45-К |
01.12.2009 | Снегирева |
| 7. | Должностная инструкция секретаря общего отдела, утв. 14.07.2009 |
01.12.2009 | Снегирева |
АДРЕСА И ПОДПИСИ СТОРОН
Работодатель Работник
ООО «Полигон-2» Снегирева Дарья Александровна
125879 г. Москва, ул. Веселая, дом 11 Адрес по регистрации: 193456
ИНН 1658795124/42698764 г. Москва ул. Фабричная д. 4 кв. 305
Паспорт: серия 06 09 N 345678
выдан ОВД Московского района г. Калининграда
Генеральный директор Работник
Антонов / С.Н. Антонов Снегирева / Снегирева Д.А.
М.П. ——————————-
Экземпляр приложения к трудовому 01.12.2009 Снегирева
договору получила дата подпись
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Дополнительное соглашение к трудовому договору. Изменение персональных данных работника
(образец заполнения)
ДОПОЛНИТЕЛЬНОЕ СОГЛАШЕНИЕ
к трудовому договору от 20.03.2009 N 11
12.02.2010 N 1 г. Москва
Общество с ограниченной ответственностью «Полигон-2» (ООО «Полигон-2»), именуемое в дальнейшем «Работодатель», в лице генерального директора Антонова Сергей Николаевича, действующего на основании Устава, с одной стороны, и инспектор по кадрам отдела кадров Лукина Лидия Михайловна, именуемая в дальнейшем «Работник», с другой стороны, совместно именуемые «Стороны», заключили настоящее Соглашение о нижеследующем:
1.1. В связи с изменением персональных данных работника считать, что трудовой договор заключен с Лукиной Лидией Михайловной в соответствии с паспортом серии 05 03 N 456575, выдан 07.02.2009 ОВД «Коньково» г. Москвы.
1.2. Изменения, вносимые в трудовой договор настоящим Соглашением, вступают в силу с 12.02.2010.
1.3. Все остальные условия трудового договора остаются прежними.
1.4. Настоящее Соглашение составлено в двух экземплярах, имеющих равную юридическую силу, по одному для каждой Стороны.
РАБОТОДАТЕЛЬ РАБОТНИК
Генеральный директор ______________С.Н. Антонов ________________ Л.М. Лукина
Экземпляр дополнительного соглашения на руки получила _______________________Л.М. Лукина
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Приказ о внесении изменений в документы, содержащие персональные данные работника
(образец заполнения)
Общество с ограниченной ответственностью «Полигон-2»
(ООО «Полигон-2»)
08.02.2010 №4-лс Москва
О внесении изменений в документы, содержащие персональные данные работника
В связи с изменением фамилии специалиста отдела контроля качества Морозовой А.Л. на Лукину
ПРИКАЗЫВАЮ:
- Внести соответствующие изменения в документы, содержащие персональные данные работника, а именно изменить в данных документах фамилию и паспортные данные. Ответственный специалист по кадрам И.А. Перова.
Основание: свидетельство о заключении брака I-РH N 637962, паспорт серии 0503 N 456575 выдан 07.02.2009 ОВД «Коньково» г. Москвы.
- Контроль исполнения приказа возложить на начальника отдела кадров И.А. Литвинову.
Генеральный директор______________________С.Н. Антонов
С приказом ознакомлены:
начальник отдела кадров __________________ И.А. Литвинова
специалист по кадрам __________________ И.А. Перова
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Согласие на передачу персональных данных третьим лицам
(образец заполнения)
ООО «Полигон-2»
Генеральному директору
Антонову С.Н.
от…………
СОГЛАСИЕ
на передачу персональных данных третьей стороне
Я, Чижов Андрей Николаевич даю согласие Обществу с ограниченной ответственностью «Полигон-2» (ООО «Полигон-2»), расположенному по адресу: город Москва, ул. Веселая, дом 11, на предоставление ЗАО «Коммерческий банк «Континент» следующих моих персональных данных для рассмотрения вопроса о предоставлении мне потребительского кредита:
— дата приема на работу;
— должность, по которой я выполняю трудовые обязанности в ООО «Полигон-2»;
— размер заработной платы.
Настоящее согласие действительно в течение одного месяца с момента его получения.
Чижов А.Н.
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Запрос о предоставлении персональных данных работника
(образец заполнения)
Закрытое акционерное общество «Коммерческий банк «Континент»
117129, г. Москва, ул. Севастопольская,д. 16
ООО «Полигон-2»
Генеральному директору Антонову С.Н.
116345, г. Москва, ул. Веселая, д.11
Уважаемый Сергей Николаевич!
Просим Вас предоставить следующие персональные данные Чижова Андрея Николаевича:
— дата приема на работу;
— должность, по которой Чижов А.Н. выполняет трудовые обязанности в ООО «Полигон-2»;
— размер заработной платы.
Данная информация необходима для рассмотрения вопроса о предоставлении Чижову А.Н. потребительского кредита.
Начальник отдела кредитования физических лиц ____________________ В.Н. Смирнов
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Ответ на запрос о предоставлении персональных данных
(образец заполнения)
ООО «Полигон-2»
Начальнику отдела кредитования физических лиц
ЗАО «Коммерческий банк «Континент»
———————————— Суворову В.Н.
117129 г. Москва, ул. Севастопольская д. 16
Уважаемый Виктор Николаевич!
В ответ на Ваше письмо от 01.02.2010 N 345/ИВ сообщаю, что Чижов Андрей Николаевич работает в ООО «Полигон-2» с 05.04.2009 в должности начальника отдела контроля качества (приказ о приеме на работу от 05.04.2009 N 12/П-09) с должностным окладом 50 000 (пятьдесят тысяч) рублей в месяц.
В соответствии с Положением о персональных данных работников ООО «Полигон-2», утвержденным приказом от «13» сентября 2008 г. информация, предоставленная в Ваше распоряжение, относится к персональным данным работника и поэтому является конфиденциальной.
Предупреждаю Вас, что данная информация может быть использована Вами исключительно в целях, для которых она была представлена.
В соответствии с действующим законодательством на Вас возлагается ответственность за возможное разглашение вышеупомянутой информации с даты ее предоставления в Ваше распоряжение.
В соответствии со ст. 88 ТК РФ прошу в письменной форме предоставить подтверждение об использовании данной информации только в указанных целях.
Генеральный директор ___________________ С.Н. Антонов
Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие (п. 3 ст. 86 ТК РФ).
В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):
Цели получения персональных данных работника у третьего лица;
Предполагаемые источники информации (лица, у которых будут запрашиваться данные);
Способы получения данных, их характер;
Возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.
Информацию, не имеющую отношения к перечисленным в п. 1 ст. 86 ТК РФ целям, работодатель не вправе запрашивать у третьих лиц даже с согласия работника.
См. образец составления уведомления.
См. образец составления согласия.
ХРАНЕНИЕ И ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Организация учета и хранения персональных данных >>>
1.1. Оформление журналов учета персональных данных >>>
1.2. Требования к помещению, где хранятся персональные данные >>>
1.3. Защита персональных данных >>>
1.3.1. Организация программной защиты персональных данных, содержащихся в информационной системе работодателя >>>
2. Организация доступа работников к персональным данным других работников >>>
3. Оформление обязательства о неразглашении персональных данных работниками, имеющими доступ к этим данным >>>
4. Положение о персональных данных >>>
4.1. Оформление Положения о персональных данных >>>
4.2. Введение в действие Положения о персональных данных >>>
4.3. Ознакомление с Положением о персональных данных >>>
4.4. Изменение и дополнение персональных данных >>>
4.4.1. Внесение изменений в трудовой договор при изменении персональных данных (смена фамилии и т.д.) >>>
4.5. Срок хранения персональных данных >>>
Организация учета и хранения персональных данных
Согласно п. 7 ст. 86 ТК РФ защиту персональных данных работника от неправомерного их использования или утраты работодатель должен обеспечивать за счет своих средств. В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Из данных норм следует, что работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под роспись.
Пунктом 10 ст. 86 ТК РФ предусмотрено, что работодатели и их представители должны совместно вырабатывать меры защиты персональных данных работников. Подробнее об этом см. п. 4 настоящего материала.
Оформление журналов учета персональных данных
Поскольку на работодателя возложена обязанность соблюдать режим конфиденциальности персональных данных, то целесообразно вести журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам.
В журнале учета внутреннего доступа к персональным данным (доступа работников организации к персональным данным других работников) следует указывать такие сведения, как дата выдачи и возврата документов (личных дел), срок пользования, цели выдачи, наименование выдаваемых документов (личных дел). Лицо, которое возвращает документ (дело), должно обязательно присутствовать при проверке наличия всех имеющихся документов по описи, если выданные документы составлены более чем на одном листе.
Лицо, которое получает личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.
Помимо этого, также следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.
Система учета персональных данных также может предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи необходимо ведение журнала проверок наличия документов, содержащих персональные данные работника.
Требования к помещению, где хранятся персональные данные
Работодатель обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных работников от неправомерного использования или утраты либо обеспечить принятие таких мер. Это следует из п. 7 ст. 86 ТК РФ, ч. 1 ст. 19 Закона о персональных данных.
В частности, работодатель может предусмотреть в локальном нормативном акте требования к помещениям, в которых находятся носители информации (например, компьютеры с базами данных, документы на бумажных носителях), содержащие персональные данные работников.
Обращаем внимание, что Закон о персональных данных и Трудовой кодекс РФ не устанавливают каких-либо требований к упомянутым помещениям. Представляется, что работодатель может определить особый режим доступа в них, требования к оборудованию, установить перечень лиц, имеющих право доступа в данные помещения. Такие выводы следуют из анализа ч. 1, 2 ст. 19 Закона о персональных данных, ч. 1 ст. 8, абз. 7 ч. 1 ст. 22, ст. 87 ТК РФ.
Исходя из п. 21 Методических рекомендаций по ведению воинского учета в организациях (утв. Генштабом Вооруженных Сил РФ 11.04.2008) документы воинского учета, содержащие персональные данные работников, рекомендуем хранить в железных шкафах в специально оборудованных помещениях.
Защита персональных данных
Защита персональных данных представляет собой регламентированный технологический процесс, предупреждающий нарушение установленного порядка доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивающий безопасность информации в процессе управленческой и производственной деятельности компании.
Для обеспечения внешней защиты персональных данных работников работодатель должен принять следующие меры:
Установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;
Установить особый порядок выдачи пропусков и удостоверений работников;
Использовать технические средства охраны;
Использовать программно-технический комплекс защиты информации на электронных носителях и пр.
Для обеспечения внутренней защиты персональных данных работников работодатель должен предпринять следующее:
Ограничить и регламентировать состав работников, функциональные обязанности которых требуют доступа к персональным данным других работников;
Избирательно и обоснованно распределить документы и информацию, содержащую персональные данные, между лицами, уполномоченными на работу с такими данными;
Рационально размещать рабочие места для исключения бесконтрольного использования защищаемой информации;
Регулярно проверять знание работниками, имеющими отношение к работе с персональными данными, требований нормативно-методических документов по защите таких данных;
Создавать необходимые условия для работы с документами и базами данных, содержащими персональные данные работников;
Определять состав работников, имеющих право доступа (входа) в помещения, в которых хранятся персональные данные;
Организовать порядок уничтожения информации;
Своевременно выявлять и устранять нарушения установленных требований по защите персональных данных работников;
Проводить профилактическую работу с должностными лицами, имеющими доступ к персональным данным работников, по предупреждению разглашения таких сведений.
Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных"Изменения за последний месяц""Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
""1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
""2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
""3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.
""4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
""5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
""7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.
""6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
""7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
""8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
КонсультантПлюс, 05.10.2012
ПУТЕВОДИТЕЛЬ ПО КАДРОВЫМ ВОПРОСАМ
ПЕРСОНАЛЬНЫЕ ДАННЫЕ РАБОТНИКОВ
Персональные данные >>>
Получение персональных данных >>>
Обработка персональных данных >>>
Хранение и использование персональных данных >>>
Передача персональных данных >>>
Ответственность за нарушение норм, регулирующих защиту персональных данных >>>
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
1. Понятие персональных данных >>>
2. Документы, содержащие персональные данные >>>
3. Право работников на защиту своих персональных данных >>>
1. Понятие персональных данных
В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) персональными данными является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Согласно ст. 85 ТК РФ под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. В Трудовом кодексе РФ не уточняется, какая именно информация о работнике требуется работодателю. Исходя из этого можно сделать вывод, что работодатель имеет право затребовать от работника только ту информацию, которая характеризует последнего именно как сторону трудового договора, а не как личность. Следовательно, работодатель не может требовать от работника предоставления персональных сведений, которые не связаны с осуществлением его трудовой деятельности в конкретной организации.
Однако, исходя из определения персональных данных, которое приведено в Законе о персональных данных, можно сделать вывод, что персональные данные - это любая информация, которая позволяет идентифицировать конкретного человека.
Таким образом, для определения состава персональных данных, необходимых работодателю в рамках трудовых отношений, рекомендуется руководствоваться формулировкой, приведенной в Трудовом кодексе РФ.
Персональные данные могут содержать следующую информацию:
Фамилия, имя, отчество;
Пол, возраст;
Физиологические особенности человека;
Образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
Состояние здоровья и сексуальная ориентация;
Принадлежность лица к конкретной нации, этнической группе, расе;
Место жительства;
Привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
Семейное положение, наличие детей, родственные связи;
Факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
Религиозные и политические убеждения (принадлежность к религиозной конфессии, членство в политической партии, участие в общественных объединениях, в т.ч. в профсоюзе, и др.);
Финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);
Деловые и иные личные качества, которые носят оценочный характер;
Прочие сведения, которые могут идентифицировать человека.
Из указанного списка работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора. Подробнее об этом см. п. 2 настоящего материала.
Ситуация из практики.
Относится ли фотография работника к персональным данным?
В действующем законодательстве прямо не установлено, что фотография относится к персональным данным. Однако работодатель не может использовать фотографию работника без его согласия.
Исходя из определения персональных данных, которое дано в Законе о персональных данных, нельзя однозначно сказать, является ли фотография сама по себе персональными данными. Как следует из смысла Закона, под персональными данными понимается информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). В этом Законе фотография прямо не указана как объект, на основании которого можно идентифицировать человека (п. 1 ст. 3 Закона о персональных данных). Следовательно, отнести ее к персональным данным, вероятнее всего, нельзя.
Тем не менее согласно ст. 152.1 ГК РФ обнародование и дальнейшее использование изображения гражданина допускаются только с его согласия. Соответственно, использование фотографии человека (в т.ч. работника) без его согласия не допускается.
2. Документы, содержащие персональные данные
В процессе трудовой деятельности работника работодатель копит и хранит документы, содержащие персональные данные работника. Исходя из определения персональных данных, которое дано в ст. 85 ТК РФ и в ст. 3 Закона о персональных данных, такие сведения могут содержаться в следующих документах:
Анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу. В этих документах содержатся анкетные и биографические данные работника;
Копия документа, удостоверяющего личность работника. Здесь указываются фамилия, имя, отчество, дата рождения, адрес регистрации, семейное положение, состав семьи работника, а также реквизиты этого документа;
Личная карточка N Т-2. В ней указываются фамилия, имя, отчество работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность, и пр.;
Трудовая книжка или ее копия. Содержит сведения о трудовом стаже, предыдущих местах работы;
Копии свидетельств о заключении брака, рождении детей. Такие документы содержат сведения о составе семьи, которые могут понадобиться работодателю для предоставления работнику определенных льгот, предусмотренных трудовым и налоговым законодательством;
Документы воинского учета. Содержат информацию об отношении работника к воинской обязанности и необходимы работодателю для осуществления в организации воинского учета работников;
Справка о доходах с предыдущего места работы. Нужна работодателю для предоставления работнику определенных льгот и компенсаций в соответствии с налоговым законодательством;
Документы об образовании. Подтверждают квалификацию работника, обосновывают занятие определенной должности;
Документы обязательного пенсионного страхования. Нужны работодателю для уплаты за работника соответствующих взносов;
Трудовой договор. В нем содержатся сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника;
Подлинники и копии приказов по личному составу. В них содержится информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника;
При необходимости - иные документы, содержащие персональные данные работников.
Кроме того, работодатель в процессе своей деятельности собирает информацию о соискателях, необходимую для принятия решения о вступлении с ними в трудовые отношения. Если эта информация содержит персональные данные соискателей, к ней в полной мере относятся установленные законом требования о сборе, обработке, хранении, защите персональных данных.
3. Право работников на защиту своих персональных данных
В соответствии с ч. 1 ст. 89 ТК РФ работники имеют право на полную информацию об их персональных данных и обработке этих данных. Соответственно, работодатель обязан ознакомить их с такой информацией.
Согласно п. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Следовательно, конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах, определяющих порядок обработки и защиты персональных данных работника. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным. Подробнее об этом см. раздел "Хранение и использование персональных данных" настоящего материала.
Также работники, согласно ст. 89 ТК РФ, имеют право на свободный бесплатный доступ к своим персональным данным, в т.ч. на получение копии любой записи, содержащей такие данные.
Учитывая требования ст. 62 ТК РФ, по письменному заявлению работника работодатель обязан не позднее трех рабочих дней со дня получения от работника заявления выдать ему копии документов, связанных с работой (приказа о приеме на работу, приказов о переводах на другую работу, приказа об увольнении с работы, выписки из трудовой книжки, справок о заработной плате, о начисленных и фактически уплаченных пенсионных взносах, о периоде работы у данного работодателя и др.). Данные копии заверяются надлежащим образом и предоставляются работнику безвозмездно.
Работник также может определить представителя для защиты своих персональных данных. Традиционно представителями работников являются профсоюзы, однако для указанных целей работник может определить иное лицо (физическое либо юридическое), а также защищать права самостоятельно.
Также работникам предоставляется право доступа к персональным данным, относящимся к медицинским данным, с помощью медицинского специалиста по их выбору.
Работники имеют право требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями требований Трудового кодекса РФ или иного федерального закона. В случае отказа работодателя исключить или исправить персональные данные работника последний имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения (ст. 89 ТК РФ).
В соответствии со ст. 89 ТК РФ по требованию работника работодатель обязан известить всех лиц, которым ранее были сообщены неверные или неполные персональные данные этого работника, обо всех произведенных в них исключениях, исправлениях или дополнениях. Работники имеют право обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.
Важно!
В соответствии с п. 4 ст. 86 ТК РФ работодатель не имеет права получать и обрабатывать данные работника о его политических, религиозных и иных убеждениях и частной жизни без его письменного согласия, если это не связано с трудовыми отношениями. Неприкосновенность частной жизни гарантирована ст. 23 Конституции РФ, и согласно ст. 24 Конституции сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Получение персональных данных от работника >>>
2. Получение персональных данных работника от третьих лиц. Согласие работника на получение работодателем персональных данных от третьих лиц >>>
1. Получение персональных данных от работника
В соответствии с п. 3 ст. 86 ТК РФ все персональные данные работника следует получать у него лично. Если такие данные возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению данных и последствиях отказа работника дать письменное согласие на их получение.
Данная норма исключает сбор сведений о работнике без его ведома. В соответствии с п. 1 ст. 9 Закона о персональных данных субъект персональных данных принимает решение о предоставлении своих данных и дает согласие на их обработку своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Указанный Закон также возлагает на работодателя обязанность представить доказательство получения согласия на обработку персональных данных, а в случае обработки общедоступных данных - обязанность доказать, что эти данные являлись общедоступными (п. 3 ст. 9 Закона о персональных данных). Однако следует учитывать, что в силу п. 5 ч. 1 ст. 6 Закона о персональных данных согласия субъекта персональных данных не требуется, когда обработка таких данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. Поскольку работник является стороной трудового договора, то письменное согласие на получение его персональных данных не нужно.
2. Получение персональных данных работника от третьих лиц. Согласие работника на получение работодателем персональных данных от третьих лиц
Согласно п. 3 ст. 86 ТК РФ если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере таких данных и последствиях отказа работника дать письменное согласие на их получение. При отказе работника от ознакомления с уведомлением о предполагаемом получении его персональных данных у иного лица составляется акт, который должен быть подписан лицами, предъявившими работнику соответствующее уведомление.
В уведомлении необходимо указать цели получения персональных данных работника у иного лица, предполагаемые источники информации (лица, у которых будут запрашиваться данные), способы получения данных, их характер, а также те последствия, которые наступят, если работник откажет работодателю в получении персональных данных у иного лица.
Целями получения персональных данных работника у третьего лица в соответствии с п. 1 ст. 86 ТК РФ являются исключительно соблюдение законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение их личной безопасности, контроля количества и качества выполняемой работы и сохранности имущества. Следовательно, запрашивать иную информацию, не имеющую отношения к вышеназванным целям, от третьих лиц работодатель не вправе даже с согласия работника.
См. образец заполнения уведомления.
См. образец заполнения согласия.
Ситуация из практики.
Может ли работодатель передавать персональные данные своих бывших работников новым работодателям по их запросам?
Такие действия можно совершать только при наличии письменного согласия работника.
Из содержания п. 3 ст. 86 ТК РФ следует, что запрашивать информацию у третьей стороны, в том числе и у предыдущего работодателя, нынешний работодатель может только с согласия работника и только если данную информацию нельзя получить у самого работника. Иными словами, потенциальный работодатель вправе запросить информацию при наличии согласия работника, а прежний работодатель вправе ее передать с тем же условием.
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Требования к обработке персональных данных >>>
2. Условия обработки персональных данных >>>
3. Обработка персональных данных без использования средств автоматизации >>>
4. Обработка персональных данных с использованием средств автоматизации >>>
1. Требования к обработке персональных данных
В соответствии со ст. 3 Закона о персональных данных обработка персональных данных - это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Согласно ст. 5 Закона о персональных данных при обработке персональных данных должны соблюдаться следующие принципы:
1) обработка должна осуществляться на законной и справедливой основе;
2) обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных;
3) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
4) обработке подлежат только те персональные данные, которые отвечают целям обработки;
6) при обработке должны быть обеспечены точность и достаточность персональных данных, а в необходимых случаях - актуальность по отношению к целям обработки. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
7) форма хранения персональных данных должна позволять определять субъекта этих данных. Хранение не должно длиться дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Следует также учитывать положения ст. 86 ТК РФ, в соответствии с которой обработка персональных данных работника может осуществляться исключительно в целях соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения их личной безопасности, контроля количества и качества выполняемой работы и сохранности имущества.
