Узнаем некоторые особенности получения согласия на обработку персональных данных.

Если закон устанавливает обязанность получить согласие субъекта ПД на их обработку, оператор не имеет права принуждать этого субъекта к подписанию соответствующего соглашения. Гражданин принимает решение о предоставлении его ПД и дает согласие на их обработку свободно, своей волей и в своем интересе (п. 1 ст. 9 Закона о персональных данных).

Если субъект ПД недееспособен, согласие на обработку дает его законный представитель (например, если субъект – ребенок, его представляет один из родителей). Если субъект ПД мертв, согласие необходимо получить у его наследников (при условии, что это согласие не было дано субъектом ПД при жизни) .

Роскомнадзор в Разъяснениях указывает, что работодатель вправе обрабатывать персональные данные работника без получения соответствующего согласия в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка (являющимися обычно приложением к коллективному договору), соглашением, а также локальными актами.

А вот при привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан получить согласие работников на передачу их персональных данных.

Пунктом 2 ст. 9 Закона о персональных данных предусмотрена возможность субъекта ПД отозвать свое согласие на их обработку. Там же оговаривается возможность такой обработки без согласия субъекта ПД в случаях, установленных законом.

Форма согласия на обработку ПД

Согласие на обработку ПД может быть дано субъектом ПД или его представителем в любой форме, позволяющей подтвердить факт его получения (если иное не установлено федеральным законодательством (п. 1 ст. 9 Закона о персональных данных).

Роскомнадзор в Разъяснениях рекомендует согласие работника либо оформлять в виде отдельного документа, либо закреплять в тексте трудового договора. Требования к содержанию такого документа указаны в ч. 4 ст. 9 Закона о персональных данных.

Согласие в письменной форме должно включать в себя , в частности:

1) фамилию, имя, отчество, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПД);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПД;

4) цель обработки персональных данных;

5) перечень ПД, на обработку которых дается согласие субъекта ПД;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки;

8) срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Если согласие на обработку ПД составляется в форме электронного документа , оно должно быть подписано электронной подписью – таково требование п. 4 ст. 9 Закона о персональных данных.

Некоторые вопросы получения согласия субъекта ПД на их обработку

Что нужно учитывать, когда условие об обработке ПД является частью документа, например, договора?

Когда условие об обработке ПД является неотъемлемой частью подписываемого документа:

1. Содержание согласия должно быть конкретным и информированным , то есть включать сведения, позволяющие субъекту ПД однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных. Законом о персональных данных установлены требования к форме такого согласия (которые разберем ниже).

2. Документ должен предусматривать возможность отказа от данного условия, поскольку согласие добровольное.

Возьмем в качестве примера Постановление Девятого арбитражного апелляционного суда от 20.04.2015 № 09АП-9095/2015-АК. Гарантийная мастерская вынудила клиента подписать приложение к заявлению о сдаче товара, включающее пункт о согласии на обработку персональных данных. Согласие было неотъемлемой частью приложения, имело типовую форму с заранее определенными условиями, что не позволяло потребителю влиять на его содержание. Кроме того, приложение не предоставляло возможности отказаться от этого условия. Суд признал ремонтную организацию виновной в нарушении Закона о персональных данных.

Получатель жилищной субсидии не дает согласия на обработку персональных данных по религиозным соображениям. Имеет ли он право на получение госуслуги?

Когда обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Законом о госуслугах , для обеспечения предоставления такой услуги, для регистрации субъекта ПД на едином портале государственных и муниципальных услуг, согласие субъекта ПД на обработку указанной информации не требуется.

Статьей 6 Закона о персональных данных определены условия обработки персональных данных, в том числе указаны случаи, когда допускается обработка ПД без согласия на это субъекта ПД, среди которых и получение госуслуги. Из буквального толкования названной нормы следует, что каждый из таких случаев является самостоятельным основанием обработки персональных данных .

Получатель госуслуги в заявлении на ее получение выражает согласие на передачу и обработку своих персональных данных, необходимых для предоставления услуги.

Обращаясь с заявлением о предоставлении жилищной субсидии и указывая в нем необходимые данные, а также прилагая к нему предусмотренные законодательством документы, получатель госуслуг фактически выражает согласие на передачу и обработку своих персональных данных, требуемых для предоставления услуги.

Ни Законом о персональных данных, ни Законом о госуслугах не установлено, что обработка персональных данных гражданина в целях предоставления ему государственных или муниципальных услуг должна осуществляться только с его письменного согласия. Гражданин имеет право получать госуслуги даже без предоставления письменного заявления на обработку своих персональных данных.

Рассмотрим Апелляционное определение Костромского областного суда от 16.05.2012 по делу № 33-703А. При подаче документов в МФЦ гражданка не стала подписывать заявление о согласии на сбор ее персональных данных, в связи с чем ей было отказано в выплате субсидии. Суд первой инстанции признал действия сотрудников МФЦ правильными, поскольку обработка персональных данных заявителя сотрудниками МФЦ может осуществляться только с письменного согласия. Нежелание дать такое согласие – основание для отказа в приеме заявления и комплекта документов на предоставление государственных и муниципальных услуг.

Вывод суда о том, что МФЦ как оператор персональных данных обязан обеспечить их защиту, соответствовал нормам Закона о персональных данных и Закона о госуслугах. Вместе с тем последующие выводы о невозможности обработки персональных данных без письменного согласия получателя госуслуг и обоснованности отклонения документов на предоставление субсидии апелляционный суд признал ошибочными, поскольку заявление о предоставлении госуслуги с приложенными к нему документами получатель не отзывал, от предоставления услуги не отказывался. А отзыв заявления о согласии на обработку персональных данных, получение которого в силу закона необязательно, не являлся основанием для невозможности предоставления госуслуги. Тем более что у оператора были основания продолжить обработку персональных данных без согласия субъекта ПД.

Субъект ПД уклоняется от исполнения договора (не платит по счетам) и не хочет, чтобы кредитор беспокоил его звонками. Может ли субъект отозвать согласие на обработку своих персональных данных?

Обработка персональных данных может быть продолжена даже после того, как субъект ПД направил требование о ее прекращении, если правоотношения, возникшие между сторонами, продолжаются.

Рассмотрим в качестве примера Апелляционное определение Пермского краевого суда от 14.10.2015 по делу № 33-11127/2015. При заключении кредитного договора гражданин дал согласие на обработку ПД, а впоследствии обратился с заявлением об отзыве этого согласия. Банк отказался исполнить требования клиента, поскольку у него имелась просроченная задолженность. Суд первой инстанции, а затем и апелляционный суд, куда обратился должник, указали, что согласие на обработку персональных данных действительно может быть отозвано субъектом персональных данных (п. 2 ст. 9 Закона о персональных данных). Однако в случае отзыва субъектом ПД согласия на обработку оператор все равно может ее продолжить при наличии на то законных оснований.

Одно из таких оснований установлено п. 5 ч. 1 ст. 6 Закона о персональных данных: обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет выгодоприобретателем или поручителем.

Субъект ПД отозвал согласие на их обработку. Но оператор может ее продолжить при наличии на то законных оснований, например, если это необходимо для исполнения договора с субъектом ПД.

Как следует из содержания данной нормы закона, согласие субъекта ПД на обработку персональных данных не требуется, если она осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД. Поскольку субъект ПД задолженность перед банком не погасил – договор не расторгнут , для взыскания недостающих сумм кредитная организация вправе продолжать обработку ПД и после отзыва субъектом ПД своего согласия.

Случается и другое – оператор обрабатывает персональные данные лица, не участвующего в договоре , которые предоставлены другой стороной при заключении сделки. Например, получатель кредита указывает телефоны своих близких родственников, по которым можно с ним связаться. Оператор может получить такие данные иным путем, если другая сторона не выполняет обязательства по договору. Но следует помнить, что в рассматриваемом случае обработка полученных оператором персональных данных незаконна, несмотря на то, что это могло бы помочь исполнению договора.

Объект ПД, не давший своего согласия на обработку ПД и не являющийся стороной договора, имеет право потребовать прекратить незаконно использовать полученные сведения , а также компенсировать моральный и материальный вред, полученный в результате указанных действий. Рассмотрим Апелляционное определение Верховного Суда Республики Карелия от 14.09.2015 по делу № 33-3094/2015. При заключении договора по просьбе сотрудника банка клиент предоставил телефон своей супруги. После несвоевременного внесения очередной суммы обязательного платежа сотрудники банка стали звонить женщине с требованием посодействовать в возвращении долга. В первом же разговоре жена должника сообщила, что не согласна на использование ее персональных данных, и просила прекратить их обработку. Однако звонки с угрозами и требованиями продолжали поступать. Суд, куда обратилась истица, признал действия банка незаконными, потребовал прекратить обработку персональных данных и выплатить женщине компенсацию морального вреда, поскольку ст. 17, 24 Закона о персональных данных предусмотрено право субъекта ПД на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Вправе ли прокурор потребовать от медучреждения предоставить персональные данные пациентов, больных наркоманией, если согласия на такую обработку ПД эти пациенты не давали?

Прокурор или иное должностное лицо имеет право на получение персональных данных в том числе пациентов больницы, если обработка данных необходима для осуществления и выполнения возложенных на него законодательством РФ функций, полномочий и обязанностей.

В качестве примера рассмотрим Апелляционное определение Челябинского областного суда от 17.07.2014 по делу № 11-6845/2014. Районный прокурор в интересах неустановленного круга лиц через суд лишил водителя права на управление транспортным средством. Причиной послужило наличие у гражданина заболевания, запрещающего вождение автомобиля. Информация была получена прокурором посредством предоставления выписки из истории болезни.

Водитель решил, что его персональные данные были обработаны без согласия, и обратился в суд, указав, что не давал согласия на обработку ПД во время лечения от алкоголизма в районной больнице. Суд счел правильными действия прокурора, а также действия администрации больницы, предоставившей должностному лицу выписку из истории болезни пациента. Суд установил, что администрация больницы предоставила список лиц, состоящих на диспансерном учете с диагнозом «наркомания» районному прокурору по его требованию.

Должностное лицо вправе получить персональные данные, если это необходимо для осуществления и выполнения возложенных на него функций, полномочий и обязанностей.

В силу толкования ст. 1, 21, 22 Закона о прокуратуре прокурор при осуществлении возложенных на него функций вправе в том числе требовать от руководителей организаций и других должностных лиц представления необходимых для выяснения возникших вопросов сведений.

В соответствии с п. 2 ч. 1 ст. 6 Закона о персональных данных обработка ПД допускается для достижения целей, указанных в законе, для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей. Таким образом, Закон о персональных данных, которым предусмотрена обработка персональных данных с согласия их носителя, не препятствует удовлетворению запроса прокурора на истребование сведений в отношении лиц, состоящих на учете в медучреждениях с диагнозами, не позволяющими иметь разрешение на управление транспортными средствами.

Имеет ли право медучреждение заключить договор с ритуальным агентством на предмет перевозки умерших? Не будет ли это расценено как нарушение врачебной тайны и незаконная передача персональных данных?

Если доказательств получения ритуальным агентством в качестве встречного обязательства информации о родственниках умершего суду не будет представлено, то есть если будет доказано, что договор с медучреждением заключен без обязательной передачи персональных данных, действия участников договора будут признаны правомерными.

Рассмотрим в качестве примера Постановление ФАС УО от 26.03.2013 № Ф09-1909/13. Между ритуальным агентством и муниципальной больницей был заключен договор на оказание безвозмездных услуг по обеспечению перевозок умерших в морг специализированным транспортом. ФАС посчитала, что данный договор противоречит п. 5 ч. 1 ст. 14 Закона о защите конкуренции , что выражается в совершении действий, направленных на незаконное получение и использование информации (персональных данных), и вынесла постановление о прекращении нарушения. По мнению антимонопольного органа, ритуальное агентство оказывало услуги в обмен на контакты родственников умершего.

Факт незаконной передачи персональных данных третьему лицу может быть установлен только при наличии соответствующих доказательств.

Кроме того, обработка персональных данных не допускается без согласия субъекта ПД, а в случае его смерти – без согласия его наследников (п. 1 ст. 6, п. 7 ст. 9 Закона о персональных данных). Также в силу ст. 7 Закона о персональных данных операторы и иные лица, получившие доступ к указанной информации, обязаны не раскрывать третьим лицам и не распространять персональные данные без соответствующего согласия.

Еще один запрет на передачу информации третьим лицам (в нашем случае – ритуальному агентству) содержат п. 1, 2 ст. 13 Закона о здоровье, не допускающие разглашение врачебной тайны (сведений о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иных сведений, полученных при медицинском обследовании и лечении) в том числе после смерти человека. Таким образом, по мнению антимонопольного органа, передавать информацию об умерших ритуальному агентству больница не имела права.

Однако суды указали, что из текста заключенного договора не следует, что ритуальное агентство в качестве встречного предоставления получило от больницы информацию об умерших. В договоре также не указано, что перевозчик получает какие-либо документы, содержащие персональные данные умерших. При этом антимонопольный орган не установил, каким способом осуществляется документооборот в больнице. Соответственно, доказательств, подтверждающих передачу от больницы ритуальному агентству персональных данных в период исполнения договора, антимонопольный орган предоставить не смог – суд первой инстанции, а впоследствии и апелляционный суд посчитали действия ФАС незаконными.

Итак, обратите внимание, что именно оператор – то есть организация или лицо, обрабатывающие персональные данные (производящие с ними любые действия), – обязан доказать, что согласие субъекта ПД на их обработку получено или что обработка данных возможна на основаниях, установленных законом .

В силу п. 2 ст. 24 Закона о персональных данных моральный вред, причиненный субъекту ПД вследствие нарушения его прав, правил обработки персональных данных подлежит возмещению в соответствии с законодательством РФ. Причем возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПД убытков.

См. статью С. П. Фролова «Какие персональные данные можно обрабатывать?», № 3, 2016.

Статья 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).

Пункты 6, 7 Закона о персональных данных.

Письмо Роскомнадзора от 24.12.2012 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» опубликовано на официальном сайте www.rsoc.ru.

Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг».

Федеральный закон от 17.01.1992 № 2202-1 «О прокуратуре Российской Федерации».

Федеральный закон от 26.07.2006 № 135-ФЗ «О защите конкуренции».

Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

Пункт 3 ст. 9 Закона о персональных данных.

Ответим на вопрос, что относится к персональным данным работника организации. Согласно ст. 3 , персональные данные работника это любые сведения о нем.

Иногда при приеме на работу нового сотрудника кадровики снимают ксерокопии с предоставленных документов и вкладывают их в его личное дело. По мнению Роскомнадзора, это не допускается.

Судебная практика

При проведении проверки соблюдения требований законодательства о защите персональных данных контролирующий орган счел незаконным хранение в личных делах сотрудников ксерокопий их паспортов. Организация обратилась в Арбитражный суд с заявлением о признании незаконным данного предписания Роскомнадзора.

Судом в удовлетворении заявленного требования было отказано. По мнению суда, хранение организацией копий паспортов сотрудников является избыточным, законом не предусмотрено, нарушает права граждан и превышает объем персональных данных работников, предусмотренный ст. 86 ТК РФ . (Постановление ФАС Северо-Кавказского округа от 11.03.2014 № Ф08-480/14 по делу № А53-10287/2013)

Образец заявления на обработку персональных данных работника

В соответствии с п. 1 ст. 6 закона от 27.07.2006 № 152-ФЗ «О персональных данных» обработка фирмой-работодателем таких данных может производиться только при соблюдении ряда условий. В числе таковых — согласие субъекта персональных данных на передачу сведений о себе в обработку (подп. 1 п. 1 ст. 6 закона № 152-ФЗ). Оно оформляется в виде согласия на обработку персональных данных. Кроме того, гражданин может дать согласие оператору на предоставление его сведений третьим лицам.

Физическое лицо вправе отозвать свое согласие, для этого составляется заявление об отзыве.

В соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным , срок хранения персональных данных работника составляет 75 лет.

Обработка персональных данных

В организации необходимо разработать и утвердить локальный нормативный акт, устанавливающий порядок обработки информации о работниках. Каждый сотрудник должен быть ознакомлен с этим документом под роспись.

Судебная практика

Прокурор обратился в суд с иском о понуждении организации к разработке и принятию локального правового акта, устанавливающего порядок хранения и использования персональных данных работников. Свои требования мотивировал тем, что в ходе проверки исполнения законодательства, регламентирующего сбор, хранение, использование или распространение персональных данных, было установлено, что в нарушение требований трудового законодательства порядок хранения и использования персональных данных работников в организации не разработан. Полагал, что отсутствие данного локальный нормативного акта может привести к неправомерному доступу к персональным данным не уполномоченных на то лиц.

Решением суда требование прокурора было удовлетворено. Суд обязал организацию разработать и принять локальный правовой акт, устанавливающий порядок хранения и использования персональных данных работников в течение 30 дней с момента вступления решения суда в законную силу.

Передача персональных данных работника другому лицу допускается только с согласия этого работника, за исключением случаев, установленных законом. Так, например, работодатель вправе передавать сведения о работнике по официальным запросам суда, прокуратуры, органов следствия и дознания.

Обратите внимание, что сообщать какую-либо информацию о сотруднике по телефону недопустимо.

Судебная практика

Д. обратился в суд с иском о признании незаконным передачи работодателем его персональных данных другому лицу, взыскании морального вреда.

В судебном заседании было установлено, что организация, в которой работал Д., заключила договор с банком для реализации зарплатного проекта. Для выпуска пластиковых карт банку были переданы заполненные и подписанные работниками анкеты-заявления с их личными данными. Анкета-заявление Д. им подписана не была, согласие на передачу своих персональных данных он не давал.

Исковые требования судом были удовлетворены, несмотря на то, что полученной пластиковой карточкой Д. активно пользовался.

Когда за разглашение информации могут уволить

Уволить за разглашение информации можно только тех сотрудников, которым такие сведения стали известны в связи с исполнением ими трудовых обязанностей. Об этом прямо указано в п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ . К таким сотрудникам относятся руководители организаций, работники кадровых служб, бухгалтерии и иные лица, чья работа непосредственно связана с обработкой персональных данных. Однако если работник узнал данные случайно (например, из-за халатности сотрудника, ответственного за сохранность информации) и в его должностные обязанности не входит работа с личными сведениями, увольнение по данному основанию будет являться незаконным.

Увольнение по этому основанию является мерой дисциплинарного воздействия, поэтому при его осуществлении следует соблюдать порядок наложения дисциплинарного взыскания, предусмотренный ст.193 ТК РФ .

В случае оспаривания работником увольнения по п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ работодатель обязан представить доказательства, свидетельствующие о том, что сведения, которые трудящийся разгласил, относятся к личным данным другого сотрудника, эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей, и он обязывался не разглашать такие сведения (п.43 Постановления Пленума ВС РФ «О применении судами РФ Трудового кодекса РФ»).

Судебная практика

Н. обратился в суд с иском о признании увольнении незаконным, возмещении морального вреда.

В судебном заседании было установлено, что Н. работал электромонтером и был вызван в отдел кадров для устранения порыва телефонного кабеля. Во время починки кабеля он успел прочитать соглашение об увольнении работника М. с выплатой значительной денежной компенсации, которое кадровик оставила без присмотра на своем рабочем столе. На следующий день Н. обратился к директору, заявив, что он тоже хочет уволиться по соглашению сторон с такой же денежной компенсацией. А получив отказ, обиделся и стал рассказывать об этой ситуации другим работникам. В результате приказом директора Н. был уволен по п.п. «в» п. 6 ч. 1 ст. 81 ТК РФ за разглашение персональных данных другого работника.

Решением суда исковые требования Н. были удовлетворены. Суд пришел к выводу, что в трудовые обязанности Н. работа с личными данными других сотрудников не входила, и данные сведения стали ему известны в результате халатности кадровика, который не обеспечил сохранность информации.

Какие документы должен составить индивидуальный предприниматель для защиты персональных данных сотрудников?

Что указывается в положении о персональных данных?

Нужно ли от каждого сотрудника получать согласие на обработку данных?

Информация о физлице, которую бизнесмен получает, принимая сотрудника на работу, относится к персональным данным, а значит, предприниматель должен выполнять требования Федерального закона о персональных данных от 27 июля 2006 г. № 152-ФЗ (далее - Закон № 152-ФЗ), а также помнить о Трудовом кодексе, которым также оговаривается защита персональных данных сотрудника.

Персональные данные в рамках ТК РФ

Информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, относится к персональным данным. Получение, хранение, комбинирование, передача или любое другое использование персональных данных кодекс называет обработкой персональных данных работника (ст. 85 ТК РФ).

Все персональные данные работника следует получать у него самого. Если информацию можно получить только у третьей стороны, то сотрудника следует уведомить об этом заранее и от него следует получить письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение (п. 3 ст. 86 ТК РФ).

Персональные данные работника содержатся в различных документах (таблица). Задача коммерсанта – обеспечить защиту персональных данных работника от недобросовестного их использования кем-либо или утраты (п. 7 ст. 86 ТК РФ). Кроме того, нельзя забывать о требованиях Закона № 152-ФЗ, который также регулирует вопросы хранения и обработки персональных данных. Никаких специальных систем и сейфов коммерсант приобретать не обязан. Трудовой кодекс предоставляет работодателю свободу: «порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего кодекса и иных федеральных законов» (ст. 87 ТК РФ). Необходимо документально оформить правила хранения и защиты персональных данных.

Таблица 1

Документы, в которых содержатся персональные данные работников

№ п/п	Вид документа	Персональные данные сотрудника
	Анкета, другой документ, заполняемый кандидатом на должность при собеседовании	Анкетные, биографические данные физлица
	Копия паспорта или другого документа, удостоверяющего личность	ФИО, дата рождения. Адрес регистрации, семейное положение
	Трудовая книжка	Информация о трудовом стаже, предыдущих местах работы
	Копия страхового свидетельства государственного пенсионного страхования	ФИО, личные данные
	Документы воинского учета	Информация о воинской обязанности
	Документы об образовании, квалификации, наличии специальных знаний	Сведения о квалификации
	Личная карточка (форма № Т-2 утверждена постановлением Госкомстата России от 5 января 2004 г. № 1)	ФИО сотрудника, место его рождения, состав семьи, образование, данные документа, удостоверяющего личность, другие сведения
	Копии свидетельств о заключении брака, рождении детей	Состав семьи, изменения в семейном положении
	Справка о доходах с предыдущего места работы	ФИО, данные о доходе и удержанном НДФЛ
	Трудовой договор	Сведения о должности, зарплате, месте работы, рабочем месте, другие персональные данные
	Приказы по личному составу	Информация о приеме на работу, переводе, увольнении, назначениях, других событиях, связанных с трудовой деятельностью

Положение о персональных данных

В первую очередь коммерсант должен составить внутренний документ, где будут урегулированы вопросы хранения и обработки сведений о сотрудниках – положение о персональных данных работников. Разработать внутренний регламент требует и Закон № 152-ФЗ. Каких-либо требований или унифицированной формы положения нет, исходя из требований законодательства основные разделы, положения приведены в таблице 2.

Положение утверждается приказом коммерсанта. Затем все работники под роспись должны быть ознакомлены с этим документом. Можно сделать отдельный журнал (лист) со списком сотрудников, где каждый напротив свой фамилии поставит подпись и дату. Для работников, которые будут оформляться после утверждения положения, факт ознакомления можно зафиксировать в тексте трудового договора.

Далее следует установить перечень сотрудников, которым будет разрешен доступ к персональным данным. Для этого необходимо составить отдельный приказ, где будет названо лицо, ответственное за сбор, обработку, хранение персональных данных (либо оформить это назначение отдельным приказом), а также лица, имеющие доступ к информации (должности должны быть прописаны в положении о персональных данных) и перечень данных, которыми вправе пользоваться тот или иной специалист. Многие данные хранятся в электронном виде. Доступ к этой информации должен быть ограничен (пароли доступа, другие средства электронной защиты), но это не все – необходимо составить список лиц, имеющих доступ к базам данных. Поэтому придется составить либо еще один приказ, либо указать лиц, имеющих доступ к информации в электронном виде в общем приказе.

Сотрудники, получившие доступ к персональным данным других работников, обязаны не разглашать информацию. Проследить за этим сложно, но обезопасить себя коммерсант сможет, если получит от работника письменное обязательство о неразглашении данных.

Таблица 2

Основные разделы, которые должны содержаться в положении о персональных данных работников

№ п/п	Раздел
	Общие положения	Цель создания документа (защита данных), вопросы, которые регулирует положение (порядок получения, обработки, хранения), ссылки на нормативные документы, на основании которых разработано положение (Конституция, Трудовой кодекс, Закон о защите персональных данных)
	Понятия и состав персональных данных	Все определения, связанные с персональными данными («персональные данные», «обработка персональных данных» и др.) можно взять из статьи 3 Закона № 152-ФЗ, а также статьи 85 ТК РФ.
	Обязанности работодателя	Требования, которые должен соблюдать работодатель, названы в статье 88 ТК РФ, а также статьях 18 – 21 Закона № 152-ФЗ
	Обязанности работника	Отдельной статьи, регулирующий этот вопрос, нет. Но в числе обязанностей работника можно назвать обязанность передавать работодателю документы, содержащие персональные данные, перечень которых установлен трудовым и налоговым законодательством, а также своевременно сообщать работодателю об изменении персональных данных
	Права работника	Права работника перечислены в статье 89 ТК РФ
	Обработка персональных данных	Обработка персональных данных работника – это получение, хранение, комбинирование любое другое использование информации о работнике. Общие требования, которые должны соблюдаться при обработке приводятся в статье 86 ТК РФ, а также в статьях 6 и 9 Закона № 152-ФЗ. Здесь можно указать, что всю информацию работодатель собирает и хранит для трудоустройства и дальнейшего контроля за качеством выполняемой сотрудником работы (или сделать отдельный раздел «Использование персональных данных», где указать цели использования личной информации). Также можно указать сроки хранения документов
	Передача персональных данных	Порядок передачи персональных данных внутри (это актуально для организаций), сторонним лицам, государственным ведомствам. Здесь перечисляются требования, которые должен соблюдать работодатель при передаче данных. В частности, нельзя сообщать сведения без письменного согласия сотрудника. Исключение – случаи, предусмотренные законодательством (представление сведений о доходах в налоговую, отчет в фонды)
	Доступ к персональным данным	Оговаривается круг лиц, имеющих доступ к персональным данным (внутренний и внешний). Перечислить сотрудников, имеющих доступ к персональным данным (индивидуальный предприниматель, бухгалтер, сам работник). Достаточно назвать должности, а конкретных лиц утвердить отдельным приказом, указав, к каким именно сведениям тот или иной работник имеет право доступа. Далее следует назвать лиц внешнего доступа, то есть, кому могут быть предоставлены сведения: государственные и негосударственные функциональные структуры (налоговые инспекции, фонды, правоохранительные органы, страховые агентства, подразделения муниципальных органов управления и др.), другие организации (в случае запроса о работающем или уволенном сотруднике, сведения предоставляются с письменного согласия работника; можно еще указать необходимость письменного запроса от организации), родственники и члены семьи (сведения могут быть предоставлены родственникам или членам семьи только с письменного разрешения самого работника)
	Защита персональных данных	Основные действия работодателя для обеспечения защиты и сохранности сведений: лица, осуществляющие оформление, ведение, хранение информации (только ИП, ИП и бухгалтер, сотрудники отдела кадров); форма хранения (в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа); хранение сведений в электронном виде (персональные компьютеры, защищенные паролем доступа); лица, которые вправе отвечать на письменные запросы о предоставлении информации (только лица, осуществляющие оформление и хранение, либо лица, имеющие доступ в пределах предоставленных полномочий); возможность передачи информации по телефону, факсу, электронной почте (обязательно письменное согласие работника)
	Ответственность за нарушение норм, регулирующих обработку и защиту персональной информации	Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (ст. 90 ТК РФ)

Согласие работника

Обработка персональных данных осуществляется с согласия субъекта персональных данных, то есть физлица (подп. 1 п. 1 ст. 6 Закона № 152-ФЗ). Но существуют случаи, когда согласие не нужно, в частности, когда обработка осуществляется для выполнения обязанностей, возложенных на оператора (работодателя) законодательством (подп. 2 п. 1 ст. 6 Закона № 152-ФЗ). Коммерсант как работодатель обрабатывает персональные данные сотрудника для выполнения своих обязанностей, как стороны трудового договора, а именно составление отчетности, представление сведений о доходах, удержание и перечисление налога, то есть выполняет требования закона. Тем не менее, многие работодатели перестраховываются и запрашивают согласие у всех сотрудников, поскольку формулировки Закона № 152-ФЗ нечеткие, а в Трудовом кодексе эта ситуация не оговаривается.

Кроме того, если предполагается какое-либо иное использование персональных данных, выходящее за рамки Трудового кодекса, скажем, размещение информации о сотруднике на стенде или интернет-сайте, использование фамилии сотрудника в его электронном адресе, оформление визитных карточек сотруднику, то согласие лучше получить. Отметим: в согласии работника обязательно должны указываться ФИО и адрес сотрудника и предпринимателя, реквизиты паспорта работника, цель обработки данных (кадровый учет, отчетность); перечень данных, на обработку которых дается согласие; перечень действий с персональными данными, на совершение которых дается согласие; срок действия согласия, способ отзыва, подпись работника (ст. 9 Закона № 152-ФЗ).

Нужно ли согласие работника, если коммерсант самостоятельно не составляет отчетность, а привлекает сторонних специалистов? Однозначного ответа на данный вопрос нет, разъяснений ведомств тоже. Отдельные налоговые представители требуют предоставить согласие каждого сотрудника и даже предлагают собственный бланк заявления. Конечно, документ лишним не будет и обезопасит от возможных претензий контролеров. Поэтому, если работников немного, согласие лучше получить от каждого. В этом случае в заявлении помимо прочего указывается лицо (нанимаемый специалист, фирма), кому будут предоставляться персональные данные. С другой стороны налоговый агент становится представителем работодателя и, представляя отчетность, действует от его имени, то есть в рамках трудового законодательства. Что касается сохранности сведений, в договоре с привлекаемыми специалистами всегда присутствует пункт о конфиденциальности. Условие о неразглашении сведений можно предусмотреть в трудовых договорах с сотрудниками, которые будут иметь доступ к персональным данным.

Образец

Согласие работника на обработку персональных данных

ИП Смирнову А. С. от менеджера Киселевой Е. Н. Заявление на обработку персональных данных Я, Киселева Елена Николаевна зарегистрированный (ая) по адресу:__г. Москва, ул. Смольная, д. 7, кв. 15 паспорт серия _45 04 _ № _123456 _, выдан _ОВД «Левобережный» г. Москвы 15.04.2002 даю согласие __ Индивидуальному предпринимателю Смирнову Антону Сергеевичу адрес: ___г. Москва ул. Полярная, д. 25, кв. 75 на автоматизированную, а также без использования средств автоматизации обработку следующих персональных данных: ФИО, паспортные данные, дата рождения, должность, адрес регистрации, ИНН, номер страхового свидетельства государственного пенсионного страхования _______________ в целях соблюдения законодательства, обеспечения личной безопасности, контроля выполняемой работы, обеспечения сохранности имущества. Перечень действий с персональными данными: Формирования кадровых документов и выполнения требований Трудового кодекса; Начисления заработной платы, исчисления и уплаты предусмотренных законодательством налогов, сборов и взносов на обязательное социальное страхование; Представления установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ; Размещения моих фотографий, фамилии, имени, отчества на интернет-сайте. Данное согласие действительно с __ 1 декабря 2011 года до даты расторжения трудового договора Согласие может быть полностью или частично отозвано субъектом персональных данных на основании его заявления Подпись Киселева

Н.А. Мацепуро, юрист

Оформляем документы для защиты личных данных работников

С июля этого года Закон о персональных данныхФедеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ) действует в новой редакциист. 3 Федерального закона от 25.07.2011 № 261-ФЗ . Многие поправки затронули обязанности операторов по обработке персональных данных, коими, напомним, являются все компании и предприниматели, если у них есть работникип. 2 ст. 3 Закона № 152-ФЗ . Поэтому далее о таких обязанностях и поговорим. В частности, о том, как в свете последних поправок работодатели должны оформлять основные документы в сфере защиты персональных данных (ПД) своих работников. Ведь решение этого вопроса руководитель часто вешает на главного бухгалтера, считая его универсальным специалистом.

Положение о персональных данных

Любой работодатель должен закрепить на бумаге свою политику в области обработки и защиты ПД работниковп. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ ; п. 8 ст. 86 , статьи 87, 88 ТК РФ . Удобнее это сделать в одном локальном нормативном акте, который должен быть утвержден приказом и может именоваться как угодно, чаще всего - Положением о персональных данных.

Внимание

С Положением о ПД и изменениями к нему (если они вносились) нужно под роспись ознакомить всех работниковч. 1 ст. 18 Закона № 152-ФЗ ; п. 8 ст. 86 , ст. 88 ТК РФ .

Вот что должно содержаться в Положении о ПД:

• перечень обрабатываемых ПДп. 2 ст. 3 Закона № 152-ФЗ . То есть всех тех ПД работников, которые вам необходимы для оформления кадровой документации, составления отчетности в ИФНС, внебюджетные фонды и выполнения иных обязанностей, возложенных на вас законодательством, а также коллективным и трудовыми договорами. К примеру, это паспортные данные работников, сведения об их образовании, семейном положении, воинской обязанности, состоянии здоровья, доходах и т. д.;
• цели обработки ПДп. 2 ст. 3 , ч. 2 ст. 5 Закона № 152-ФЗ . Их можно переписать из Трудового кодексап. 1 ст. 86 ТК РФ ;
• перечень действий с ПДп. 2 ст. 3 Закона № 152-ФЗ . Они перечислены в определении понятия «обработка персональных данных». Например, это сбор ПД, их накопление, уточнение, хранение, удаление и т. п.п. 3 ст. 3 Закона № 152-ФЗ В принципе, работодатели могут предпринимать все из указанных в этом определении действий;

Рассказываем руководителю

За нарушение порядка обработки ПД предусмотрена административная ответственностьст. 13.11 КоАП РФ . Привлекают к ней судьи на основании проверочных материалов органов РоскомнадзораРешение Приморского краевого суда от 04.07.2011 № 7-12-228/11 . Но органы Роскомнадзора по результатам проверок предпочитают выносить предписание об устранении выявленных нарушенийп. 82 Административного регламента проведения проверок... утв. Приказом Роскомнадзора от 01.12.2009 № 630 ; Постановления ФАС МО от 08.09.2011 № А40-129858/10-147-805 ; ФАС ВСО от 12.05.2011 № А33-10809/2010 , от 05.04.2011 № А19-25289/09 , Четвертого ААС от 04.10.2010 № А58-3498/2010 . Если эти нарушения своевременно устранить, то опасаться штрафовст. 19.5 КоАП РФ не стоит. Кроме того, за несоблюдение порядка обработки ПД (как за нарушение трудового законодательствач. 1 ст. 5.27 КоАП РФ ) пытаются штрафовать трудинспекции, но суды с ними не соглашаютсяПостановление Девятого ААС от 14.06.2006 № 09АП-4259/2006-АК .

• права и обязанности работников в сфере обработки ПДп. 8 ст. 86 ТК РФ . Их тоже можно переписать из Закона о ПД и Трудового кодексаст. 14 Закона № 152-ФЗ ; ст. 89 ТК РФ . К примеру, работники имеют право получать доступ к своим ПД и информацию об их обработкеч. 1 ст. 14 , ч. 1 ст. 18 , ч. 1 ст. 20 Закона № 152-ФЗ ;
• порядок обработки ПД, в том числе хранения, использования и передачип. 8 ст. 86 , статьи 87, 88 ТК РФ . Здесь нужно указать:

Общие требования к обработке ПДстатьи 5-7 , ст. 9 Закона № 152-ФЗ ; ст. 86 , ст. 88 ТК РФ . В частности, все ПД работника нужно получать у него самогоп. 3 ст. 86 ТК РФ , обрабатывать их можно лишь в соответствии с целями их сборач. 4 ст. 5 Закона № 152-ФЗ ; п. 1 ст. 86 ТК РФ , нельзя сообщать их третьим лицам без согласия работникаст. 7 Закона № 152-ФЗ ; ст. 88 ТК РФ . Работодатель обязан ознакомить работников с локальными актами, устанавливающими порядок обработки ПДп. 8 ст. 86 ТК РФ , разрешать доступ к ПД только уполномоченным работникамст. 88 ТК РФ ;

Состав и перечень ваших мер по обеспечению защиты ПДст. 18.1 , ст. 19 Закона № 152-ФЗ . Например, перечислите, где хранятся ПД, кто из работников имеет доступ к ним без дополнительного разрешения, как оформляется допуск к ПД иным работникам, какие используются средства защиты информации в компьютерах и т. п.;

• ответственность работников за нарушение требований к обработке и защите ПД. Они могут нести дисциплинарную, материальную, административную и даже уголовную ответственностьст. 90 ТК РФ ; ч. 1 ст. 24 Закона № 152-ФЗ .

Если у вас уже есть Положение и оно составлялось в соответствии с прежней редакцией Закона о ПД, то Положение нужно доработать с учетом последних поправок.

Приказ о назначении ответственного лица

Работодатели (только организации) теперь должны назначать лицо, ответственное за организацию обработки ПДч. 1 ст. 22.1 Закона № 152-ФЗ .

К уровню квалификации ответственного лица никаких требований нет. Поэтому это может быть любой ваш работник.

Для назначения ответственного работника издайте об этом приказ. Например, такой.

Общество с ограниченной ответственностью «Стройцентр»

ПРИКАЗ № 25-к

г. Москва

Во исполнение положений п. 1 ч. 1 ст. 18.1 и ч. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

ПРИКАЗЫВАЮ:
1. Назначить главного бухгалтера Гарипову Г.А. с 04.07.2011 ответственной за организацию обработки персональных данных.
2. Внести изменения в должностную инструкцию Гариповой Г.А. в связи с новым назначением.
3. Установить Гариповой Г.А. ежемесячную доплату на время исполнения функций ответственного за организацию обработки персональных данных в размере 10% от должностного оклада.

С приказом ознакомлена, об ответственности за нарушение порядка обработки и защиты персональных данных работников, в том числе за их разглашение, предупреждена.

Согласие работника на обработку персональных данных

Для обработки ПД работников лишь в целях исполнения трудового договора получать у них согласие не нужно . Например, не понадобится согласие работника на указание его ПД в кадровой документации, на передачу ПД между структурными подразделениями работодателя, при оформлении на него доверенности на представительство.

Предупреждаем руководителя

Работники, считающие, что их ПД обрабатываются с нарушениями , могут пожаловаться в органы Роскомнадзора. Последние обязаны рассмотреть обращение и провести внеплановую проверкуч. 2 ст. 23 , пп. 1, 2 ч. 5 ст. 23 Закона № 152-ФЗ ; пп. 27.4, 27.5 Административного регламента проведения проверок... утв. Приказом Роскомнадзора от 01.12.2009 № 630 . Поэтому во избежание лишней нервотрепки лучше все же иметь основные документы по обработке и защите ПД.

Также согласия не требуется и в случаях:

• сбора ПД у соискателей, так как это делается в целях заключения трудового договора по их инициативеп. 5 ч. 1 ст. 6 Закона № 152-ФЗ ;
• сдачи персонифицированной отчетности в органы ПФР, отчетности по НДФЛ в ИФНС, хранения документов с ПД в течение установленных сроков и в других подобных ситуациях, когда работодатель исполняет возложенные на него законодательством обязанностип. 2 ч. 1 ст. 6 Закона № 152-ФЗ ;
• передачи ПД работников страховой компании в целях заключения договора на их добровольное медицинское страхование (ДМС) либо передачи ПД иным лицам для заключения иных договоров, по которым работник будет являться выгодоприобретателемп. 5 ч. 1 ст. 6 Закона № 152-ФЗ ;
• обработки общедоступных ПД работниковп. 10 ч. 1 ст. 6 Закона № 152-ФЗ . Например, тех ПД работника, по которым он дал письменное согласие на их общедоступность.

В остальных случаях обработки ПД работников, в том числе передачи ПД третьим лицам, у работников придется получать согласиеп. 1 ч. 1 , ч. 3 ст. 6 , ст. 7 , ч. 3 ст. 9 Закона № 152-ФЗ ; ст. 88 ТК РФ . К примеру, при передаче:

• сведений о должности и размере зарплаты работника банку, запрошенных им в связи обращением этого работника за получением кредита;
• копий дипломов работников лицензирующему органу для получения лицензии;
• ПД работников сторонней организации, оказывающей услуги по ведению бухучета.

Что должно содержать согласие, покажем на примереч. 4 ст. 9 Закона № 152-ФЗ .

СОГЛАСИЕ
на обработку персональных данных

Я, Иванов Иван Иванович, паспорт серии 77 08 № 123456, выдан ОВД Лефортово г. Москвы 15.08.2005, зарегистрированный по адресу: г. Москва, Рязанский проспект, д. 20, кв. 96, даю согласие ООО «Стройцентр» (г. Москва, ул. Большая Пироговская, д. 53, корп. 1) на передачу всех моих персональных данных, обрабатываемых им в целях исполнения заключенного между нами трудового договора и выполнения возложенных на него законодательством обязанностей, в ООО «Нивал» (г. Москва, ул. Профсоюзная, д. 34, корп. 2) в целях их любой обработки в рамках договора оказания услуг по ведению бухгалтерского учета б/н от 03.03.2011.

Настоящее согласие действует в течение всего срока действия трудового договора и может быть мною отозвано в письменном виде.

Уведомление об обработке персональных данных

До начала обработки ПД операторы должны направлять в органы Роскомнадзора специальное уведомлениеч. 1 ст. 22 Закона № 152-ФЗ ; приложение к Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утв. Приказом Роскомнадзора от 19.08.2011 № 706 .

Однако работодатели от такой обязанности освобожденыпп. 1, 2 ч. 2 ст. 22 Закона № 152-ФЗ . При этом то, каким способом вы обрабатываете ПД работников (вручную, на компьютере или смешанно), не важно. И пусть вас не смущают положения Закона о ПД, предписывающие уведомлять органы Роскомнадзора об обработке ПД с использованием средств автоматизации. Они действуют, только если вы обрабатываете ПД еще и иных граждан. Это нам подтвердили и в Роструде.

Из авторитетных источников

Заместитель руководителя Федеральной службы по труду и занятости

“ Организации, являющиеся работодателями, а также заказчиками работ, выполняемых физическими лицами по договорам подряда, обрабатывают персональные данные этих лиц и признаются операторами персональных данных.

Оператор до начала обработки персональных данных обязан уведомить орган Роскомнадзора о своем намерении осуществлять обработку персональных данныхч. 1 ст. 22 Закона № 152-ФЗ , за исключением некоторых случаевч. 2 ст. 22 Закона № 152-ФЗ . К таким случаям, в частности, относятся персональные данные, обрабатываемые в соответствии с трудовым законодательством.

Таким образом, организация, обрабатывающая персональные данные своих работников в соответствии с трудовым законодательством, не должна уведомлять уполномоченный орган об обработке персональных данных вне зависимости от того, каким способом они обрабатываются” .

Если вам пришел запрос из органа Роскомнадзора с просьбой представить уведомление об обработке ПД, то в течение 30 дней со дня его получения вы должны направить:

• <если> вы обрабатываете ПД работников не только в рамках трудовых отношений (например, передаете ПД страховой компании для заключения договора ДМС) - уведомление об обработке ПД. Кстати, в этом случае уведомление следует подать, не дожидаясь запроса. Сделать это нужно до начала такой обработки, а если вы обрабатывали так ПД до 1 июля 2011 г. – не позднее 1 января 2013 г.ч. 1 ст. 22 , ч. 2.1 ст. 25 Закона № 152-ФЗ ;
• <если> вы обрабатываете лишь ПД работников в соответствии с трудовым законодательством - письмо о том, что вы можете обрабатывать ПД без уведомления на основании п. 1 ч. 2 ст. 22 Закона № 152-ФЗч. 4 ст. 20 Закона № 152-ФЗ .

Иначе орган Роскомнадзора может попытаться оштрафовать вас за непредставление ему этой информациист. 19.7 КоАП РФ ; Постановление Верховного суда РФ от 05.08.2011 № 20-АД11-3 ; Постановление ФАС ЦО от 11.08.2011 № А64-6408/2010 .

Договор на обработку персональных данных третьим лицом

Когда вы поручаете обработку ПД работников другому лицу (например, передаете функции ведения бухгалтерского и налогового учета сторонней организации), то в договоре с этим лицом нужно предусмотретьч. 3 ст. 6 Закона № 152-ФЗ :

• перечень его действий с ПД;
• цели обработки им ПД;
• его обязанность соблюдать конфиденциальность ПД и обеспечивать безопасность их обработки;
• требования к защите им ПД.

Например, можно включить в договор такой раздел.

ДОГОВОР
оказания услуг по ведению бухгалтерского учета

г. Москва

8. Условия обработки Исполнителем персональных данных работников Заказчика.

8.1. Исполнитель по поручению Заказчика в целях расчета заработной платы, пособий и иных выплат, а также составления и сдачи отчетности в органы ФНС России и внебюджетные фонды совершает все необходимые действия по обработке персональных данных работников Заказчика.

8.2. Исполнитель обязуется соблюдать конфиденциальность полученных при исполнении настоящего договора персональных данных и обеспечивать их безопасность при обработке, принимая все необходимые меры в соответствии с требованиями действующего законодательства.

8.3. По окончании действия настоящего договора Исполнитель обязуется прекратить обработку персональных данных работников Заказчика, передав ему всю подготовленную во исполнение договора документацию, содержащую такие данные, и удалив их из своих электронных баз данных.

Документы по обеспечению доступа к персональным данным

Доступ к ПД работников должны иметь только специально уполномоченные лицаст. 88 ТК РФ . Поэтому перечень сотрудников, которым в связи с исполнением должностных обязанностей могут понадобиться ПД, следует утвердить приказомп. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 № 687 ; п. 14 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Постановлением Правительства РФ от 17.11.2007 № 781 .

Предупреждаем работников

За разглашение ПД других работников можно уволитьподп. «в» п. 6 ч. 1 ст. 81 ТК РФ .

В этот перечень войдут, например, руководитель, его заместители, работники отдела кадров, бухгалтерии, службы безопасности, юрист и даже секретарь, ведь часто именно он бронирует гостиницу и покупает билеты для работников, направляемых в командировку.

Допуск к ПД иных работников следует фиксировать в журнале либо оформлять письменные разрешения руководителя.

Кроме того, с работников, имеющих доступ к ПД, следует взять расписку о неразглашениист. 90 ТК РФ ; п. 43 Постановления Пленума Верховного суда РФ от 17.03.2004 № 2 . А можно прописать такую обязанность и в трудовом договоре.

Трудовой договор № 25

г. Москва

3. Обязанности Работника.

3.1. Работник обязуется соблюдать конфиденциальность в отношении любых персональных данных, доступ к которым он получит при исполнении своих трудовых обязанностей, как в период действия настоящего договора, так и по его прекращении.

Документы по защите персональных данных в информационных системах

Если у вас есть информационные системы персональных данных (к примеру, программа 1С или любая другая программа, содержащая ПД, даже таблицы в Excel), то вам нужно иметь целый пакет документов по защите обрабатываемых в ней ПДп. 3 ч. 1 ст. 18.1 , ч. 2 ст. 19 Закона № 152-ФЗ . Подробно рассматривать эту документацию мы не будем. Ведь составлять ее - это работа не бухгалтера, а, скорее, системного администратора или даже стороннего специалиста.

Как видите, требований к обработке ПД уйма. Поэтому без Положения о ПД, в котором компактно собрано все самое необходимое для работы с такими данными, просто не обойтись. Ведь из него будет видно, какие ПД нужно собрать с работников, как их обрабатывать и защищать (например, хранить документы с ПД в сейфе, установить на компьютеры пароли, шифровать электронные сообщения и документы с ПД, отсылаемые третьим лицам).

С Планом проверок Роскомнадзора можно ознакомиться на его сайте : раздел «Планирование, отчеты о деятельности» → «Планы проверок»

И не забывайте, что операторы обработки ПД - это не только работодатели. Поэтому законодательство о защите ПД нужно соблюдать при обработке ПД не только работников, но и иных категорий физлиц. Например, если вы заключаете с гражданами какие-либо гражданско-правовые договоры, ведете в компьютере базу данных клиентов-физлиц или контактных лиц ваших контрагентов с указанием их ф. и. о., должности, номера телефона, даты рождения.

При этом самое важное - не разглашать ПД третьим лицам. Так будет меньше жалоб и, соответственно, проверок. Ведь по своей инициативе органы Роскомнадзора проверяют в основном только крупные компании, работающие с населением: банки, операторов связи, коммунальщиков, почту, медицинские клиники и др.

Необходимо ли брать согласие с работника при заключении с ним трудового договора или когда сотрудник пишет заявление о приеме на работу он уже тем самым дает согласие на обработку своих персональных данных?

Ответ

Ответ на вопрос:

В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" персональные данные - это любая информация, относящаяся к определенному или определяемому на ее основании физическому лицу. К такой информации относятся, в частности, фамилия, имя, отчество этого лица, год, месяц, дата и место его рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы.

Оператором персональных данных является государственный орган, муниципальный орган, юридическое или физическое лицо, организующие или осуществляющие обработку таких данных, а также определяющие цели и содержание обработки (п. 2 ст. 3 Закона № 152-ФЗ).

Понятие "обработка персональных данных" включает в себя весь спектр действий (операций) с персональными данными, в том числе: их сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), обезличивание, блокирование и уничтожение.

Следовательно, в силу Закона № 152-ФЗ как только в распоряжении организации появляются данные любого лица, эта организация становится оператором персональных данных и обязана обеспечить их защиту. Обработка таких данных осуществляется только с письменного согласия сотрудников .

Однако, в отдельных случаях обработка персональных данных возможна и без согласия сотрудника .

• Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 г. № 27-ФЗ);
• налоговые органы (ст. 24 НК РФ);
• ФФОМС, ФСС России (ст. 15 Закона от 24 июля 2009 г. № 212-ФЗ);
• военные комиссариаты (ст. 4 Закона от 28 марта 1998 г. № 53-ФЗ);

Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ.

Таким образом, можно сказать, что в соответствии с законодательством, в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления, и выполнения возложенных законодательством России на оператора функций, брать согласие с сотрудника на обработку персональных данных не нужно .Исключение составляет предоставление персональных данных третьим лицам . При этом, организация должна запрашивать у сотрудника письменное согласие на каждый случай передачи его персональных данных третьему лицу, так как согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Таким образом, считаем, что брать согласие при заключении трудового договора вовсе не обязательно, т.е. в рамках трудового договора вы имеете право обрабатывать персональные данные без согласия, а в случае передачи данных третьим лицам вам в любом случае нужно будет брать согласие на каждый конкретный случай.

Подробности в материалах Системы Кадры:

1. Ответ: Как организовать обработку персональных данных сотрудников

Персональные данные сотрудников

Согласие сотрудника на обработку персональных данных

По ходу деятельности у работодателя возникает необходимость в . Обработка таких данных осуществляется только с сотрудников. При этом согласие должно включать в себя следующую информацию:

• фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;

• наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
• срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
• подпись сотрудника.

При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель (родитель, опекун) ().

Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в . В такой ситуации организация вправе продолжить с учетом ограничений, указанных в части 1 статьи 6, статьи 10 и статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя ().

С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем ().

Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей. Об этом сказано в разъяснений Роскомнадзора от 14 декабря 2012 г.

Ситуация: Можно ли при заключении трудового договора получить у работника письменное согласие на предоставление его персональных данных третьим лицам во всех необходимых ситуациях до момента увольнения

Нет, нельзя.

Для передачи данных сотрудника третьим лицам организация обязана получить письменное согласие этого сотрудника. Без письменного согласия сотрудника его персональные данные могут быть переданы третьим лицам тогда, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, и в других случаях, предусмотренных федеральными законами. Такие правила установлены статьи 88 Трудового кодекса РФ.

В Трудовом кодексе РФ не содержится требований к содержанию письменного согласия на передачу данных. Однако статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ установлено, что согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Из этого следует, что организация должна запрашивать у сотрудника письменное согласие на каждый случай передачи его персональных данных третьему лицу. Лишь при таких условиях требование о конкретности и сознательности согласия может считаться выполненным. Перечень сведений, которые должны содержаться в письменном согласии на передачу персональных данных, установлен в статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Случаи обработки данных без согласия сотрудника

В отдельных случаях обработка персональных данных возможна и без согласия сотрудника. Например, если обработка персональных данных необходима в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления и выполнения возложенных законодательством России на оператора функций, полномочий и обязанностей, - она может осуществляться без согласия сотрудника - субъекта персональных данных. Об этом сказано в Закона от 27 июля 2006 г. № 152-ФЗ.

К таким случаям относится передача сведений в:

• Пенсионный фонд РФ ();
• налоговые органы ();
• ФФОМС, ФСС России ();
• военные комиссариаты ();
• иные органы, когда обязанность передачи им сведений, относящихся к персональным данным сотрудника, закреплена за работодателем законом либо необходима для достижения установленных законом целей (например, суды, прокуратуру и т. п.).

Кроме того, согласие не требуется в следующих случаях:

• обязанность по обработке предусмотрена законодательством, в том числе опубликование и размещение персональных данных сотрудников в сети Интернет (например, и рядом иных актов);
• проводится обработка персональных данных близких родственников сотрудника в объеме, предусмотренном личной карточкой (по унифицированной или ), а также в случаях получения алиментов, оформления социальных выплат и допуска к государственной тайне;
• обработка сведений о состоянии здоровья сотрудника относится к вопросу о возможности выполнения им трудовой функции;
• обработка данных связана с выполнением сотрудником должностных обязанностей, в том числе при его командировании;
• обработка персональных данных проводится при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя при условии, что организация пропускного режима осуществляется работодателем самостоятельно.

К дисциплинарной ответственности могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их (). Материальная ответственность может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб ().

За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и ее должностных лиц могут оштрафовать. Размер штрафа составляет:

• для должностных лиц (например, руководителя организации) от 500 до 1000 руб.;
• для организации от 5000 до 10 000 руб.

Штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 руб.

Такие меры ответственности предусмотрены статьями

Готовый план главных дел кадровика на I квартал 2019 года
Читайте в статье: Зачем кадровику проверять бухгалтерию, нужно ли сдавать новые отчеты в январе и какой код утвердить для табеля в 2019 году

Редакция журнала «Кадровое дело» выяснила, какие привычки кадровиков отнимают много времени, но при этом почти бесполезны. А некоторые из них даже могут вызвать недоумение у инспектора ГИТ.

Инспекторы ГИТ и Роскомнадзора рассказали нам, какие документы теперь ни в коем случае нельзя требовать у новичков при трудоустройстве. Наверняка какие-то бумаги из этого списка есть у вас. Мы составили полный список и подобрали для каждого запретного документа безопасную замену.

Если выплатите отпускные на день позже срока, компанию оштрафуют на 50 000 руб. Уменьшите срок уведомления о сокращении хотя бы на день – суд восстановит сотрудника на работе. Мы изучили судебную практику и подготовили для вас безопасные рекомендации.

← Вернуться