Главная » Пдд » Передача третьему лицу обязанность обработки персональных данных. Согласие на получение персональных данных от третьих лиц. Что это такое? Основные понятия. Состав персональных данных работников

Передача третьему лицу обязанность обработки персональных данных. Согласие на получение персональных данных от третьих лиц. Что это такое? Основные понятия. Состав персональных данных работников

Настоящая статья посвящена вопросам обработки ПДн третьих лиц, в отношении которых у оператора отсутствует правовое основание обработки, но существует необходимость, диктуемая выстроенными бизнес-процессами. Рассматриваются возможные подходы к решению данной задачи с учетом практики.

Алексей Чирков
Советник по правовым вопросам, Российский микрофинансовый центр

В настоящее время многие операторы ПДн в ходе осуществления своей деятельности сталкиваются с необходимостью обработки персональных данных третьих лиц, с которыми у оператора отсутствуют какие-либо отношения и чьи данные получены без их согласия от третьих лиц. Строго говоря, в большинстве таких случаев ни одно из оснований, указанных в ст. 6 Федерального закона от 27.07.2006 ФЗ № 152 "О персональных данных" (далее – ФЗ № 152), не является применимым, однако практика заставляет рассматривать возможные способы их законной обработки. В качестве примера практической ситуации возникновения такой потребности рассмотрим следующий пример.


Заемщик-гражданин обращается в банк или иную финансовую организацию1 с заявлением о предоставлении потребительского кредита. Наличие в таком заявлении телефонов и иных контактных данных родственников, друзей, родителей заемщика повышает (в случае возникновения просрочки) вероятность успешного взыскания долга, по разным оценкам, на 20–40%. Таким образом, в описанной ситуации возникает необходимость обработки ПДн так называемых "контактных" лиц (далее – ситуация), однако правомерность такой обработки неочевидна. Практика выработала, как минимум, три способа2 юридического оформления обработки в приведенной ситуации, которые будут рассмотрены далее.

Суть проблемы

В описанном выше примере ПДн субъекта получаются без его согласия от третьего лица. При этом в соответствии с ч. 1 ст. 6 ФЗ № 152 перечень случаев, когда ПДн могут законно обрабатываться без согласия лица, которому они принадлежат, исчерпывающе определен. И описанная ситуация в этот перечень не попадает. Во-вторых, в соответствии со ст. 18 ФЗ № 152 в случае, когда ПДн получены не от субъекта, которому они принадлежат, оператор обязан уведомить субъекта о факте обработки его ПДн и сообщить ему определенный перечень информации, что создает еще одну сложность. К тому же вполне очевидно, что реализация такой обязанности оператором в ряде случаев может повлечь законное требование субъекта о прекращении обработки его ПДн. Это создает юридические сложности в описанной выше ситуации. На практике появилось как минимум три варианта соблюдения норм ФЗ № 152 при обработке ПДн "контактных" лиц – без их согласия и уведомления.

Данные не персональные

Смысл первого варианта состоит в том, чтобы доказать, что обрабатываемые данные не являются персональными. Это представляется возможным в следующих случаях. Во-первых, объем собираемой информации должен ограничиваться контактным номером телефона и именем. В случае, если о "контактном" лице запрашивается и степень родства заемщику, и паспортные данные, и другая дополнительная информация, такой вариант вряд ли применим. Во-вторых, требуется корректное оформление анкеты. Например, исходя из правоприменительной практики, строчка в анкете "предпочитаемое обращение или псевдоним" с точки зрения отношения данных к персональным выглядит значительно лучше, нежели классическое "ФИО", поскольку предполагает возможность различного заполнения – от имени до социального статуса. В этом случае вероятность признания имени ПДн крайне низка. В-третьих, необходимо подготовить соответствующую аргументацию по вопросу неотнесения к ПДн номера телефона контактного лица. В теории номер телефон может быть классифицирован как обезличенные персональные данные, так как установить принадлежность совокупности цифр конкретному лицу возможно только при доступе к базе оператора связи. Юридически для финансовых организаций это невозможно. В судебной практике в подобных ситуациях номер телефона, как правило, не признается ПДн, поскольку расценивается не относящимся к конкретному лицу3. Таким образом, одним из вариантов обработки информации о "контактных" лицах должника является сбор данных в объеме, достаточном для взаимодействия с контактным лицом, но недостаточным для признания их персональными.

Данные заемщика, а не контактного лица

Этот вариант может быть реализован путем запроса у заемщика, к примеру, большего числа номеров, чем имеет "обычный" заемщик. К примеру, вместо привычных граф анкеты-заявления о предоставлении потребительского кредита (займа) (далее – заявление) "домашний" и "мобильный телефон" можно использовать четыре или пять обязательных для заполнения граф "номер телефона". Вероятно, 2 или 3 номера в таком заявлении будут принадлежать не самому заемщику, а третьим лицам. Однако юридически при наличии в заявлении фразы вроде "достоверность указанных сведений, а также их принадлежность лично мне подтверждаю" финансовая организация вправе законно обрабатывать все указанные данные, в том числе и номера телефонов. Помимо согласия в самом заявлении это право базируется и на принципе добросовестности, закрепленном в ГК РФ: финансовая организация вправе добросовестно полагаться на достоверность сообщаемых заемщиком сведений.

Финансовая организация как обработчик

В данном случае в подписываемом заявлении содержится поручение заемщика, который в роли оператора4 поручает финансовой организации обрабатывать ПДн субъекта (контактного лица) "в целях доведения информации о просроченной задолженности оператора до субъекта персональных данных" определенными в заявлении способами. Данная схема при корректном юридическом оформлении имеет ряд преимуществ перед двумя предыдущими: о контактном (или любом третьем лице) могут быть сообщены любые ПДн; финансовая организация, выступая применительно к ПДн контактного лица "лицом, осуществляющим обработку персональных данных по поручению оператора", не несет никакой ответственности перед самим контактным лицом, которое может обращаться с жалобами в уполномоченный орган. Ответственность за нарушения при обработке ПДн у финансовой организации в этом случае есть только перед заемщиком-оператором ПДн контактного лица. Перед самим же "контактным" лицом за все нарушения, в том числе возможно допущенные финансовой организацией, будет отвечать заемщик.


Получая таким образом ПДн, финансовая организации освобождается от обязанности предоставления информации, предусмотренной ч. 3 ст. 18 ФЗ № 152 для ситуаций, когда информация получена не от самого субъекта.

Таким образом, данная схема позволяет обрабатывать ПДн третьего лица, не получая непосредственно от него согласия.

Итог

Это основные встречающиеся на практике решения по обработке ПДн "контактных" лиц. Возможно, не все из них полностью соответствуют духу законодательства о защите персональных данных, однако ни одно из них, по имеющимся данным, не повлекло привлечения к ответственности, равно как и не вызывало вопросов прокуратуры и Роскомнадзора при проведении проверок в финансовых организациях.

В случае, если указанные данные не принадлежат заемщику, то для их удаления финансовая организация вправе потребовать личного визита третьего лица, которому принадлежат эти данные, в свой офис для предоставления документов, подтверждающих принадлежность указанных телефонов этому третьему лицу (например, абонентского договора), а не указавшему их заемщику. Данная позиция в настоящее время поддерживается как минимум двумя территориальными управлениями Роскомнадзора. Данный способ (его весьма сложно назвать некой схемой адаптации к требования законодательства) достаточно активно используется на практике; ответственность в такой ситуации может понести лишь сам заемщик, указывающий чужие ПДн.

Однако вне зависимости от того, каким образом были получены данные заемщика, представляется крайне важным проверять их достоверность, причем проверять в момент получения, а не тогда, когда возникает необходимость их использования. Несоблюдение именно этого требования часто становится причиной обращений субъектов ПДн к операторам и уполномоченному органу.

Очевидно, ничто изложенное в настоящей статье не означает одобрения или тем более прямой рекомендации по использованию описанных схем. Однако, как представляется, в определенных случаях подобный анализ практики может быть полезен при выработке собственных юридических решений подобных ситуаций. Решений, основанных на букве закона и соответствующих его духу.

___________________________________________
1 С 01.07.2014 предоставлять займы заемщикам-потребителям (то есть осуществлять профессиональную деятельность по предоставлению потребительских займов) могут исключительно следующие финансовые организации: кредитные (в том числе банки) и микрофинансовые организации, ломбарды,кредитные кооперативы.
2 В настоящей статье не рассматривается вариант, при котором заемщик действует как представитель контактного лица на основании доверенности. Во-первых, такой вариант прямо вытекает из закона, во-вторых, он вряд ли возможен в большинстве типичных сделок профессионального кредитора,поскольку оригинал доверенности с подписью контактного лица большинство заемщиков представить не могут.
3 См., например, Апелляционное определение Московского городского суда от 28.01.2014 по делу № 33-5461.
4 Оператором, в соответствии с ФЗ № 152, признается государственный муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку ПДн, а также определяющие цели их обработки, состав и действия (операции), совершаемые с ними. Таким образом, юридических препятствий, вопреки мнению отдельных экспертов, для признания физического лица оператором ПДн не существует.

"Практический бухгалтерский учет", 2012, N 3

Практически любая информация, которая помогает идентифицировать человека, является персональными данными (ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", далее - Закон о персональных данных).

К персональным данным относятся:

  • фамилия, имя, отчество;
  • пол, возраст;
  • физиологические особенности человека;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • состояние здоровья;
  • принадлежность лица к конкретной нации, этнической группе, расе;
  • место жительства;
  • привычки, в том числе и вредные;
  • семейное положение (наличие или отсутствие детей, родственные связи);
  • биография;
  • предыдущая трудовая деятельность;
  • религиозные и политические убеждения;
  • финансовое положение;
  • деловые и иные личные качества и т.д.

Однако согласно ТК РФ персональными данными работника является информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст. 85 ТК РФ). То есть из всего вышеперечисленного работодатель вправе потребовать от работника лишь ту информацию, которая характеризует его трудовые качества.

Примечание. Хотя фотография и не относится к персональным данным, но использовать ее без согласия работника (впрочем, как и любого другого человека) нельзя. Это прямо запрещено ст. 152.1 ГК РФ.

Получение персональных данных у третьих лиц: уведомление...

По общему правилу все персональные данные следует получать лично у работника (п. 3 ст. 86 ТК РФ). Однако как быть, например, если работник потерял трудовую книжку и просит содействия в получении информации от предыдущих работодателей? Очевидно, что сотрудник согласен на получение данных от третьих лиц, иначе бы он не просил об этом. Однако работодателю все равно следует письменно уведомить работника о получении персональных данных от третьих лиц.

Примечание. Внимание: персональные данные сотрудника могут запрашиваться у третьего лица исключительно в целях соблюдения требований закона (п. 1 ст. 86 ТК РФ). Например , для содействия в трудоустройстве, обеспечения безопасности, дальнейшего повышения квалификации, сохранности имущества и т.д.

Причем в уведомлении должны быть указаны:

  • цели получения персональных данных;
  • предполагаемые источники получения персональных данных;
  • способы получения персональных данных;
  • характер подлежащих получению данных;
  • последствия отказа работника дать согласие на получение.

Приведем образец такого уведомления.

Общество с ограниченной ответственностью ООО "Правильное"

Менеджеру отдела продаж

В.П. Терехову

УВЕДОМЛЕНИЕ о получении персональных данных от третьих лиц

Уважаемый Валентин Петрович!

В соответствии с Вашим заявлением об утрате трудовой книжки и просьбе оказать содействие в сборе сведений о предыдущих местах работы и периодах трудовой деятельности ООО "Правильное" запросит эти персональные данные от третьих лиц.

Цель запроса - подтверждение страхового стажа.

Сведения будут запрашиваться в письменной форме при помощи средств почтовой связи.

Просим Вас дать согласие на получение персональных данных от третьих лиц (п. 3 ст. 86 ТК РФ).

Если персональные данные работника возможно получить только у третьей стороны, то работник должен дать письменное согласие (п. 3 ст. 86 ТК РФ). Оно может выглядеть, например, следующим образом.

Генеральному директору

ООО "Правильное"

Правильному М.А.

от менеджера отдела продаж

Терехова Валентина Петровича,

паспорт 45 06 123456, выд. УВД МО

"Отрадное" г. Москвы 11.11.2003,

зарегистрированного по адресу: 123321,

Москва, ул. Тенистая, д. 3, кв. 10

СОГЛАСИЕ на получение персональных данных от третьих лиц

Я, Терехов Валентин Петрович, в соответствии со ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" настоящим даю согласие ООО "Правильное" на получение моих персональных данных о предыдущих местах работы и периодах трудовой деятельности от третьих лиц.

Настоящее Согласие действует со дня его подписания до дня отзыва в письменной форме.

Дата, подпись

Утверждаем список лиц, имеющих доступ

Очевидно, что ряду сотрудников необходимо иметь доступ к персональным данным. К примеру, для оформления стандартных налоговых вычетов бухгалтеру могут потребоваться данные о составе семьи и детях, секретарю - паспортные данные и Ф.И.О. для приобретения билетов и бронирования гостиницы командированному и т.д.

Работодатель вправе разрешить доступ к персональным данным работников только специально уполномоченным лицам (ст. 88 ТК РФ), причем таким уполномоченным будут доступны только те данные, которые необходимы для выполнения конкретных функций.

Перечень работников, имеющих доступ к персональным данным других работников, устанавливается локальным нормативным актом организации, а также приказом по следующей примерной форме.

Общество с ограниченной

ответственностью

ООО "Правильное"

ПРИКАЗ Об установлении списка лиц, имеющих доступ к персональным данным работников ООО "Правильное" В соответствии со ст. 88 ТК РФ ПРИКАЗЫВАЮ:

  1. Установить следующий перечень работников, имеющих доступ к персональным данным работников ООО "Правильное":
  • генеральный директор и главный бухгалтер Правильный М.А.;
  • менеджер по кадрам Ефремова Л.И.;
  • юрисконсульт Валеева А.Н.;
  • начальник отдела продаж Гаврилов И.П. (доступ к персональным данным сотрудников отдела продаж);
  • начальник транспортного цеха Сержантов Т.И. (доступ к персональным данным сотрудников транспортного цеха).
  1. Контроль за исполнением приказа оставляю за собой.

С приказом уполномоченные лица должны быть ознакомлены под роспись.

Положение о персональных данных необходимо

Положение о персональных данных работников - это тот локальный акт, который должен быть в любой организации. Объясняется это следующим.

Порядок хранения и использования персональных данных работников устанавливается работодателем с учетом требований Трудового кодекса РФ и иных федеральных законов (ст. 87 ТК РФ). Таким образом, ТК РФ предусматривает, что порядок обработки персональных данных должен быть конкретизирован на локальном уровне. То есть работодатель должен локальным нормативным актом (т.е. положением о персональных данных) определить порядок хранения, обработки и использования персональных данных.

Наконец, как показывает практика, отсутствие такого акта квалифицируется как нарушение трудового законодательства (Постановление ФАС Московского округа от 26.10.2006 N КА-А40/10220-06).

Положение о персональных данных может состоять из следующих частей:

  • общие положения: цели и задачи принятия положения и вопросы, которые оно регулирует;
  • состав персональных данных работников;
  • обработка персональных данных;
  • передача персональных данных;
  • доступ к персональным данным;
  • ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.

Положение может быть составлено с использованием следующего образца.

Общество с ограниченной

ответственностью

ООО "Правильное"

ПОЛОЖЕНИЕ о персональных данных 1. Общие положения

1.1. Настоящим Положением определяется порядок обращения с персональными данными работников ООО "Правильное" (далее - Работодатель).

1.2. Положение утверждено с целью обеспечить соблюдение законных прав и интересов Работодателя и его работников при получении, сборе, систематизации, хранении и передаче сведений, составляющих персональные данные.

1.3. Персональными данными работника является любая информация, относящаяся к работнику и необходимая Работодателю в связи с трудовыми отношениями.

1.4. Сведения о персональных данных работников относятся к категории конфиденциальных. Сведения перестают относиться к категории конфиденциальных:

  • в случае их обезличивания, т.е. действий, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • по истечении 75 (семидесяти пяти) лет срока их хранения;
  • в иных случаях, предусмотренных федеральными законами.

2. Основные понятия. Состав персональных данных работников

2.1. Для целей настоящего Положения используются следующие основные понятия:

  • персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
  • обработка персональных данных работника - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • распространение персональных данных - действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц;
  • предоставление персональных данных - действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц;
  • блокирование персональных данных - временное прекращение обработки персональных данных работников (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персональных данных работников;
  • обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику;
  • информация - сведения (сообщения, данные) независимо от формы их представления;
  • документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

2.2. Сведения, представляемые при поступлении на работу, должны иметь документальную форму.

2.3. При оформлении работника отделом кадров заполняется унифицированная форма Т-2 "Личная карточка работника", в которой отражаются следующие анкетные и биографические данные работника:

  • общие сведения (Ф.И.О., дата рождения, место рождения, гражданство, образование, профессия, стаж работы, семейное положение, паспортные данные);
  • сведения о воинском учете;
  • данные о приеме на работу;
  • сведения об аттестации;
  • сведения о повышении квалификации;
  • сведения о профессиональной переподготовке;
  • сведения о наградах (поощрениях), почетных званиях;
  • сведения об отпусках;
  • сведения о социальных гарантиях;
  • сведения о месте жительства и о контактных телефонах.

2.4. В отделе кадров Работодателя создаются и хранятся документы, содержащие персональные данные работников:

  • документы, оформляющие трудовые отношения при приеме на работу, переводе, увольнении;
  • документы, применяемые при анкетировании, тестировании, проведении собеседований;
  • подлинники и копии приказов (распоряжений) по кадрам;
  • личные дела и трудовые книжки;
  • материалы - основания к приказу по личному составу;
  • материалы аттестаций работников;
  • материалы внутренних расследований;
  • справочно-информационный банк данных по персоналу (картотеки, журналы);
  • копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.

3. Обработка персональных данных работников

3.1. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные возможно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлен об этом, и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.

3.2. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

3.3. Обработка персональных данных работников работодателем возможна только с их согласия либо без их согласия в следующих случаях:

  • персональные данные являются общедоступными;
  • персональные данные относятся к состоянию здоровья работника, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия работника невозможно;
  • по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.

3.4. Работодатель вправе обрабатывать персональные данные работников только с их письменного согласия.

3.5. Согласия работника не требуется, если обработка персональных данных:

  • осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия работодателя;
  • производится в целях исполнения трудового договора;
  • осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  • необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.

3.7. Работник представляет в отдел кадров достоверные сведения о себе. Отдел кадров проверяет достоверность сведений.

3.8. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.9. При определении объема и содержания обрабатываемых персональных данных Работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.

3.10. При принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения.

3.11. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается Работодателем за счет его средств в порядке, установленном федеральным законом.

3.12. Работники и их представители должны быть ознакомлены под расписку с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.

3.13. Отказ работника от своих прав на сохранение и защиту тайны недействителен.

4. Передача персональных данных

4.1. При передаче персональных данных работника Работодатель обязан:

  • не сообщать персональные данные работника третьей стороне без письменного согласия работника. Исключение составляют случаи, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
  • не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
  • предупреждать лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено;
  • осуществлять передачу персональных данных работников в соответствии с настоящим Положением;
  • разрешать доступ к персональным данным работников только специально уполномоченным лицам. Указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции;
  • не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
  • передавать персональные данные работника его законным, полномочным представителям в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.

4.2. Персональные данные работников обрабатываются и хранятся в отделе кадров.

4.3. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

4.4. При получении персональных данных не от работника (за исключением случаев, если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:

  • наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
  • цель обработки персональных данных и ее правовое основание;
  • предполагаемые пользователи персональных данных;
  • установленные федеральными законами права субъекта персональных данных.

5. Доступ к персональным данным работников

5.1. Право доступа к персональным данным работников имеют лица, указанные в перечне, утвержденном приказом Работодателя.

5.2. Работник имеет право:

5.2.1. Получать доступ к своим персональным данным, возможность ознакомиться с ними, в том числе получать безвозмездно копии любой записи, содержащей его персональные данные.

5.2.2. Требовать от Работодателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для работодателя персональных данных.

5.2.3. Получать от Работодателя сведения:

  • о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
  • о перечне обрабатываемых персональных данных и источниках их получения;
  • о сроках обработки персональных данных и сроках их хранения;
  • о правовых последствиях обработки его персональных данных.

5.2.4. Требовать извещения Работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

5.3. Копирование персональных данных работника возможно исключительно в служебных целях с письменного разрешения начальника отдела кадров.

5.4. Передача информации третьей стороне возможна исключительно с согласия работника, выраженного в письменной форме.

6. Ответственность за нарушение норм, регулирующих обработку персональных данных

6.1. Сотрудники Работодателя, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

6.2. Работодатель за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст. ст. 5.27 и 5.39 КоАП РФ. Работодатель также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом работнике.

Замечание напоследок

Отсутствие такого положения и неознакомление с ним работников могут повлечь за собой ответственность по ст. 5.27 КоАП РФ. Кстати, с положением должны быть ознакомлены не только уже работающие, но и потенциальные сотрудники.

А если мысль оформить такое положение возникла у вас лишь сейчас, а на день приема на работу сотрудника положение отсутствовало физически?

Лучший вариант - оформить это положение и под роспись ознакомить с ним всех сотрудников. Если на дату проведения проверки трудинспектор установит, что положение есть и работники с ним ознакомлены, то оснований для применения штрафных санкций не будет.

М.Дашевская

ООО "Гардарика-XXI"

Персональными данными называют любые сведения, которые относятся к соответствующему или определяемому на основании этих сведений физлицу. регламентируется ст.88 ТК РФ .

Об особенностях трансграничной передачи персональных данных читайте .

Официальные получатели личных сведений

Официально являющиеся получатели персональных сведений гражданина (кому можно передавать без согласия) считаются следующие учреждения:

  1. ФСС РФ (Фонд соцстрахования): на основании ФЗ № 125 «Об обязательном соцстраховании от несчастных случаев на производстве и профзаболеваний».
  2. Пенсионный фонд России: регламентируется ФЗ № 27 «О персонифицированном учете в системе обязательного пенсионного страхования».
  3. Налоговые службы: согласно закону № 146 ч.1 НК РФ .
  4. Службы занятости: в соответствии с ФЗ № 1032-1 «О занятости населения в России».
  5. Органы министерства внутренних дел: ФЗ №3 «О полиции», ФЗ № 40 «О федеральной службе безопасности», ФЗ №144 «Об оперативно-розыскной деятельности».
  6. Военные комиссариаты: регламентируются ФЗ № 53 «О воинской обязанности и военной службе», Постановление Правительства РФ № 719 «Положение о воинском учете», Указ Президента России № 1132 «Об утверждении Положения о военных комиссариатах».
  7. Иные службы государственного контроля и надзора за соблюдением законодательства о труде.

Разглашение постороннему субъекту

ФЗ «О защите прав потребителей» включает в себя обработку с последующей передачей своих личных данных, если есть согласие сотрудника. При этом составляется в письменной форме документ, который хранится у работодателя. При возникшем споре бумага становится доказательством наличия согласия на передачу личных сведений сотрудника постороннему субъекту.

Каждая компания может столкнуться с необходимостью периодической отправки личных данных служащего из 1 структурного подразделения в другое. Эти сведения отправляются кадровой службой в бухгалтерию или службу безопасности. В этом случае учреждение должно ознакомить сотрудника с актом с получением подписи, подтверждающей его согласие.

Каким организациям позволяется получать личные сведения работника при его согласии? К примеру, такими учреждениями может стать банк для оформления безналичного счета, куда Наниматель будет перечислять зарплату и другие доходы сотрудника. Или кредитные организации, куда гражданин обращался за оформлением кредита или ссуд.

Предназначение бумаги

Главное предназначение бумаги – получение письменного согласия сотрудника, позволяющего сообщать личные сведения работника третьей стороне.

В положении указывается порядок обращения с персональными данными работника.

гласит , что он содержит в себе следующие пункты:

  • Ф. И. О. с адресом сотрудника.
  • Номер с датой выдачи и наименованием органа, выдавшего документ, который удостоверяет личность служащего.
  • Наименование с юридическим адресом нанимателя, получающего согласие в письменной форме.
  • Соответствующая цель отправки персональных сведений третьей стороне.
  • Конкретный список конфиденциальных сведений, на передачу которых сотруднику требуется дать согласие.
  • Период, на протяжении которого данный документ имеет силу.
  • Порядок отзыва согласия служащего.

Пошаговая инструкция по составлению документа с примерами

Для оформления бумаги по передаче персональных сведений рекомендуем воспользоваться нижеописанной инструкцией. Особых требований к составлению документа в законодательстве не сказано , однако выполнять его следует в письменном виде.

Пошаговые действия:


Является ли нарушением закона о персональных данных работника ответ на звонки из банка где сотрудник берет кредит?

Нарушение закона о персональных данных работника. Как организовать обработку персональных данных сотрудников? Общедоступные персональные данные.

Вопрос: Является ли нарушением закона о персональных данных работника ответ на звонки из банка где сотрудник берет кредит - а именно работает ли такой человек,кем, стаж, зарплата?

Ответ: Да, сообщение банкам информации о ваших работниках, которая не является без согласия такого работника будет являться нарушением закона о персональных данных. Поэтому, следует воздерживаться от сообщения информации о месте работы, стаже, зарплате работника по телефону и без получения согласия работника на такие действия.

Предоставление персональных данных работника в рамках действующего законодательства РФ возможно:

самому работнику, в том числе без письменного запроса о предоставлении данных, поскольку согласие работника отражается проставлением подписи при получении документа;

третьим лицам при предъявлении письменного согласия работника;

третьим лицам, обладающим правом получения таких данных в силу закона без согласия работника.

Банки, где работник планирует брать кредит, к органам, имеющим право на получение информации о работнике без его согласия, не относятся.

В соответствии с Федеральным законом «О защите персональных данных» обработка и передача персональных данных работников может осуществляться исключительно с согласия работника. Причем согласие должно быть информированным, выполненным в письменной форме. При возникновении спора о наличии такого согласия на передачу данных работника третьему лицу бремя доказывания наличия такого согласия возлагается на работодателя.

Согласие работника не требуется в отношении общедоступных персональных данных. Однако при возникновении спора о правомерности разглашения сведений, которые работодатель относит к общедоступным, работодателю придется доказывать, что данные о работнике являются общедоступными.

Обращаем Ваше внимание на недопустимость представления персональных данных работника по устному запросу, тем более полученному по телефону. В этом случае вы не можете достоверно установить лицо, запрашивающее такие сведения, а соответственно допускаете неконтролируемую утечку конфиденциальной информации. Вы не сможете доказать при возникновении спора в суде, что предоставили информацию тому лицу, на передачу информации которому получено согласие работника.

Рекомендуем в своем локальном акте о работе с конфиденциальной информацией прямо запретить передачу персональных данных в устной форме по телефону. При поступлении звонка из банка целесообразно отвечать: «Извините, но передача конфиденциальной информации по телефону запрещена. Если Вас интересует какая-либо информация, то в соответствии с действующим законодательством и в пределах, установленных таким законом, мы готовы ее предоставить по Вашему письменному запросу.» При получении письменного запроса от третьих лиц, которые не имеют права на получение персональных данных работника без его согласия, необходимо с полученным запросом ознакомить работника и получить от него информированное письменное согласие на передачу данных по данному запросу.

Обоснование

Как организовать обработку персональных данных сотрудников

Какие персональные данные сотрудника вправе получить организация

Общедоступные персональные данные

Какие персональные данные считаются общедоступными

Общедоступная информация - это общеизвестные сведения и иная информация, доступ к которой не ограничен. Такая информация может использоваться любыми лицами по их усмотрению при соблюдении законно установленных ограничений на ее распространение. Об этом говорится в пунктах , статьи 7 Закона от 27 июля 2006 г. № 149-ФЗ.

Общедоступные персональные данные - данные, которые субъект персональных данных сделал таковыми. К общедоступным персональным данным могут относиться сведения, доступные неограниченному кругу лиц (например, данные из открытых справочников, адресных книг и др.).

Поскольку любой желающий имеет к ним доступ, то специальной охраны они уже не требуют.

При обработке таких данных оператору не нужно уведомлять об этом уполномоченный орган по защите прав субъектов персональных данных (п. 4 ч. 2 ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ).

Согласие на обработку персональных данных

Как получить согласие сотрудника на обработку его персональных данных

По ходу деятельности у работодателя возникает необходимость в обработке персональных данных сотрудников. Обработка таких данных за исключением отдельных случаев происходит только с письменного согласия сотрудников. При этом согласие должно включать в себя следующую информацию:

  • фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
  • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись сотрудника.

Такие требования установлены в части 4

При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель: родитель, опекун (ч. 6 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в произвольной форме. В такой ситуации организация вправе продолжить обработку персональных данных без согласия сотрудника с учетом ограничений, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в части 2 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя (ч. 3 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (ч. 3 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем (ч. 5 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ).

Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей, а также от лиц, с которыми заключены в организации гражданско-правовые договоры. Об этом сказано в пункте 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Обработка данных без согласия

В каких случаях согласие сотрудника на передачу персональных данных не требуется

В отдельных случаях обработка персональных данных возможна и без согласия сотрудника. Например, если обработка персональных данных необходима в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления и выполнения возложенных законодательством России на оператора функций, полномочий и обязанностей, - она может осуществляться без согласия сотрудника - субъекта персональных данных. Об этом сказано в Закона от 27 июля 2006 г. № 152-ФЗ.

К таким случаям относится передача сведений в:

  • Пенсионный фонд РФ ();
  • налоговые органы ();
  • военные комиссариаты ();
  • иные органы, когда обязанность передачи им сведений, относящихся к персональным данным сотрудника, закреплена за работодателем законом либо необходима для достижения установленных законом целей (например, суды, прокуратуру и т. п.).

Кроме того, согласие не требуется в следующих случаях:

  • обязанность по обработке предусмотрена законодательством, в том числе опубликование и размещение персональных данных сотрудников в сети Интернет (например, Законом от 21 ноября 2011 г. № 323-ФЗ , Законом от 9 февраля 2009 г. № 8-ФЗ и рядом иных актов);
  • проводится обработка персональных данных близких родственников сотрудника в объеме, предусмотренном личной карточкой (по унифицированной форме № Т-2 или самостоятельно разработанной форме), а также в случаях получения алиментов, оформления социальных выплат и допуска к государственной тайне;
  • обработка сведений о состоянии здоровья сотрудника относится к вопросу о возможности выполнения им трудовой функции;
  • обработка данных связана с выполнением сотрудником должностных обязанностей, в том числе при его командировании;
  • обработка персональных данных проводится при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя при условии, что организация пропускного режима осуществляется работодателем самостоятельно.

В случае прекращения обработки персональных данных работодатель также обязан уведомить об этом уполномоченный орган. Сделать это нужно в течение десяти рабочих дней с момента прекращения обработки данных. Типовой бланк уведомления о прекращении обработки данных не утвержден, поэтому работодатель может составить его в произвольной форме ().

Что следует понимать под обработкой персональных данных сотрудника

Защита персональных данных

Как организовать защиту персональных данных сотрудников в организации

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в (ст. , ТК РФ, ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации.Об этом говорится в части 1 статьи 86 Трудового кодекса РФ.

Также в организации необходимо назначить лицо, ответственное по работе с персональными данными (ч. 5 ст. 88 ТК РФ). Как правило, таким сотрудником является работник службы персонала, поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников. Лицо, ответственное за работу с персональными данными, назначьте приказом в произвольной форме .

Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в Закона от 27 июля 2006 г. № 152-ФЗ и Требованиях , утвержденных . На их основе организация может выработать свою собственную систему защиты персональных данных.

Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

  • уничтожение;
  • изменение;
  • блокирование;
  • копирование;
  • предоставление;
  • распространение;
  • иные неправомерные действия с персональными данными.

Следует отметить, что выбор конкретных средств защиты информации для информационной системы обработки персональных данных осуществляется работодателем в соответствии с нормативно-правовыми актами ФСБ России и ФСТЭК России. Определение типа угроз безопасности персональных данных, актуальных для системы обработки и защиты персональных данных, производится с учетом оценки возможного вреда и в соответствии с нормативными актами упомянутых органов (п. , Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные пунктами 13-16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119 . Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т. п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены составом и содержанием организационных и технических мер , утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21 .

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

Положение о персональных данных

Является ли Положение о работе с персональными данными сотрудников обязательным документом

Да, является.

Порядок хранения, обработки и использования персональных данных сотрудников устанавливает работодатель с учетом требований Трудового кодекса РФ и иных федеральных законов (). Это значит, что работодатель должен самостоятельно определить порядок такой обработки и закрепить его в локальном нормативном акте, в частности, Положении о работе с персональными данными сотрудников . Все сотрудники организации при приеме на работу должны быть ознакомлены с Положением под подпись (ч. 3 ст. 68 ТК РФ).

Исходя из указанного следует, что Положение о работе с персональными данными является обязательным документом организации, а его отсутствие влечет административную ответственность (). На это указывают и суды (см., например, постановление ФАС Московского округа от 26 октября 2006 г. № КА-А40/10220-06).

Пример оформления Положения о работе с персональными данными сотрудников

Руководитель организации утвердил Положение о работе с персональными данными сотрудников .

Кадровой службы в организации нет. Ответственным за ведение кадрового учета назначена бухгалтер организации В.Н. Зайцева.

Отказ на обработку данных

Как поступить, если человек отказывается давать согласие на обработку его персональных данных

Организация вправе продолжать обрабатывать персональные данные человека без его согласия при наличии определенных оснований. При этом объем такой обработки достаточно велик и позволяет организации осуществлять текущую деятельность без нарушений.

В частности, работодатель может не требовать согласия на обработку персональных данных у соискателей для заключения трудового и гражданско-правового договора, направления персонифицированной отчетности в органы Пенсионного фонда РФ, налоговой отчетности в ФНС России, сведений о военнообязанных в военные комиссариаты, а также для хранения документов с персональными данными, в том числе трудовых и гражданско-правовых договоров, личных карточек, личных дел, и т. д. То есть когда работодатель исполняет возложенные на него законодательством обязанности.

Такие правила установлены в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ.

Для осуществления всех иных действий организации необходимо получать согласие человека на обработку его персональных данных (ч. 4 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

Действующее законодательство не обязывает человека давать согласие на обработку персональных данных, поэтому отказ с его стороны нельзя считать нарушением и основанием для отказа в заключении договора. Штатный сотрудник также не может быть уволен или привлечен к иной дисциплинарной ответственности за отказ от предоставления согласия на обработку персональных данных.

Как поступить, если сотрудник отказывается предоставлять персональные данные членов семьи для заполнения кадровых документов

К дисциплинарной ответственности могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их (). Материальная ответственность может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб ().

За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и ее должностных лиц могут оштрафовать. Размер штрафа составляет:

  • для должностных лиц (например, руководителя организации) от 500 до 1000 руб.;
  • для организации от 5000 до 10 000 руб.

Штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 руб.

Такие меры ответственности предусмотрены статьями и Кодекса РФ об административных правонарушениях.

Уголовная ответственность для руководителя организации (иного лица, ответственного за работу с персональными данными) может наступить за незаконное:

  • собирание или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
  • распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

За указанные нарушения предусмотрены следующие меры ответственности:

  • штраф в размере до 200 000 руб. (или в размере доходов осужденного за период до 18 месяцев);
  • обязательные работы на срок до 360 часов;
  • исправительные работы на срок до одного года;
  • принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
  • арест на срок до четырех месяцев;
  • лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются:

  • штрафом в размере от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
  • лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
  • арестом на срок от четырех до шести месяцев;
  • лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

Можно ли в трудовых договорах сотрудников предусмотреть условие о неразглашении конфиденциальной информации

Да, можно.

Но только в отношении тех сотрудников, которые непосредственно работают с персональными данными: кадровиков, менеджеров по персоналу, секретарей (). В этом случае при приеме на работу ознакомьте сотрудника с Положением о работе с персональными данными.

Можно ли в локальный акт организации включить условие об обязательном применении полиграфа в процессе трудовой деятельности сотрудников

Нет, нельзя.

Использование полиграфа в процессе трудовой деятельности (при трудоустройстве, установлении виновного в причинении ущерба работодателю и т. п.) Трудовым кодексом РФ не предусмотрено. Кроме того, медицинские, научные и иные опыты (в т. ч. полиграфическое тестирование) на людях без их добровольного согласия в Российской Федерации запрещены (ч. 2 ст. 21 Конституции РФ).

Таким образом, условие о возможности применения полиграфа может быть включено в локальные акты организации, при этом обязать сотрудника проходить проверку на полиграфе без его согласия работодатель не вправе.

Может ли организация передать персональные данные бывшего сотрудника его новому работодателю

Организация вправе предоставить персональные данные бывшего сотрудника по запросу нового работодателя только при наличии письменного согласия сотрудника.

При этом новый работодатель может запрашивать такую информацию только в том случае, если ее невозможно получить у самого сотрудника.

Такой вывод следует из положений пункта 3 статьи 86 Трудового кодекса РФ. Аналогичную позицию занимает Роскомнадзор в разъяснениях от 14 декабря 2012 г.

Можно ли сообщать сведения о работе сотрудника в организации по телефону представителям других компаний, например банков

Да, можно, но только с письменного согласия самого сотрудника.

Под персональными данными понимается любая информация, прямо или косвенно относящаяся к определенному физическому лицу (субъекту персональных данных) (ч. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ). При этом перечень персональных данных не является исчерпывающим, то есть любая информация, относящаяся к определенному лицу, является его персональными данными. Таким образом, место работы и сам факт работы, запрашиваемые у организации, например, кредитной организацией для подтверждения факта работы или потенциальным работодателем о бывшем сотруднике, являются персональными данными. Поэтому передавать данные о сотруднике другим организациям можно только с соблюдением общих требований об обработке персональных данных, то есть только с согласия самого сотрудника (п. 3 ч. 1 ст. 86 ТК РФ , ).

Таким образом, предоставлять сведения о факте работы сотрудников по телефону неустановленным лицам, в том числе представляющимися специалистами банка, можно, но только с письменного согласия самого сотрудника, независимо от того, продолжает он работать в организации или уже уволился.

Отвечает Владислав Волков,

заместитель начальника Управления налогообложения доходов физических лиц и администрирования страховых взносов ФНС России

«Инспекторы сравнят доходы физлиц в 6-НДФЛ с суммой выплат в расчете по страховым взносам. Такое контрольное соотношение инспекторы станут применять с отчетности за I квартал. Все контрольные соотношения для проверки 6-НДФЛ приведены в . Инструкцию и образцы заполнения 6-НДФЛ за I квартал смотрите в рекомендации.»

Изменения за последний месяц

КонсультантПлюс, 05.10.2012
ПУТЕВОДИТЕЛЬ ПО КАДРОВЫМ ВОПРОСАМ
ПЕРСОНАЛЬНЫЕ ДАННЫЕ РАБОТНИКОВ
Персональные данные >>>

Получение персональных данных >>>

Обработка персональных данных >>>

Хранение и использование персональных данных >>>

Передача персональных данных >>>

Ответственность за нарушение норм, регулирующих защиту персональных данных >>>
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
1. Понятие персональных данных >>>

2. Документы, содержащие персональные данные >>>

3. Право работников на защиту своих персональных данных >>>
1. Понятие персональных данных
В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) персональными данными является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Согласно ст. 85 ТК РФ под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. В Трудовом кодексе РФ не уточняется, какая именно информация о работнике требуется работодателю. Исходя из этого можно сделать вывод, что работодатель имеет право затребовать от работника только ту информацию, которая характеризует последнего именно как сторону трудового договора, а не как личность. Следовательно, работодатель не может требовать от работника предоставления персональных сведений, которые не связаны с осуществлением его трудовой деятельности в конкретной организации.

Однако, исходя из определения персональных данных, которое приведено в Законе о персональных данных, можно сделать вывод, что персональные данные - это любая информация, которая позволяет идентифицировать конкретного человека.

Таким образом, для определения состава персональных данных, необходимых работодателю в рамках трудовых отношений, рекомендуется руководствоваться формулировкой, приведенной в Трудовом кодексе РФ.

Персональные данные могут содержать следующую информацию:

Фамилия, имя, отчество;

Пол, возраст;

Физиологические особенности человека;

Образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;

Состояние здоровья и сексуальная ориентация;

Принадлежность лица к конкретной нации, этнической группе, расе;

Место жительства;

Привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);

Семейное положение, наличие детей, родственные связи;

Факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Религиозные и политические убеждения (принадлежность к религиозной конфессии, членство в политической партии, участие в общественных объединениях, в т.ч. в профсоюзе, и др.);

Финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);

Деловые и иные личные качества, которые носят оценочный характер;

Прочие сведения, которые могут идентифицировать человека.

Из указанного списка работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора. Подробнее об этом см. п. 2 настоящего материала.
Ситуация из практики. Относится ли фотография работника к персональным данным?

В действующем законодательстве прямо не установлено, что фотография относится к персональным данным. Однако работодатель не может использовать фотографию работника без его согласия.

Исходя из определения персональных данных, которое дано в Законе о персональных данных, нельзя однозначно сказать, является ли фотография сама по себе персональными данными. Как следует из смысла Закона, под персональными данными понимается информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). В этом Законе фотография прямо не указана как объект, на основании которого можно идентифицировать человека (п. 1 ст. 3 Закона о персональных данных). Следовательно, отнести ее к персональным данным, вероятнее всего, нельзя.

Тем не менее согласно ст. 152.1 ГК РФ обнародование и дальнейшее использование изображения гражданина допускаются только с его согласия. Соответственно, использование фотографии человека (в т.ч. работника) без его согласия не допускается.
2. Документы, содержащие персональные данные
В процессе трудовой деятельности работника работодатель копит и хранит документы, содержащие персональные данные работника. Исходя из определения персональных данных, которое дано в ст. 85 ТК РФ и в ст. 3 Закона о персональных данных, такие сведения могут содержаться в следующих документах:

Анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу. В этих документах содержатся анкетные и биографические данные работника;

Копия документа, удостоверяющего личность работника. Здесь указываются фамилия, имя, отчество, дата рождения, адрес регистрации, семейное положение, состав семьи работника, а также реквизиты этого документа;

Личная карточка N Т-2. В ней указываются фамилия, имя, отчество работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность, и пр.;

Трудовая книжка или ее копия. Содержит сведения о трудовом стаже, предыдущих местах работы;

Копии свидетельств о заключении брака, рождении детей. Такие документы содержат сведения о составе семьи, которые могут понадобиться работодателю для предоставления работнику определенных льгот, предусмотренных трудовым и налоговым законодательством;

Документы воинского учета. Содержат информацию об отношении работника к воинской обязанности и необходимы работодателю для осуществления в организации воинского учета работников;

Справка о доходах с предыдущего места работы. Нужна работодателю для предоставления работнику определенных льгот и компенсаций в соответствии с налоговым законодательством;

Документы об образовании. Подтверждают квалификацию работника, обосновывают занятие определенной должности;

Документы обязательного пенсионного страхования. Нужны работодателю для уплаты за работника соответствующих взносов;

Трудовой договор. В нем содержатся сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника;

Подлинники и копии приказов по личному составу. В них содержится информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника;

При необходимости - иные документы, содержащие персональные данные работников.

Кроме того, работодатель в процессе своей деятельности собирает информацию о соискателях, необходимую для принятия решения о вступлении с ними в трудовые отношения. Если эта информация содержит персональные данные соискателей, к ней в полной мере относятся установленные законом требования о сборе, обработке, хранении, защите персональных данных.
3. Право работников на защиту своих персональных данных
В соответствии с ч. 1 ст. 89 ТК РФ работники имеют право на полную информацию об их персональных данных и обработке этих данных. Соответственно, работодатель обязан ознакомить их с такой информацией.

Согласно п. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Следовательно, конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах, определяющих порядок обработки и защиты персональных данных работника. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным. Подробнее об этом см. раздел "Хранение и использование персональных данных" настоящего материала.

Также работники, согласно ст. 89 ТК РФ, имеют право на свободный бесплатный доступ к своим персональным данным, в т.ч. на получение копии любой записи, содержащей такие данные.

Учитывая требования ст. 62 ТК РФ, по письменному заявлению работника работодатель обязан не позднее трех рабочих дней со дня получения от работника заявления выдать ему копии документов, связанных с работой (приказа о приеме на работу, приказов о переводах на другую работу, приказа об увольнении с работы, выписки из трудовой книжки, справок о заработной плате, о начисленных и фактически уплаченных пенсионных взносах, о периоде работы у данного работодателя и др.). Данные копии заверяются надлежащим образом и предоставляются работнику безвозмездно.

Работник также может определить представителя для защиты своих персональных данных. Традиционно представителями работников являются профсоюзы, однако для указанных целей работник может определить иное лицо (физическое либо юридическое), а также защищать права самостоятельно.

Также работникам предоставляется право доступа к персональным данным, относящимся к медицинским данным, с помощью медицинского специалиста по их выбору.

Работники имеют право требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями требований Трудового кодекса РФ или иного федерального закона. В случае отказа работодателя исключить или исправить персональные данные работника последний имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения (ст. 89 ТК РФ).

В соответствии со ст. 89 ТК РФ по требованию работника работодатель обязан известить всех лиц, которым ранее были сообщены неверные или неполные персональные данные этого работника, обо всех произведенных в них исключениях, исправлениях или дополнениях. Работники имеют право обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.
Важно! В соответствии с п. 4 ст. 86 ТК РФ работодатель не имеет права получать и обрабатывать данные работника о его политических, религиозных и иных убеждениях и частной жизни без его письменного согласия, если это не связано с трудовыми отношениями. Неприкосновенность частной жизни гарантирована ст. 23 Конституции РФ, и согласно ст. 24 Конституции сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Получение персональных данных от работника >>>

2. Получение персональных данных работника от третьих лиц. Согласие работника на получение работодателем персональных данных от третьих лиц >>>
1. Получение персональных данных от работника
В соответствии с п. 3 ст. 86 ТК РФ все персональные данные работника следует получать у него лично. Если такие данные возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению данных и последствиях отказа работника дать письменное согласие на их получение.

Данная норма исключает сбор сведений о работнике без его ведома. В соответствии с п. 1 ст. 9 Закона о персональных данных субъект персональных данных принимает решение о предоставлении своих данных и дает согласие на их обработку своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Указанный Закон также возлагает на работодателя обязанность представить доказательство получения согласия на обработку персональных данных, а в случае обработки общедоступных данных - обязанность доказать, что эти данные являлись общедоступными (п. 3 ст. 9 Закона о персональных данных). Однако следует учитывать, что в силу п. 5 ч. 1 ст. 6 Закона о персональных данных согласия субъекта персональных данных не требуется, когда обработка таких данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. Поскольку работник является стороной трудового договора, то письменное согласие на получение его персональных данных не нужно.
2. Получение персональных данных работника от третьих лиц. Согласие работника на получение работодателем персональных данных от третьих лиц
Согласно п. 3 ст. 86 ТК РФ если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере таких данных и последствиях отказа работника дать письменное согласие на их получение. При отказе работника от ознакомления с уведомлением о предполагаемом получении его персональных данных у иного лица составляется акт, который должен быть подписан лицами, предъявившими работнику соответствующее уведомление.

В уведомлении необходимо указать цели получения персональных данных работника у иного лица, предполагаемые источники информации (лица, у которых будут запрашиваться данные), способы получения данных, их характер, а также те последствия, которые наступят, если работник откажет работодателю в получении персональных данных у иного лица.

Целями получения персональных данных работника у третьего лица в соответствии с п. 1 ст. 86 ТК РФ являются исключительно соблюдение законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение их личной безопасности, контроля количества и качества выполняемой работы и сохранности имущества. Следовательно, запрашивать иную информацию, не имеющую отношения к вышеназванным целям, от третьих лиц работодатель не вправе даже с согласия работника.

См. образец заполнения уведомления.
См. образец заполнения согласия.
Ситуация из практики. Может ли работодатель передавать персональные данные своих бывших работников новым работодателям по их запросам?

Такие действия можно совершать только при наличии письменного согласия работника.

Из содержания п. 3 ст. 86 ТК РФ следует, что запрашивать информацию у третьей стороны, в том числе и у предыдущего работодателя, нынешний работодатель может только с согласия работника и только если данную информацию нельзя получить у самого работника. Иными словами, потенциальный работодатель вправе запросить информацию при наличии согласия работника, а прежний работодатель вправе ее передать с тем же условием.
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Требования к обработке персональных данных >>>

2. Условия обработки персональных данных >>>

3. Обработка персональных данных без использования средств автоматизации >>>

4. Обработка персональных данных с использованием средств автоматизации >>>
1. Требования к обработке персональных данных
В соответствии со ст. 3 Закона о персональных данных обработка персональных данных - это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Согласно ст. 5 Закона о персональных данных при обработке персональных данных должны соблюдаться следующие принципы:

1) обработка должна осуществляться на законной и справедливой основе;

2) обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных;

3) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

4) обработке подлежат только те персональные данные, которые отвечают целям обработки;

6) при обработке должны быть обеспечены точность и достаточность персональных данных, а в необходимых случаях - актуальность по отношению к целям обработки. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

7) форма хранения персональных данных должна позволять определять субъекта этих данных. Хранение не должно длиться дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Следует также учитывать положения ст. 86 ТК РФ, в соответствии с которой обработка персональных данных работника может осуществляться исключительно в целях соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения их личной безопасности, контроля количества и качества выполняемой работы и сохранности имущества.



Просмотров

Сакральное значение цифры семь
Сакральное значение цифры семь
Логическая схема 2. Логические элементы. Задача синтеза логических схем в булевом базисе
Логическая схема 2. Логические элементы. Задача синтеза логических схем в булевом базисе
Грибы с курицей в мультиварке Блюда из курицы грибов в мультиварке
Грибы с курицей в мультиварке Блюда из курицы грибов в мультиварке
Подберем рецепт фасолевого супа из красной фасоли на ваш вкус?
Подберем рецепт фасолевого супа из красной фасоли на ваш вкус?
Сонник: к чему снится наводнение
Сонник: к чему снится наводнение
Толкование снов: к чему снится сахар
Толкование снов: к чему снится сахар