Что включает обработка персональных данных. Ликбез по персональным данным для компаний, которые их обрабатывают

Поступая на работу, новый сотрудник предоставляет работодателю колоссальное количество личной информации. Частично это объясняется производственной необходимостью. Независимо от характера предоставляемых данных, они должны храниться должным образом и быть качественно защищены. Если этого не происходит и личная информация работников разглашается, то сотрудникам оказывается нанесен существенный ущерб (как их достоинству, так и личной безопасности). Поэтому важно подробнее рассмотреть понятие "персональные данные". Что к ним относится? Каким образом их необходимо хранить? Какие существуют методы защиты персональных данных? Кто регулирует процесс их хранения и обработки? Ответы на эти и некоторые другие вопросы будут предоставлены непосредственно в этой статье. Будьте максимально внимательны.

Закон о персональных данных

Разнообразные нормативно-правовые акты предоставляют различные определения понятия "персональные данные сотрудника". Для того чтобы понять, что именно подразумевается, необходимо соотнести их разнообразные положения. Их законодательным основанием является закон "О персональных данных" и ряд норм, содержащихся в Конституции Российской Федерации.

Итак, что можно сказать об информации, которую собирают у сотрудников предприятия? Такие работники становятся субъектами персональных данных. К такого рода информации относят следующие данные: Ф.И.О., данные о рождении, семейный статус, место жительства, общественный статус, информация об актуальных доходах, данные об образовании и так далее.

Эти данные относятся к типу информации с ограниченным доступом, ведь законодательно подтверждено, что никто не может подвергаться вмешательству в его личную жизнь. Это относится и к персональным данным.

Такая информация необходима для того, чтобы эффективно идентифицировать личность гражданина. А если речь идет о сотруднике, то персональные данные предоставляют сведения о нем как профессионале в определенной сфере деятельности. Поэтому логично, что к личной информации работника относятся только те сведения, которые имеют отношение к его профессиональному потенциалу и особенностями исполнения им его трудовых обязанностей.

Конституция Российской Федерации гарантирует гражданам конфиденциальность их личной жизни. И персональная информация имеет к ней прямое отношение. Это определено соответствующим Указом президента Российской Федерации, который утверждает конфиденциальный характер такого рода информации и закрепляет отсутствие доступа к ней для общественности.

В то же время Трудовой кодекс Российской Федерации предоставляет достаточно узкое определение рассматриваемого понятия. Он утверждает, что персональные данные сотрудника - это информация, которая необходима его руководителю в связи с исполнением его прямых профессиональных обязанностей и которая имеет отношение исключительно к определенному работнику.

Обработка персональных данных

Для чего нужно обрабатывать и хранить персональные данные? Они необходимы для того, чтобы правильным образом реализовывать трудовую активность предприятия.

Цели их обработки следующие:

  • факт приема на работу;
  • основание для карьерного продвижения;
  • осуществление выплат заработной платы;
  • контроль реализации выполнения работы.

Существует ряд методов защиты личной информации. Работники имеют полное право знать, как именно хранятся и используются их персональные данные. Ознакомить сотрудников с этой информацией - это обязанность руководителей. Факт уведомления работники подтверждают личной подписью.

Типы персональных данных

То, какая именно личная информация о работниках должна быть собрана, определяется Трудовым кодексом, Конституцией Российской Федерации и рядом федеральных законов. Так, являются необходимыми два вида документов. Первый - бумаги, которые связаны с подачей трудового договора. Второй - документация, запрашиваемая или формируемая работодателем непосредственно.

Так, персональные данные классифицируются по следующим признакам:

Степень доступа

  • Общедоступные. Доступны широкому кругу лиц.
  • Конфиденциальные. Доступны только тем, кому сотрудник позволил.

Направление

  • Специальные. Личная жизнь, наличие судимости, религиозные взгляды, политические убеждения.
  • Обычные. Все, что не относится к специальным данным.
  • Биометрические. Характеризуют физиологию.
  • Не биометрические. Данные, которые не относятся к биометрическим.

Виды персональных данных

На какие типы подразделяются персональные данные? Что к ним относится?

Важно понимать, что вся информация, которая хранится на предприятии в отношении определенного сотрудника, может быть рассмотрена с двух разных точек зрения.

  • Данные о семейном положении и семье работника (отдельных ее членах), а именно: наличие иждивенцев, наличие детей, их возраст и количество, состояние здоровья.
  • Информация об определенном сотруднике, а именно: ФИО (паспорт), профессия, состояние здоровья, а также какие-нибудь особенные обстоятельства.

Руководитель предприятия обязан сформировать нормативно-правовой акт локального значения, который рассматривает порядок, определяющий хранение персональных данных. Он может быть представлен в разном виде. Например, им может являться Положение о персональных данных.

Итак, обсудим один из нюансов подробнее. Персональные данные: что к ним относится? Информация, содержащаяся в личных делах. Речь идет о следующем:

  • данные паспорта (место и год рождения и так далее);
  • копия диплома;
  • копия документов, которые подтверждают наличие специальных навыков и знаний;
  • копия документов пенсионного госстраха;
  • иные документы.

Итак, подведем итог, что подразумевает понятие персональные данные? Что к ним относится? Это личная информация о работнике, которая необходима работодателю для того, чтобы наиболее эффективно использовать потенциал и умения сотрудника. Последний, конечно же, должен дать свое согласие на обработку персональных данных. Если все формальности соблюдены, то информация останется максимально защищенной.

Ответственность за разглашение

Важно учесть, что 152 ФЗ "О защите персональных данных" предусматривает только административную ответственность предприятия за разглашение персональных данных сотрудника. А значит, если организация не способна гарантировать работникам абсолютную защиту их личной информации, то ее ожидает только штраф. Причем суммы денежного наказания за неправильное хранение персональных данных абсолютно смешные. В общем, они колеблются от пяти до десяти тысяч рублей. Конечно, это так, если речь идет только об одиночных выплатах. Как правило, на предприятиях, где есть такого рода проблемы, нарушения множественные, а значит, и суммы штрафа существенно возрастают.

Однако денежные затраты - далеко не самое главное последствие того, что использование персональных данных происходит неправильным образом. Это сильно бьет по репутации компании. Ведь когда сотрудники дают свое согласие на обработку персональных данных, они рассчитывают, что их сохранность гарантирована. Если выясняется иное, такие кадры отказываются иметь дело с фирмой такого рода. Компания теряет возможность нанимать профессионалов.

Как Роскомнадзор проверяет защиту персональных данных

В данном случае нас интересует 152 ФЗ "О защите персональных данных". Именно он является законодательной базой для реализации данной функции.

Обычно Роскомнадзор проверяет три основных направления рассматриваемой сферы:

  • Средства массовой информации.
  • Связь.
  • Защита персональных данных.

Положение о персональных данных рекомендует Роскомнадзору проводить такого рода проверки как минимум трижды в год. Это правило действует, если речь идет о плановых проверках. Внеплановые же производятся по мере необходимости. Каковы могут быть для этого причины? Например, если плановый аудит осуществлялся достаточно давно. Или если потребуется удостовериться в том, что прошлые замечания были учтены и были внесены необходимые изменения.

Правила хранения персональных данных

На каждом предприятии обязательно должны быть разработанный специальные правила, регламентирующие то, как хранятся и используются персональные данные сотрудников. Существует несколько вариантов того, как именно описанный документ может быть оформлен. Это может быть как отдельное положение, так и раздел, включенный в локальные Правила внутреннего распорядка. Каждый сотрудник имеет право принимать участие в процессе разработки и проведения мероприятий по защите персональных данных. Именно поэтому всех работников необходимо тщательно ознакомить с описанным документом.

Потребуется составить перечень персональных данных и список сотрудников, а также сформировать шаблон документа. Его должны подписать все, кто работает на предприятии.

Физическое хранение

Существуют разные способы хранения данных. Некоторые не готовы переходить к электронным архивам, а значит, предпочитают вести дела традиционным образом (то есть на бумаге). Суть метода в том, чтобы хранить все данные о сотрудниках, его личные документы и копии в буквальной папке, которая называется личным делом.

Каковы преимущества такого типа ведения личных дел? Среди них выделяют следующие:

  • всю информацию просто найти, так как она располагается в одном месте;
  • данные можно легко систематизировать;
  • поиск информации занимает максимально короткое время.

Однако такой метод имеет и некоторые минусы. Например, следующие:

  • наличие дополнительных ресурсов для хранения, таких как специальные помещения, оборудование, сейфы и так далее;
  • трудоемкость процесса;
  • требуются специальные навыки для ведения бумажной документации.

Иногда отделы кадров предпочитают хранить информацию об одном сотруднике раздельно (в различных тематических папках). Так, отдельно хранятся все трудовые договоры, анкеты и прочие документы по всем работникам сразу. Их нумеруют для более удобного поиска. Этот способ менее трудозатратен, чем тот, что был описан выше, да и не требует никаких специальных навыков от сотрудника отдела кадров.

Тем не менее и он не лишен недостатков. Среди них выделяют следующие:

  • большое количество времени требуется для того, чтобы отыскать нужные данные о конкретном работнике;
  • риск утечки конфиденциальной информации существенно повышается.

Хранение в электронном виде

В описываемом случае отделы кадров предпочитают применять электронные базы данных и разнообразные информационные системы. Часто это гарантирует обеспечение безопасности персональных данных.

Каковы преимущества такого типа хранения информации? Далее будут перечислены основные из них:

  • нет необходимости иметь большой архив;
  • существенная экономия пространства;
  • нет никаких ограничений по срокам хранения;
  • обрабатывать персональные данные удобно, и для этого не потребуется много времени;
  • несанкционированный доступ к данным практически исключен;
  • не нужны никакие дополнительные ресурсы.

Выделяют, конечно же, и некоторые минусы. Например, следующие:

  • потребность хранить резервные копии всей базы данных;
  • необходим специалист, который займется администрированием системы информации;
  • потребуются расходы на специально предназначенное для этого оборудование и программное обеспечение;
  • сотрудник, который обрабатывает персональные данные, должен быть исключительно грамотен.

Какие именно методы применяют для того, чтобы эффективно защитить персональную информацию сотрудников?

  • Сделать помещения, в которых обрабатываются личные данные, полностью закрытыми для доступа других сотрудников.
  • Для получения какой-либо информации сотрудники должны получить специальное разрешение.
  • Хранение данных должно быть четко организовано.

Учитывая наличие и недостатков, и преимуществ у каждого из методов, как правило, работодатели комбинируют их. Не имеет значения, какой именно способ хранения информации используется, работодатель, так или иначе, обязан получить согласие сотрудника на обработку его личной информации.

Вывод

Персональные данные - конфиденциальная информация, которая может быть собрана работодателем с целью идентификации личности сотрудника, а также для определения уровня квалификации работника и его профессионального потенциала. Существует несколько способов хранения и обработки личной информации (она может быть зафиксирована на бумаге или электронных носителях, в зависимости от предпочтений сотрудников отдела кадров и возможностей предприятия). Защита персональных данных должна стать первоочередной задачей соответствующего отдела, так как это право сотрудника, которое гарантируется ему Конституцией Российской Федерации. Важно хорошо знать свои права, чтобы иметь возможность защитить себя в спорной ситуации.

Хотите иметь дело с проверкой Роскомнадзором своего ИТ-продукта или сайта? А потом ещё платить штраф, нести ответственность?

В закладки

Думаю, что нет. Поэтому, давайте, начнём разбирать что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов.

Немного теории

Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

1) нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

Физическое лицо: предупреждение или штраф в размере 1 000 - 3 000 рублей;

Должностное лицо: штраф в размере от 5 000 - 10 000 рублей;

Юридическое лицо: штраф в размере 30 000 - 50 000 рублей;

2) Обработка персональных данных без согласия гражданина приведет:

Физическое лицо: штраф в размере 3 000 - 5 000 рублей;

Должностное лицо: штраф в размере от 10 000 - 20 000 рублей;

Юридическое лицо: штраф в размере 15 000 - 75 000 рублей;

3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:

Физическое лицо: штраф в размере 700 - 1 500 рублей;

Должностное лицо: штраф в размере от 3 000 - 6 000 рублей;

Индивидуальный предприниматель: штраф в размере от 5 000 - 10 000 рублей

Юридическое лицо: штраф в размере 15 000 - 30 000 рублей;

Первоначально определимся с основными понятиями и поймём, что же они значат (неформальное объяснение по тексту будет обозначаться “Д”, это от слова description):

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Д: это любая совокупность информации, через которую можно определить определенного человека. К примеру, абстрактная электронная почта, допустим [email protected] - не относится к ПД, однако электронная почта с рабочим адресом допустим, [email protected] с подписью в письме “Главный инженер” - относятся к персональным данным, т.к. мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации “Ромашка”.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Д: это вы, собирающий персональные данные. Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека - и вот вы уже владелец персональных данных в лице оператора.

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Д: это любые действия, которые вы совершаете как оператор.

Самый большой штраф как вы видите - это за сбор ПД гражданина без согласия, поэтому в статье будем говорить в основном об этом.

Определим сразу случаи, когда согласие на обработку ПД не надо собирать в соответствии с законодательством Российской Федерации:

1. Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.

Д: когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.

2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Д: когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные. Сюда подходит и оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент когда собираете ПД - наступает раньше.

3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.

Д: вы обезличиваете данные физического лица и “размываете” их в море других данных, соответственно определить кому что принадлежит - невозможно даже вам.

4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

Д: данный пункт не относится к интернет-проектам, но для понимания ситуации, пример, когда приезжает частная медицинская бригада и оказывает помощь.

5. Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.

Д: если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги - нет необходимости требовать согласия на обработку ПД.

6. Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

7. Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Д: не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством Российской Российской Федерации.

Во всех остальных случаях, при контакте и сборе ПД от физического лица - вы должны получать его согласие и иначе никак - закон есть закон!

Что делать

Теперь разберём как собирать ПД и получать согласие.

Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных. Если у вас юридическое лицо или вы - индивидуальный предприниматель - вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии. Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах - относится не только к работе с потребителями, но и с работниками.

Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.

Самое главное по теме. Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.

При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!

Немного юридического обоснования чекбоксов, а как называет Роскомнадзор - “галочек”:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:

“4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью...”.

Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:

“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.

Вариативно, ещё шаг 4.

Подать уведомление об обработке ПДн в Роскомнадзор.

В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется:

- политика обработки персональных данных;

- приказ об утверждении вышеуказанной политики;

- согласие на обработку персональных данных;

И зачем всё это вообще?

Для чего же это вообще нужно? Зачем нужно беспокоиться о персональных данных и о получении согласия пользователя на их обработку?

Конечно, это прежде всего административная (штрафы, блокировка) и гражданская (причинение вреда) ответственность - такие вещи могут очень серьёзно повлиять на бизнес. Но есть ещё такая штука как частная жизнь граждан, как злоупотребление правом и недобросовестная реклама продавцов. Я на 100% уверен, что каждый из нас не любит, когда на телефон приходит спам, реклама, а посередине ночи будит смс или звонок с просьбой “срочно перевести деньги, а то в тюрьму посадят”. А всё это происходит из-за ненадлежащего исполнения лицами, осуществляющими сбор персональных данных, своих обязательств. И согласие на обработку ПД - всего лишь часть механизма, который должен обеспечивать нашу с вами защиту как граждан и повышать социальную ответственность. К сожалению, такие полезные институты и механизмы могут превратиться в инструмент для давления… И мы как юристы должны эффективно использовать законы и максимально обезопасить бизнес от этого.

Так что, если вы выполнили все условия и шаги из настоящей статьи, то поздравляем - вы не только уменьшили вероятность быть оштрафованным и привлеченным к ответственности (работа с ПД физических лиц лишь небольшая часть правовой политики ИТ-продукта), но и сделали шаг к социально-ориентированному Интернет-пространству, уважающему личные данные пользователей!

Спасибо за внимание!

В соответствии с ч. 2 ст. 85 ТК РФ обработка персональных данных работника - это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении и продвижении по службе, обеспечения столичной безопасности, а также контроля количества и качества выполняемой им работы и обеспечения сохранности имущества (п. 1 ст. 86 ТК РФ).

Согласно п. 3 ст. 3 Федерального закона «О персональных данных» обработка персональных данных — это действия (операции) с персонатьными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Следует иметь в виду, что независимо от количества перечисляемых в законодательстве функциональных операций правовое регулирование должно охватывать все стадии обработки персональных данных — от получения до уничтожения без каких-либо изъятий и исключений.

К принципам обработки персональных данных указанный Закон относит следующие:

  • законность целей и способов обработки и добросовестность;
  • соответствие целей обработки целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
  • соответствие объема и характера обрабатываемых данных, способов обработки целям их обработки;
  • достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, не имеющих отношения к целям, заявленным при сборе данных;
  • недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

Обработка персональных данных работника начинается с их получения. По общему правилу все персональные данные следует получать у самого работника. В исключительных случаях, когда персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение (п. 3 ст. 86 ТК РФ). Однако персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни работодатель не имеет права получать и обрабатывать (п. 4 ст. 86 ТК РФ). Также работодатель не может запрашивать информацию о состоянии здоровья работника, если это не относится к решению вопроса о возможности выполнения работником трудовой функции (ст. 88 ТК РФ).

Отдельные требования ТК РФ предъявляет к организации и технологии обработки персональных данных работодателем. Обязанность ознакомления работников и их представителей под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области, предполагает необходимость разработки и принятия соответствующего локального нормативного правового акта. Такой акт в зависимости от специфики деятельности и усмотрения работодателя может именоваться положением или инструкцией и, как правило, включает следующие разделы:

  • основные понятия и положения;
  • обработка персональных данных работника;
  • формирование персональных данных работника;
  • учет, хранение и передача персональных данных работника;
  • права и обязанности работника в области обработки и защиты его персональных данных.

Такой локальный нормативный правовой акт определяет режим конфиденциальности (ограниченного доступа) персональных данных работника у определенного работодателя. Сотрудники работодателя, получающие персональные данные работника, обязаны соблюдать этот режим, о чем необходимо указать не только в их должностных инструкциях, но и в заключаемых с ними трудовых договорах. Положение (инструкция) о защите персональных данных является основным документом, отражающим специфику обработки и передачи персональных данных работника в пределах конкретной организации, у определенного индивидуального предпринимателя. В случае наличия в рамках этой деятельности автоматизированной составляющей работодатель не имеет права принимать в отношении работника решения, основанные на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения (п. 6 ст. 86 ТК РФ). Работодатель может не ограничиваться принятием положения о защите персональных данных работников в своей организации. Однако наличие этого локального акта является обязательным, а его отсутствие рассматривается государственной инспекцией труда как серьезное нарушение трудового законодательства.

За это и другие нарушения норм, регулирующих получение, обработку и работника, работодатель может привлекать виновных лиц к материальной, дисциплинарной ответственности, а соответствующие государственные органы — к гражданско-правовой, административной и уголовной.

В век информации и интернет-пространства данные передаются и распространяются с невиданной доселе быстротой. Социальные сети подливают масла в огонь, делая личные данные пользователей практически общедоступными. Но всегда ли сам владелец согласен с тем, что сведения о нём собирают, изучают, хранят и передают?

Персональные данные: что к ним относится?

Сведения о лице столь важны и значимы, что законодатель решил, наконец, юридически урегулировать эту сферу и определил персональные данные как информацию о лице, которая его идентифицирует.

Сюда относятся:

  • имя, отчество, фамилия;
  • место проживания;
  • дата и место рождения.

Отдельный правовой режим установлен для сведений, представляющих риск для прав и свобод субъекта персональных данных и включающих сведения о:

  • расовом или этническом происхождении;
  • национальности;
  • религиозных и мировоззренческих взглядах;
  • членстве в политических партиях и профсоюзах;
  • привлечении к уголовной ответственности;
  • здоровье, половой жизни, биометрических и генетических данных.

К персональным относятся паспортные и другие регистрационные сведения, данные о семейном или имущественном положении (за исключением государственных служащих) и многие другие, так как их перечень законодателем не ограничен.

Законом установлена и форма согласия на обработку персональных данных. Такое разрешение оформляется письменно, дабы быть уверенным в безусловном согласии владельца информации.

В чём заключается обработка персональных данных?

Каждый гражданин может знакомиться со сведениями о другом лице как по роду работы, так и в процессе неофициального общения, читая газеты или просматривая интернет-страницы. Такое ознакомление не означает обработку персональных данных: прочёл, услышал, узнал - и, возможно, забыл. Или просто взял на заметку.

Если же информация о лице собирается для последующей систематизации, использования, передачи или хранения - это уже обработка личных данных. Такой процедурой занимаются, например, поликлиники или школы: полученные данные регистрируются, заносятся в базы и каталоги, классифицируются для последующего использования в своих уставных целях.

Журналист, писатель или частное лицо может обрабатывать личную информацию исключительно в творческих целях без соблюдения юридических норм.

Ограничения на обработку личной информации

Сбор и обработка персональных данных допускаются исключительно для выполнения уставных задач и достижения установленной цели. Например, поликлиника может использовать полученную от пациентов личную информацию только для оказания медицинской помощи указанным лицам.

Целые массивы с личной информацией обрабатывают страховые компании, турагентства, транспортные предприятия, коммунальные службы и другие подобные юридические лица. Указанные организации могут пользоваться такой информацией только для выполнения своих задач перед потребителем и не имеют права собирать сведений больше, чем это необходимо для конкретной ситуации.

Нельзя собирать данные, представляющие риск для прав и свобод лица, если такие сведения не предоставлены самим лицом, например, член политической партии представил сведения о себе непосредственно партийной организации.

Кто имеет право обрабатывать сведения о лице?

Проводить какие-либо действия с персональными данными может исключительно тот, кому владелец данных дал согласие.

Бывают и исключения из правил, например, следственные органы могут обрабатывать информацию об обвиняемом без его согласия. Такое право следователя вызвано необходимостью защиты общественных интересов и выполнением им своих должностных обязанностей.

Налоговые, пенсионные органы также производят различные операции с личной информацией не только для выполнения своих обязанностей, но и для обеспечения прав граждан.

Мобильные операторы обладают немалым объёмом личных сведений об абонентах. Разумеется, такую информацию они могут использовать только для предоставления качественной мобильной связи пользователю.

Персональные данные на работе

Чаще всего личную информацию предоставляют при трудоустройстве. Законом установлен перечень обязательных сведений о работнике, без которых приём на работу невозможен:

  • имя, отчество, фамилия;
  • дата рождения;
  • место жительства;
  • серия, номер, дата выдачи паспорта;
  • регистрационные налоговые и страховые номера;
  • семейное положение;
  • состояние здоровья и некоторые другие сведения.

С получением указанных данных закон связывает определённые правовые последствия по оплате труда, предоставлению отпусков, льгот и многим другим вопросам.

Разумеется, каждый гражданин может отказаться от разглашения сведений о себе, но в этом случае работодатель получает право отказать ему в приёме на работу - такова правовая взаимосвязь. Чаще всего проблем при оформлении не возникает, так как работник добровольно предоставляет нужную информацию.

Впрочем, следует помнить, что работодатель не имеет права на операции с данными работника о национальной или партийной принадлежности, религиозных взглядах и некоторых других.

Что такое согласие на обработку персональных данных?

Разрешение владельца персональных данных на их обработку обычно оформляется в письменной форме, в том числе и при трудоустройстве.

Наученные горьким опытом или просто осторожные компании просят потребителей подписать соответствующие заявления при оформлении дисконтных карт и участии в акциях; поликлиники, школы, вузы и другие учреждения также разработали типовое согласие на обработку персональных данных.

Образец перед подписанием следует внимательно изучить и убедиться, что запрашиваемая информация действительно необходима конкретному лицу. Письменная форма согласия на обработку персональных данных позволяет подтвердить добрую волю владельца.

Оговорки о персональных данных вносятся практически во все договоры: хозяйственные, трудовые, потребительские, ведь в деле соблюдения закона лучше немного перестараться, чем недоглядеть.

Письменное оформление

Ниже приведена письменная форма согласия работника на обработку персональных данных.

Директору завода «Сельхозмаш»

Иванову И. И.

тракториста цеха механизации

Аристова Олега Аркадьевича.

Место составления.

Данным заявлением даю письменное разрешение на сбор, обработку, использование и хранение моих персональных данных, в пределах, необходимых для обеспечения моих трудовых и социальных прав, оплаты установленных налогов, сборов и других обязательных платежей, внесения обязательных взносов в государственные фонды, а также для иных целей, вытекающих из трудовых и смежных с ними правоотношений между мной и работодателем и в пределах, предусмотренных действующим законодательством.

Работодатель имеет право передавать мои персональные данные третьим лицам только в случаях, прямо установленных законом.

Согласие на сбор и обработку персональных данных работник обычно подписывает при оформлении на работу и предоставлении всех необходимых документов. Имеет смысл затребовать от него такое заявление до подписания приказа о приёме на работу.

Согласие на обработку персональных данных: образец

Одним из нестандартных вариантов в сфере обработки личных данных становится выдача родителями согласия образовательному учреждению на операции с личными данными их несовершеннолетнего ребенка. Разумеется, школа вынуждена использовать сведения о детях и их родителях для предоставления образовательных услуг. Выдать такое разрешение имеют право родители как законные представители несовершеннолетних детей.

Совет юриста: о согласиях на обработку персональных данных ребенка следует спрашивать обоих родителей, независимо от того, состоят ли они в официальном, гражданском браке или находятся в разводе. Исключение составляет лишение родительских прав по решению суда.

Ниже приведён примерный образец согласия, составленного обоими родителями.

Директору средней школы № 30

г. Москва

Ивановой И. И.

родителей ученика 4-В класса

Петрова Петра Петровича, 2005 г. р.,

проживающего: Харьковское шоссе, 356, кв. 2,

Матери Петровой Ирины Леонидовны,

проживающей: Харьковское шоссе, 356, кв. 2,

Отца Петрова Игоря Ивановича,

проживающегоя: Харьковское шоссе, 356, кв. 2,

Согласие на обработку персональных данных ребёнка

Настоящим заявлением мы даём разрешение администрации школы на сбор, обработку, использование и хранение персональных данных нашего ребёнка исключительно в пределах, необходимых для обеспечения образовательного процесса и смежных с ним правоотношений, связанных с социальными правами нашего ребёнка.

Передачу третьим лицам персональных данных нашего ребёнка разрешаем исключительно в случаях, предусмотренных действующим законодательством, о чём администрация должна уведомить нас в установленном порядке.

Петрова И. Л., дата.

Петров И. И., дата.

По желанию родители могут составить отдельные листы согласия на обработку персональных данных, каждый от своего имени.

Можно ли обрабатывать сведения о лице без согласия владельца?

По общему правилу обработка личной информации без добровольного согласия владельца незаконна. Исключение составляют случаи, когда информация обрабатывается без согласия владельца для защиты его жизненно важных интересов.

В некоторых случаях можно обрабатывать личную информацию без письменного согласия её владельца:

  • при выдаче владельцу базы данных разрешения;
  • при заключении сделки в интересах гражданина и по некоторым иным основаниям.

Какие санкции предусмотрены за нарушение порядка обращения с личной информацией?

  • Дисциплинарная. Применяется к работникам, в нарушение должностных обязанностей не обеспечившим защиту персональных данных.
  • Административная. Ответственность в виде штрафов довольно серьёзна и налагается на виновное лицо (на граждан - в размере от 300 до 500 руб.; на должностных лиц - от 500 до 1000 руб.; на юридических лиц - от 5000 до 10 000 руб. - в зависимости от совершённого правонарушения и правового статуса нарушителя).
  • Материальная. Может наступить по решению суда, если нарушением прав лица на сохранность персональных данных ему причинен материальный или моральный ущерб.

Информация о лице защищена законом в силу её особой важности, а значит, необходимо выполнять все требования закона о защите персональных данных.

Сейчас никакая деятельность не обходится без информации. В каждой организации хранятся сведения о работниках, партнерах, клиентах. Несанкционированный доступ к ним приводит к их потере или изменению, что отрицательно влияет на деятельность фирмы. Цели обработки персональных данных в организациях одинаковые, поскольку это закреплено законом. Об этом рассказано в статье.

Что означает обработка

Каждый человек может ознакомиться со сведениями о другом гражданине как при исполнении рабочих обязанностей, так и при нерабочем общении, при просмотре интернет-страниц, чтении газеты. Такой сбор информации не считается обработкой. Это просто ознакомление со сведениями.

Если же личная информация специально собирается для использования, хранения, то это будет обработка персональных данных. Этот процесс наблюдается в учебных заведениях, больницах. Сведения регистрируют, вносят в базы, классифицируют для использования в законных целях. Если информацию собирает писатель, журналист, то он может использовать ее для творческих целей.

Способы обработки

Личные сведения обрабатывают 2 способами:

  1. Автоматизированно.
  2. Неавтоматизированно.

Второй вариант предполагает обработку, выполняемую с участием гражданина. Если это происходит без средств автоматизации, то данные нужно отделять от остальных сведений. Это выполняется с помощью отметки, например, на полях бланков. Запрещено размещать на единый носитель личную информацию, если известно, что цели обработки персональных данных несовместимы.

Если личные сведения граждан относят к разным категориям, то нужно для каждого вида использовать индивидуальный носитель. Какие системы можно отнести к автоматизированным, а какие не являются ими? Это раскрывают следующие факты:

  1. Личные сведения, находящиеся в системе персональных данных, могут быть обработанными благодаря неавтоматизированному процессу, если их использование выполняется с личным присутствием человека.
  2. Нельзя утверждать, что данные обрабатываются автоматизированно, если учитывать, что они находятся в информационной системе персональной информации.

Автоматизированная обработка выполняется с использованием вычислительных средств. Обработкой называют все действия, которые выполняются с предоставленными данными. В этот процесс входит сбор, фиксирование, использование, уничтожение.

Цели

Цели обработки персональных данных в организации одинаковые. Сведения нужны для:

  1. Заключения, исполнения, прекращения договоров в случаях, предусмотренных законом и Уставом организации. Такие сделки могут происходить с гражданами, ИП, юридическими лицами.
  2. Кадрового учета предприятия, соблюдения норм закона, заключения и исполнения обязательств по соглашениям.
  3. помощи сотрудникам в трудоустройстве, обучении, использовании льгот.
  4. Исполнения норм налогового законодательства по поводу уплаты налогов и передачи в ПФР персональных данных.
  5. Заполнения статистических документов на основе норм закона.

Каждая цель обработки персональных данных в организации обязательна для исполнения, поскольку это закреплено законом. Именно поэтому во всех учреждениях необходимы сведения о работниках, клиентах, партнерах. Цели обработки персональных данных позволяют вести деятельность законным способом.

Правила и порядок

О своих сотрудниках руководитель должен получить следующую информацию:

  1. Образование.
  2. Опыт работы, прежняя должность.
  3. Данные о семье и их работе.
  4. Сведения о здоровье.

При обработке информации работников специалисты кадрового отдела должны следовать нескольким правилам:

  1. Обрабатывать сведения на основе норм закона, помогать в трудоустройстве, содействовать в обучении и повышении в карьере, контролировать качество выполняемых поручений.
  2. Личные сведения предоставляются сотрудником. Если по какой-то причине их нельзя получить от работника, а только от третьего лица, необходимо получить письменное согласие на разглашение информации.
  3. Кадровый сотрудник не может самостоятельно пользоваться сведениями о религиозной направленности или профсоюзной деятельности, если это не относится к работе. Если эта информация касается рабочих отношений, то нужно письменное разрешение.
  4. Контролирует сотрудников кадрового отдела, а также исполнение ими данных правил руководитель.
  5. Все работники должны расписаться, подтверждая, что ознакомлены с правилами регламента.

Цели обработки персональных данных по закону №152 обязательны для исполнения каждым работодателем. Исходя из ст. 22, руководитель может совершать действия с личными сведениями сотрудников без оповещения Роскомнадзора.

Принципы

Важно знать не только цели сбора и обработки персональных данных, но и принципы. Они указаны в ст. 5 гл. 2 ФЗ №152:

  1. Важно соблюдение законности и добросовестности целей и методов обработки.
  2. Соответствие целям, заявленным при сборе.
  3. Соответствие объема и характера обрабатываемой информации, методов целям.
  4. Достоверность сведений.
  5. Недопустимость объединения баз для несовместимых целей.
  6. Хранение в форме, которая позволяет определить субъекта данных, причем не дольше, чем этого требуют цели. Потом их уничтожают.

Цели обработки персональных данных работника достигаются с помощью условий, указанных в ст. 6 гл. 2:

  1. Выполнение обработки с разрешения субъектов.
  2. Если это поручено на основе договора другому лицу, то важно соблюдение конфиденциальности.
  3. Обработка особой информации в специальном порядке.

Есть несколько исключений, когда разрешение субъекта не требуется. Это происходит тогда, когда:

  1. Процедура осуществляется на основе ФЗ, который устанавливает ее цель, условия, круг субъектов, информация о которых подлежит обработке.
  2. Все выполняется для исполнения договора.
  3. Требуется выполнение статистических и других научных целей.
  4. Необходима защита жизни, здоровья, жизненно необходимых интересов, если получить разрешение невозможно.
  5. Выполняется доставка почтовых отправлений.
  6. Осуществляется профессиональная деятельность журналиста.
  7. Происходит обработка информации, подлежащей опубликованию на основе закона.

Согласие

Чтобы защитить человека от нежелательного использования сведений о нем, требуется его согласие на обработку персональных данных. Цель обработки должна быть законной, а в остальных случаях это делать запрещено. Согласие предоставляется с устройством на работу, оформлением банковского счета и при других важных сделках.

Единой формы разрешения нет. Его составляют в свободной форме на бланке, используемом предприятием. Срок, на протяжении которого разрешение действует, обозначается в самом документе. Там же указываются цели обработки персональных данных в организации.

Ответственность организации

Специалиста, ответственного за получение, обработку, хранение личных сведений, назначает директор учреждения. Также он определяет лиц, которым открыт доступ к информации. Документ нужно оформить приказом. Обычно за обработку сведений отвечают:

  1. Руководители кадрового отдела.
  2. Кадровые инспекторы.
  3. Руководители по персоналу.
  4. Заместители руководителей по персоналу.
  5. Специалисты по работе с персоналом.

Основываясь на ФЗ №152, работник, выполняющий сбор и обработку личных данных, является оператором. Им и является руководитель. Цели обработки персональных данных в образовательном учреждении такие же, как и в организациях.

Передача и хранение

Хранение документации с личной информацией о работниках осуществляется в огнеупорных шкафах или сейфах. Ключи от них должны быть у директора кадрового отдела. Если он отсутствует, то этим заведует заместитель. При необходимости передачи личных сведений работника кадровый сотрудник должен помнить о следующих правилах:

  1. Запрещено передавать третьим лицам личные сведения без письменного разрешения. Исключением считаются случаи, когда данные требуются для предотвращения вреда здоровью и в ситуациях, закрепленных законом. Также запрещено разглашать информацию в коммерческих целях без согласия.
  2. Если нужно передавать данные работников, то необходимо оповестить тех, для кого применяется эта информация, что сведения можно использовать только для целей запроса.
  3. Кадровый сотрудник может использовать только ту информацию, которая необходима для исполнения рабочих обязанностей.
  4. У кадрового работника нет права выяснения сведений о состоянии здоровья сотрудника.

Исключением считаются обстоятельства, имеющие отношение к вопросу выполнения работниками своих обязанностей.

Ответственность

Если работниками нарушен порядок сбора, обработки, выдачи сведений, то они несут дисциплинарную и уголовную ответственность по закону. В ст. 5 ФЗ сказано, что личная информация, собираемая для обработки автоматизированными принципами или другими средствами, должна производиться в таком виде, чтобы можно было установить субъекта данных.

Определение субъекта не может быть длительнее, чем это требуется для обработки. Если она выполнена, то некоторое время персональные данные уничтожать нельзя. Персональные данные сотрудников хранятся в учреждении 75 лет. Таким образом, на каждом предприятии должны соблюдать правила хранения и обработки информации.