Хранение и обработка персональных данных закон

Содержание страницы:

Вступил в силу закон о хранении и обработке персональных данных россиян с использованием серверов, находящихся на территории России

Установлен порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства РФ в области персональных данных. Сегодня вступил в силу Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

Напомним, документом установлена обязанность хранения на территории России персональных данных россиян, используемых интернет-серверами. Так, операторы должны при сборе персональных данных, в том числе посредством Интернета, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории нашей страны. Кроме того, россиянам предоставлено право в судебном порядке требовать удаления своих персональных данных, если они размещены в Интернете с нарушением законодательства.

Также предусмотрено создание Реестра нарушителей прав субъектов персональных данных, в котором будут отражены сведения об интернет-сайтах, содержащих информацию, обрабатываемую с нарушением законодательства РФ в области персональных данных. Сегодня вступает в силу и постановление Правительства РФ от 19 августа 2015 г. № 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных».

Отметим, в начале августа Минкомсвязи России на своем официальном сайте разъяснило порядок применения новых правил. В частности, был разрешен спорный вопрос о допустимости трансграничной передачи данных – ведомство отметило, что подобные действия закон не нарушают. Кроме того, Минкомсвязи России посчитало, что под действие поправок не попадают российские и иностранные авиакомпании, и подчеркнуло, что правила нового закона распространяются исключительно на российских резидентов.

Портал ГАРАНТ.РУ узнал, как отразятся новые требования на работе крупных компаний. Так, в пресс-службе «Вконтакте» отметили, что личные данные пользователей этой социальной сети всегда хранились на территории России, поэтому никаких затруднений новые требования не вызовут. В свою очередь, по сообщению пресс-службы Mail.Ru Group, компания также готова к соблюдению вступающего в силу закона. «Для наших пользователей при этом ничего не изменится», – подчеркнули представители компании. Готова к вступлению в силу указанного закона и компания Enter – ее серверы находятся на территории РФ.

С другими документами, вступившими в силу сегодня, можно ознакомиться в нашем Правовом календаре.

Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса

Вот уже более девяти месяцев действует так называемый закон о локализации персональных данных (Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»; далее – Закон № 242-ФЗ). Он обязывает операторов обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных россиян с использованием баз данных, находящихся на территории России. Первоначально требования закона были недостаточно точно конкретизированы, в результате чего у представителей бизнеса возникло множество вопросов. Однако большую их часть удалось разрешить еще до вступления Закона № 242-ФЗ в силу. Оставалось ждать, как принятый закон будет реализовываться на практике. И теперь, чуть меньше года спустя, можно выделить ряд наиболее распространенных проблем, с которыми столкнулся бизнес в процессе его применения.

Идентификация баз данных

До 1 сентября 2015 года компании уведомляли Роскомнадзор о категории персональных данных, перечне действий с ними, целях их обработки, обеспечении безопасности и др. С указанной даты у них появилась еще одна обязанность – сообщать о месте нахождения базы данных информации, содержащей персональные данные россиян (п. 10.1 ч. 3 ст. 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Все эти сведения должны быть отражены в уведомлении, подаваемом в Роскомнадзор.

Таким образом, теперь любой оператор персональных данных должен знать, какие именно информационные системы, содержащие базы данных, он использует и где они расположены.

Наталья Иващенко, к.ю.н., руководитель межотраслевой группы юридической компании «Пепеляев Групп» :

«До вступления в силу законодательного требования о локализации персональных данных Роскомнадзор на практике ограничивался документальной проверкой соблюдения требований Закона № 242-ФЗ. Поскольку требований к месту расположения персональных данных не предъявлялось, то компании сообщали о тех персональных данных, которые содержались во внутренних информационных системах, которые для них были очевидны (например, база данных сотрудников компании). После ужесточения регулирования компании начали задумываться о том, какие в принципе базы данных они используют, и в каком месте они расположены. Законодательные изменения послужили драйвером для инвентаризации используемых баз данных».

Чтобы идентифицировать базу данных для ее переноса на российские серверы, следует провести аудит ее содержимого. Если обнаружено наличие персональных данных россиян: ФИО, дата рождения, паспортные данные и т. д., эту информацию необходимо локализовать. При этом, как отмечает руководитель группы разработки IT-компании «AT Consulting» Михаил Алексеев, перенести базу данных можно как полностью, так и частично (когда речь идет о переносе не всей информации, а только находящихся в этой базе персональных данных). «Первый вариант наиболее прост и удобен в реализации, а также более экономически оправдан. Со вторым могут возникнуть технические проблемы, поскольку приложениям в этом случае придется работать сразу с двумя базами данных, – добавляет он. – В документах локализуемая база данных должна быть однозначно определена своим IP, портом и именем».

Если оператор не уведомит Роскомнадзор о тех базах данных, которые он использует при обработке персональных данных россиян, это может стать основанием для проверки со стороны регулятора. При этом, уточняет Наталья Иващенко, Роскомнадзор может не ограничиться лишь документальной проверкой, а провести опрос сотрудников, а на его основе осуществить проверку с использованием технических средств и выявить «незаявленные» базы данных. Это может повлечь за собой административную ответственность юридического лица в виде штрафа в размере до 10 тыс. руб. (ст. 13.11 КоАП РФ). При этом компания не освобождается от обязанности устранить выявленное нарушение.

Для соблюдения требований закона Наталья Иващенко рекомендует предпринять следующие шаги:

  • Провести инвентаризацию всех информационных систем/баз данных и составить их список.
  • Определить место нахождения каждой информационной системы/базы данных. При этом стоит отметить, что далеко не все базы данных должны быть расположены в России. Обязательное требование о локализации персональных данных означает, что в России должен осуществляться именно первичный сбор таких данных. Обработка и хранение данных могут производится за рубежом.
  • Описать информационную систему/базу данных, содержащую сведения о конкретных видах персональных данных, которыми она оперирует. Каких-либо требований к подобному описанию законодательством и подзаконными нормативными актами не предусмотрено. На практике достаточно определить название информационной системы/базы данных, место ее расположения и сведения о видах (категориях) персональных данных.

Использование персональных данных материнской компанией за рубежом

Многие иностранные холдинги сталкиваются с проблемой локализации, когда встает вопрос об использовании персональных данных россиян головной организацией, находящейся за пределами России. В данном случае важно понимать, какие именно действия осуществляются с персональными данными за рубежом. Как уточняет руководитель группы правовой защиты информации компании «Пепеляев Групп» Дмитрий Зыков, лишь «первоначальный» сбор персональных российских граждан за границей является нарушением закона (ч. 5 ст. 18 закона о персональных данных). Таким образом, соответствующая информация при этом обязательно должна быть локализована.

А вот персональные данные россиян, собранные представительством или филиалом этой организации в России, а потом переданные зарубежной материнской компании, вполне могут использоваться для дальнейшей обработки, хранения и т. д.

Передача персональных данных аутсорсинговой компании

В последнее время услуги аутсорсинга становятся все более востребованными. Однако передавая провайдеру определенные функции, ему нередко дают и доступ к персональным данным. Переходит ли при этом к аутсорсеру обязанность по их локализации? Ведь, по общему правилу, ответственным лицом за соблюдение требований о защите персональных данных он не является. В этом случае также важно определить, каким образом будет использоваться полученная информация.

Так, если компания-оператор персональных данных предоставляет аутсорсинговой организации только доступ к своим базам данных для выполнения определенных функций по договору (например, для осуществления рекламных рассылок), то в этом случае, подчеркивает Дмитрий Зыков, ответственность по защите персональных данных остается на самом заказчике. При этом он должен получить согласие субъекта персональных данных на использование сведений о нем третьими лицами по поручению.

Если же компания передает свою базу данных организации-аутсорсеру (например, в целях оказания бухгалтерских услуг, ведения кадрового делопроизводства и др.), в договоре необходимо отдельно прописать, что провайдер аутсорсинговых услуг принимает на себя обязательство по применению мер защиты полученных персональных данных и обеспечению конфиденциальности информации. В таком случае аутсорсинговая организация становится оператором персональных данных, который обязан, в том числе, соблюдать требования закона о локализации соответствующих данных.

Операторов могут начать наказывать за хранение персональных данных российских граждан на зарубежных серверах

С предложением дополнить ст. 13.11 КоАП об ответственности за нарушение требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – закон о персональных данных) новыми составами правонарушений выступила Минкомсвязь России. Проект соответствующего федерального закона опубликован на Федеральном портале проектов нормативных правовых актов.

Так, наказывать операторов предлагается за нарушение предусмотренной ч. 5 ст. 18 закона о персональных данных обязанности обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан России с использованием баз данных, находящихся на территории РФ. Разработанным министерством документом за это правонарушение предусматривается ответственность в виде наложения административного штрафа на граждан в размере от 3 тыс. руб. до 5 тыс. руб.; на должностных лиц – от 10 тыс. руб. до 20 тыс. руб.; на юрлиц – от 15 тыс. до 75 тыс. руб 1 .

Также операторов и иных лиц могут начать наказывать за нарушение конфиденциальности персональных данных, обязанности по нераскрытию третьим лицам и нераспространению персональных данных без согласия субъекта персональных данных. Эта обязанность оператора установлена ст. 7 закона о персональных данных. За такое нарушение предполагается установить ответственность в виде предупреждения или наложения штрафа на граждан в размере от 1 тыс. до 2 тыс. руб.; на должностных лиц – от 4 тыс. до 6 тыс. руб.; на ИП – от 10 тыс. до 15 тыс. руб.; на юрлиц – от 20 тыс. до 40 тыс. руб.

Об особых условиях обработки специальных категорий персональных данных читайте в «Энциклопедии решений. Персональные данные « интернет-версии системы ГАРАНТ. Получите бесплатный доступ на 3 дня!

Разработчики законопроекта полагают, что установление новых составов административных правонарушений станет эффективным средством воздействия на нарушителей установленных обязанностей оператора, и позволит обеспечить соблюдение гарантий защиты прав субъектов персональных данных. Отмечается, что это даст возможность контролирующим органам оперативно приостанавливать противоправную деятельность, связанную с незаконной обработкой персональных данных, повысить эффективность государственного контроля в этой сфере, а также предотвращать правонарушения, которые могут причинить значительный ущерб субъектам персональных данных.

В случае принятия указанных поправок к КоАП РФ, они начнут действовать со дня официального опубликования закона.

1 С паспортом проекта федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части уточнения административной ответственности за нарушение требований Федерального закона «О персональных данных» можно ознакомиться на Федеральном портале проектов нормативных правовых актов (ID проекта: 02/04/04-18/00080328).

Хранение и обработка персональных данных закон

Проект ПД-Инфо.рф / PD-info.ru посвящен обсуждению вопросов, связанных с особенностями реализации нового Федерального закона № 242-ФЗ от 21.07.2014 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (т.н. «Закон о локализации Персональных данных россиян на территории РФ»).

Закон вступает в силу 1 сентября 2015 года, срок его вступления в силу был изменен на более поздний в результате экспертных обсуждений с отраслью и представителями государства и деятельности ряда профильных ассоциаций, аргументированно предложивших такой перенос.

В процессе обсуждения законопроекта и его принятия, он неоднократно привлекал к себе внимание игроков IT-рынка, СМИ, блогеров и экспертов. Периодически реакция на такое обсуждение выходила за рамки экспертных заключений. Зачастую это происходило из-за того, что отрасль не получала своевременных разъяснений и ответов на волнующие ее вопросы относительно конкретных механизмов реализации закона, контроля его исполнения и т.д.

При этом мы исходим из того, что в интересах всех участников процесса (государство: законодательная и исполнительная власть, отрасль: российские и международные интернет- и IT-игроки, пользователи) необходимо наладить конструктивный диалог сторон и собрать в едином месте все экспертные заключения, рекомендации и разъяснения — с целью максимально упростить доступ к накопленным материалами для всех заинтересованных сторон.

Данный проект — это общественная инициатива, направленная на упрощение работы и тех, кого этот закон касается непосредственно (российские и международные интернет- и IT-игроки, пользователи — субъекты персональных данных).

Проект реализуется силами РАЭК (Ассоциация электронных коммуникаций), РОЦИТ (Региональный общественный Центр интернет-технологий) и Роскомнадзора, при участии партнеров проекта: theRunet, rspectr.com и Журнал «Интернет в цифрах».

Принципиально важна роль Роскомнадзора в данном проекте — как представителя государства и контролирующего органа, готового к диалогу в отраслью, экспертизе закона и возникающих в связи с его исполнением нюансов, а также к постоянному взаимодействию с игроками Рунета и IT-компаниями.

Подзаконные нормативные правовые акты

В рамках реализации 242-ФЗ, были разработаны следующие проекты подзаконных нормативных правовых актов:

Постановление Правительства Российской Федерации от 19 августа 2015 г. № 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных» (вместе с «Правилами создания, формирования и ведения автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных»);

Проект постановления Правительства Российской Федерации «Об утверждении положения о контроле за обработкой персональных данных»;

Проект приказа Минкомсвязи России «О внесении изменений в Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденный приказом Минкомсвязи России от 21.12.2011 № 346»;

Приказ Роскомнадзора от 22 июля 2015 г. № 84 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи»;

Приказ Роскомнадзора от 22 июля 2015 г. № 85 «Об утверждении формы заявления субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных»

ФЗ–242 (с 1 сентября 2015)

Закон вносит поправки в законодательство о защите персональных данных россиян, в т.ч. в части требований о локализации хранения и обработки персональных данных российских граждан на территории РФ.

Уже после принятия закона был изменен срок его вступления в силу — на 1 сентября 2015 года.

ФЗ–152 (О перс. данных)

СМИ О ЗАКОНЕ

Информационный ресурс www.PD-info.ru о законе персональных данных за месяц собрал более 400 вопросов от пользователей и IT-компаний

Закон о хранении персональных данных россиян. Досье

Готова ли Россия к «персональным данным»

ИНФОРМАЦИЯ ДЛЯ IT-КОМПАНИЙ

В данном разделе собранны материалы, разъясняющие основные аспекты реализации закона ФЗ–242, важные для интернет- и IT-компаний.

ИНФОРМАЦИЯ ДЛЯ ПОЛЬЗОВАТЕЛЕЙ

В данном разделе собранны материалы, разъясняющие основные аспекты реализации закона ФЗ–242, важные для пользователей.

ЗАДАТЬ ВОПРОС

ВОПРОСЫ-ОТВЕТЫ

Какой срок и процедура для восстановления доступа к заблокированному сайту/странице сайта? Сроки и порядок восстановления доступа к заблокированному сайту будет определен нормативным правовым актом Правительства Российской Федерации, разработанным во исполнение 242-ФЗ, который сейчас находится на стадии утверждения. Что понимается под «оператором»? Понятие «оператор» содержится в ст. 3 Федерального закона «О персональных данных», под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Таким образом, в свете применения 242-ФЗ, оператором является лицо, осуществляющее сбор персональных данных, либо его поручившее третьему лицу на основании договора поручения. Каково соотношение понятий «передача», «копирование» и «хранение» персональных данных?
Как можно хранить данные в России и при этом не запрещается трансграничная передача данных, ведь передача данных за границу предполагает их хранение не на территории России? В данном случае следует представлять хранение и передачу данных как отдельные процессы обработки данных и рассмотреть суть этих понятий и процессов.
Требования 242-ФЗ закрепляют обязательное хранение персональных данных на территории Российской Федерации, при осуществлении их сбора.
При этом 242-ФЗ не запрещает «копирование» и «передачу» данных.
Понятие «копирование» представляет собой процесс, имеющий иные характеристики по сравнению с понятием «хранение», значения данных слов не являются идентичными, то есть данные слова не являются синонимами (слова или словосочетания, не совпадающие по звучанию и написанию, но имеющее одинаковое или очень близкое значение).
Например, согласно Методическим рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации, утв. Генпрокуратурой России, копирование информации – это создание копии имеющейся информации на другом носителе, то есть перенос информации на обособленный носитель при сохранении неизменной первоначальной информации, воспроизведение информации в любой материальной форме — от руки, фотографированием текста с экрана дисплея, а также считывания информации путем любого перехвата информации и т.п.
Упрощая данное Генеральной прокуратурой Российской Федерации понятие «копирование информации» можно сказать, что «копирование» представляет собой процесс, характеризующийся созданием дубликата документа или информации. То есть основным свойством данного действия является создание дубликата вне зависимости от способа и цели его создания или места нахождения дублирующей информации. Таким образом, скопированные персональные данные, подлежат хранению в соответствии с правилами Федерального закона «О персональных данных».
Понятие «ПЕРЕДАЧА» представляет собой процесс по направления информации или документов какому-либо лицу каким-либо способом.
В 242-ФЗ в перечень действий, которые оператор персональных данных обязан обеспечить с использованием баз данных, находящихся на территории России, «передача данных» не входит. Таким образом, 242-ФЗ не запрещает осуществлять передачу данных, в том числе трансграничную передачу данных из одной базы данных, в другую.
При этом согласно ГОСТ Р ИСО 15489-1-2007. Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Управление документами. Общие требования, Приказом Ростехрегулирования от 12.03.2007 N 28-ст, ПЕРЕДАЧА (TRANSFER) (в отношении способа хранения): изменение способа хранения документов, права собственности и (или) ответственности за документы. То есть если рассматривать процесс передачи более детально, он, безусловно, представляет собой перенос ответственности или части ответственности за информацию на другое лицо и изменение способа и места хранения этой информации.
Таким образом, оператор персональных данных, осуществляя хранение персональных данных в России, может впоследствии произвести их передачу за границу, посредством «копирования» и « трансграничной передачи» информации.
Эти действия оператора будут правомерны. И оператор должен лишь соблюсти требования, предъявляемые Федерал
ьным законом «О персональных данных» к порядку и условиям такой передаче данных.
Условно, можно сказать, что Оператор № 1, собравший данные в России, отвечает только за свои действия в отношении этих данных, после их передачи за границу владелец данных изменится и им станет Оператор № 2, который будет отвечать за переданные ему данные. Оператор № 1 не будет нести ответственность за действия Оператора № 2.
В дальнейшем Оператор № 2 будет осуществлять обработку полученных данных в соответствии с законодательством своей страны, и на тех условиях, о которых он договорился с Оператором №1.
Важным в данном случае для Оператора №1 будет являться соблюдение правил трансграничной передачи данных.
Таким образом, оператор может осуществить трансграничную передачу данных, не нарушая при этом требований 242-ФЗ, предъявляемых к хранению персональных данных на территории Российской Федерации. Ведь база персональных данных по-прежнему будет находиться в Российской Федерации, а содержащаяся в ней информация будет актуализироваться.
У Оператора № 2 будет храниться и обрабатываться копия информации, и актуализироваться она будет только после соответствующей актуализации российской базы.

По вопросу копирования персональных данных следует заметить, что «копирование» представляет собой процесс, характеризующийся созданием дубликата документа или информации. То есть основным свойством данного действия является создание дубликата вне зависимости от способа и цели его создания или места нахождения дублирующей информации. Таким образом, скопированные персональные данные, подлежат хранению в соответствии с правилами Федерального закона «О персональных данных». Кроме того, понятие «дублирующая база данных» 242-ФЗ не содержит.

5 шагов по организации учета и хранения персональных данных

Сохранности персональных данных стоит уделить особое внимание, так как с прошлого года законодатель ужесточил ответственность для работодателя за несоблюдение обязанности по их защите. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и как организовать правильный учет и хранение персональных данных сотрудников.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1. из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ). Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись. При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо.

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ. Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения. Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия. Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Еще по теме:

  • Прямые налоги в ввп Методы расчета ВВП При расчете ВВП используются три основных метода. Метод добавленной стоимости Для правильно расчета ВВП необходимо учесть все продукты и услуги, произведенные в данном году, но без повторного, двойного счета. Вот почему в определении ВВП речь идет о конечных товарах и […]
  • Ставка единого налога рб В Беларуси хотят поднять ставки единого налога В Беларуси хотят поднять ставки единого налога за месяц с индивидуальных предпринимателей и иных физлиц. Соответствующие проекты решений вынесли Мингорисполком и некоторые облисполкомы. Ставки предлагается поднять на 7,4%. Снимок носит […]
  • Субсидии на автовазе Субсидии для АвтоВАЗа могут сократиться в три раза до 600 млн рублей Министерства не могут договориться о выделении субсидии Самарской области на поддержку занятости сотрудников АвтоВАЗа, заявил министр труда Максим Топилин. «Минфин не хочет поддерживать эту программу. То есть мы, […]
  • Топ коллектор ООО "ТОП КОЛЛЕКТОР" ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "ТОП КОЛЛЕКТОР"7743035711 Оценка налоговых рисков при работе с Контрагентом(Должная осмотрительность) Организация не предоставила данные. Связанные компании по руководителю(аффилированность ? ) Руководитель юридического лица […]
  • Межотраслевые правила по охране труда при эксплуатации электроустановок изменения Межотраслевые правила по охране труда при эксплуатации электроустановок изменения Уважаемые партнеры и клиенты! Уведомляем Вас о том, что с 19.10.2016 года вступают в силу изменения в «Правила по охране труда при эксплуатации электроустановок» (ПОТЭЭ). 18.04.2016 года официально […]
  • Письменная часть английский правила ЕГЭ по английскому языку ЕГЭ по английскому – это едва ли не самый непростой экзамен, который приходится сдавать выпускникам 11 классов, но обязателен он только для школьников, которые выбрали профессию, требующую знания иностранных языков. Сложность экзамена во многом обусловлена тем, […]
  • Отзыв из отпуска по заявлению Отзыв из отпуска: каприз руководства или «горящие» проблемы? Оформляем правильно Представьте себе ситуацию: лежите вы себе на солнышке под пальмами, смотрите в морскую даль, мечтаете о приятном… И вдруг – настойчивое дребезжание телефона, вы конечно берете трубку, вдруг это мама […]
  • Разрешение в dpi как определить Что же такое dpi, и почему именно 300? DPI - аббревиатура от англ. dots per inch (точек на дюйм) - численное выражение разрешения растрового изображения. Разрешение определяет, насколько детальным будет ваше изображение при печати. Так вот - у фотографии нет и быть не может никаких ДПИ! […]