Что значит обработка персональных данных: порядок, участники процесса

Мы все в самых разных ситуациях вынуждены делиться сведениями о себе, а практически в каждой компании вынуждены их обрабатывать.

Порядок использования данных о физических лицах определён в федеральном законе № 152 «О персональных данных». Он был принят в июле 2016 года. С тех пор в этот закон было внесено немало поправок и дополнений.

Ознакомиться с его текстом можно в «Российской газете», месте официальной публикации правовых актов. И конечно, он имеется во всех популярных правовых информационных системах.

Многие из наших клиентов, разместивших свои информационные системы в облаке 1cloud, так или иначе обрабатывают чьи-то личные данные: клиентов, работников или кого-то ещё. Однако несмотря на уже продолжительный период действия закона о персональных данных, регулярно возникают вопросы о порядке их обработки по нормам российского законодательства.

Мы решили подготовить краткий обзор нормативных документов по этой теме. В том числе, с учётом особенностей размещения информационных систем в публичном облаке. Этому посвящены три статьи: 1) обзор закона; 2) меры защиты; 3) особенности защиты в публичном облаке.

О каких данных идёт речь?

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

Общо? — Очень! Но так мыслил законодатель, принимая и изменяя рассматриваемый закон.

Вообще, в полицейско-правовом отношении физическое лицо идентифицируется тремя параметрами: полным именем, датой рождения и местом рождения. Они именуются краткими установочными данными.

Всё остальное — номер паспорта, номер пенсионного страхового свидетельства, индивидуальный номер налогоплательщика, различные документальные удостоверения, отпечатки пальцев, радужная оболочка глаза и прочее — это дополнительные идентификаторы.

Кого касается закон?

• Он касается так называемых операторов — государственных и муниципальных учреждений, юридических и физических лиц, которые производят обработку персональных данных.
• Под обработкой данных законодатель понимает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
• Следует обратить внимание на то, что под обработкой понимается не только автоматизированная (компьютерная) обработка, но и любая другая, включая, например, картотеки или журналы на бумажных носителях.

Кого этот закон не касается?

Действие закона о персональных данных не распространяется на ситуации, когда:

• данные обрабатывает физическое лицо исключительно для личных и семейных нужд (если при этом не нарушаются права других лиц);
• данные обрабатывают в официальных архивах;
• данные отнесены к государственной тайне.

Согласие на обработку персональных данных

В ряде случаев согласие на обработку таких данных не требуется, например, если:

• обработка нужная для журналистской, научной, литературной или иной творческой деятельности при условии, что это не нарушаются права и законные интересы других лиц;
• обработка производится в судах;
• обработка необходима для исполнения договора, в котором владелец персональных данных является стороной;
• обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получить его согласие невозможно.

При необходимости согласия оно должно включать в себя следующие сведения:

• фамилию, имя, отчество, адрес, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование и адрес оператора, получающего согласие;
• цель обработки;
• перечень данных, на обработку которых даётся согласие;
• перечень действий с данными, на совершение которых даётся согласие, общее описание используемых оператором способов обработки данных;
• срок, в течение которого действует согласие, а также способ его отзыва;
• личную подпись.

Уведомление об обработке персональных данных

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов этих данных о своем намерении осуществлять такую обработку. О том, что это за орган, будет сказано далее.

Такое уведомление не требуется, когда данные:

• обрабатываются в соответствии с трудовым законодательством;
• получены в связи с заключением договора, стороной которого является физическое лицо, если его данные не распространяются и не предоставляются третьим лицам, а используются оператором исключительно для исполнения указанного договора;
• относятся к членам общественного объединения и обрабатываются соответствующим общественным объединением, действующими в соответствии с законодательством Российской Федерации, при условии, что данные не будут распространяться или раскрываться третьим лицам;
• сделаны самим владельцем персональных данных общедоступными;
• включают в себя только фамилию, имя и отчество субъекта;
• необходимы в целях однократного пропуска субъекта на территорию, на которой находится оператор, или в иных аналогичных целях;
• включены в государственные автоматизированные информационные системы для защиты безопасности государства и общественного порядка;
• обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации;
• обрабатываются в целях транспортной безопасности.

Сняты ли все вопросы? — Нет. Например, является ли интернет-магазин оператором персональных данных? — Изначально, вроде, нет, так как данные клиента используются только «в связи с заключением договора, стороной которого является субъект». Но ведь при отправке заказа почтой или транспортной компанией сведения о клиенте предоставляются третьей стороне.

Кто контролирует исполнение норм?

В настоящее время уполномоченным органом по защите прав субъектов персональных данных назначена Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Непосредственно этим направлением занимается одно из её подразделений — Управление по защите прав субъектов персональных данных.

Деятельность Роскомнадзор направлена на организационно-документальную сторону дела. Технические аспекты защиты персональных данных курирует Федеральная служба по техническому и экспортному контролю (ФСТЭК).

Если в технических средствах защиты информации используется криптография (шифрование), к регулированию подключается Федеральная служба безопасности РФ (ФСБ).

Общая схема обработки персональных данных

Для упрощения восприятия порядка обработки данных, установленного в законе о персональных данных, мы решили представить его в виде схемы.

Безопасность персональных данных

Оператор персональных данных обязан обеспечить их защиту от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении них.

Под мерами по обеспечению безопасности персональных данных при их обработке законодатель понимает следующие действия.

1. Определение угроз безопасности.
2. Применение организационных и технических мер по обеспечению безопасности.
3. Применение средств защиты информации.
4. Оценка эффективности принимаемых мер по обеспечению безопасности до ввода в эксплуатацию информационной системы.
5. Учёт съёмных носителей персональных данных.
6. Обнаружение фактов несанкционированного доступа к данным.
7. Восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
8. Установление правил доступа к обрабатываемым данным, а также обеспечение регистрации и учёта всех действий, совершаемых с ними.
9. Контроль за принимаемыми мерами по обеспечению безопасности данных и уровня защищенности информационных систем.

Этот список не является исчерпывающим, то есть законом допускаются иные действия, направленные на обеспечение безопасности персональных данных.

Ответственность за регламентацию уровней защиты данных разных категорий и мер защиты законодатель возложил на Правительство Российской Федерации.

Сейчас по этому вопросу действует постановление Правительства № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Подробнее организационно-технические аспекты защиты персональных данных при их автоматизированной (компьютерной) обработке мы рассмотрим в нашей следующей статье.

Нужны ли лицензии или сертификаты?

Непосредственно для обработки персональных данных никакие лицензии не нужны. Но при обеспечении их безопасности могут потребоваться сертифицированные технические средства.

Кроме того, по действующему российскому законодательству, обязательно должны быть сертифицированы средства защиты информации, если в них применяется криптография (шифрование).

Оказание услуг по защите информации является лицензируемым видом деятельности. Но если юридическое лицо или индивидуальный предприниматель применяет криптографические средства защиты для собственных нужд, наличие у него лицензии не требуется.

Заключение

Задача обеспечения безопасности и сохранности персональных данных является вполне реальной, весьма актуальной и многогранной. Она касается очень и очень многих. Поэтому нормативные акты, регламентирующие порядок и методики обработки персональных данных на государственном уровне, нужны и полезны. В этой статье мы попытались кратко осветить содержание и общую логику этих актов.

Один из главных посылов закона заключается в том, что лицо, обрабатывающее персональные данные, должно осознавать угрозы этим данным и принимать меры по предотвращению и преодолению их возможных последствий. И это — бесспорно позитивная цель!

Однако в целом этот закон весьма далёк от совершенства. В нём присутствуют неясные формулировки, недостаточно полные нормы. По очень многим важным вопросам имеются отсылки к иным правовым актам, которые, в свою очередь, ясности не добавляют.

О конкретных мерах по обеспечению безопасности данных мы расскажем в нашей следующей статье.

P. S. Ещё немного наших статей:

Персональные данные

Нельзя представить себе функционирование бухгалтерии и отдела кадров, не имеющих доступа непосредственно к персональным данным сотрудников компании.

Де факто обработка подобной информации являет собой работу этих отделов.

Закон о персональных данных

Правовой основой по их защите выступают нормы Конституции РФ и закона «О персональных данных».

Начнем с Конвенции Совета Европы, которая ратифицирована Россией в 2005 году – «О защите физических лиц при автоматизированной обработке персональных данных». Этот документ любую информацию касательно определенного физического лица относит к личным данным.

Такое лицо выступает субъектом персональных данных, а непосредственно к подобной информации причисляют: его ФИО, дату и место рождения, место проживания, семейный и общественный статус, данные об образовании, доходах и пр.

Согласно анализу норм Закона «Об информации» подразумевает под персональными данными информацию с ограниченным доступом. Всеобщая декларация прав человека гласит, что “подвергаться произвольному вмешательству в его личную и семейную жизнь не может никто”.

Для того чтобы избежать мошенничества со стороны распадающейся или уже распавшейся фирмы, предусмотрена специальная процедура проверки организации на банкротство.

Проверка контрагента по ИНН онлайн доступна любому желающему. О том, с помощью каких ресурсов можно проверить контрагентов читайте в этой статье.

Персональные данные гражданина призваны проводить идентификацию его личности, а персональные данные работника дают ему характеристику в качестве сотрудника в определенной организации. Таким образом, к данным работника причисляют исключительно сведения, относящиеся к его способностям касательно выполнения трудовых функций.

  Оператор персональных данных

Частная жизнь гражданина является его конституционным правом, а персональные данные имеют к ней самое непосредственное отношение.

Указ Президента РФ 1997 года определяет конфиденциальный характер персональных сведений, что означает их недоступность для масс общественности.

Трудовой кодекс РФ дает наиболее узкое трактование – под «персональными данными работника» подразумеваются сведения, в связи с трудовыми отношениями, необходимые работодателю и которые касаются конкретного сотрудника.

Обработка персональных данных

Персональные данные являются необходимой информацией для реализации трудовой деятельности, поскольку относятся к деловым качествам сотрудников.

Они проходят обработку в регламентированных законом целях, среди которых:

• прием на работу и продвижение по карьерной лестнице;
• контроль объема выполняемой работы и ее качества;
• реализация выплаты заработка и др.

Закон устанавливает определенные методы защите персональных данных, согласно которым предусмотрен соответствующий правовой режим.

Например, в ст. 65 ТК РФ в списке документации, которую обязан представить работник при трудоустройстве, не указывается анкета, что означает, отсутствие у работодателя права требования представления этих данных.

Работники вправе получать полную и достоверную информацию касательно использования их персональных данных в рамках ТК. В следствии этого, руководство (оператор) в обязательном порядке должно проводить их ознакомление с такой информацией.

Сотрудники под роспись знакомятся с документацией, регламентирующей порядок обработки их персональных данных и собственных полномочиях в этой сфере.

Таким образом, определенный порядок доступа сотрудников к своим персональным данным нужно фиксировать в локальных нормативно-правовых актах. Предусмотренный порядок должен давать гарантии свободы доступа работников к их данным.

Кроме того, в связи с нарушениями положений, которые устанавливают их обработку и защиту, руководство вправе привлекать виновников к материальной и дисциплинарной ответственности, а государственные органы — к гражданской, административной и уголовной.

  Обработка персональных данных

Защите персональных данных ТК выделяет целую отдельную главу, а судебные споры касательно разглашении личных данных зачастую заканчиваются решениями в пользу работников.

Типы персональных данных

Для организации трудовых процессов работодателем обрабатываются 2 типа документов.

К первому типу принадлежат задокументированные сведения, которые подает работник в связи с подписание трудового договора (трудовая книжка, паспорт, свидетельство пенсионного госстрахования, документы воинского учета, диплом, сертификаты касательно наличия специальных знаний и пр.).

Документация второго типа формируется непосредственно самим работодателем (приказы о поступлении работника, распоряжения о его перемещении, поощрения, личная карточка, расчетные документы и т.д.).

Критерии классификации	Категория ПД	Характеристика сведений
По степени доступа	Общедоступные	Субъект ПД дал согласие на доступ к ним неограниченного круга лиц или информация общедоступна согласно законодательству
Конфиденциальные	Все ПД, кроме тех, касательно которых законом установлено обратное или в отношении которых субъект ПД согласился на распространение
По направлению	Специальные	Национальная и расовая принадлежность, политические взгляды, состояние здоровья, религиозные убеждения, судимость, личная жизнь
Обычные	Все ПД, кроме тех, которые отнесены к специальным
По содержанию	Биометрические	Данные, которые характеризуют физиологию человека и позволяют установить его личность – отпечатки пальцев, радужка сетчатки, анализ ДНК, почерк и т.д. (точный перечень отсутствует).
Не биометрические	Сведения, которые не относятся к биометрическим данным

Виды персональных данных

Семейное положение и сведения о членах семьи сотрудника – количество и возраст детей, возможное наличие иждивенцев (преимущества при решении вопроса о сохранении рабочего места), а также об их здоровье (ребенок-инвалид и др.).

  Закон 152-ФЗ «О персональных данных»

Сведения о конкретном работнике – паспортные данные, состояние здоровья, профессия и обстоятельства, дающие возможность предоставления ему предусмотренных законом компенсаций (донорство, участие в ВОВ, инвалидность).

Работодатель разрабатывает локальный нормативно-правовой акт, в котором предусматривает сведения, имеющие отношение к персональным данным, порядку их использования и хранения. Таким актом может быть, к примеру, Положение о защите персональных данных работников.

Для перехода на УСН в налоговую следует направить заявление в формате № 26.2-1, которая утверждена от 2 ноября 2012г. и является единственной формой, а ранее для перехода на УСН следовало подавать заявление, которое было утверждено 13 апреля 2010г.

Законодательство дает организациям и индивидуальным предпринимателям право перехода на режим ЕНВД в течение календарного года. Необходимо лишь соответствовать некоторым условиям о которых можно узнать тут.

Существуют категории сотрудников, для которых подобные положения утверждаются приказами госорганов. К примеру, полный перечень персональных данных работника предусмотрен в Положении о защите персональных данных сотрудников Федерального фонда обязательного медстрахования.

Так, к персональным данным этих сотрудников относятся данные, содержащиеся в их личных делах, а именно:

• паспортные реквизиты;
• ксерокопия свидетельства пенсионного госстраха;
• ксерокопия диплома, при необходимости – иной документации, свидетельствующей о наличии у работника специальных знаний;
• другая документация.

Таким образом, под персональными данными сотрудников в соответствии с законодательством подразумеваются сведения, которые требуются руководству и имеют отношение к каждому конкретному сотруднику согласно трудовым отношениям.

Работодателем может собираться и проводится обработка исключительно той информации, которая имеет непосредственную связь с его трудовым правоотношением, поскольку это необходимо для реализации трудовой деятельности.

Что означает согласие на обработку персональных данных. Форма согласия работника на обработку персональных данных :

В век информации и интернет-пространства данные передаются и распространяются с невиданной доселе быстротой. Социальные сети подливают масла в огонь, делая личные данные пользователей практически общедоступными. Но всегда ли сам владелец согласен с тем, что сведения о нём собирают, изучают, хранят и передают?

Персональные данные: что к ним относится?

Сведения о лице столь важны и значимы, что законодатель решил, наконец, юридически урегулировать эту сферу и определил персональные данные как информацию о лице, которая его идентифицирует.

Сюда относятся:

• имя, отчество, фамилия;
• место проживания;
• дата и место рождения.

Отдельный правовой режим установлен для сведений, представляющих риск для прав и свобод субъекта персональных данных и включающих сведения о:

• расовом или этническом происхождении;
• национальности;
• религиозных и мировоззренческих взглядах;
• членстве в политических партиях и профсоюзах;
• привлечении к уголовной ответственности;
• здоровье, половой жизни, биометрических и генетических данных.

К персональным относятся паспортные и другие регистрационные сведения, данные о семейном или имущественном положении (за исключением государственных служащих) и многие другие, так как их перечень законодателем не ограничен.

Законом установлена и форма согласия на обработку персональных данных. Такое разрешение оформляется письменно, дабы быть уверенным в безусловном согласии владельца информации.

В чём заключается обработка персональных данных?

Каждый гражданин может знакомиться со сведениями о другом лице как по роду работы, так и в процессе неофициального общения, читая газеты или просматривая интернет-страницы. Такое ознакомление не означает обработку персональных данных: прочёл, услышал, узнал — и, возможно, забыл. Или просто взял на заметку.

Если же информация о лице собирается для последующей систематизации, использования, передачи или хранения — это уже обработка личных данных. Такой процедурой занимаются, например, поликлиники или школы: полученные данные регистрируются, заносятся в базы и каталоги, классифицируются для последующего использования в своих уставных целях.

Журналист, писатель или частное лицо может обрабатывать личную информацию исключительно в творческих целях без соблюдения юридических норм.

Ограничения на обработку личной информации

Сбор и обработка персональных данных допускаются исключительно для выполнения уставных задач и достижения установленной цели. Например, поликлиника может использовать полученную от пациентов личную информацию только для оказания медицинской помощи указанным лицам.

Целые массивы с личной информацией обрабатывают страховые компании, турагентства, транспортные предприятия, коммунальные службы и другие подобные юридические лица. Указанные организации могут пользоваться такой информацией только для выполнения своих задач перед потребителем и не имеют права собирать сведений больше, чем это необходимо для конкретной ситуации.

Нельзя собирать данные, представляющие риск для прав и свобод лица, если такие сведения не предоставлены самим лицом, например, член политической партии представил сведения о себе непосредственно партийной организации.

Кто имеет право обрабатывать сведения о лице?

Проводить какие-либо действия с персональными данными может исключительно тот, кому владелец данных дал согласие.

Бывают и исключения из правил, например, следственные органы могут обрабатывать информацию об обвиняемом без его согласия. Такое право следователя вызвано необходимостью защиты общественных интересов и выполнением им своих должностных обязанностей.

Налоговые, пенсионные органы также производят различные операции с личной информацией не только для выполнения своих обязанностей, но и для обеспечения прав граждан.

Мобильные операторы обладают немалым объёмом личных сведений об абонентах. Разумеется, такую информацию они могут использовать только для предоставления качественной мобильной связи пользователю.

Персональные данные на работе

Чаще всего личную информацию предоставляют при трудоустройстве. Законом установлен перечень обязательных сведений о работнике, без которых приём на работу невозможен:

• имя, отчество, фамилия;
• дата рождения;
• место жительства;
• серия, номер, дата выдачи паспорта;
• регистрационные налоговые и страховые номера;
• семейное положение;
• состояние здоровья и некоторые другие сведения.

С получением указанных данных закон связывает определённые правовые последствия по оплате труда, предоставлению отпусков, льгот и многим другим вопросам.

Разумеется, каждый гражданин может отказаться от разглашения сведений о себе, но в этом случае работодатель получает право отказать ему в приёме на работу — такова правовая взаимосвязь. Чаще всего проблем при оформлении не возникает, так как работник добровольно предоставляет нужную информацию.

Впрочем, следует помнить, что работодатель не имеет права на операции с данными работника о национальной или партийной принадлежности, религиозных взглядах и некоторых других.

Что такое согласие на обработку персональных данных?

Разрешение владельца персональных данных на их обработку обычно оформляется в письменной форме, в том числе и при трудоустройстве.

Наученные горьким опытом или просто осторожные компании просят потребителей подписать соответствующие заявления при оформлении дисконтных карт и участии в акциях; поликлиники, школы, вузы и другие учреждения также разработали типовое согласие на обработку персональных данных.

Образец перед подписанием следует внимательно изучить и убедиться, что запрашиваемая информация действительно необходима конкретному лицу. Письменная форма согласия на обработку персональных данных позволяет подтвердить добрую волю владельца.

Оговорки о персональных данных вносятся практически во все договоры: хозяйственные, трудовые, потребительские, ведь в деле соблюдения закона лучше немного перестараться, чем недоглядеть.

Письменное оформление

• Ниже приведена письменная форма согласия работника на обработку персональных данных.
• Директору завода «Сельхозмаш»

Иванову И. И.

1. тракториста цеха механизации
2. Аристова Олега Аркадьевича.
3. Дата.
4. Место составления.
5. Данным заявлением даю письменное разрешение на сбор, обработку, использование и хранение моих персональных данных, в пределах, необходимых для обеспечения моих трудовых и социальных прав, оплаты установленных налогов, сборов и других обязательных платежей, внесения обязательных взносов в государственные фонды, а также для иных целей, вытекающих из трудовых и смежных с ними правоотношений между мной и работодателем и в пределах, предусмотренных действующим законодательством.
6. Работодатель имеет право передавать мои персональные данные третьим лицам только в случаях, прямо установленных законом.
7. Подпись.

Согласие на сбор и обработку персональных данных работник обычно подписывает при оформлении на работу и предоставлении всех необходимых документов. Имеет смысл затребовать от него такое заявление до подписания приказа о приёме на работу.

Согласие на обработку персональных данных: образец

Одним из нестандартных вариантов в сфере обработки личных данных становится выдача родителями согласия образовательному учреждению на операции с личными данными их несовершеннолетнего ребенка.

Разумеется, школа вынуждена использовать сведения о детях и их родителях для предоставления образовательных услуг.

Выдать такое разрешение имеют право родители как законные представители несовершеннолетних детей.

Совет юриста: о согласиях на обработку персональных данных ребенка следует спрашивать обоих родителей, независимо от того, состоят ли они в официальном, гражданском браке или находятся в разводе. Исключение составляет лишение родительских прав по решению суда.

• Ниже приведён примерный образец согласия, составленного обоими родителями.
• Директору средней школы № 30
• г. Москва

Ивановой И. И.

родителей ученика 4-В класса

Петрова Петра Петровича, 2005 г. р.,

1. проживающего: Харьковское шоссе, 356, кв. 2,
2. Матери Петровой Ирины Леонидовны,
3. проживающей: Харьковское шоссе, 356, кв. 2,
4. Отца Петрова Игоря Ивановича,
5. проживающегоя: Харьковское шоссе, 356, кв. 2,
6. Согласие на обработку персональных данных ребёнка
7. Настоящим заявлением мы даём разрешение администрации школы на сбор, обработку, использование и хранение персональных данных нашего ребёнка исключительно в пределах, необходимых для обеспечения образовательного процесса и смежных с ним правоотношений, связанных с социальными правами нашего ребёнка.
8. Передачу третьим лицам персональных данных нашего ребёнка разрешаем исключительно в случаях, предусмотренных действующим законодательством, о чём администрация должна уведомить нас в установленном порядке.
9. Подписи:

Петрова И. Л., дата.

Петров И. И., дата.

По желанию родители могут составить отдельные листы согласия на обработку персональных данных, каждый от своего имени.

Можно ли обрабатывать сведения о лице без согласия владельца?

По общему правилу обработка личной информации без добровольного согласия владельца незаконна. Исключение составляют случаи, когда информация обрабатывается без согласия владельца для защиты его жизненно важных интересов.

В некоторых случаях можно обрабатывать личную информацию без письменного согласия её владельца:

• при выдаче владельцу базы данных разрешения;
• при заключении сделки в интересах гражданина и по некоторым иным основаниям.

Какие санкции предусмотрены за нарушение порядка обращения с личной информацией?

• Дисциплинарная. Применяется к работникам, в нарушение должностных обязанностей не обеспечившим защиту персональных данных.
• Административная. Ответственность в виде штрафов довольно серьёзна и налагается на виновное лицо (на граждан — в размере от 300 до 500 руб.; на должностных лиц — от 500 до 1000 руб.; на юридических лиц – от 5000 до 10 000 руб. — в зависимости от совершённого правонарушения и правового статуса нарушителя).
• Материальная. Может наступить по решению суда, если нарушением прав лица на сохранность персональных данных ему причинен материальный или моральный ущерб.

Информация о лице защищена законом в силу её особой важности, а значит, необходимо выполнять все требования закона о защите персональных данных.

Что включает в себя процедура обработки персональных данных?

С тех пор, как в жизни современного человека появился Интернет, вопрос сохранения персональных данных встал особенно остро.

В том числе именно по этой причине в 2006 году был принят №152-ФЗ «О персональных данных», строго регламентирующий правила работы с личными данными каждого действующего, бывшего или потенциального сотрудника.

Скрыть содержание

В настоящий момент вопрос о потенциальной возможности обработки таких данных возникает во многих случаях.

Подтверждать право оператора обрабатывать информацию приходится при оформлении покупки, при передаче документов в медицинские учреждения, направления ребенка в школу.

Максимальный набор персонифицированной информации требуется при трудоустройстве. В остальных случаях, в соответствии с законодательством, набор необходимой информации должен быть сопоставим с теми целями, для исполнения которых он предоставляется.

При необходимости, представитель той организации, которая просит указать согласие на обработку, должен пояснить обоснованность предоставления каждого пункта и подпункта.

Общая информация

• Работать с предоставляемыми персональными данными в большинстве случаев имеют право исключительно и уполномоченные работники, чаще всего с такой обработкой сталкиваются при трудоустройстве и передают свои персональные информационные показатели представителям кадровых кадровых служб и HR-подразделений.
• Вне зависимости от ситуации предварительно необходимо обязательно получить письменное согласие от того, кто передает свои персональные данные.
• Дальнейшее использование подобной информации также возможно только после получения официального разрешения.
• Закон подробно перечисляет порядок информации, которая входит в этот список:

• дата рождения;
• имя, отчество и фамилия;
• профессия и образование;
• данные об уровне доходов и другое.

Есть перечень разделов персональных данных, любая потенциальная обработка которых допускается исключительно в уникальных случаях. В этот список входит: наличие судимостей, членство в профсоюзе, состояние здоровья.

1. Несмотря на то, что с момента принятия закона прошло почти 10 лет, до сих пор представители кадровых служб часто не очень четко представляют правила обработки персональных данных.
2. Основой любой возможности работы с персональными данными становится предварительное получение письменного согласия от их владельца на обработку.
3. К списку персональных данных для передачи, которые могут заинтересовать работодателя или организацию, с которой заключается любой иной договор, может относиться только то, что характеризует передающего свою информацию как сотрудника и профессионала, подтвердить его платежеспособность при получении кредита или иная информация.
4. На производстве в список такой информации данные, включаемые в учетную карточку для персонала.
5. Подобная информация традиционно необходима для заключения трудового договора.
6. В этой ситуации персональные данные могут содержаться:

• в том документе, который удостоверяет персоналию работника;
• данные о позиция и записях в трудовой книжке;
• информация, которая содержится в карточке социального медицинского страхования;
• любых документах, которые работник предоставляет по собственной инициативе (дипломы о дополнительном образовании, справки, грамоты и другое);
• материалы, которые содержатся в приказах по персоналу;
• информация, находящаяся аналитических записках и докладных;
• любые данные об итогах внутренних служебных проверок и любых возможных расследований.

Даже в случае, если работник сам указывает эту информацию, например, в опросных листах, сотрудник кадровой службы должен тщательно оберегать её конфиденциальность.

В каждой организации на основании Трудового Законодательства и федерального законодательства разрабатывается практически идентичная процедура обработки подобной информации.

В том числе определяется порядок хранения информации, относящейся к персональным данным;
Порядок их учета:

1. Порядок восстановления данных при получении доступа к любой информации лицами, которые не имеют права работать с такими документами и многое другое.
2. Перевод данных на машинные носители и порядок хранения на машинном носителе.
3. Характер аудита информации и многие другие параметры.
4. В большинстве случае отделы кадров получают рекомендации о характере работы с такой информацией от представителей юридических подразделений.
5. В чем состоит процесс сбора данных, и кто может заниматься такой работой.

В большинстве ситуации о необходимости согласиться с обработкой личностной информации требуется при подписании любого договора.

Собирают информацию представители организаций, уполномоченные выполнять подобные действия. В идеале, такое направление работ записывается в их должностном регламенте.

• Максимальной легитимностью отличается работа с подобной информацией представителей кадровых служб.
• Статья 9 152-ФЗ учитывает возможность гражданина отказаться предоставлять свои данные персонального характера в ситуации, когда он не понимает целесообразность передачи такой информации.
• Для подтверждения необходимости получения такой информации получатель данных должен подтвердить свой статус оператора, который присваивается только после подачи соответственного уведомления в проверяющий орган.

В одобренном уведомлении всегда указывается, какую конкретную информацию нужно будет этому оператору представить, и какую запрашивать он не имеет права. Это касается и отделов кадров государственных и частных структур.

Обработка персональных данных работника

В ходе трудовой деятельности на постоянной основе осуществляется обработка персональных данных работника. Требования к этой процедуре устанавливает Закон “О персональных данных”. Мероприятия по защите персональных данных работника устанавливает глава 14 Трудового кодекса РФ.

Что такое обработка персональных данных работника

По сути, обработка персональных данных начинается еще на стадии до заключения трудового договора. Ведь чтобы его заключить работодатель должен, как минимум, знать фамилию, имя, отчество соискателя, паспортные данные, стаж работы и т.п.

Обработка персональных данных согласно ст. 3 Закона о персональных данных – любые действия с данными. Это и сбор, запись, систематизация, хранение, уточнение, передача и т.п.

Документы, которые содержат данные и включаются в термин “обработка персональных данных работника”, это и анкета соискателя, и паспорт, трудовая книжка, свидетельство о заключении брака, о рождении ребенка и т.п.

Поэтому мы и рекомендуем согласие на обработку персональных данных получать даже от соискателя.

Требования к процедуре

Общие требования устанавливает ст. 86 Трудового кодекса РФ и ст. 5 Закона о персональных данных:

• обработка персональных данных производится только с целью, связанной с трудовой деятельностью. Например, в целях трудоустройства, повышения квалификации, прохождении аттестации и т.п.
• персональные данные работодатель получает только от работника. Если эти сведения можно получить только от третьих лиц, то получите письменное согласие работника.
• работодатель обязан ознакомить работника с локальными актами, которые касаются работы с персональными данными. Это приказ об утверждении положения о персональных данных, о допуске к данным и т.п.
• хранятся данные только до достижения целей обработки (действие трудового договора и требования по срокам хранения личных дел)
• меры по защите персональных данных работодатель вырабатывает совместно с работниками

Огромное значение правильной обработки персональных данных является издание локальных актов работодателя. Образцы и примеры составления которых мы разместили на нашем сайте.

По общему правилу специальные и биометрические категории персональных данных работодатель не обрабатывает.

Порядок обработки данных работника

Работодатель организует обработку данных либо с использованием средств автоматизации, либо без использования таких средств. 

В настоящее время действует Положение об особенностях обработки персональных данных без средств автоматизации. Постановление Правительства РФ № 687 от 15.09.2008 г. Такой порядок предполагает обработку данных при непосредственном участии человека.

Причем такие действия, как использование, уточнение, распространение, уничтожение. То есть даже если сотрудник кадров использует компьютер для хранения данных, то это все равно обработка без автоматизации. Важно, чтобы их хранение было обособлено от другой информации.

Например, данных можно хранить на отдельных носителях. Причем если цели разные, то и носители должны быть разными. Как и место хранения этих носителей, которое должен организовать работодатель. Также он устанавливает перечень лиц, имеющих допуск к персональным данным.

Что касается обработки информации с использованием средств автоматизации, то это использование вычислительной техники. Здесь для использования пригодится Постановление Правительства РФ от 01.11.2012 № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”.

Нарушение принципов и порядка обработки персональных данных работника

Что ждет работодателя, если он нарушит правила обработки персональных данных работника? Во-первых, это административная ответственность. Штрафы трудовой инспекции за нарушение трудового законодательства (ст. 5.27. КоАП РФ) – не ознакомили работников с локальными актами. Во-вторых, ст. 13.11 КоАП РФ – это как раз про обработку персональных данных. 

Если какой-то сотрудник распространил сведения о частной жизни работника, которые стали ему известны при обработке персональных данных работника, то может настать уголовная ответственность (ч. 2 ст. 137 УК РФ). 

Что значит обработка персональных данных: кем и по каким правилам осуществляется

Что значит обработка персональных данных, важно понимать гражданам и организациям, которые собирают и используют любую личную информацию о людях (Ф.И.О., e-mail, адрес проживания, телефон и т. д.

), так как за нарушения в этой области могут налагаться административные штрафы.

Что закон подразумевает под обработкой персональной информации и что нужно учесть, чтобы вас не привлекли к ответственности, рассказываем далее.

• Что такое личные данные и их обработка. Что входит в состав личной информации
• Принципы обработки личной информации
• Способы и условия обработки данных
• Уведомление Роскомнадзора об обработке личной информации
• Меры, которые должен принять оператор при обработке сведений
• Запрет на обработку информации
• Ответственность за нарушения в работе с личными сведениями
• Итоги

Что такое личные данные и их обработка. Что входит в состав личной информации

Термин «обработка персональных данных» введен законом «О персональных данных» от 27.07.2006 № 152-ФЗ.

Под обработкой персональных данных понимаются различные действия с личной информацией людей (в частности, сбор, хранение, систематизация, использование, передача иным лицам и т. п.), которые выполняются физическими лицами или организациями.

Что входит в состав личных сведений о человеке? Закон об этом прямо не говорит, хотя и оперирует словосочетанием «любая информация», которая относится к человеку. Соответственно, можно сделать вывод, что персональные данные — это Ф. И. О., дата рождения, адрес, телефон, email, ссылка на профиль в социальной сети и т. д.

Принципы обработки личной информации

Законодательно установлены принципы работы с личной информацией, которые следует соблюдать. В частности:

• Нужно руководствоваться порядком, прописанным законодательно, в частности в законе № 152.
• Нельзя собирать, обрабатывать и использовать информацию без определенной цели.
• Объем собранных данных должен соответствовать цели, для которой они собираются. Не допускается сбор избыточной информации.
• Срок хранения сведений устанавливается законом, определяется договором с владельцем данных либо целью их обработки.
• Данные должны быть актуальными, точными и достаточными. Соответственно, если оператору стало известно, что они изменились, должны быть внесены соответствующие поправки.

Способы и условия обработки данных

Способов обработки персональных данных законом установлено всего два (п. 3 ст. 3 закона № 52-ФЗ): автоматизированный и неавтоматизированный.

Также законом определены условия обработки персональных данных:

• Обработка допускается только в установленных законом случаях (для выполнения возложенных на оператора функций, например, в связи с участием человека в судебном процессе, для исполнения судебного акта и иных).
• Оператор имеет право поручить обработку информации другим лицам, но только если такое право предусмотрено законом или договором.
• Ответственность за допущенные нарушения несет сам оператор, даже если обработка данных поручена кому-либо другому.
• Порядок обработки персональных данных предполагает соблюдение конфиденциальности. Запрещается раскрывать и передавать сведения. Однако возможны исключения из этого правила. Например, при рассмотрении дела в суде личные данные истца станут известны ответчику и третьим лицам, которым вручаются копии иска, где прописана информация о сторонах процесса.

Уведомление Роскомнадзора об обработке личной информации

Обработке данных по закону должно предшествовать направление потенциальным оператором уведомления об обработке персональных данных в Роскомнадзор.

Не уведомлять этот госорган можно в некоторых случаях, перечисленных в ч. 2 ст. 22 закона № 152-ФЗ, а именно если:

• данные обрабатываются в рамках трудовых отношений;
• сведения получены в результате заключения договора и не передаются иным лицам;
• информация является общедоступной;
• обрабатываются только фамилия, имя, отчество;
• данные собираются с целью однократного пропуска человека на территорию оператора или в иных аналогичных случаях;
• данные собираются без использования средств автоматизации.

Содержание уведомления об обработке персональных данных регламентируется ч. 3 закона № 152-ФЗ. А в приложении № 1 к Методическим рекомендациям по уведомлению уполномоченного органа…, утвержденным приказом Роскомнадзора от 30.05.2017 № 94, приводится форма документа.

После получения уведомления Роскомнадзор в течение 30 дней вносит перечисленную в ст. 22 ч. 3 закона № 152-ФЗ информацию в реестр. Для заявителя данная процедура бесплатна.

Меры, которые должен принять оператор при обработке сведений

В ходе обработки информации одна из основных задач оператора — обеспечить их безопасность, конфиденциальность и неприкосновенность. Для этого он должен принять следующие меры:

1. Разработать политику работы с личными сведениями и довести ее до сведения клиентов.
2. Запрашивать согласие на обработку персональной информации.
3. В случае использования информационных систем четко определить потенциальные угрозы, исключить возможность распространения личных данных.

Персональные данные работника в 2020 году: инструкция — Институт Профессионального Кадровика

29 Ноября

7234

#CNT# data-template-html-inactive=В избранное #CNT#>

Работодатель сталкивается с вопросом о персональных данных постоянно.

Даже когда потенциальный сотрудник еще не работает в организации, а только направляет резюме — он уже предоставляет в распоряжение работодателя свои персональные данные.

Постоянная работа с личными данными происходит при кадровом делопроизводстве — организация ежедневно коммуницирует с внешним миром, служба кадров обрабатывает огромный массив документов и во всех содержатся чьи-либо личные сведения.

Персональные данные — это любая информация, относящаяся к конкретному лицу непосредственно. Это информация, при помощи которой можно идентифицировать человека.

Получение, хранение, уточнение, корректировка и иные действия с данными — это их обработка. Обработкой персональных данных занимаются чаще всего кадровые службы.

Оператором обработки является любая организация, которая собирает и хранит данные. То есть абсолютно любая организация.

О персональных данных в российском правовом поле информируют:

• Конституция России.
• Трудовой кодекс.
• Федеральный закон «О персональных данных» №152-ФЗ.
• Кодекс об административных правонарушениях.
• Уголовный кодекс.

Конституция гарантирует, что каждый гражданин имеет право на личную, семейную или профессиональную тайну, имеет право контролировать распространение информации об этом, пресекать это распространение. Если же данные распространяются недобросовестно, то гражданин вправе рассчитывать на защиту чести и достоинства.

Трудовой кодекс говорит о том, что собирать персональные данные работника кадровик или руководитель может исключительно с ясными и адекватными целями. ТК РФ однозначно запрещает хранение избыточного количества данных «на всякий случай».

В федеральном законе №153-ФЗ отмечена необходимость соблюдения полной безопасности данных, обозначены права, обязанности и ответственность граждан и операторов обработки.

КоАП РФ и УК устанавливают ответственность за нарушение указанных норм.

Нормативные акты устанавливают два важных понятия, которые необходимо иметь в виду руководителю и ответственному сотруднику кадровой службы, чтобы не навлечь на себя и на организацию огромные штрафы и судебные иски.

1. Избыточность.
2. Целеполагание.

То есть работодатель имеет право собирать исключительно те данные, которые необходимы для осуществления трудового процесса, и только с целью поддержания этого процесса.

Какие данные являются персональными:

• фамилия, имя, отчество;
• дата, место рождения;
• биометрия – отпечатки пальцев, ДНК, радужная оболочка глаз, рост, вес, фотографии и видео с изображением человека, если его можно там идентифицировать;
• адрес прописки или фактического жительства;
• семейное положение, состав семьи; 
• биографические данные;
• профессиональная информация – образование, квалификация, должность, трудовой стаж, предыдущие места работы;
• сведения о доходах и имуществе;
• номера ИНН и СНИЛС; контакты – телефон, электронная почта;
• информация о воинской обязанности;
• медицинская информация и диагнозы.

Обычно выделяют четыре категории персональных данных, хотя в законах такой классификации нет:

1. Общедоступные. ФИО, дата и место рождения, профессия, контакты могут использоваться в открытых источниках. Например, в справочниках и телефонных книгах, если субъект данных дал на это свое согласие.
2. Биометрические. Позволяют идентифицировать человека по физиологическим параметрам. Данные собираются исключительно с согласия гражданина и в обоснованных законом целях.
3. Специальные. Раса, национальность, политические и религиозные взгляды, философские воззрения и подробности интимной жизни. Обработка таких данных запрещена, кроме случаев, когда субъект согласился на это письменно или когда он сам открыто опубликовал их, сделав общедоступными.
4. Иные. Не вошедшие в эти категории.

Шаг 1. Выпустить положение о персональных данных. Этого требуют и федеральный закон, и здравый смысл. В локальном акте нужно прописать все правила хранения и обработки данных.

Шаг 2. Утвердить положение. Для этого нужно выпустить соответствующий приказ с подписью руководителя и ознакомить с ним всех сотрудников. Сотрудники должны расписаться в специальном журнале или ведомости.

Шаг 3. Назначить специалиста, ответственного за персональные данные. Вероятнее всего, это будет сотрудник кадровой службы. Желательно, чтобы работа с персональными данными была указана в его трудовом договоре.

Если же договор уже составлен, можно выпустить дополнительное соглашение к нему. В том же приказе нужно установить сотрудников, которые будут иметь доступ к персональным данным.

 Все упомянутые лица должны подписать обязательство о неразглашении данных.

Шаг 4. Собрать со всех сотрудников письменные согласия на обработку персональных данных. В письменном согласии должны быть перечислены конкретные данные и цели их использования. Цели должны сводиться исключительно к поддержанию трудового процесса.

Шаг 5. Хранить данные в строгом порядке. Данные могут храниться и в электронном виде, и в бумажном. Они должны быть абсолютно недоступными для третьих лиц, своевременно пополняться и при необходимости корректироваться.

Шаг 6. Обратиться в Роскомнадзор. Этот пункт не обязателен, если вы:

• обрабатываете информацию без использования специализированного ПО и баз данных (то есть если массив данных оператор обрабатывает вручную на ПК или на бумаге);
• обрабатываете данные только своих сотрудников и только в целях составления и ведения трудовых договоров (не более);
• оформили договор с физическим лицом как подрядчиком, поставщиком или нештатным специалистом;
• однократно пропустили постороннего человека, не являющегося вашим сотрудником, на территорию предприятия (например, для собеседования).

Велики риски, связанные с неправильным или небезопасным хранением данных. Если организация что-то сделает не так, она навлечет на себя ревизии, проверки, административное производство или уголовный процесс.

Административная ответственность

До 75 тысяч рублей штрафа работодатель может заплатить за:

• сбор и обработка избыточной информации;
• отсутствие согласия работника на обработку данных;
• доступ третьих лиц к персональным данным сотрудников;
• игнорирование просьб работника об удалении его персональных данных (например, после его увольнения).

Уголовная ответственность

По статье 137 УК РФ:

• Разглашение данных работника в публичном пространстве, публикация в СМИ сведений, составляющих его личную или семейную тайну. Штраф до 200 тысяч рублей, лишение свободы до 2 лет и запрет занимать определенные должности — до 3 лет.
• То же самое, с использованием служебного положения — штраф до 300 тысяч рублей, лишение свободы до 5 лет и запрет занимать соответствующую должность — до 6 лет.

Очень важно правильно построить процесс обработки персональных данных, потому что они ценны и составляют основу частной жизни граждан, их репутацию и во многих случаях личную безопасность.

Когда данные попадают в распоряжение работодателя, он должен действовать таким образом, чтобы способствовать трудовому процессу, поддерживать его и при этом не навредить сотрудникам.

Малейшая ошибка – и можно навлечь на себя ответственность вплоть до уголовной. Чтобы помочь руководителям и кадровикам повысить свой профессиональный уровень, мы разработали специальный курс по защите персональных данных.

Программа рассчитана на 36 часов и дает исчерпывающую информацию, актуальную сейчас и в перспективе. О том, как хранить данные, как их обезопасить и как с легкостью пройти все проверки Роскомнадзора.

Почитать программу и записаться на курс можно по ссылке.