• Текст документа
  • Статус
  • Примечания
Поиск в тексте



Законодательство об обработке персональных данных в России появилось в 2006 году, однако даже в настоящее время компании сталкиваются с проблемами, например, со спорами с работниками, административными штрафами, проблемами передачи персональных данных третьим лицам. Достаточно спорными являются вопросы уведомления Роскомнадзора об обработке данных, сбора персональных данных и согласия на обработку. В этой связи очень важным является вопрос систематизации знаний о персональных данных.


Что относится к персональным данным?

Почему важно понимать, что относится к персональным данным?

Во-первых, часть 1 ст.24 Конституции РФ запрещает сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.

Во-вторых, согласно п.1 ст.152.2 Гражданского кодекса РФ не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни.

В-третьих, несоблюдение законодательства о персональных данных предусматривает значительные штрафы, которые будут повышены с 1 июля 2017 года.

Сначала определимся, что является персональными данными? Ответ мы находим в статье 3 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) "О персональных данных".

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Но данное определение является достаточно "расплывчатым", например, друзья размещают фотографии в Интернете, охраняются ли такие фотографии законодательством о защите персональных данных?

К персональным данным относится следующая информация:

- фамилия, имя, отчество человека;

- паспортные данные;

- пол и возраст;

- семейное положение, наличие детей и родственников;

- профессия (Апелляционное определение Московского городского суда от 18.11.2016 N 33-45913/2016);

- социальное, имущественное положение (Апелляционное определение Санкт-Петербургского городского суда от 30.01.2017 N 33а-2104/2017 по делу N 2а-6384/2016);

- место жительства;

- сведения о заработной плате (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681 "О передаче работодателем третьим лицам сведений о заработной плате работников");

- национальная принадлежность, политические взгляды религиозные или философские убеждения, состояние здоровья, интимная жизнь (Постановленипе ФАС Северо-Кавказского округа от 21.04.2014 по делу N А53-13327/2013);

- физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись) (Разъяснения Роскомнадзора "О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки");

- деловые и иные личные качества, которые носят оценочный характер.

На практике некоторые вопросы отнесения к персональным данным являются спорными, например, персональные данные широко распространены в Интернете, например, люди активно регистрируются и размещают самую распространенную информацию, такую как фамилия, имя, отчество, фотографии. И такая информация сразу становится общедоступной. Однако такая информация продолжает оставаться персональными данными. Принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным. Информация в объеме: фамилия, имя, отчество физического лица является персональными данными, обработка которых должна осуществляться в строгом соответствии с требованиями Федерального закона N 152-ФЗ (Письмо Роскомнадзора от 20.01.2017 N 08АП-6054 "О результатах рассмотрения обращения Казначейства России"). При этом перечень персональных данных является открытым.

Но для того, чтобы не подпасть под штрафы и правильно организовать работу с персональными данными, нужно понять, в каких документах содержатся персональные данные работника.

Перечень документов, в которых содержатся персональные данные, также установлен; вместе с тем возможно выделить следующие документы:

- паспорт гражданина РФ;

- загранпаспорт гражданина РФ;

- дипломатический паспорт;

- свидетельство пенсионного страхования (СНИЛС);

- ИНН;

- трудовая книжка работника;

- анкета, другой документ, заполняемый кандидатом на должность при собеседовании;

- документы воинского учета;

- документы об образовании, квалификации, наличии специальных знаний;

- свидетельство о регистрации или расторжении брака;

- свидетельство о рождении ребенка;

- личная карточка (форма N Т-2 утверждена постановлением Госкомстата России от 5 января 2004 г. N 1);

- справка с предыдущего места работы;

- справка о заработной плате 2-НДФЛ;

- медицинская карта;

- листок нетрудоспособности;

- трудовой договор;

- выписка из штатного расписания или штатное расписание;

- приказы по личному составу;

- права на автомобиль.

Таким образом, перечень документов, в которых содержатся персональные данные, является достаточно обширным. Поскольку перечень персональных данных и перечень документов являются открытыми, то целесообразно в трудовом договоре, согласии на обработку персональных данных указать, что подобные сведения могут содержаться и в иных документах.


Обработка персональных данных

Что можно делать с персональными данными?

Персональные данные предполагают 3 фазы работы:

- обработка персональных данных;

- распространение персональных данных;

- блокирование персональных данных.

Схема


Фазы работы с персональными данными

Обработка персональных данных


Что представляет собой обработка персональных данных?

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В соответствии со ст.7 Федерального закона "О персональных данных" операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Обработка персональных данных осуществляется:

- через оператора персональных данных;

- через третье лицо.

Соответственно, если данные передаются третьим лицам, то в этом случае необходимо согласие субъекта персональных данных.

Когда требуется такое дополнительное согласие?

В некоторых случаях работодатели привлекают аутсорсинговые компании:

- для ведения кадровой работы;

- расчета заработной платы;

- расчета страховых взносов;

- заключения договоров;

- оформления виз и билетов для поездок в командировки.

Такие действия аутсорсинговой компании являются обработкой персональных данных.

Приведем еще пример привлечения третьих лиц для обработки персональных данных.

Например, компания заключила договор охраны и вход в офис осуществляется по пропускам, соответственно паспортные данные необходимы для:

- оформления пропусков для входа физических лиц;

- оформления провоза грузов на автомобиле.

При обработке персональных данных важно назначить лицо, которое будет ответственным за сбор и обработку данных. Ответственное лицо назначается приказом по компании и должно выполнять следующие трудовые обязанности:

- осуществлять внутренний контроль за соблюдением законодательства о персональных данных;

- доводить до работников положения законодательства;

- разрабатывать локальные акты и ознакамливать с ними работников;

- разрабатывать и доводить до работников требования по защите персональных данных;

- организовывать прием и обработку обращений и запросов;

- осуществлять контроль за приемом и обработкой обращений.

Какие риски возникают у оператора персональных данных при обработке персональных данных?

1. Риск административных штрафов


В качестве примера приведем ситуацию, когда компания заключала договор оказания медицинских услуг и не брала с пациента согласие на обработку персональных данных, мотивируя это тем, что при заключении договора его заключает само физическое лицо. Однако в Постановлении Самарского областного суда от 08.02.2016 N 4а-130/2016 суд с этим не согласился и привлек компанию к ответственности по статье 13.11 КоАП РФ. Суд это мотивировал тем, что юридическое лицо, осуществляющее обработку персональных данных, в том числе медицинская организация, профессионально занимающаяся медицинской деятельностью и обязанная сохранять врачебную тайну, обязана получать согласие субъекта персональных данных в письменной форме на обработку его персональных данных.

2. Риск споров при передаче персональных данных


Передача персональных данных третьим лицам должна осуществляться с согласия субъекта персональных данных. При этом субъект персональных данных должен четко понимать, что например, работодатель, кредитная организация могут передать персональные данные третьим лицам.

Так, в Апелляционном определении Верховного суда Республики Татарстан от 28.01.2016 по делу N 33-1566/2016 суд признал правомерным передачу персональных данных третьему лицу. В данном судебном споре шла речь о передаче кредитной организацией данных коллекторам.

3. Риск компенсации морального вреда

Если работодатель или иное лицо использует персональные данные с нарушением порядка их использования, то субъект персональных данных может подать в суд для взыскания морального вреда.

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта. Согласно ст.7 Закона операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Из системного толкования приведенных норм следует, что сбор, обработка, передача, распространение персональных данных возможны только с согласия субъекта персональных данных. Соответственно, отсутствие согласия может привести к появлению морального вреда (Апелляционное определение Алтайского краевого суда от 29.09.2015 по делу N 33-9241/2015).

Уведомление Роскомнадзора об обработке персональных данных


По общему правилу, оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

То есть в общем случае нужно направить уведомление в Роскомнадзор.

Форму уведомления можно заполнить прямо на сайте ведомства:

http://pd.rkn.gov.ru/operators-registry/notification/form/

Приведем пример заполнения уведомления.

Уведомление об обработке
(о намерении осуществлять обработку) персональных данных



Общество с ограниченной ответственностью "Персональные данные"
(полное и сокращенное наименования, фамилия, имя, отчество оператора)

121375, Москва, ул.Яблочкова, д.7, кор.2, офис 35

(адрес местонахождения и почтовый адрес оператора)

руководствуясь: Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Трудовым кодексом
(правовое основание обработки персональных данных)

с целью:
оказания аутсорсинговых услуг по поиску персонала, ведения личных карточек и дел работников, заключения трудовых договоров с третьими лицами, составления анкет
(цель обработки персональных данных)

осуществляет обработку:
Фамилия, имя, отчетство, образование, социальный статус, опыт работы, заработная плата на предыдущем месте работы, профессия, семейное положение
(категории персональных данных)

принадлежащих:
ООО "Смальта", ИП Караваев, третьим лицам
(категории субъектов, персональные данные которых обрабатываются)


Обработка вышеуказанных персональных данных будет осуществляться путем:
сбор, анализ, обобщение, хранение, изменение, дополнение, передача
(перечень действий с персональными данными, общее описание используемых
уничтожение персональных данных; обработка персональных данных будет осуществляться смешанным способом с передачей по внутренней сети оператора
оператором способов обработки персональных данных)

Для обеспечения безопасности персональных данных принимаются следующие меры:
сейф, шкаф (запирающийся на ключ) для хранения носителей информации с персональными данными; наличие установленного антивирусного программного обеспечения
(описание мер, предусмотренных ст.ст.18.1 и 19 Федерального закона N 152-ФЗ от 27.07.2006 "О персональных данных", в т.ч. сведения о наличии шифровальных (криптографических)

Ответственное лицо: Морозов Олег Дмитриевич, 8-916-666-88-77, morozov@gmail.com
средств и наименования этих средств; фамилия, имя, отчество физического лица или наименование


Общество с ограниченной ответственностью "Персональные данные"
юридического лица, ответственных за организацию обработки персональных данных,

121375, Москва, ул.Яблочкова, д.7, кор.2, офис 35, persdannye@yandex.ru
и номера их контактных телефонов, почтовые адреса и адреса электронной почты)

Cведения о наличии или об отсутствии трансграничной передачи персональных, трансграничная передача персональных данных отсутствует


Сведения о наличии или об отсутствии трансграничной передачи персональных данных:

(при наличии трансграничной передачи персональных данных в процессе их обработки указывается

нет

перечень иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных)

Москва, ул.Беговая, 7


Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации:

Москва, ул.Беговая, 7

нет

(страна, адрес местонахождения базы данных, наименование информационной системы (базы данных)


Сведения об обеспечении безопасности персональных данных:

Лица, осуществляющие передачу данных, проинструктированы под подпись; хранение носителей баз данных, содержащих персональные данные, обеспечено; неконтролируемое проникновение или пребывание посторонних лиц в помещениях, где ведется обработка персональных данных, исключено; контроль учета лиц, допущенных к работе с персональными данными, ведется.

Доступ к полной версии этого документа ограничен

Ознакомиться с документом вы можете, заказав бесплатную демонстрацию систем «Кодекс» и «Техэксперт» или купите этот документ прямо сейчас всего за 49 руб.

Что вы получите:

После завершения процесса оплаты вы получите доступ к полному тексту документа, возможность сохранить его в формате .pdf, а также копию документа на свой e-mail. На мобильный телефон придет подтверждение оплаты.

При возникновении проблем свяжитесь с нами по адресу spp@kodeks.ru

Примеры

аналогичных документов, доступных с полным текстом:

Обработка персональных данных

Название документа: Обработка персональных данных

Вид документа: Комментарий, разъяснение, статья

Опубликован: Материал подготовлен специально для систем Кодекс/Техэксперт
Дата принятия: 10 мая 2017

 
     Настоящий комментарий не носит официального характера и может утратить актуальность в связи с изменением законодательства.

     Права на использование данного авторского материала принадлежат АО "Информационная компания "Кодекс". Без согласия автора или АО "Информационная компания "Кодекс" допускаются установленные частью IV Гражданского кодекса Российской Федерации правомерные способы использования данного материала.
     
     Опубликование данного материала, а также изменение и (или) иная переработка его с целью опубликования осуществляется только с разрешения автора или обладателя права на использование данного материала - АО "Информационная компания "Кодекс".

Информация о данном документе содержится в профессиональных справочных системах «Кодекс» и «Техэксперт»
Узнать больше о системах