Обработка персональных данных



Законодательство об обработке персональных данных в России появилось в 2006 году, однако даже в настоящее время компании сталкиваются с проблемами, например, со спорами с работниками, административными штрафами, проблемами передачи персональных данных третьим лицам. Достаточно спорными являются вопросы уведомления Роскомнадзора об обработке данных, сбора персональных данных и согласия на обработку. В этой связи очень важным является вопрос систематизации знаний о персональных данных.


Что относится к персональным данным?

Почему важно понимать, что относится к персональным данным?

Во-первых, часть 1 ст.24 Конституции РФ запрещает сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.

Во-вторых, согласно п.1 ст.152.2 Гражданского кодекса РФ не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни.

В-третьих, несоблюдение законодательства о персональных данных предусматривает значительные штрафы, которые будут повышены с 1 июля 2017 года.

Сначала определимся, что является персональными данными? Ответ мы находим в статье 3 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) "О персональных данных".

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Но данное определение является достаточно "расплывчатым", например, друзья размещают фотографии в Интернете, охраняются ли такие фотографии законодательством о защите персональных данных?

К персональным данным относится следующая информация:

- фамилия, имя, отчество человека;

- паспортные данные;

- пол и возраст;

- семейное положение, наличие детей и родственников;

-  профессия (Апелляционное определение Московского городского суда от 18.11.2016 N 33-45913/2016);

-  социальное, имущественное положение (Апелляционное определение Санкт-Петербургского городского суда от 30.01.2017 N 33а-2104/2017 по делу N 2а-6384/2016);

- место жительства;

- сведения о заработной плате (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681 "О передаче работодателем третьим лицам сведений о заработной плате работников");

- национальная принадлежность, политические взгляды религиозные или философские убеждения, состояние здоровья, интимная жизнь (Постановленипе ФАС Северо-Кавказского округа от 21.04.2014 по делу N А53-13327/2013);

- физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись) (Разъяснения Роскомнадзора "О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки");

- деловые и иные личные качества, которые носят оценочный характер.

На практике некоторые вопросы отнесения к персональным данным являются спорными, например, персональные данные широко распространены в Интернете, например, люди активно регистрируются и размещают самую распространенную информацию, такую как фамилия, имя, отчество, фотографии. И такая информация сразу становится общедоступной. Однако такая информация продолжает оставаться персональными данными.  Принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным. Информация в объеме: фамилия, имя, отчество физического лица является персональными данными, обработка которых должна осуществляться в строгом соответствии с требованиями Федерального закона N 152-ФЗ (Письмо Роскомнадзора от 20.01.2017 N 08АП-6054 "О результатах рассмотрения обращения Казначейства России"). При этом перечень персональных данных является  открытым.

Но для того, чтобы не подпасть под штрафы и правильно организовать работу с персональными данными, нужно понять, в каких документах содержатся персональные данные работника.

Перечень документов, в которых содержатся персональные данные, также установлен; вместе с тем возможно выделить следующие документы:

- паспорт гражданина РФ;

- загранпаспорт гражданина РФ;

- дипломатический паспорт;

- свидетельство пенсионного страхования (СНИЛС);

- ИНН;

- трудовая книжка работника;

- анкета, другой документ, заполняемый кандидатом на должность при собеседовании;

- документы воинского учета;

- документы об образовании, квалификации, наличии специальных знаний;

- свидетельство о регистрации или расторжении брака;

- свидетельство о рождении ребенка;

- личная карточка (форма N Т-2 утверждена постановлением Госкомстата России от 5 января 2004 г. N 1);

- справка с предыдущего места работы;

- справка о заработной плате 2-НДФЛ;

- медицинская карта;

- листок нетрудоспособности;

- трудовой договор;

- выписка из штатного расписания или штатное расписание;

- приказы по личному составу;

- права на автомобиль.

Таким образом, перечень документов, в которых содержатся персональные данные, является достаточно обширным. Поскольку перечень персональных данных и перечень документов являются открытыми, то целесообразно в трудовом договоре, согласии на обработку персональных данных указать, что подобные сведения могут содержаться и в иных документах.


Обработка персональных данных

Что можно делать с персональными данными?

Персональные данные предполагают 3 фазы работы:

- обработка персональных данных;

- распространение персональных данных;

- блокирование персональных данных.

     Схема


Фазы работы с персональными данными

         
  
   Что представляет собой обработка персональных данных?

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В соответствии со ст.7 Федерального закона "О персональных данных" операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Обработка персональных данных осуществляется:

- через оператора персональных данных;

- через третье лицо.

Соответственно, если данные передаются третьим лицам, то в этом случае необходимо согласие субъекта персональных данных.

Когда требуется такое дополнительное согласие?

В некоторых случаях работодатели привлекают аутсорсинговые компании:

- для ведения кадровой работы;

- расчета заработной платы;

- расчета страховых взносов;

- заключения договоров;

- оформления виз и билетов для поездок в командировки.

Такие действия аутсорсинговой компании являются обработкой персональных данных.

Приведем еще пример  привлечения третьих лиц для обработки персональных данных.

Например, компания заключила договор охраны и вход в офис осуществляется по пропускам, соответственно паспортные данные необходимы для:

- оформления пропусков для входа физических лиц;

- оформления провоза грузов на автомобиле.

При обработке персональных данных важно назначить лицо, которое будет ответственным за сбор и обработку данных. Ответственное лицо назначается приказом по компании и должно выполнять следующие трудовые обязанности:

- осуществлять внутренний контроль за соблюдением законодательства о персональных данных;

- доводить до работников положения законодательства;

- разрабатывать локальные акты и ознакамливать с ними работников;

- разрабатывать и доводить до работников требования по  защите персональных данных;

- организовывать прием и обработку обращений и запросов;

- осуществлять контроль за приемом и обработкой обращений.

Какие риски возникают у оператора персональных данных при обработке персональных данных?


     1. Риск административных штрафов


В качестве примера приведем ситуацию, когда компания заключала договор оказания медицинских услуг и не брала с пациента согласие на обработку персональных данных, мотивируя это тем, что при заключении договора его заключает само физическое лицо. Однако в Постановлении Самарского областного суда от 08.02.2016 N 4а-130/2016 суд с этим не согласился и привлек компанию к ответственности по статье 13.11 КоАП РФ. Суд это мотивировал тем, что юридическое лицо, осуществляющее обработку персональных данных, в том числе медицинская организация, профессионально занимающаяся медицинской деятельностью и обязанная сохранять врачебную тайну, обязана получать согласие субъекта персональных данных в письменной форме на обработку его персональных данных.


     2. Риск споров при передаче персональных данных


Передача персональных данных третьим лицам должна осуществляться с согласия субъекта персональных данных. При этом субъект персональных данных должен четко понимать, что например, работодатель, кредитная организация могут передать персональные данные третьим лицам.

Так, в Апелляционном определении Верховного суда Республики Татарстан от 28.01.2016 по делу N 33-1566/2016 суд признал правомерным передачу персональных данных третьему лицу. В данном судебном споре шла речь о передаче кредитной организацией данных коллекторам.

3. Риск компенсации морального вреда

Если работодатель или иное лицо использует персональные данные с нарушением порядка их использования, то субъект персональных данных может подать в суд для взыскания морального вреда.

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта. Согласно ст.7 Закона операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Из системного толкования приведенных норм следует, что сбор, обработка, передача, распространение персональных данных возможны только с согласия субъекта персональных данных. Соответственно, отсутствие согласия может привести к появлению морального вреда (Апелляционное определение Алтайского краевого суда от 29.09.2015 по делу N 33-9241/2015).

Доступ к полной версии документа ограничен
Этот документ или информация о нем доступны в системах «Техэксперт» и «Кодекс». Вы также можете приобрести документ прямо сейчас за 49 руб.
Нужен полный текст и статус документов ГОСТ, СНИП, СП?
Попробуйте «Техэксперт: Лаборатория. Инспекция. Сертификация» бесплатно
Реклама. Рекламодатель: Акционерное общество "Информационная компания "Кодекс". 2VtzqvQZoVs