Юридические тонкости работы с персональными данными

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Юридические тонкости работы с персональными данными». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Необходимо подготовить текст политики обработки и защиты персональных данных. Также необходимо утвердить данный текст приказом. После, обязательно, надо разместить данную политику в общем доступе. Если на вашем сайте есть какие-либо формы обратной связи – вам необходимо под каждой такой формой написать что-то вроде «я согласен на обработку персональных данных» и оставить чекбокс.

Краткие выводы и рекомендации:

1. Разработать в качестве отдельного документа (или как часть общей Политики по обработке персональных данных) политику по обработке персональных данных сотрудников, если в вашей компании имеет место мониторинг их данных в любой форме. Ознакомить с ней сотрудников и разместить в легком и свободном доступе (для сотрудников, конечно)
2. Оформлять документы, подтверждающие, что вы регулярно (не реже одного раза в год) пересматриваете вашу политику. Рекомендуется вносить хотя бы минимальные изменения.
3. Любые случаи обработки персональных данных документировать в договорах, заключаемых с сотрудниками. Если происходят какие-то изменения (начинают собираться дополнительные данные, изменяются условия обработки ранее полученных данных), не забывайте составлять с сотрудниками дополнительные соглашения.
4. Разработать в качестве шаблона Стандартные договорные условия защиты персональных данных (Standard contractual clauses), которые нужно будет подписывать при получении персональных данных европейских сотрудников, если такие данные передаются в третью страну без адекватного уровня защиты.

Как и когда нужно уведомлять Роскомнадзор

Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.

Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.

Когда можно не подавать уведомление

Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:

• персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
• персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Как передать обработку ПД третьим лицам

Операторы при определённых условиях могут поручить обработку ПД третьим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого нужно заключить соответствующий договор. Также обработка может производиться на основе акта государственного или муниципального органа или на основании поручения оператора персональных данных.

В акте необходимо указать:

• перечень обрабатываемых персональных данных;
• обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
• обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора ПД;
• обязанность третьего лица уведомить оператора ПД о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ (в те же сроки оператор обязан уведомить об инциденте Роскомнадзор).

Обработка персональных данных

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)

Хранение и использование персональных данных

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.

Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).

Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.

Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.

Что сделать для того, чтобы правильно работать с персональными данными?

Так же необходимо сделать при первом входе в ваше мобильное приложение, если данное приложение имеет доступ к персональным данным. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним. Так же необходимо, чтобы пользователь мог ознакомиться с политикой обработки и с пользовательским соглашением, соответственно надо оставить ссылку на них.

Юридическое обоснование чекбоксов звучит так:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:

“В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью…”.

Понятное дело, что сделать это сложно и долго. Поэтому Роскомнадзор пошёл навстречу людям и дал разъяснения:

“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.

Последним шагом является уведомление Роскомнадзора о том, что вы обрабатываете персональные данные. В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Цели обработки персональных данных на предприятии

Организация обрабатывает личные данные работников в следующих целях:

• создание, заключение, выполнение и расторжение договоров гражданско-правового характера. Сюда включаются отношения и с физическими, и с юридическими лицами, а также с предпринимателями. Такие отношения регулируются законами и документами о деятельности компании;
• учет в кадровой сфере, контроль исполнения законов в общей деятельности и области гражданского права;
• осуществление делопроизводства, соответствующего требованиям закона, правильное оформление приема на работу, помощь в карьерном росте сотрудникам, применение льгот;
• правильное применение норм налогового права в области налогообложения доходов граждан и отчисления взносов в фонды, формирование данных учета и передача их в Пенсионный фонд РФ;
• ведение статистики и оформление документации, требуемой нормами налогового и трудового права.

Когда не требуется согласие

Закон не обязывает оператора запрашивать согласие субъекта на обработку его данных в следующих случаях:

• она предусмотрена условиями заключенного с гражданином соглашения или включена в состав полномочий и общих функций работодателя. Примеры таких ситуаций: ответы на официальные запросы государственных органов, направление сведений в ПФР РФ и т. д.;
• в организации имеется коллективный договор или иное соглашение с работниками. Также сюда относятся и иные нормативные акты компании, соответствующие ст. 372 ТК РФ;
• закон обязывает данную категорию работодателей делать доступной информацию о состоящих в штате сотрудниках. Пример: медицинские учреждения, которые обязаны информировать население о количестве своих работников, их уровне образования и результатах пройденной аттестации;
• информация о состоянии здоровья гражданина напрямую связана с его допуском к определенной работе. Например, работники сферы образования должны проходить регулярное медицинское освидетельствование, о чем извещается работодатель;
• обработку данных осуществляет Прокуратура в рамках возложенных на нее законодателем полномочий;
• обработка данных связана с личностями членов семьи работника, указанных в карточке Т-2. Сюда относятся случаи взыскания алиментов, предоставления дополнительных выплат, оформления допуска к закрытым сведениям и пр.;
• трудовые обязанности гражданина напрямую связаны с обработкой данных;
• в организации применяются особые формы предоставления доступа на отдельные территории, требующие обработки данных;
• существует непосредственная и прямая угроза жизни работника и его здоровью, и ее устранение требует передачи другим лицам личной информации о гражданине. Другие подобные случаи могут быть оговорены в законе;
• обрабатываются данные сотрудников, уже уволенных из организации, – обычно речь идет о работе бухгалтерии;
• обрабатываемые данные были переданы работником в обычных документах при оформлении приема на работу согласно ст. и ч. 4 ст. 275 ТК РФ.

Рекомендации Роскомнадзора более глубоко рассматривают каждый из приведенных пунктов. Для лучшего понимания их сути рекомендуется изучить эти положения полностью.

Далее будут приведены отдельные положения из данных рекомендаций. Они касаются необходимости согласия сотрудника на передачу его личных данных по запросу от государственных органов, а также компаний, которые изначально такими правами не обладают.

Запомните! Сведения предоставляются без получения согласия гражданина, если их запросили в пределах своей компетенции: правоохранительные органы, надзорные органы (в том числе Прокуратура и Государственная Инспекция труда), органы системы государственной безопасности, а также другие органы, правомочия которых в этой сфере были закреплены на федеральном законодательном уровне.

Срок обработки персональных данных

Срок обработки персональных данных — это период от начала обработки данных до ее прекращения. Начало обработки для каждого субъекта персональных данных будет разным. Рекомендуем разграничить начало для каждого из них. Например, срок обработки персональных данных клиентов начинается с момента регистрации на сайте или заключения договора, а срок обработки данных сотрудников — с начала действия трудового договора. Дата прекращения обработки персональных данных определяется моментом наступления одного из событий:

• достигнута цель обработки;
• истек срок действия согласия субъекта или он отозвал согласие на обработку данных;
• обнаружена несанкционированная обработка данных;
• организация прекратил свою деятельность. Сколько хранить персональные данные.

Персональные данные не стоит хранить дольше того срока, который нужен для их обработки. Лучше всего указать конкретную дату (число, месяц, год) и основание, которое станет причиной прекращения обработки персональных данных.

Состав персональных данных работника

Ч. 2 ст. 86 ТК РФ предписывает устанавливать количественный и качественный состав персональных данных сотрудника исходя из Конституции России и соответствующих ей законов.

Работа с личной информацией сотрудников заключается в использовании документации двух типов:

• представляемой гражданином при трудоустройстве в соответствии со ст. 65 ТК РФ. Сюда включаются личные фотографии, информация о рождении, принадлежность к гражданам страны, сведения о семейном статусе, адресе регистрации, полученном образовании и присвоенной специальности. Соответственно, это паспорт гражданина России, свидетельство СНИЛС, документ военнообязанного лица (военный билет) и пр.,
• составляемой администрацией предприятия без участия гражданина. Речь идет о документации в сфере учета рабочего времени и оплаты труда. Сюда относятся разного рода приказы, издаваемые руководством, карточка сотрудника, табели и платежные ведомости.

Порядок приема на работу по Трудовому кодексу РФ.

Цели обработки персональных данных на предприятии

Организация обрабатывает личные данные работников в следующих целях:

• создание, заключение, выполнение и расторжение договоров гражданско-правового характера. Сюда включаются отношения и с физическими, и с юридическими лицами, а также с предпринимателями. Такие отношения регулируются законами и документами о деятельности компании,
• учет в кадровой сфере, контроль исполнения законов в общей деятельности и области гражданского права,
• осуществление делопроизводства, соответствующего требованиям закона, правильное оформление приема на работу, помощь в карьерном росте сотрудникам, применение льгот,
• правильное применение норм налогового права в области налогообложения доходов граждан и отчисления взносов в фонды, формирование данных учета и передача их в Пенсионный фонд РФ,
• ведение статистики и оформление документации, требуемой нормами налогового и трудового права.

Технические меры при обработке информации

Закон предусматривает, помимо прочего, меры защиты информации. Они могут относиться к способам физической защиты (опечатывание, хранение бумаг в сейфах, установление замков и решеток).

Также защита информации может осуществляться с помощью современных технологий. К ним относятся антивирусные программы, криптографическая защита и прочее.

Оператор, приступая к обработке информации, должен:

• определить, каковы основания и цели его действий в этой сфере применительно к определенным субъектам,
• изучить закон и установить порядок исполнения его положений. Сформировать соответствующие правовые акты компании, предусмотрев в них все важные положения,
• издать «Положение об обработке персональных данных» или такую же «Политику…» и выполнять в дальнейшем те правила, которые там будут отражены,
• принять меры, обеспечивающие безопасность хранимой и обрабатываемой информации.

Важное дополнение. В настоящий момент закон достаточно подробно регламентирует правовую сторону обработки данных и организационные мероприятия, которые должны в этой области осуществляться, в отношении всех операторов.

Что касается мер технической защиты, здесь положение дел несколько иное. Для государственных органов и учреждений разработана целая система мер безопасности, которые успешно применяются.

Для коммерческих организаций этот вопрос решен только в общем виде. Какие именно технические меры и в каком объеме будут применяться, решает сама компания. Закон предоставляет коммерческим организациям свободу выбора в решении этого вопроса.

Что значит обработка персональных данных: порядок, участники процесса

Персональные данные — это любые сведения личного характера, относящиеся к конкретному физическому лицу. В законе «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — закон № 152-ФЗ) отсутствует точный перечень таких сведений.

В качестве примера можно назвать следующие:

• фамилия, имя, отчество;
• адрес места жительства;
• профессия и доход;
• дата рождения, любые значимые даты (вступление в Брак, рождение детей и т. д.);
• реквизиты документов, удостоверяющих личность;
• права на объекты недвижимого имущества;
• биометрические данные и многие другие.

В процессе деятельности граждане практически постоянно обмениваются своими данными и вынуждены предоставлять их всюду: при устройстве на работу — работодателю, при оплате коммунальных платежей — управляющей компании и поставщикам услуг, при заключении любых договоров — контрагентам, оказывающим услуги.

Важно! Под обработкой персональных данных следует понимать любые действия и операции, которые с ними производятся.

Перечень возможных способов обработки персональных данных приведен в ст. 3 закона № 152-ФЗ и не является исчерпывающим:

• запись;
• хранение;
• распространение и передача;
• удаление;
• изменение и др.

Эти действия могут производиться как с использованием автоматизированной техники, так и без него.

Штрафы за неуведомление Роскомнадзора

Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).

Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.

Персональные данные пациента и врачебная тайна

Сразу отметим, что информация о состоянии здоровья пациента относится к специальным категориям персональных данных, обработка которых не допускается, за исключением случаев, когда (ст. 10 Закона № 152-ФЗ):
– пациент дал согласие в письменной форме на обработку своих персональных данных;
– пациент сам сделал персональные данные общедоступными;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов пациента либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия пациента невозможно;
– обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.

Информация, являющаяся врачебной тайной, — это отдельный подвид персональных данных. Она представляет собой сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья, диагнозе и иные сведения, полученные при его медицинском обследовании и лечении (п. 1 ст. 13 Закона № 323-ФЗ). Ее разглашение не допускается (п. 2 ст. 13 Закона № 323-ФЗ), за исключением отдельных случаев, о которых мы расскажем ниже.

Способы обработки персональных данных государственными и муниципальными органами

Закон о персональных данных устанавливает дополнительные требования к способам и методам их обработки для государственных или муниципальных органов. Так, для них могут быть установлены определенные способы обезличивания, затрудняющие определение принадлежности информации тому или иному лицу. Также для них установлено ограничение на любое использование ПДн или обозначение их принадлежности такими способами, которые могли бы оскорбить чувства конкретных лиц или социальных групп. Ни один способ обработки данных государственными органами и учреждениями не должен ограничить права человека.

Любой оператор, будь то частная фирма или государственная организация, определяя, каким способом он будет обрабатывать предоставленные ему персональные данные, должен строго придерживаться установленных законом принципов. Это позволит избежать и неправомерного использования сведений, и привлечения оператора к ответственности.

Похожие записи:

• Документы для налогового вычета в 2023 году
• Перевыставление транспортных расходов покупателю
• Отчетность по страховым взносам