Статья 85. Понятие персональных данных работника. Обработка персональных данных работника
Статья 85. Понятие персональных данных работника. Обработка персональных данных работника
1. Понятие персональных данных работника, предлагаемое законодателем, носит общий характер.
Конкретное содержание персональных данных определяется ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных»*(84), согласно которой персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Федеральным законом от 29 декабря 2010 г. N 437-ФЗ «О внесении изменений в Федеральный закон «О некоммерческих организациях» и отдельные законодательные акты Российской Федерации»*(85) ТК дополнен ст. 349.1, посвященной особенностям регулирования работников государственных корпораций, государственных компаний. На основании п. 1 ч. 1 ст. 349.1 ТК работник государственной корпорации или государственной компании в случаях и порядке, которые установлены Правительством РФ, представляет не только сведения о своих доходах, имуществе и обязательствах имущественного характера, но также о доходах, имуществе и обязательствах имущественного характера его супруга (супруги) и несовершеннолетних детей.
Таким образом, в некоторых случаях работодатель обязан располагать информацией не только о работнике, но и о персональных данных его супруга (супруги), несовершеннолетних детей.
2. Указом Президента РФ от 6 марта 1997 г. N 188 сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральным законом случаях, включены в Перечень сведений конфиденциального характера*(86).
Требование конфиденциальности персональных данных раскрывается в Федеральном законе «О персональных данных». Согласно п. 10 ст. 3 этого Закона конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания. В трудовых отношениях в качестве оператора выступает работодатель. Статья 7 вышеуказанного Федерального закона возлагает на оператора и третьих лиц, получающих доступ к персональным данным, обязанность обеспечивать их конфиденциальность, за исключением случая обезличивания персональных данных и в отношении общедоступных персональных данных.
3. Статья 65 ТК перечисляет документы, предъявляемые при заключении трудового договора, и устанавливает, что предъявление дополнительных документов с учетом специфики работы может предусматриваться ТК, федеральными законами, указами Президента РФ, постановлениями Правительства РФ.
4. Применительно к отдельным категориям работников информация о персональных данных является более емкой (расширяется).
Лицо допускается к педагогической деятельности, если работодатель располагает сведениями о том, что оно (ст. 331 ТК):
— не лишено права заниматься педагогической деятельностью в соответствии с вступившим в законную силу приговора суда;
— не имеет и не имело судимости, не подвергается или не подвергалось уголовному преследованию (за исключением уголовного преследования, прекращенного в отношении лица по реабилитирующим основаниям) за преступления против жизни и здоровья, свободы, чести и достоинства личности (за исключением незаконного помещения в психиатрический стационар, клеветы и оскорбления), половой неприкосновенности и половой свободы личности, против семьи и несовершеннолетних, здоровья населения и общественной нравственности, а также против общественной безопасности;
— не имеет неснятую или непогашенную судимость за умышленные тяжкие и особо тяжкие преступления;
-не признано недееспособным;
— не имеет заболеваний, предусмотренных перечнем, утверждаемым федеральным органом исполнительной власти, осуществляющим функции по выработке государственной политики и нормативно-правовому регулированию в области здравоохранения.
5. Информация, необходимая работодателю в связи с трудовыми отношениями, определяется рядом законов, например:
1) Законом РФ от 11 марта 1992 г. N 2487-I «О частной детективной и охранной деятельности в Российской Федерации»*(87), где указано, что на приобретение правового статуса частного охранника не вправе претендовать лица (ст. 11.1):
а) имеющие заболевания, которые препятствуют исполнению ими обязанностей частного охранника (см. Перечень заболеваний, препятствующих исполнению обязанностей частного охранника, утвержденный постановлением Правительства РФ от 19 мая 2007 г. N 300*(88));
б) имеющие судимость за совершение умышленного преступления;
в) не прошедшие профессиональной подготовки для работы в качестве охранника;
г) у которых удостоверение частного охранника было аннулировано по основаниям неоднократного привлечения в течение года частного охранника к административной ответственности за совершение административных правонарушений, посягающих на институты государственной власти, административных правонарушений против порядка управления и административных правонарушений, посягающих на общественный порядок и общественную безопасность;
2) Воздушным кодексом РФ (ст. 52), установившим, что на должности авиационного персонала не принимаются лица, имеющие непогашенную или неснятую судимость за совершение умышленного преступления. На работу в службы авиационной безопасности не принимаются лица:
а) имеющие непогашенную или неснятую судимость за совершение умышленного преступления;
б) состоящие на учете в учреждениях органов здравоохранения по поводу психического заболевания, алкоголизма или наркомании;
в) в отношении которых по результатам проверки, проведенной в соответствии с Законом РФ от 18 апреля 1991 г. N 1026-I «О милиции»*(89), имеется заключение органов внутренних дел о невозможности допуска этих лиц к осуществлению деятельности, связанной с объектами, представляющими повышенную опасность для жизни или здоровья человека, а также для окружающей среды;
3) Федеральным законом от 14 апреля 1999 г. N 77-ФЗ «О ведомственной охране»*(90) (ст. 7), в котором установлено, что гражданин не может быть принят на работу в ведомственную охрану в случаях:
а) наличия у него неснятой или непогашенной судимости;
б) наличия подтвержденного заключением медицинской организации заболевания, препятствующего исполнению им должностных обязанностей;
в) лишения его права занимать должности на государственной службе, в органах местного самоуправления либо заниматься охранной деятельностью приговором суда, вступившим в законную силу.
В отдельных случаях персональные данные, которыми должен располагать работодатель, определяются подзаконными нормативными актами. Так, постановлением Правительства РФ от 6 августа 1998 г. N 892 утверждены Правила допуска лиц к работе с наркотическими средствами и психотропными веществами, а также к деятельности, связанной с оборотом прекурсоров наркотических средств и психотропных веществ*(91), согласно которым к работе с наркотическими средствами и психотропными веществами, а также к деятельности, связанной с оборотом прекурсоров, не допускаются лица (п. 4 Правил):
а) имеющие непогашенную или неснятую судимость за преступление средней тяжести, тяжкое и особо тяжкое преступление или преступление, связанное с незаконным оборотом наркотических средств, психотропных веществ и их прекурсоров либо с незаконным культивированием наркосодержащих растений, в том числе совершенное за пределами Российской Федерации;
б) больные наркоманией, токсикоманией и хроническим алкоголизмом.
В целях обеспечения реализации права граждан на предоставление информации о наличии или отсутствии у них судимости приказом МВД России от 1 ноября 2001 г. N 965 утверждена Инструкция о порядке предоставления гражданам справок о наличии (отсутствии) у них судимости*(92).
6. К персональным данным на основании ст. 9 Федерального закона от 25 июля 1998 г. N 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации»*(93) относится информация о прохождении обязательной государственной дактилоскопической регистрации, которой подлежат:
1) граждане РФ, призываемые на военную службу;
3) граждане России, проходящие службу в:
а) органах внутренних дел;
б) органах по контролю за оборотом наркотических средств и психотропных веществ;
в) органах государственной налоговой службы;
г) органах по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий;
д) органах и подразделениях службы судебных приставов;
е) таможенных органах;
ж) органах государственной охраны;
з) учреждениях и органах уголовно-исполнительной системы;
и) Государственной противопожарной службе;
к) федеральном органе исполнительной власти, уполномоченном на осуществление функций по контролю и надзору в сфере миграции, и его территориальных органах, организациях, подразделениях;
л) с 1 января 2013 г. — в федеральном органе исполнительной власти, реализующем государственную политику в сфере миграции и осуществляющем правоприменительные функции, функции по контролю, надзору и оказанию государственных услуг в сфере миграции, и его территориальных органах, организациях, подразделениях, в том числе зарубежных (ст. 3, 9 Федерального закона от 19 мая 2010 г. N 86-ФЗ «О внесении изменений в Федеральный закон «О правовом положении иностранных граждан в Российской Федерации» и отдельные законодательные акты Российской Федерации»*(94));
4) федеральные государственные гражданские служащие кадрового состава органов внешней разведки, а также не входящие в кадровый состав федеральные государственные гражданские служащие и работники органов внешней разведки;
5) федеральные государственные гражданские служащие и работники органов федеральной службы безопасности, а также граждане, поступающие на военную службу по контракту, федеральную государственную гражданскую службу или работу в органы федеральной службы безопасности;
6) спасатели профессиональных аварийно-спасательных служб и профессиональных аварийно-спасательных формирований Российской Федерации;
7) члены экипажей воздушных судов государственной, гражданской и экспериментальной авиации Российской Федерации.
Перечень должностей, на которых проходят службу граждане Российской Федерации, подлежащие обязательной государственной дактилоскопической регистрации, утвержден постановлением Правительства РФ от 6 апреля 1999 г. N 386*(95);
8) граждане, претендующие на получение удостоверения частного охранника;
9) граждане РФ, постоянно проживающие на территории РФ иностранные граждане и лица без гражданства, в отношении которых принято решение о выдаче удостоверения личности моряка и др.
С 1 января 2013 г. обязательной государственной дактилоскопической регистрации будут подлежать:
— иностранные граждане и лица без гражданства, в отношении которых принято решение о выдаче разрешений на работу либо патентов, предоставляющих право на осуществление трудовой деятельности в Российской Федерации;
— иностранные граждане и лица без гражданства, осуществляющие трудовую деятельность в Российской Федерации в нарушение законодательства РФ;
— иностранные граждане и лица без гражданства, обратившиеся в территориальные органы федерального органа исполнительной власти, уполномоченного на осуществление функций по контролю и надзору в сфере миграции, с заявлением о получении дубликата разрешения на работу, миграционной карты, визы, разрешения на временное проживание, вида на жительство или отрывной части бланка уведомления о прибытии взамен утраченных или испорченных (ст. 3, 9 Федерального закона «О внесении изменений в Федеральный закон «О правовом положении иностранных граждан в Российской Федерации» и отдельные законодательные акты Российской Федерации»).
7. К персональным данным относится также:
— медицинские заключения о необходимости перевода работника на другую работу (ст. 73 ТК), перевода на другую работу беременных женщин и женщин, имеющих детей до полутора лет (ст. 254 ТК);
— медицинские заключения как предшествующее приему на работу, так и периодические, представляемые в процессе трудовой деятельности в отношении работников, занятых на тяжелых работах и на работах с вредными и (или) опасными условиями труда (в том числе на подземных работах), а также на работах, связанных с движением транспорта и др. (ст. 213 ТК);
— медицинские заключения, предшествующие заключению трудового договора со спортсменами (ст. 348.3 ТК);
— медицинские заключения о необходимости ухода за больным членом семьи в связи с установлением неполного рабочего времени (ст. 93 ТК);
— информация о наличии у работника двух и более иждивенцев, когда решается вопрос о преимущественном праве оставления на работе (ст. 179 ТК) и др.
8. Персональные данные работника, подлежащие обработке, получают отражение в Унифицированных формах первичной учетной документации по учету труда и его оплаты, утвержденных постановлением Госкомстата России от 5 января 2004 г. N 1, к числу которых отнесены:
1) по учету кадров:
— N Т-1 «Приказ (распоряжение) о приеме работника на работу»;
— N Т-1а «Приказ (распоряжение) о приеме работников на работу»;
— N Т-2 «Личная карточка работника»;
— N Т-2ГС(МС) «Личная карточка государственного (муниципального) служащего»;
— N Т-4 «Учетная карточка научного, научно-педагогического работника»;
— N Т-5 «Приказ (распоряжение) о переводе работника на другую работу»;
— N Т-5а «Приказ (распоряжение) о переводе работников на другую работу»;
— N Т-6 «Приказ (распоряжение) о предоставлении отпуска работнику»;
— N Т-6а «Приказ (распоряжение) о предоставлении отпуска работникам»;
— N Т-8 «Приказ (распоряжение) о прекращении (расторжении) трудового договора с работником (увольнении)»;
— N Т-8а «Приказ (распоряжение) о прекращении (расторжении) трудового договора с работниками (увольнении)»;
— N Т-9 «Приказ (распоряжение) о направлении работника в командировку»;
— N Т-9а «Приказ (распоряжение) о направлении работников в командировку»;
— N Т-10а «Служебное задание для направления в командировку и отчет о его выполнении»;
— N Т-11 «Приказ (распоряжение) о поощрении работника»;
— N Т-11а «Приказ (распоряжение) о поощрении работников»;
2) по учету рабочего времени и расчетов с персоналом по оплате труда:
— N Т-12 «Табель учета рабочего времени и расчета оплаты труда»;
— N Т-13 «Табель учета рабочего времени;
— N Т-53а «Журнал регистрации платежных ведомостей»;
— N Т-60 «Записка-расчет о предоставлении отпуска работнику»;
— N Т-61 «Записка-расчет при прекращении (расторжении) трудового договора с работником (увольнении)»;
— N Т-73 «Акт о приеме работ, выполненных по срочному трудовому договору, заключенному на время выполнения определенной работы».
Постановлением Госкомстата России от 5 января 2004 г. N 1 утверждены указания по применению и заполнению форм первичной учетной документации по учету труда и его оплаты.
9. Статьей 42 Федерального закона «О государственной гражданской службе Российской Федерации» предусмотрено ведение личного дела гражданского служащего, в которое вносятся его персональные данные и иные сведения, связанные с поступлением на гражданскую службу, ее прохождением и увольнением с гражданской службы и необходимые для обеспечения деятельности государственного органа.
Указом Президента РФ от 30 мая 2005 г. N 609 утверждено Положение о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела*(96). В п. 16 этого Положения перечисляются документы, которые должны быть приобщены к личному делу гражданского служащего.
При переводе гражданского служащего на должность гражданской службы в другом государственном органе его личное дело передается в государственный орган по новому месту замещения должности гражданской службы (п. 21 названного Положения).
При назначении гражданского служащего на государственную должность Российской Федерации или государственную должность субъекта Российской Федерации его личное дело передается в государственный орган по месту замещения государственной должности Российской Федерации или государственной должности субъекта Российской Федерации (п. 22 названного Положения).
Личные дела уволенных гражданских служащих (за исключением указанных выше), хранятся кадровой службой соответствующего государственного органа в течение 10 лет со дня увольнения с гражданской службы, после чего передаются в архив. Если гражданин, личное дело которого хранится кадровой службой государственного органа, поступит на гражданскую службу вновь, его личное дело подлежит передаче указанной кадровой службой в государственный орган по месту замещения должности гражданской службы (п. 23 названного Положения).
Статьей 30 Федерального закона от 2 марта 2007 г. N 25-ФЗ «О муниципальной службе в Российской Федерации»*(97) определено ведение личного дела муниципального служащего, к которому приобщаются документы, связанные с его поступлением на муниципальную службу, ее прохождением и увольнением с муниципальной службы. Такие личные дела хранятся в течение 10 лет.
При увольнении муниципального служащего его личное дело хранится в архиве органа местного самоуправления, избирательной комиссии муниципального образования по последнему месту муниципальной службы. При ликвидации органа местного самоуправления, избирательной комиссии муниципального образования, в которых муниципальный служащий замещал должность муниципальной службы, его личное дело передается на хранение в орган местного самоуправления, избирательную комиссию муниципального образования, которым переданы функции ликвидированных органа местного самоуправления, избирательной комиссии муниципального образования или их правопреемникам.
Личное дело муниципального служащего ведется в порядке, установленном для ведения личного дела государственного гражданского служащего.
Трудовым законодательством не урегулирован вопрос о ведении личных дел работников. На практике работодатель ведет личные дела работников, включая в них всю информацию, касающуюся:
1) поступления на работу, а именно:
а) паспортные данные работника;
б) копия страхового свидетельства государственного пенсионного страхования; копия документа воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);
в) копия документа об образовании, квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки);
г) анкетные данные, заполненные работником при поступлении на работу;
д) трудовой договор и др.;
2) трудовой деятельности и прекращения трудовых отношений:
а) копии приказов о приеме, переводах, увольнении, повышении заработной платы, премировании, поощрениях и взысканиях;
б) заявления, объяснительные и служебные записки работника;
в) документы о прохождении работником аттестации, собеседования, повышения квалификации;
г) иные документы, содержащие сведения о работнике.
10. Государственные и муниципальные органы создают, в пределах своих полномочий, информационные системы персональных данных. В целях обеспечения реализации прав субъектов этих данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом (ст. 13 Федерального закона «О персональных данных»).
11. В некоторых случаях сведения о персональных данных работников объединяются и содержатся в электронной базе данных ведомственного характера на федеральном уровне.
Федеральное агентство морского и речного транспорта обеспечивает ведение электронной базы данных, содержащей сведения об удостоверениях личности моряка, выданных в Российской Федерации. Электронная база данных содержит информацию о каждом удостоверении личности моряка, выданном в Российской Федерации, об удостоверениях личности моряка, действие которых временно приостановлено, а также об изъятых удостоверениях личности моряка.
Информация, содержащаяся в указанной электронной базе данных, ограничивается лишь сведениями, необходимыми для проверки удостоверений личности моряка или статуса моряка, и включает в себя данные, перечень которых приведен в Приложении 2 к Конвенции МОТ N 185, пересматривающей Конвенцию 1958 года об удостоверениях личности моряков (2003 г.)*(98), при полном соблюдении права владельцев удостоверений на конфиденциальность своих персональных данных и удовлетворении всех требований защиты персональных данных, установленных Федеральным законом «О персональных данных» (см. постановление Правительства РФ от 18 августа 2008 г. N 628 «О Положении об удостоверении личности моряка, Положении о мореходной книжке, образце и описании бланка мореходной книжки»*(99)). Приказом Минтранса России от 17 мая 2010 г. N 113 утвержден Порядок ведения электронной базы данных, содержащей сведения о выданных удостоверениях личности моряка, и использования указанных сведений*(100).
12. Распоряжением Правительства РФ от 9 июня 2005 г. N 748-р одобрена Концепция создания системы персонального учета населения Российской Федерации*(101), согласно которой под ней понимается система взаимодействия органов государственной власти, органов местного самоуправления, государственных и муниципальных организаций по обмену персональными данными о гражданах РФ, иностранных гражданах или лицах без гражданства, временно пребывающих и временно или постоянно проживающих в Российской Федерации, на основе современных информационных технологий в рамках обеспечения конституционных прав граждан, а также предоставления услуг населению в соответствии с законодательством РФ.
Концепция определяет роль и место системы персонального учета в структуре государственных информационных систем и ресурсов, цели, принципы, структуру, функции и основные этапы создания и развития системы персонального учета, а также источники финансирования.
13. Персональные данные работника подлежат обработке со стороны работодателя. Под такой обработкой согласно ст. 3 Федерального закона «О персональных данных» понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Федеральный закон «О персональных данных» и ч. 2 комментируемой статьи не содержат исчерпывающего перечня способов обработки персональных данных работников.
Под распространением персональных данных понимаются действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом (п. 4 ст. 3 Федерального закона «О персональных данных»).
Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц (п. 5 ст. 3 Федерального закона «О персональных данных»).
Блокирование персональных данных означает временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе и их передачи (п. 6 ст. 3 Федерального закона «О персональных данных»).
Уничтожение персональных данных — это действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных (п. 7 ст. 3 Федерального закона «О персональных данных»).
Обезличивание персональных данных — это действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных (п. 8 ст. 3 Федерального закона «О персональных данных»).
Персональные данные либо представляются самими работниками, либо их получают из иных источников.
Хранение персональных данных должно обеспечиваться в порядке, исключающем их утрату или неправомерное использование.
14. Персональные данные работников, как в условиях ее ручной обработки, так и при использовании автоматизированных информационных систем и технологий могут стать в определенной мере открытыми и привести к ущемлению их прав и интересов, причинить материальный ущерб и моральный вред. В качестве гарантии защиты персональных данных законодателем устанавливаются принципы, лежащие в основе обработки персональных данных работника, положения о порядке их хранения и использования в организации, о передаче персональных данных, правах работника по их защите, об ответственности лиц за невыполнение требований норм, регулирующих обработку и защиту персональных данных работника.
15. Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства РФ от 15 сентября 2008 г. N 687*(102) (далее — Положение).
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека (п. 1 Положения).
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п. 2 Положения).
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков) (п. 4 Положения).
При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель (п. 5 Положения).
Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии) (п. 6 Положения).
При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:
1) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
2) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;
3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
4) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы (п. 7 Положения).
При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:
1) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;
2) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
3) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор (п. 8 Положения).
При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию (п. 9 Положения).
Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание) (п. 10 Положения).
Указанные правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными (п. 12 Положения).
base.garant.ru
Закон о персональных делах
Федеральный закон от 27.07.2006 «О персональных данных» действует в России более 10 лет, но белых пятен в нем достаточно. Многие до сих пор соблюдают закон частично, если вообще соблюдают: трудно, дорого и непонятно. Вспомните, давно ли вы давали согласие кому-либо на обработку своих данных, даже в своей компании? Возможно, вообще не давали. Но государство не дремлет: в феврале был принят федеральный закон от 7.02.2017 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Принят он зимой, как часто бывает, тревоги начались ближе к дню икс – 1 июля. С этой даты все стало иначе: штрафы больше, больше видов нарушений, и не только.
Вопросы о персональных данных не относятся напрямую к применению трудового законодательства. Но с ними мы сталкиваемся ежедневно, обрабатывая информацию о сотрудниках, потому день икс коснется каждой компании. Например, можно ли передавать информацию о сотрудниках в головной офис за границей или даже внутри страны, где должна находиться база данных о работниках, какую информацию можно искать о кандидате?
Первого июля 2017 г. административная ответственность за нарушение законодательства в области персональных данных повысились в несколько раз. Максимальный штраф для юридических лиц составит 75 000 руб. вместо 10 000 руб. в настоящий момент. Именно это следует из текста закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».
Еще одно неприятное нововведение: теперь будет семь видов правонарушений вместо одного. И каждое может наказываться отдельно.
Прежде всего это незаконная обработка данных. Если обработка не предусмотрена законом или не соответствует целям сбора информации, штраф составит до 50 000 руб. Типичный случай: данные о сотрудниках переданы сторонним организациям в рекламных целях. Следующее нарушение – обработка без письменного согласия сотрудников. Оно необходимо в любой соответствующей ситуации, а упущение чревато штрафом в размере до 75 000 руб. Третий пункт списка – доступ к информации о политике компании в области обработки персональных данных. Проще всего этот документ опубликовать на корпоративном сайте, однако закон не ограничивает способы, и это могут быть, например, информационные стенды в компании и т. п. Несоблюдение этого требования может обернуться штрафом до 30 000 руб.
Следующее нарушение – сокрытие данных. Физическое лицо имеет право запросить и получить информацию, касающуюся обработки его персональных данных. Невыполнение этого обязательства грозит штрафом в размере до 40 000 руб. Также в отдельный вид выведена корректировка данных. В соответствии со ст. 21 закона «О персональных данных» иногда компания обязана уточнять, блокировать или уничтожать данные о физических лицах. Например, при неполной или устаревшей информации. И важно не просто выполнить требование, но и соблюсти срок. Нарушение чревато штрафом до 45 000 руб. Кроме того, компания обязана обеспечить сохранность персональных данных. Если кто-то получил доступ к информации, например скопировал или уничтожил ее, вы рискуете заплатить штраф в размере до 50 000 руб.
Еще один вид нарушений касается только государственных и муниципальных органов. Речь идет об обезличивании данных при обработке и обязанности в дальнейшем публиковать информацию, в частности копии судебных решений.
С 1 июля 2017 г. изменяется и подведомственность дел при нарушении закона «О персональных данных». Если ранее дела мог возбудить только прокурор, то теперь протоколы об административных правонарушениях будут составлять в первую очередь должностные лица Роскомнадзора. Выводы делать рано, но, вероятно, нарушителей станет много больше.
Ситуаций, при которых компания может столкнуться с действием данных поправок, достаточно. Например, если штаб-квартира компании находится за рубежом и, создавая единую базу данных, просит предоставить информацию о сотрудниках. Но чаще всего с требованиями придется столкнуться при поиске кандидатов на имеющиеся в компании вакансии. Обычно в такой ситуации работодатели собирают резюме, а между тем в соответствии с законом эта информация является персональными данными. Чтобы хранить их в электронном или бумажном виде и тем более проверять сведения, надо получать согласие самого кандидата. И если такого согласия нет – даже озвученного по телефону или при собеседовании, – информацию из резюме надо удалять. Вопросы материального состояния и финансовых обязательств тоже являются персональными данными. В то же время компания может получить отзыв или характеристику человека с прошлого места работы, так как это является субъективной оценкой личности, а не персонифицированной информацией.
Во многих компаниях защита персональных данных не относится напрямую к применению трудового законодательства. Но я могу озвучить несколько базовых рекомендаций. Я советую всегда получать письменное согласие на обработку персональных данных у каждого сотрудника и кандидата. И обязательно опубликуйте на сайте или разместите в общем доступе политику компании в области обработки персональных данных. Имеющиеся данные обрабатывайте только для тех целей, согласие на которые вы получили. А если с запросом обратился сотрудник, сообщите ему, какая информация о нем у вас есть, что вы с ней делаете и как защищаете. Конечно же, неверные или неполные сведения надо корректировать или удалять по первому требованию. И наконец, правильным шагом будет провести обучение сотрудников основам работы с персональными данными.
Автор – управляющий партнер юридической фирмы BLS
m.vedomosti.ru