Робота з персональними даними накладає на оператора низку обов'язків. Розглянемо кілька найістотніших із них.

Повідомити Роскомнагляд про початок обробки персональних даних (). Таке повідомлення необхідно надіслати до відомства до початку обробки даних, вказавши в ньому:

• найменування (ПІБ), адреса оператора;
• мету обробки персональних даних;
• категорії персональних даних;
• категорії суб'єктів, персональні дані яких опрацьовуються;
• правова основа обробки персональних даних;
• перелік дій із персональними даними, Загальний описвикористовуваних оператором способів обробки персональних даних;
• заходи захисту персональних даних;
• ПІБ фізичної особи або найменування юридичної особи, відповідальних за організацію обробки персональних даних, та номери їх контактних телефонів, поштові адреси та адреси електронної пошти;
• дату початку обробки персональних даних;
• термін чи умова припинення обробки персональних даних;
• дані про наявність або відсутність транскордонної передачі персональних даних у процесі їх обробки;
• інформацію про місцезнаходження бази даних інформації, що містить персональні дані росіян;
• відомості про забезпечення безпеки персональних даних відповідно до вимог до захисту персональних даних, встановлених Урядом РФ (мова, зокрема, йдеться про персональні дані залежно від загроз безпеки, персональних даних, виконання яких забезпечує встановлені рівні захищеності персональних даних, а також технологіям зберігання таких даних поза інформаційними системами персональних даних).

При цьому є ситуації, коли повідомляти Роскомнагляд про обробку персональних даних не потрібно. Це, наприклад, обробка роботодавцем даних працівників, отримання оператором даних клієнта при укладенні з ним договору (якщо ця інформація не надається третім особам без згоди на те суб'єкта та використовується виключно для виконання зазначеного договору), обробка загальнодоступних персональних даних, оформлення особі одноразового пропуску на територію оператора, використання лише ПІБ суб'єкта та ін. ().

Забезпечити конфіденційність персональних даних. Це означає, що поширювати їх без згоди суб'єкта не можна (). Цей обов'язок осіб, які отримали доступ до персональних даних, є одним з основних. Зокрема, під час передачі персональних даних працівників роботодавець зобов'язаний:

• не повідомляти персональні дані працівника третій стороні без його письмової згоди (за винятком випадків, коли це необхідно з метою попередження загрози життю та здоров'ю працівника, та в інших передбачених законом випадках – наприклад, при передачі даних до ФСС, ПФР, податкові органи, військові комісаріати , прокуратуру, правоохоронні органи, ГІТ та ін);
• попередити осіб, які отримують персональні дані працівника, що ця інформація може бути використана лише з метою, для яких вона повідомлена – більше того, роботодавець навіть може вимагати від таких осіб підтвердження того, що це правило дотримано;
• здійснювати передачу персональних даних працівника в межах однієї організації, в одного індивідуального підприємця відповідно до локального нормативного акта, з яким працівник має бути ознайомлений під підпис;
• дозволяти доступ до персональних даних працівників лише спеціально уповноваженим особам, причому вони повинні мати право отримувати ті дані працівника, які необхідні для виконання конкретних функцій;
• не вимагати інформацію про стан здоров'я працівника, за винятком тих відомостей, що належать до питання про можливість виконання працівником трудової функції;
• обмежувати інформацію, що передається представникам працівників, лише тими даними працівника, які необхідні виконання зазначеними представниками їх функцій ().

Вживати заходів для забезпечення безпеки персональних даних (). Для цього організації слід призначити особу, відповідальну за організацію обробки персональних даних. Така особа зобов'язана здійснювати внутрішній контроль за дотриманням оператором та його працівниками вимог до захисту персональних даних, доводити до відома працівників положення локальних актів з питань обробки персональних даних, а також організовувати прийом та обробку звернень та запитів суб'єктів персональних даних. Крім того, у цих цілях слід застосовувати технічні заходи щодо забезпечення безпеки обробки, а також видати документи, що визначають політику компанії щодо обробки персональних даних, та ін.

У цьому політику обробки персональних даних організація має зробити публічної (). Найбільш оптимальним способом є розміщення документа на сайті оператора. Але в тому випадку, коли це неможливо, достатньо встановити "кишеньку" з політикою на паперовому носії в будь-якому доступному для відвідувачів організації місці. Винятком є ​​оператори, які збирають персональні дані безпосередньо через Інтернет, – їм необхідно опублікувати політику саме на сайті та забезпечити можливість доступу до зазначеного документа. На офіційному сайті Роскомнагляду можна ознайомитися з рекомендаціями щодо складання політики щодо обробки персональних даних.

Не варто плутати політику, що поширюється в основному на третіх осіб (контрагентів, клієнтів та ін.), з Положенням про захист, зберігання, обробку та передачу персональних даних працівників – цей документ на відміну від політики є локальним нормативним актом, тому робити його публічним не потрібно, а ось ознайомити з ним під розпис працівників слід обов'язково ().

МАТЕРІАЛИ ЗА ТЕМОЮ

Про те, з якими проблемами може зіткнутися оператор при дотриманні вимог про локалізацію персональних даних та як їх найбільш ефективно вирішити, читайте в нашому матеріалі " ".

Дотримуватись вимог щодо локалізації персональних даних росіян. З 1 вересня 2015 року всі оператори при зборі персональних даних зобов'язані забезпечити їхню обробку з використанням баз даних, що знаходяться в Росії (). Так звана локалізація персональних даних спочатку викликала великий резонанс серед фахівців та операторів – вимоги закону були сформульовані таким чином, що експерти мали чимало . Серед них відсутність ясності, на які саме персональні дані поширюватиметься ця вимога, яких операторів це торкнеться, чи допускається обробка персональних даних одночасно на російському та іноземному сервері, як визначити громадянство суб'єкта і т. д. На більшу частину цих питань Роскомнагляд відповів ще до набуття чинності нових вимог закону. Так, наприклад, відомство надало операторам право самостійно вирішувати питання визначення громадянства особи, чиї дані обробляються, або застосовувати вимогу щодо локалізації до персональних даних усіх суб'єктів. Крім того, Роскомнагляд уточнив, що в тому випадку, коли при зборі персональні дані були записані в російську базуданих, надалі вони можуть опрацьовуватися і в електронній базі, яка знаходиться за межами країни.

І в політиці обробки персональних даних, і в Положенні про захист, зберігання, обробку та передачу персональних даних працівників слід прописати, що при зборі персональних даних оператор зобов'язується забезпечити запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміну), вилучення персональних даних росіян із використанням баз даних, що знаходяться на території Росії, а також вказати місце знаходження такої бази даних.

Вчасно припинити обробку персональних даних. Якщо мети обробки персональних даних досягнуто або суб'єкт відкликав свою згоду на їх обробку, оператор повинен припинити обробку цих даних та видалити їх у 30-денний термін, якщо інший термін не визначений в угоді ().

Діяльність будь-якої організації неминуче передбачає обробку персональних даних в інформаційній системі (ІСПД). Кожне підприємство, що використовує конфіденційну інформацію про співробітників, клієнтів, партнерів та інші фізособи, зобов'язане пройти реєстрацію як оператор персональних даних.

Порядок зберігання та захисту персональних даних

Організація захисту конфіденційних відомостей проходить у кілька етапів:

• Перевірка початкових робітз обробки персональних даних (ревізія локальної нормативної бази, аналіз інформаційних потоків ПДН та ІСПДн загалом, виявлення недоліків та загроз безпеки інформаційної системи, внесення пропозицій щодо виправлення недоліків, покращення систем захисту персональних даних).
• Розробка нормативної бази захисту ПДн. Даний етап включає класифікацію ІСПДн і реєстрацію в якості оператора персональних даних в Роскомнагляді.
• Проектування системи захисту ПДн – вибір способів, заходів та класів засобів захисту ПДн, розробка технічної документаціїна створення СЗПДН, а також розробка конкретних заходів щодо захисту інформації в кожній конкретній ІСПДН.
• Впровадження СЗПДн – введення в дію систем захисту ПДН та налаштування існуючих засобів захисту ІСПДн.
• Оцінка відповідності ІСПДН, у межах якої проводяться оціночні випробування ІСПДН та видається відповідний Атестат.

Реєстрації як оператор персональних даних у Реєстрі Роскомнагляду є частиною загального процесу організації обробки та захисту ПДн.

Етапи реєстрації оператора ІСПДн у Роскомнагляді

Реєстрація оператора ІСПДн включає наступні етапи:

• Розробка та прийняття нормативної бази з обробки та захисту ПДн.
• Заповнення форми повідомлення про намір здійснювати обробку персональних даних на сайті територіального органу Роскомнагляду.
• Надсилання повідомлення в інформаційну систему Уповноваженого органу захисту прав суб'єктів персональних даних.
• Друк заповненої форми із підписами.
• Направлення роздрукованої форми повідомлення до відповідного територіального органу Роскомнагляду за місцем реєстрації оператора.

Пропонуємо вам скласти документи, необхідні для реєстрації як оператор персональних даних, за допомогою нашого онлайн-сервісу. На цій сторінці представлені акти, інструкції, положення, журнали, повідомлення та інші документи.

З цим шаблоном часто використовують: Інформаційний лист про внесення змін до відомостей у реєстрі операторів, які здійснюють обробку персональних даних Згода на передачу персональних даних третім особам Перелік персональних даних, що підлягають захисту в ІСПДН Захист персональних даних в освітніх установах

Популярні документи та процедури:

Реєстрація оператора персональних даних внутрішнього користування

п. 4 – обов'язково це потрібно робити кожному юр. особі чи ІП, якщо він передбачає обробку перс даних співтрулників та клієнтів?

ми компанія, яка створила та обговорює систему де присутні персональні дані клієнтів замовника, набір цих документів нам не підходить, більше підходить коли роботодавець дані співробітників своїх обробляє, але те ж не зовсім.

Вітаю! є кілька питань щодо налаштування шаблонів. 1) Скажіть, будь ласка, як налаштувати шаблони системи ІСПДн, щоб класифікувати систему під актуальні загрози 1 типу та необхідність забезпечення 1-го рівня захищеності. Чи будуть у цьому випадку пропоновані шаблони узгоджені між собою? 2.) Чи можливе передзаповнення всіх документів системи (28 документів) спочатку введеними даними (найменування юр. особи, категорії персональних даних), чи потрібно їх вводити щоразу при заповненні окремого документа системи?

Уточніть будь ласка, який мінімально можливий рівень захищеності ПДн можна оформити на базі Ваших шаблонів? (ми зацікавлені в мінімізації витрат на систему. оброблятимуться ПДН працівників та контрагентів. Спеціальні категорії ПДн та біометричні дані не обробляємо)

Вітаю! Ми зацікавлені використовувати механізм ведення та обліку завдань у рамках трудових обов'язків своїх працівників шляхом реєстрації облікового запису ( особистого кабінету) з ім'ям працівника (ім'я користувача) та надання унікальних ідентифікаторів (логіна) та пароля до цього запису, як рекомендується у Вашому шаблоні «Регламент інтелектуальної власності», п. 6.2. При цьому, у п. 6.4 згаданого Регламенту інтелектуальної власності зазначається, що всі адреси корпоративної електронної пошти та всі логіни або імена користувачів у Програмних інструментах зазначаються у спеціальному внутрішньому документі, який затверджується Генеральним директором Товариства, який оновлюється та доводиться до відома всіх співробітників Товариства в міру необхідності, тобто. дані розкриваються іншим особам. Просимо роз'яснити такі питання: 1.) чи належать до персональних даних (і якщо так, то якої категорії), дані облікового запису(особистого кабінету) з ім'ям працівника (іменем користувача) та унікального ідентифікатора (логіна) та пароля працівника в внутрішньої системиОператора, адреса електронної пошти працівника у внутрішній системі Оператора? 2.) якщо такі дані належать до персональних даних, то чи будуть особливості використання їх у Ваших шаблонах за ІСПДн (чи не спричинить це необхідність придбання криптографічних засобів захисту тощо)?

Вітаю! Відповідно до законодавства не треба повідомляти регулятора під час обробки персональних даних, що обробляються відповідно до трудового законодавства. А як бути з кандидатами, які не прийняті на роботу? Їхні дані залишилися, ми їх маємо право зберігати без повідомлення регулятора? Наприклад, якщо кандидат не витримав випробувального терміну (тут очевидні трудові відносини). Чи, наприклад, навіть не було допущено до випробування? Просто ці дані нам сьогодні не потрібні, а завтра ми підняли анкету, запросили людину та працевлаштували. Чи це диспозиція 86 статті ТК у частині "обробка персональних даних працівника може здійснюватися виключно з метою забезпечення дотримання законів та інших нормативних правових актів, сприяння працівникам у працевлаштуванні" і відповідно може здійснюватися без відома регулятора?

Вітаю. Пакет документів з обробки даних розроблено для працівників чи контрагентів?

А заповнювати документи потрібно онлайн чи після скачування просто у ВОРДІ?

Вітаю! Якщо ви обробляєте ПДН своїх співробітників чи клієнтів, то захистити їх потрібно обов'язково. Потрібно розробити правильний комплекс локальних нормативних актів, поданих у процедурі, а також забезпечити технічні заходи, якщо обробка здійснюється в автоматизованому або частково автоматизованому режимі та організаційні. Виняток стосується лише подання повідомлення до Роскомнагляду для реєстрації в якості оператора персональних. Усі ці винятки прописані у статті 22 п.2 152-ФЗ. Найчастіші винятки - це обробка ПДН співробітників у рамках трудового законодавства, обробка ПДН клієнтів у рамках виконання договору (наприклад, щоб поставити товар клієнту потрібно знати його адресу, дані паспорта).

Вітаю! Відповідно до п. 2 ст. 3 Закону № 152-ФЗ, під оператором персональних даних розуміється, зокрема, юридична особа, що самостійно або спільно з іншими особами організує та (або) здійснює обробку персональних даних. Під обробкою персональних даних розуміється будь-яка дія (операція) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів з персональними даними, включаючи збирання, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), вилучення , використання, передачу (поширення, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних (п. 3 ст. 3 Закону № 152-ФЗ). Таким чином, якщо при виконанні Вами робіт з обслуговування сайту Ви здійснюєте яке- або одна або сукупність дій перерахованих вище, - згідно із законом Ви є оператором персональних даних, з усіма обов'язками, що звідси випливають. Закон робить винятків тих операторів, які здійснювали збір ПДн безпосередньо від суб'єктів, а отримали ПДн від іншого оператора. Оператор – той, хто здійснює обробку, тобто. будь-яка особа, яка здійснює хоча б одну із зазначених у ст. 3 ФЗ № 152 дій із ПДн. І в такому разі рекомендуємо дотримуватися процедури: http://www..Дякую Вам за використання сервісу!

Вітаю! Вам необхідно відповісти на запитання листа опитування в лівій частині сторінки – пакет необхідних документів сформується автоматично. Якщо введене в якомусь документі значення – ідентичне для іншого документа в загальному пакеті, воно автоматично заповниться в цьому документі. Шаблони документів підійдуть задля забезпечення 1-го рівня захищеності ПД. Звертаємо Вашу увагу на те, що, окрім розробки документації, необхідно також розробити та впровадити технічні заходи захисту. Склад та зміст таких «базових» заходів визначено у наказі ФСТЕК № 21 від 18 лютого 2013 р. «Про затвердження Складу та змісту організаційних та технічних заходівщодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних».Дякую за використання нашого сервісу!

див. відповідь нижче

Здрастуйте! Персональними даними є будь-яка інформація, що дозволяє безпомилково ідентифікувати фізичну особу (за змістом ФЗ від 27.07.2006 N 152-ФЗ "Про персональні дані"). В даному випадку окремо взяті адреси корпоративної електронної пошти та логіни або імена користувачів є персональними даними працівників, які необхідні роботодавцю у зв'язку з трудовими відносинами, що само по собі не тягне за собою особливостей застосування спеціального режиму захисту (з урахуванням дотримання вимог, встановлених главою 14 ТК РФ). Рекомендуємо Вам ознайомитися з процедурою, що за посиланням: http://www.. Дякуємо за використання нашого сервісу!

Вітаю. Роботодавець має право без повідомлення Роскомнагляду обробляти персональні дані кандидатів на посади, зберігати їх резюме, формуючи як паперову, так і електронну базупретендентів, якщо є їхня письмова згода. Цей висновокґрунтується на тому, що згідно з п.1 ч. 2 ст. 22 Федерального закону від 27.07.2006 р. № 152-ФЗ «Про персональні дані», без повідомлення уповноваженого органу може проводитися обробка даних, що обробляються відповідно до трудового законодавства. згоду кандидата та зазначено строк такого зберігання. Що стосується колишніх працівників (як не витримали випробування), вважаємо, що якщо ТК РФ або іншими законами на роботодавця не покладається обов'язок обробляти дані колишніх працівників, то така обробка повинна здійснюватися тільки з повідомленням Роскомнагляду (якщо відсутні інші підстави для обробки персональних даних без подання (наприклад, обробка персональних даних без використання засобів автоматизації). Рекомендуємо уточнити це питання уповноваженому органі. Дякуємо за ваше звернення.

22 статтю 152-ФЗ шанували. Але оскільки не з усіма здобувачами, ПДн яких ми збираємо, ми вступаємо в трудові відносини (беремо на випробування або хоча б запрошуємо на співбесіди), Роскомнагляд повідомляти все-таки треба в цьому випадку

Вітаю. Обробка персональних даних претендентів також ведеться у межах трудового законодавства. Згідно з позицією Четвертого арбітражного апеляційного суду, підстава, передбачена п.1 ч. 2 ст. 22 Федерального закону від 27.07.2006 р. № 152-ФЗ «Про персональні дані», поширюється і на діяльність із добору персоналу (Постанова від 07.02.2018 N 04АП-127/2018 у справі N А19-17054/2017). Це з тим, що трудове законодавство регулюється як Трудовим кодексом РФ, а й іншими нормативними актами. Так, Федеральним законом від 19.04.1991 N 1032-1 "Про зайнятість населення Російської Федерації" передбачено, що роботодавці сприяють політиці зайнятості, зокрема, шляхом працевлаштування. Вважаємо, що письмової згоди претендента на зберігання певних його даних протягом обумовленого у згоді терміну буде достатньо для дотримання законності у цій сфері. Повідомляти Роскомнагляд немає необхідності. Проте, щоб уникнути суперечок, рекомендуємо все ж таки уточнити це питання в уповноваженому органі. Дякуємо за ваше звернення.

Дякую! Почитав судове рішення. Питання слизьке. Це судове рішення говорить про те, що позиція Роскомнагляду-повідомлятиме, але АС Іркутської області разом з апеляцією стали на бік юрособи. Враховуючи популярність позиції Роскомнагляду, чи стане АС нашого регіону на наш бік невідомо. Тому направили лист із запитанням.

Вітаю. Дякуємо за ваш відгук. Було б цікаво та корисно побачити результат вашого звернення на сторінці нашого обговорення. З повагою компанія FreshDoc.

Я обов'язково відпишуся, як вони дадуть відповідь! Ваші поради дуже допомогли мені у виробленні правової позиції з цього питання)

Написав. Як Ви думаєте, що відповіли? Нічого! Тобто, звичайно, відповіли, але ні про що. Суть листа зводиться до того, що вирішувати вам подавати повідомлення чи ні. Я хотів домогтися, щоб на випадок перевірки у мене була їхня відповідь, але не вийшло. А прикриватися рішенням суду іншої області. У нас поки що не англо-саксонська правова система, а континентальна і для мене основний висновок із мотивувальної частини рішення суду, це бачення Роскомнагляду, а чи стане наш крайовий суд на нашу стороу, як став в Іркутську невідомо

Вітаю. Дякую за ваш відгук. Наявність відповіді Роскомнагляду не є гарантованим захистом від притягнення до відповідальності. Для суду думка відомства, хоч би як воно було, також не має вирішального значення. Рекомендуємо скласти свою вмотивовану думку, і по можливості, заручитися судовими актами, що підходять до випадку. З повагою компанія FreshDoc.

У будь-якому випадку хоч Повідомлення, хоч ні, а вимоги статей 18.1, 19 ФЗ-152 зобов'язаний виконувати будь-який оператор при обробці ПДН: призначати відповідальну особу, розробляти та затверджувати політику та положення про ПДН тощо. Тим більше, Роскомнагляд проводить Планові перевірки щодо всіх операторів, а не тільки щодо включених до Реєстру Роскомнагляду за повідомленням

Вітаю. Так, вживати заходів, необхідних та достатніх для забезпечення виконання обов'язків, передбачених ФЗ від 27.07.2006 № 152-ФЗ "Про персональні дані", покладається на оператора ПДн незалежно від наявності/відсутності його в реєстрі операторів (напрямки до Роскомнагляду повідомлення). При цьому на виконання вимог, передбачених ст. 22 ФЗ від 27.07.2006 № 152-ФЗ "Про персональні дані", оператор до початку обробки персональних даних зобов'язаний повідомити Роскомнагляд про свій намір здійснювати обробку ПДн, інакше йому загрожує штраф, передбачений ст. 19.7 КпАП РФ.

Вітаю. Коло суб'єктів персональних даних встановлене у розділі 3 «Персональні дані, що обробляються в ІСПДн» Положення про обробку та захист персональних даних, яке входить до пакету документів та знаходиться за посиланням https://www.сайт/?oid=7086347. У ньому зокрема встановлено, що обробляються дані наступних суб'єктів: співробітники Оператора; акціонери/засновники Оператора, особи пов'язані зі співробітниками, акціонерами, засновниками (діти, щодо яких виплачуються аліменти, дружини тощо); клієнти (споживачі послуг Оператора); індивідуальні підприємці – контрагенти Оператора; клієнти організацій, контрагентів Оператора (обслуговування корпоративних клієнтів). Також встановлено, що даний перелікможе переглядатись. Дякуємо вам за звернення.

Заповнити документи можна безпосередньо на сайті.

З моменту прийняття у 2006 році Федерального Закону «Про персональні дані», деякі його положення та поняття досі залишаються неясними для співробітників операторів. Неясність формулювань, що здається, іноді стає предметом спекуляцій для окремих активних громадян, які поставили своєю метою доведення абсурдності або неспроможності Закону.

Маніпулюючи деякими формулюваннями Закону (іноді, вирваними з контексту), спираючись на принципи формальної логіки (не завжди справедливої, коли мова йдепро право як науку), моделюючи можливі колізії, деякі аналітики приходять до несподіваних та неправильних висновків.

Небезпека цих висновків — у дезорієнтації учасників інформаційних правовідносин, а також у тому, що застосування на озброєння сумнівних тверджень стримує роботу операторів щодо приведення своєї діяльності у відповідність до Закону та створює умови для порушення ними вимог Закону.

Число таких проблемних питань стосується визначення оператора персональних даних. Оператор - це державний, муніципальний орган, юридична або фізична особа, що організує та (або) здійснює обробку ПДн, а також визначальне цілі та зміст обробки персональних даних (ст. 3 ФЗ 152). Це, здавалося б, очевидне і не допускає вільного тлумачення визначення практично часом вводить операторів в оману. Суть цієї помилки в наступному: «обличчя, що здійснює обробку, не завжди є оператором». Причина ж помилки — у словосполученні «а також». У цьому «а також» деякими і бачиться те саме зерно істини, яке дозволить окремим операторам уникнути обов'язку виконувати вимоги ФЗ 152. Парадоксально, але багато операторів все ще впевнені, що вони операторами не є. Для обгрунтування цього твердження наводяться такі докази: необхідність обробки ПДн визначена федеральним законом (чи «встановлена ​​вищестоящими організаціями»), отже, мети обробки самостійно не визначаються або повинні визначатися особою, яка здійснює обробку (у визначенні цілей немає необхідності, або відсутні повноваження).

Спробуємо розібратися з цією проблемою, суть якої полягає у питанні: визначення мети обробки ПДН – ознака чи обов'язок оператора?

Отже, існує думка, що оператор - це тільки і виключно той, хто одночасно відповідає наступним двом критеріям:
Ця особа повинна сама або організовувати, або фактично здійснювати обробку ПДН (або — і те, й інше одночасно);
Ця особа повинна сама визначати цілі та зміст обробки ПДН.

Таким чином, вимога про визначення мети обробки ПДН розглядається як основна ознака оператора.

У ході підготовки цієї статті філологами було проведено лінгвістичний аналіз аналізованого визначення. Результати аналізу наведено нижче.

Визначення мети може бути основний функцією, оскільки цю функцію названо у ряду однорідних членів речення і замикає його. Більше того, цей однорідний член пропозиції приєднується союзом «а також», який має приєднувальне значення, наприклад: Я насолоджувався мирно своєю працею, успіхом, славою, також працями та успіхами друзів» (П). – див. Розенталь Д. Е., Фоміна М. Н. Сучасна російська мова.Підручник: М., Логос, 2006.

Про це значення пише і Російська граматика (М, 1980,т. II):

§ 2079. Приєднувальні відносини ґрунтуються на сполучних: другий член ряду має додатковий характер; він часто виділяється в окрему синтагму; порядок членів низки суворо обов'язковий. Приєднувальні відносини (з відтінками додавання або посилення) виражаються складовими спілками і поєднаннями спілки з конкретизатором: а також і, та ще й, притому (притом): У колясці сиділа літня пані, та ще молода дівчина (Тин.); Зведення доставлені в повному порядку і до того ж у строк (газ.).

Примітка. Союзи а також, як... так і володіють здатністю виражати градаційні та приєднувальні відносини, але часто використовуються в більш широкому значенні - сполучному або порівняльному: Цей В'юн надзвичайно шанобливий, і ласкавий, однаково зворушливо дивиться як на своїх, так і на чужих, але кредитом не користується (Чех.); Завод досяг високих показників як за кількістю, так і за якістю продукції, що випускається (газ.); Вихованці музичного училища часто виступають із концертами у школах, палацах культури, і навіть у цехах підприємств (газ.).

А от союзи «і (або)», зазначені разом означають, що члени однорідного ряду, що з'єднуються ними, можуть як співіснувати разом («організуюче та здійснююче оброблення»), так і бути обрані (один із ряду: «організуюче або здійснює обробку») ).

Наведений лінгвістичний аналіз показує безпідставність твердження, що визначення мети обробки ПДн є неодмінною ознакою оператора. У той же час вказаний аналіз не є єдиним доказом порочності цього твердження.

Зі змісту різноманітних публікацій і, виходячи з правозастосовної практики, можна зробити висновок і про відношення органу, уповноваженого із захисту прав суб'єктів ПДН (далі — Роскомнагляд) до розглянутої проблеми. Роскомнагляд вважає, що оператор - це той, хто, перш за все, здійснює якісь операції з ПДН. Одночасно, з самого факту обробки у «обробника» виникає і обов'язок визначення цілей такої обробки. Тобто. по суті, визначення мети обробки є скоріше наслідком обробки, або необхідності такої, невід'ємної складової обробки, найпершим обов'язком, що походить з обробки ПДн, а не «основною ознакою оператора».

Справедливість викладеної думки підтверджується і системним аналізом норм ФЗ № 152. Розпочати слід із статті 1 Закону, в якій визначено сферу його дії. Названа стаття свідчить, що закон регулює відносини, пов'язані з обробкою ПДН, що здійснюється різними органами, юридичними та фізичними особами. Поняття обробки дано у п.3 ст.3 ФЗ 152. Це дії (операції) з ПДн, включаючи збирання, систематизацію, накопичення, зберігання, уточнення (оновлення, зміну), використання, поширення (в т.ч. передачу), знеособлення , блокування, знищення персональних даних З викладеного випливає, що, якщо конкретна особа здійснює будь-які з перерахованих дій, то вона апріорі стає учасником суспільних відносин, які є предметом регулювання ФЗ № 152 (якщо не підпадає під винятки, передбачені ч.2 ст.1 Закону). Як же слід іменувати цю особу у термінах ФЗ «Про персональні дані»? Вибір невеликий. Цю особу слід іменувати оператором.

Отже, деяка особа здійснює (або має намір здійснювати) обробку ПДН. Відповідно до ст.5 ФЗ 152 обробка ПДН має здійснюватися відповідно до визначених Законом принципів. Аналіз змісту принципів призводить до висновку, що фундаментальною основоюобробки ПДн є визначення цілей обробки. Навіть не вникаючи в суть кожного принципу, а просто при швидкому прочитанні ст.5 у кожному пункті статті ми бачимо термін «мета» («законності цілей», «відповідність цілям», «достатність для цілей» і т.д.). Така концентрація уваги застосована законодавцем невипадково. Від особи, яка здійснює обробку ПДн, Законом вимагається повідомлення про цілі обробки суб'єктів ПДн органу, уповноваженого із захисту прав суб'єктів ПДн. Закон прагне зробити діяльність, пов'язану з обробкою ПДН, прозорою та зрозумілою як для людини — носія конституційних прав і свобод, що захищаються Законом, так і для державних органів, що забезпечують реалізацію механізмів захисту прав людини як суб'єкта ПДн. Червоною ниткою проведено в Законі ідею про неприпустимість «безцільної» обробки ПДн (обробки ПДн «просто так», «для своїх невизначених потреб», « загального розвитку», «Для себе» і т.д.).

Згідно з другим принципом, продекларованим у ст.5 Закону, якщо особа має намір обробляти ПДН, цілі такої обробки мають бути заздалегідь (до початку обробки) визначені та заявлені. Зворотний логічний ланцюг міркувань призводить до висновку про те, що здійснення будь-яких дій з ПДН без певної мети обробки є порушенням принципів обробки, і, отже, порушенням Закону, передумовою порушення конституційних права і свободи людини і громадянина.

Тлумачення норми, викладеної у п.2. ст.3 ФЗ 152 у тому контексті, що визначення мети не є обов'язком оператора, а ідентифікуючим його в цій якості невід'ємною ознакою, неминуче тягне за собою наступний парадоксальний висновок. Зі сфери дії закону випадають такі органи, як Пенсійний фонд РФ, Фонд обов'язкового медичного страхування, Федеральна податкова служба, Федеральна міграційна служба та багато інших державних структур, чиї обов'язки безпосередньо визначені та деталізовані федеральним законодавством, у тому числі і в контексті здійснення операцій з ПДН . Передумова, що розглядається, також призводить до висновку про те, що й оператори зв'язку не є операторами ПДн, оскільки мета збору ПДн абонентів передбачена в Законі «Про зв'язок» та підзаконні нормативно-правові акти — тобто. визначено державою, а не конкретною особою, яка надає послуги зв'язку. Те саме відноситься і до кредитних установ, страхових та інших організацій, які здійснюють збір та інші дії з ПДН з метою протидії легалізації (відмиванню) доходів, отриманих злочинним шляхом, тобто. з метою прямо передбачених Законом «Про протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом», а не самими цими організаціями. Список можна продовжувати нескінченно, абсолютизуючи лише одну норму закону і доходячи до абсурду в спробах приміряти буквальне її тлумачення на реальні суспільні відносини.

У ст.18 ФЗ № 152 встановлено обов'язки оператора під час збору ПДн. До них належить, насамперед, обов'язок оператора надати суб'єкту ПДн на його прохання інформацію (ст.14 ФЗ 152), зокрема, з метою обробки його ПДн. При встановленні цього обов'язку Закон не робить винятку для операторів, що обробляють ПДН виходячи з будь-яких федеральних законів.

Таким чином, з урахуванням викладеного вище, стає зрозумілим, що в контексті Закону визначення мети обробки ПДН насправді є скоріше обов'язком особи, яка здійснює обробку ПДН, ніж однією з ознак, володіння якою робить ця особа оператором.

Що таке «визначення» мети? З'ясування сенсу слова «визначення» має важливе значеннядля з'ясування змісту норми права, без чого неможливе правозастосування цієї норми. Оскільки в самому Законі законодавець не вважав за необхідне розкрити поняття «визначення мети», звернемося до одного з визнаних у теорії права способів тлумачення — лексичного (мовного) тлумачення.

Відповідно до тлумачного словника російської під редакцією проф. Д.Н.Ушакова, визначити означає
З точністю з'ясувати, довести до відома;
Дати наукову, логічну характеристику, формулювання якогось поняття, розкрити його зміст;
Постановити, винести рішення про щось;
Спричинити розвитку, освіти чогось, зумовити, обумовити;
Призначити, зазначити.

Отже, під визначенням мети обробки ПДн можна розуміти її з'ясування, вибір, вичленування з безлічі можливих цілей, її постановку або призначення як таку, вказівку на цю конкретну мету (мети) як причину для обробки ПДн.

Контекстний аналіз змісту ФЗ 152, виявлення його смислових зв'язків з іншими джерелами права дозволяє зробити висновок про те, що для окремих операторів ПДн та (або) щодо окремих категорій суб'єктів ПДн цілі обробки ПДн можуть бути фактично зумовлені або навіть прямо зазначені в законах чи підзаконних актах (Трудовий кодекс, наприклад, конкретно вказує роботодавцям на цілі обробки ПДН працівників). Мета обробки тих чи інших ПДн іншими операторами випливає з їхніх обов'язків, що виникли з договірних зобов'язань. В окремих випадках цілі обробки ПДн можуть одночасно бути обумовлені і змістом комерційної діяльності оператора, і приписами закону (оператори зв'язку з метою здійснення власної статутної діяльності, спрямованої на одержання прибутку, обробляють ПДН з метою надання послуг зв'язку та на виконання Закону «Про зв'язок») .

Таким чином, первинним завданням особи, що здійснює обробку ПДН, є саме вербалізація цілей обробки ПДн, з'ясування для себе самого чим саме обумовлена ​​конкретно для нього обробка ПДН фізичних осіб. Формулювання відповіді це питання фактично і буде визначенням мети обробки ПДн.

У розрізі проблеми, що розглядається в цій статті, представляється цікавою думка Уряду РФ, виражена з приводу поправок у ФЗ 152. 5 травня 2010 був у першому читанні прийнятий законопроект, внесений на розгляді до Державної думи її депутатом В.М.Рєзніком. Серед іншого, цим законопроектом запропоновано нове формулювання поняття «оператора», а саме:

"оператор - державний орган, муніципальний орган, юридична або фізична особа, що здійснюють обробку персональних даних, а також визначальні цілі, зміст та порядок обробки персональних даних". Як бачимо, з формулювання, що діє, виключено слово «організуючі». У своєму офіційному відкликанні на цей законопроект Уряд РФ вказує, що «така зміна не може бути підтримана, оскільки особи, які здійснюють обробку персональних даних, але не визначають цілі та зміст обробки, не зможуть вважатися операторами». З наведеного зауваження Уряди РФ випливає, що на сьогоднішній день (коли редакцію закону ще не змінено) на думку Уряду РФ оператором є будь-яка особа, яка здійснює обробку ПДн незалежно від наявності чи відсутності факту визначення ним цілей такої обробки.

Отже, проведений у цій статті аналіз дозволяє зробити кілька висновків.
Визначення мети обробки ПДН - це обов'язок оператора, а не обов'язкова ідентифікуюча ознака оператора.
Визначення мети обробки ПДН - це процес осмислення, з'ясування, конкретизації та вербалізації мети обробки ПДн оператором, у тому числі і у випадках, коли такі цілі зумовлені та (або) випливають із положень закону або повноважень, покладених на оператора.

Як організувати обробку персональних даних працівників. Реєстр операторів персональних даних Роскомнагляду. Як отримати згоду співробітника на опрацювання його персональних даних.

Запитання:Чи зобов'язане МУП зареєструватися в реєстрі операторів персональних даних Роскомнагляду, а також розробити комплект документів із захисту персональних даних?

Відповідь:Так, МУП зобов'язане зареєструватися в реєстрі операторів персональних даних, і навіть розробити комплект документів захисту персональних даних, якщо МУП працюють працівники і МУП обробляє їх персональні дані чи МУП обробляє персональні дані різних фізичних осіб (клієнтів, партнерів).

Обґрунтування

Як організувати обробку персональних даних співробітників

Поняття перданних

Які персональні дані співробітника мають право отримати організація

Загальнодоступні перданні

Питання із практики:які персональні дані вважаються загальнодоступними

Загальнодоступна інформація - це відомості та інша інформація, доступ до якої не обмежений. Така інформація може використовуватися будь-якими особами на їх розсуд при дотриманні законно встановлених обмеженьїї поширення. Про це йдеться у пунктах , статті 7 Закону від 27 липня 2006 р. № 149-ФЗ.

Загальнодоступні персональні дані - дані, які суб'єкт персональних даних зробив такими. До загальнодоступних персональних даних можуть належати відомості, доступні необмеженому колу осіб (наприклад, дані з відкритих довідників, адресних книг та ін.).

Оскільки будь-хто має до них доступ, то спеціальної охорони вони вже не вимагають.

При обробці таких даних оператору не потрібно повідомляти про це уповноважений орган захисту прав суб'єктів персональних даних (п. 4 ч. 2 ст. 22 Закону від 27 липня 2006 р. № 152-ФЗ).

Згода на обробку перданних

Як отримати згоду співробітника на обробку його персональних даних

По ходу діяльності у роботодавця виникає потреба у обробці персональних даних співробітників. Обробка таких даних за винятком окремих випадків відбувається лише за письмовою згодою працівників. При цьому згода повинна включати наступну інформацію:

• прізвище, ім'я, по батькові, адресу співробітника, реквізити паспорта (іншого документа, що засвідчує його особу), у тому числі відомості про дату видачі документа та орган, що його видав;

• найменування або прізвище, ім'я, по батькові та адресу роботодавця (оператора), який отримує згоду працівника;
• мету обробки персональних даних;
• перелік персональних даних, на обробку яких надається згода;
• найменування або прізвище, ім'я, по батькові та адресу особи, яка здійснює обробку персональних даних за дорученням роботодавця, якщо обробка буде доручена такій особі;
• перелік дій із персональними даними, на вчинення яких дається згоду, загальний опис використовуваних роботодавцем способів обробки персональних даних;
• термін, протягом якого діє згода співробітника, і навіть спосіб його відкликання, якщо інше встановлено федеральним законом;
• підпис співробітника.

Такі вимоги встановлені у частині 4

За недієздатності співробітника письмову згоду на обробку його персональних даних дає його законний представник: батько, опікун (ч. 6 ст. 9 Закону від 27 липня 2006 р. № 152-ФЗ).

Співробітник може у будь-який час відкликати згоду на обробку своїх персональних даних, надіславши роботодавцю відгук у довільній формі. У такій ситуації організація має право продовжити обробку персональних даних без згоди співробітника з урахуванням обмежень, зазначених у пунктах 2-11 частини 1 статті 6, частини 2 статті 10 та частини 2 статті 11 Закону від 27 липня 2006 р. № 152-ФЗ, наприклад, для здійснення правосуддя чи захисту життя (здоров'я) самого працівника. Про це йдеться у частині 2 статті 9 Закону від 27 липня 2006 р. № 152-ФЗ.

Слід зазначити, що при виникненні спору обов'язок подати докази того, що згоду співробітника на обробку його персональних даних отримано, покладається на роботодавця (ч. 3 ст. 9 Закону від 27 липня 2006 р. № 152-ФЗ).

За згодою співробітника організація має право також доручити обробку персональних даних іншій особі (ч. 3 ст. 6 Закону від 27 липня 2006 р. № 152-ФЗ). У цьому випадку відповідальність перед співробітником за дії зазначеної особи, як і раніше, нестиме роботодавець, а особа, яка здійснює обробку персональних даних за дорученням роботодавця, відповідатиме безпосередньо перед роботодавцем (ч. 5 ст. 6 Закону від 27 липня 2006 р. № 152- ФЗ).

Необхідно зазначити, що згоду на обробку персональних даних роботодавцю необхідно отримувати не лише від співробітників, тобто осіб, з якими він полягає у трудових відносинах, а й від претендентів, а також від осіб, з якими укладені в організації цивільно-правові договори. Про це йдеться в пункті 5 роз'яснень Роскомнагляду від 14 грудня 2012 р.

Універсальна згода

Питання із практики:чи можна під час укладання трудового договору отримати у працівника письмову згоду на надання його персональних даних третім особам у всіх необхідних ситуаціях до моменту звільнення

Ні, не можна.

Для передачі даних співробітника третім особам організація має отримати письмову згоду цього співробітника. Без письмової згоди співробітника його персональні дані можуть бути передані третім особам тоді, коли це необхідно з метою попередження загрози життю та здоров'ю співробітника, та в інших випадках, передбачених федеральними законами. Такі правила встановлено частиною 1 статті 88 Трудового кодексу РФ.

У Трудовому кодексі РФ немає вимог до змісту письмової згоди на передачу даних. Однак пунктом 1 статті 9 Закону від 27 липня 2006 р. № 152-ФЗ встановлено, що згода на обробку персональних даних має бути конкретною, поінформованою та свідомою. З цього випливає, що організація має вимагати у співробітника письмову згоду на кожний випадок передачі його персональних даних третій особі. Лише за таких умов вимога про конкретність та свідомість згоди може вважатися виконаною. Перелік відомостей, які мають бути у письмовій згоді на передачу персональних даних, встановлено у пункті 4 статті 9 Закону від 27 липня 2006 р. № 152-ФЗ.

Обробка перданних виконавців з ГПД

Питання із практики:чи потрібно отримувати письмову згоду на обробку персональних даних громадян, з якими укладено цивільно-правові договори

Так, у загальному випадку потрібно, так само, як і зі штатними співробітниками.

Обробка персональних даних можлива лише за письмовою згодою суб'єкта персональних даних, за винятком окремих випадків, коли така обробка можлива і без їхньої згоди (). При цьому суб'єктами персональних даних можуть бути як працівники, які працюють за трудовим договором, так і громадяни, з якими в організації укладено цивільно-правові договори.

Таким чином, організація у загальному випадку має отримати згоду на обробку персональних даних, у тому числі й громадян, з якими укладено цивільно-правові договори, щоб унеможливити будь-які суперечки щодо несанкціонованої передачі даних за межами дії умов цивільно-правового договору.

Відмова виконавця давати таку згоду, це не є перешкодою для укладання цивільно-правового договору.

Обробка даних без згоди

У яких випадках згода співробітника на передачу персональних даних не потрібна

В окремих випадках обробка персональних даних можлива і без згоди працівника. Наприклад, якщо обробка персональних даних необхідна з метою виконання укладеного із співробітником договору або для досягнення цілей, передбачених законом для здійснення та виконання покладених законодавством Росії на оператора функцій, повноважень та обов'язків, - вона може здійснюватися без згоди співробітника - суб'єкта персональних даних. Про це йдеться у Законі від 27 липня 2006 р. № 152-ФЗ.

До таких випадків відноситься передача відомостей у:

• Пенсійний фонд РФ();
• податкові органи ();
• військові комісаріати ();
• інші органи, коли обов'язок передачі їм відомостей, які стосуються персональних даних співробітника, закріплена за роботодавцем законом чи необхідна досягнення встановлених законом цілей (наприклад, суди, прокуратуру тощо. п.).

Крім того, згода не потрібна у таких випадках:

• обов'язок з обробки передбачено законодавством, у тому числі опублікування та розміщення персональних даних співробітників у мережі Інтернет (наприклад, Законом від 21 листопада 2011 р. № 323-ФЗ, Законом від 9 лютого 2009 р. № 8-ФЗ та рядом інших актів);
• проводиться обробка персональних даних близьких родичів працівника в обсязі, передбаченому особистою карткою (за уніфікованою формою № Т-2 або самостійно розробленою формою), а також у випадках отримання аліментів, оформлення соціальних виплат та допуску до державної таємниці;
• обробка відомостей про стан здоров'я працівника відноситься до питання можливості виконання ним трудової функції;
• обробка даних пов'язана з виконанням співробітником посадових обов'язків, у тому числі за його відрядження;
• обробка персональних даних проводиться під час здійснення пропускного режимуна територію службових будівель та приміщень роботодавця за умови, що організація пропускного режиму здійснюється роботодавцем самостійно.

Якщо ж у локальному документі передбачені варіанти розрахунків із співробітниками чи взагалі даний момент не прописано, то співробітники мають право самостійно вирішити, чи отримувати їм зарплату через касу чи на банківську картку. І якщо роботодавець вирішить усім співробітникам перераховувати зарплату на банківські картки, то кожен співробітник повинен запитати згоду на обробку персональних даних та їх передачу третій стороні - банку. У такій ситуації працівники мають право не давати згоду, а роботодавець за відсутності такої згоди не зможе продовжити обробку даних та передати банку інформацію про тих співробітників, які відповіли відмовою.

Ще за темою:Чи потрібно повторно отримувати згоду працівників на опрацювання персональних даних при зміні банку для перерахування зарплати.

Питання із практики:чи потрібно повторно отримувати згоду працівників на обробку персональних даних при зміні банку для перерахування зарплати

Ні, не потрібно, за умови, що у вже існуючих згодах не було зазначено конкретного банку, в який надавали дані. Якщо ж попередня згода була складена під конкретний банк, то роботодавцю доведеться отримати нову згоду за загальними правилами ().

Крім того, отримувати згоду не потрібно, якщо у локальних документах організації передбачено виплату зарплати саме на банківські картита співробітника при прийомі або в процесі роботи було ознайомлено з цими документами (ч. 2 ст. 9 Закону від 27 липня 2006 р. № 152-ФЗ). докладніше.

Повідомлення Роскомнагляду

Як повідомити контрольне відомство про початок обробки персональних даних співробітників

До початку обробки персональних даних працівників роботодавцю необхідно повідомити територіальний орган Роскомнагляду про намір здійснити обробку. Виняток становлять випадки обробки персональних даних:

• оброблюваних відповідно до трудового законодавства;
• зроблених працівниками загальнодоступними;

• отриманих організацією у зв'язку з укладанням договору, стороною якого є співробітник (за умови, що персональні дані не поширюються, а також не надаються третім особам без згоди співробітника та використовуються роботодавцем виключно для виконання зазначеного договору та укладання інших договорів із співробітником);
• що належать до членів (учасників) громадського об'єднання чи релігійної організації;
• що включають лише прізвища, імена та по батькові співробітників;
• необхідні з метою одноразового пропуску співробітника територію роботодавця й інших аналогічних целях;
• включених до інформаційні системиперсональних даних, що мають відповідно до федеральних законів статус державних автоматизованих інформаційних систем, а також державні інформаційні системи персональних даних, створені з метою захисту безпеки держави та громадського порядку;
• оброблюваних без використання засобів автоматизації відповідно до законодавчих актів, що встановлюють вимоги щодо забезпечення безпеки персональних даних при їх обробці та дотримання прав суб'єктів персональних даних;
• оброблюваних у випадках, передбачених законодавством України про транспортну безпеку.

У разі припинення обробки персональних даних роботодавець також зобов'язаний повідомити уповноважений орган. Зробити це потрібно протягом десяти робочих днів із моменту припинення обробки даних. Типовий бланк повідомлення про припинення обробки даних не затверджено, тому роботодавець може скласти його у довільній формі ().

Питання із практики:що слід розуміти під обробкою персональних даних співробітника

Захист персональних даних

Як організувати захист персональних даних співробітників в організації

Щоб запобігти розголошенню персональних даних, створіть надійну систему захисту. Порядок отримання, обробки, передачі та зберігання таких відомостей встановіть у локальному акті організації, наприклад (ст. , ТК РФ, ). Становище затверджує керівник організації. З ним під підпис ознайомте співробітників організації. Про це йдеться в частині 1 статті 86 Трудового кодексу РФ.

Також в організації необхідно призначити особу, відповідальну по роботі з персональними даними (ч. 5 ст. 88 ТК РФ). Як правило, таким співробітником є ​​працівник служби персоналу, оскільки саме він у ході своєї роботи найчастіше стикається з персональними даними працівників. Особу, відповідальну за роботу з персональними даними, призначте наказом у довільній формі .

Конкретні заходи щодо забезпечення безпеки персональних даних працівників під час їх обробки передбачені Законом від 27 липня 2006 р. № 152-ФЗ та Вимогами, затвердженими. На основі організації може виробити свою власну систему захисту персональних даних.

Так, при обробці персональних даних в інформаційній системі необхідно забезпечити захист та безпеку персональних даних. При цьому загрозою безпеці персональних даних є сукупність умов та факторів, що створюють небезпеку несанкціонованого (в т. ч. випадкового) доступу до персональних даних при їх обробці в системі, результатом якої можуть стати:

• знищення;
• зміна;
• блокування;
• копіювання;
• надання;
• поширення;
• інші неправомірні дії із персональними даними.

Слід зазначити, що вибір конкретних засобів захисту інформації для інформаційної системи обробки персональних даних здійснюється роботодавцем відповідно до нормативно-правових актів ФСБ Росії та ФСТЕК Росії. Визначення типу загроз безпеки персональних даних, актуальних для системи обробки та захисту персональних даних, проводиться з урахуванням оцінки можливої ​​шкоди та відповідно до нормативних актів згаданих органів (п. , вимог, затверджених постановою Уряду РФ від 1 листопада 2012 р. № 1119).

Під час обробки персональних даних у системах можуть встановлюватися чотири рівні захищеності залежно від категорії даних та кількості працівників, відомості про які містить система. Залежно від рівня захищеності роботодавцю слід вживати різних заходів захисту систем обробки персональних даних, передбачених пунктами 13-16 Вимог, затверджених постановою Уряду РФ від 1 листопада 2012 р. № 1119 . Наприклад, встановлення режиму забезпечення безпеки приміщень, в яких розміщені персональні дані, призначення осіб, відповідальних за забезпечення безпеки персональних даних в інформаційній системі, тощо. та технічних заходів, затверджених наказом ФСТЕК Росії від 18 лютого 2013 р. №21.

Для контролю захищеності персональних даних при їх обробці роботодавець або уповноважена ним особа не рідше ніж один раз на три роки здійснює контрольні перевірки, конкретні терміни яких роботодавець визначає самостійно. За необхідності до проведення перевірки на договірній основі можна залучити організації або індивідуальних підприємців, які мають ліцензію на провадження діяльності з технічного захисту конфіденційної інформації(П. 17 Вимог, затверджених постановою Уряду РФ від 1 листопада 2012 р. № 1119).

Положення про персональні дані

Питання із практики:чи є Положення про роботу з персональними даними працівників обов'язковим документом

Так, є.

Порядок зберігання, обробки та використання персональних даних працівників встановлює роботодавець з урахуванням вимог Трудового кодексу РФ та інших федеральних законів (). Це означає, що роботодавець повинен самостійно визначити порядок такої обробки та закріпити його у локальному нормативному акті, зокрема, Положення про роботу з персональними даними працівників. Усі співробітники організації прийому працювати мають ознайомитися з Положенням під підпис (год. 3 ст. 68 ТК РФ).

З зазначеного слід, що Положення про роботу з персональними даними є обов'язковим документом організації, яке відсутність тягне адміністративну відповідальність (). На це вказують і суди (див., наприклад, ухвала ФАС Московського округу від 26 жовтня 2006 р. № КА-А40/10220-06).

Приклад оформлення Положення про роботу з персональними даними працівників

Керівник організації затвердив Положення про роботу з персональними даними працівників.

Кадрової служби в організації немає. Відповідальним за ведення кадрового обліку призначено бухгалтера організації В.М. Зайцева.

Питання із практики:як захистити персональні відомості, що знаходяться у комп'ютерній базі даних

Щоб запобігти несанкціонований доступдо персональних відомостей, що знаходяться у комп'ютерній базі даних, у Положенні закріпіть процедуру захисту такої інформації. Чим вищий ризик несанкціонованого доступу до персональних даних, тим більше заходів слід вжити для захисту такої інформації. Наприклад, організація може ввести систему індивідуальних паролів, які будуть змінюватися з певною періодичністю, обмежити доступ співробітників до комп'ютерів, на яких зберігаються особисті дані, зберігати диски і дискети з такою інформацією в шафах, що замикаються.

Обробку персональних даних в інформаційній системі необхідно здійснювати відповідно до положень пунктів 8-16 Вимог, затверджених постановою Уряду РФ від 1 листопада 2012 р. № 1119 .

Організація може забезпечувати захист персональних даних як самостійно, так і із залученням сторонніх організацій, які мають ліцензію на провадження діяльності із захисту конфіденційної інформації. Такі роз'яснення дано у пункті 17 Вимог, затверджених постановою Уряду РФ від 1 листопада 2012 р. № 1119 .

Питання із практики:чи працівникам, які не працюють у службі персоналу, надати право доступу до персональних даних інших співробітників

Так, можна, якщо доступ до таких відомостей необхідний для виконання певних трудових функцій.

Доступ до персональних даних співробітників може мати лише спеціально уповноважені особи, яким такий доступ необхідний виконання конкретних функцій. Про це йдеться у Трудовому кодексі РФ.

Як правило, доступ до персональних даних працівників через специфіку діяльності повинні мати:

• працівники служби персоналу;
• співробітники бухгалтерії;
• генеральний директор та при необхідності його заступники;
• керівники підрозділів та безпосередні керівники.

У цьому кожної із зазначених категорій співробітників встановлюється рівень доступу. Так, наприклад, співробітникам бухгалтерії може бути надано доступ у частині адресних даних співробітників та їх сімейного стану, керівникам підрозділів - у частині персональних відомостей виключно за своїми підлеглими.

Рівні доступу тих чи інших осіб, а також конкретний порядок передачі персональних даних співробітників усередині організації має бути прописаний у її локальних документах, наприклад, у Положенні про захист персональних даних співробітників (абз. 5 ст. 88 ТК РФ). Уповноважені особи мають бути ознайомлені з положеннями документа та попереджені про свої права та обов'язки, а також про відповідальність за використання відомостей не за призначенням ().

Порада:умови про розміщення персональних даних співробітників на корпоративному сайті пропишіть у Положенні про роботу з персональними даними. При цьому до нього складіть додаток, в якому вкажіть список співробітників згодних (або незгодних) на розміщення персональних даних. Таким чином, вимога буде виконана, і організація зможе розмістити персональні дані працівників, які погоджуються з таким розміщенням, на корпоративному сайті.

З метою забезпечення прав своїх співробітників організація та її представники при обробці персональних даних зобов'язані дотримуватись вимог, що регламентуються Трудового кодексу РФ. Особи, винні у порушенні норм, що регулюють захист персональних даних, притягуються до адміністративної та кримінальної відповідальності. Або можуть бути звільнені з формулюванням "за розголошення персональних даних іншого співробітника на підставі підпункту "в" пункту 6 частини 1 статті 81 Трудового кодексу РФ".

Питання із практики:чи вправі керівник структурного підрозділу вимагати від бухгалтерії надання щомісячної інформації про нараховану зарплату підлеглих йому співробітників

Відомості про нараховані працівникам суми належать до персональних даних (п. 1 ст. 3 Закону від 27 липня 2006 р. № 152-ФЗ). Безпосередній керівник може їх вимагати, якщо відповідний допуск встановлено у локальному нормативному акті та отримано згоду співробітника на обробку його персональних даних.

Водночас, інформацію про оклади та надбавки співробітників містить штатний розпис. Штатний розпис є локальним документом організації та до персональних даних не належить. Керівник структурного підрозділу у разі потреби може звертатися до цього документа, якщо це передбачено посадовою інструкцією керівника або локальним актом організації. Це дозволить йому отримати необхідні відомостібез звернення до бухгалтерії.

Відмова на обробку даних

Питання із практики:як вчинити, якщо людина відмовляється давати згоду на обробку її персональних даних

Організація має право продовжувати обробляти персональні дані людини без її згоди за наявності певних підстав. При цьому обсяг такої обробки досить великий і дає змогу організації здійснювати поточну діяльність без порушень.

Зокрема, роботодавець може не вимагати згоди на обробку персональних даних у претендентів для укладання трудового та цивільно-правового договору, направлення персоніфікованої звітності до органів Пенсійного фонду РФ, податкової звітності до ФНП Росії, відомостей про військовозобов'язаних у військові комісаріати, а також для зберігання документів з персональними даними, зокрема трудових і цивільно-правових договорів, особистих карток, особових справ, тощо. буд. Коли роботодавець виконує покладені нею законодавством обов'язки.

Такі правила встановлені у пунктах 2-11 частини 1 статті 6, частини 2 статті 10 та частини 2 статті 11 Закону від 27 липня 2006 р. № 152-ФЗ.

Для здійснення всіх інших дій організації необхідно отримувати згоду особи на обробку її персональних даних (ч. 4 ст. 9 Закону від 27 липня 2006 р. № 152-ФЗ).

Увага:чинне законодавство не зобов'язує людину давати згоду на обробку персональних даних, тому відмову з її боку не можна вважати порушенням та підставою для відмови у укладанні договору. Штатний співробітник також не може бути звільнений або притягнутий до іншої дисциплінарної відповідальності за відмову від надання згоди на обробку персональних даних.

Питання із практики:як вчинити, якщо співробітник відмовляється надавати персональні дані членів сім'ї для заповнення кадрових документів

Під знеособленням персональних даних розуміють дії, у яких стає неможливим без використання додаткової інформаціївизначити належність персональних даних конкретній людині ().

У разі потреби знеособлення персональних даних керівники організацій затверджують:

• правила роботи з знеособленими даними;
• перелік посад службовців, відповідальних за проведення заходів щодо знеособлення оброблюваних персональних даних.

Такі правила передбачені у підпункті «б» пункту 1 переліку, затвердженого постановою Уряду РФ від 21 березня 2012 р. № 211 .

Конкретні вимоги та методи знеособлення персональних даних, що обробляються в інформаційних системах, встановлені у Вимогах та методах, затверджених наказом Роскомнагляду від 5 вересня 2013 р. № 996 .

Основною вимогою до знеособлення персональних даних є забезпечення як захисту від несанкціонованого використання, а й можливості їх обробки. Для цього знеособлені дані повинні мати властивості, що зберігають основні характеристики персональних даних, що знеособлюються. До таких властивостей, зокрема, належать:

• повнота, тобто збереження всієї інформації про конкретних людей або групи людей, яка була до знеособлення;
• структурованість, тобто збереження структурних зв'язків між знеособленими даними конкретної людини або групи людей, які були до знеособлення;
• застосовність, тобто можливість вирішення завдань обробки персональних даних без попереднього знеособлення всього обсягу записів людей;
• анонімність, тобто неможливість однозначної ідентифікації суб'єктів даних, одержаних внаслідок знеособлення, без застосування додаткової інформації.

Основними вимогами до методів знеособлення персональних даних є:

• забезпечення необхідних властивостей знеособлених даних;
• відповідність вимогам до характеристик методів;
• реалізація методів у різних програмах;
• розв'язання поставлених завдань обробки персональних даних.

До найбільш перспективних та зручних для практичного застосування відносять такі методи знеособлення:

• метод запровадження ідентифікаторів, тобто заміна частини відомостей персональних даних ідентифікаторами із створенням таблиці відповідності ідентифікаторів вихідним даним;
• метод зміни складу чи семантики, тобто зміна складу чи семантики персональних даних шляхом заміни результатами статистичної обробки, узагальнення чи видалення частини відомостей;
• метод декомпозиції, тобто розбиття масиву персональних даних на кілька частин із наступним роздільним зберіганням;
• метод перемішування, тобто перестановка окремих записів, і навіть груп записів у масиві персональних даних.

Комерційні організації з метою безпеки роботи з персональними даними працівників також мають право, але не повинні займатися знеособленням (п. 3 ст. 3 Закону від 27 липня 2006 р. № 152-ФЗ). Якщо організація вирішить знеособлювати персональні дані, то конкретний спосіб знеособлення необхідно закріпити у локальному акті, наприклад, у Положенні роботи з персональними даними співробітників (ст. , ТК РФ, ).

Перевірки дотримання вимог щодо обробки персональних даних

Як проводяться перевірки дотримання вимог щодо обробки персональних даних

Перевірки роботодавця з питань обробки ним персональних даних проводить Роскомнагляд. Наказом Мінкомзв'язку Росії від 14 листопада 2011 р. № 312 затверджено Адміністративний регламент виконання цією службою функцій щодо здійснення державного контролю (нагляду).

Предметом контролю діяльності роботодавця з обробки персональних даних є:

• документи, характер інформації у яких передбачає чи допускає включення до них персональних даних;
• інформаційні системи персональних даних;
• діяльність з їхньої обробки.

Роскомнагляд здійснює як планові, так і позапланові перевірки у формі документарних чи виїзних (Закону від 26 грудня 2008 р. № 294-ФЗ). Права та обов'язки посадових осіб Роскомнагляду при проведенні перевірок визначено, відповідно, пунктами та Адміністративним регламентом, затвердженим наказом Мінкомзв'язку Росії від 14 листопада 2011 р. № 312 .

Терміни перевірки діяльності роботодавця з обробки персональних даних під час проведення як планової, і позапланової перевірки що неспроможні перевищувати 20 робочих днів. При цьому для суб'єктів малого підприємництва загальний термін виїзних планових перевірок не може перевищувати на рік:

• 50 годин – для малого підприємства;
• 15 годин – для мікропідприємства.

У виняткових випадках термін проведення виїзної планової перевірки може бути продовжено, але не більше ніж на 20 робочих днів, а для малих та мікропідприємств – не більше ніж на 15 годин. Це можливо, якщо під час здійснення перевірки виникне потреба у проведенні:

• складних та тривалих досліджень, випробувань;
• спеціальних експертиз та розслідувань.

До дисциплінарної відповідальності можуть бути притягнуті лише ті співробітники, які взяли на себе зобов'язання дотримуватись правил роботи з персональними даними та порушили їх (). Матеріальна відповідальність може настати, якщо у зв'язку з порушенням правил роботи з персональними даними організації заподіяно пряму дійсну шкоду ().

За порушення порядку збору, зберігання, використання чи розповсюдження персональних даних організацію та її посадових осіб оштрафують. В рамках однієї перевірки Роскомнагляд може виявити кілька різних порушень. Тоді він стягне одразу кілька штрафів.

Розміри штрафів залежить від виду вчиненого правопорушення. Так, посадових осіб можуть оштрафувати у сумі від 3000 до 20 000 крб., ІП - у сумі від 5000 до 20 000 крб., організацію - у сумі від 15 000 до 75 000 крб. Докладніше про те, які штрафи за порушення в роботі з персональними даними див. у таблиці .

Такі заходи відповідальності передбачені статтями та Кодексу РФ про адміністративні правопорушення.

Кримінальна відповідальність для керівника організації (іншої особи, відповідальної за роботу з персональними даними) може наступити за незаконне:

• збирання чи розповсюдження відомостей про приватне життя співробітника, що становлять його особисту чи сімейну таємницю, без його згоди;
• поширення цих відомостей у публічному виступі, що публічно демонструється творі або засобах масової інформації.

За зазначені порушення передбачені такі заходи:

• штраф у вигляді до 200 000 крб. (або у розмірі доходів засудженого за період до 18 місяців);
• обов'язкові роботи терміном до 360 годин;
• виправні роботи терміном до року;
• примусові роботи терміном до двох років із позбавленням права обіймати певні посади чи займатися певної діяльністю терміном до трьох років чи ні такого;
• арешт терміном до чотирьох місяців;
• позбавлення волі на строк до двох років із позбавленням права обіймати певні посади або займатися певною діяльністю на строк до трьох років.

При цьому ті ж діяння, вчинені особою з використанням свого службового становища, караються:

• штрафом у вигляді від 100 000 до 300 000 крб. (або у розмірі доходів засудженого за період від одного до двох років);
• позбавленням права обіймати певні посади або займатися певною діяльністю терміном від двох до п'яти років;
• примусовими роботами на строк до чотирьох років з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до п'яти років або без нього;
• арештом терміном від чотирьох до шести місяців;
• позбавленням волі на строк до чотирьох років із позбавленням права обіймати певні посади або займатися певною діяльністю на строк до п'яти років.

Питання із практики:чи можна у трудових договорах співробітників передбачити умову про нерозголошення конфіденційної інформації

Так можна.

Але тільки щодо тих співробітників, які безпосередньо працюють із персональними даними: кадровиків, менеджерів з персоналу, секретарів (). У цьому випадку, при прийомі на роботу ознайомте співробітника з Положенням про роботу з персональними даними.

Питання із практики:чи можна повідомляти відомості про роботу співробітника в організації телефоном представникам інших компаній, наприклад банків

Так, можна, але лише за письмовою згодою самого співробітника.

Під персональними даними розуміється будь-яка інформація, що прямо чи опосередковано відноситься до певної фізичної особи (суб'єкта персональних даних) (ч. 1 ст. 3 Закону від 27 липня 2006 р. № 152-ФЗ). При цьому перелік персональних даних не є вичерпним, тобто будь-яка інформація, що стосується певної особи, є її персональними даними. Таким чином, місце роботи і сам факт роботи, які запитують у організації, наприклад, кредитною організацією для підтвердження факту роботи або потенційним роботодавцем про колишнього співробітника, є персональними даними. Тому передавати дані про співробітника іншим організаціям можна лише з дотриманням загальних вимог щодо обробки персональних даних, тобто тільки за згодою самого співробітника (п. 3 ч. 1 ст. 86 ТК РФ, ).

Таким чином, надавати відомості про факт роботи співробітників по телефону невстановленим особам, у тому числі спеціалістами банку, що представляються, можна, але тільки за письмовою згодою самого співробітника, незалежно від того, продовжує він працювати в організації або вже звільнився.

Питання із практики:чи зобов'язаний роботодавець на запит служби судових приставів повідомляти про факт роботи в організації співробітника-боржника

Факт роботи в організації відноситься до персональних даних працівника. Судовий пристав-виконавець, який веде виконавче провадження, має право вимагати в організації відомості про співробітників, щодо яких відбулися судові рішення про сплату аліментів або інших видів присуджених платежів, у тому числі й відомості, що стосуються персональних даних. Даний запитроботодавець ігнорувати немає права. Такі правила встановлено Законом від 2 жовтня 2007 р. № 229-ФЗ.

При цьому роботодавець має право повідомляти про факт роботи в організації співробітника-боржника без його згоди про передачу персональних даних третім особам, оскільки в цьому випадку обробка персональних даних необхідна для здійснення правосуддя, виконання судового акту, що підлягає виконанню відповідно до законодавства України про виконавче провадження (п. 3 ч. 1 ст. 6, п. 6. ч. 2 ст. 10, ч. 2 ст. 11 Закону від 27 липня 2006 р. № 152-ФЗ ).

Отже, роботодавець зобов'язаний відреагувати на запит служби судових приставів факт роботи співробітника-боржника. Отримувати згоду співробітника на пров

Відповідає Маргарита Орлова,

керівник департаменту адміністрування страхових внесків ФСС Росії

«Щоб підтвердити основний вид діяльності з відокремленого підрозділу, який сплачує внески самостійно, подайте ті самі документи, що й загалом щодо організації. Різниця лише в тому, що в них відобразите відомості лише за підрозділом та подайте їх у відділення ФСС за місцем обліку такого підрозділу. Як платити внески, доки не отримали з ФСС повідомлення про тариф на поточний рік – дізнаєтесь у рекомендації.»

У яких випадках потрібно повідомити Роскомнагляд про обробку персональних даних? Відповідь – у статті.

Запитання:Чи зобов'язані ми за законодавством зареєструватися в реєстрі операторів персональних даних Роскомнагляду? п. 2 ст. 22 Закону від 27.07.2006 р. № 152-ФЗ «Про персональні дані» говориться, що,2. Оператор має право здійснювати без повідомлення уповноваженого органу захисту прав суб'єктів персональних даних обробку персональних даних.ми не зобов'язані реєструватися в реєстрі?

Відповідь:Реєструватися в реєстрі операторів персональних даних Роскомнагляду не потрібно, оскільки процедури проходження реєстрації немає. Оператор на початок обробки персональних даних зобов'язаний направити повідомлення Роскомнадзор (п. 1 ст. 22 закону № 152-ФЗ). Роскомнагляд на підставі повідомлень веде реєстр операторів.

У цьому із зазначеної норми права є винятки, перелічені докладно у п. 2 ст. 22 закону №152-ФЗ.

Обґрунтування

Зберігання персональних даних у Росії. Які особливості є для відомостей про працівників

Якщо компанія обробляє персональні дані не лише працівників та контрагентів – фізичних осіб. Тобто практично будь-яка компанія зобов'язана повідомити чиновників про обробку персональних даних.

за загальному правилуроботодавець зобов'язаний направити до Роскомнагляду повідомлення про початок обробки персональних даних (ч. 1 ст. 22 Закону № 152-ФЗ). Багато компаній досі цього не зробили. Вони доводять це так: роботодавець обробляє персональні дані лише своїх працівників. Тому компанія підпадає під виняток, встановлений у п. 1 ч. 2 ст. 22 Закону №152-ФЗ. Відповідно до цієї норми роботодавець має право обробляти персональні дані відповідно до трудового законодавства без повідомлення Роскомнагляду.

Але в більшості випадків позиція про те, що повідомлення не потрібне, є помилковою. Адже роботодавець опрацьовує дані не лише працівників, а й інших суб'єктів. Наприклад, представників контрагентів при отриманні довіреностей або працівників інших компаній, що входять до однієї групи з роботодавцем. У таких випадках рекомендується направити повідомлення до Роскомнагляду.

За якою формою потрібно повідомити Роскомнагляд?

Включіть у повідомлення відомості про персональні дані працівників (п. 7 Тимчасових рекомендацій щодо заповнення форми повідомлення, затв. Роскомнаглядом 30.12.2014). Винятки, встановлені у ч. 2 ст. 22 Закону № 152-ФЗ, у цьому випадку непридатні.

Роскомнагляд внесе інформацію з повідомлення до реєстру операторів протягом 30 днів із дати отримання документа. Платити гроші за це не потрібно (ч. 4, ч. 5 ст. 22 Закону № 152-ФЗ).

Роботодавці, які не повідомили Роскомнагляду, ризикують отримати листа від чиновників. У відповідь на нього роботодавці будуть зобов'язані надіслати повідомлення або обґрунтувати причини його ненапряму. В останньому випадку збільшується ризик перевірки Роскомнаглядом відповідності дійсності такого роду обґрунтування. Так, згідно з щорічним звітом за 2014 рік Роскомнагляд направив операторам понад 58 тис. таких листів (