Компания не может обойтись без получения личных сведений от работников, клиентов и контрагентов. Нужны фамилии, адреса, другая информация. Однако заниматься обработкой персональных данных компания вправе только в конкретных целях. Иное использование данных является нарушением, которое повлечет административные меры.

Цели, в которых запрашивают сведения, должны соответствовать закону и потребностям компании

В ходе ведения бизнеса компания имеет дело с информацией, которая нуждается в охране. К конфиденциальным относятся сведения о технологиях, проектах, разработках, о специфике сделок и т. д. Также закон обязывает защищать информацию о людях, которые работают в компании, являются ее клиентами или представляют контрагентов. Действует «О персональных данных» во исполнение конституционного принципа защиты частной жизни ( , ст. 2 закона № 152). Требования закона распространяются на любые организации, которые получают данные от их субъектов (ст. 1 закона № 152).

Компания, которая приступает к обработке персональных данных, вправе затребовать их только с определенными целями (ч. 2 ст. 5 закона № 152). Кроме того, от целей зависит объем данных. Нельзя запрашивать сведения, которые компании не понадобятся (ч. 4 и 5 ст. 5 закона № 152). Например, интернет-магазин не вправе требовать от покупателя паспортные данные или просить указать почтовый адрес, если клиент забирает товар самовывозом.

Компания сама определяет цели обработки персональных данных клиентов и сотрудников

Для чего именно потребовались сведения, определяет компания (п. 2 ст. 3 закона № 152). Как правило, персональные данные клиентов, контрагентов, сотрудников организация запрашивает в целях:

1. Заключения договоров. Это могут быть договоры с потребителями услуг или товаров компании, с другими типами клиентов, с партнерами по бизнесу, трудовые соглашения и т. п. Для любого договора, который компания собирается подписать, потребуются личные данные – сотрудника, который выступает в ее интересах, представителя контрагента или самого контрагента, если это частное лицо. В том числе данные нужны, чтобы компания могла выполнить свои обязательства.
2. Систематизации информации о персонале, ведении кадрового учета и делопроизводства. Данные работников необходимы не только для заключения трудовых договоров, но и для всех остальных операций в рамках трудовых отношений.
3. Выполнения требований закона об отчислении налогов в бюджет, страховых взносов и т. д. Компания удерживает с работников НДФЛ, взносы и перечисляет эти суммы государству, в ПФР и другие организации (ст. 22 закона № 152, ст. 86 ТК РФ).
4. Формирования статистики. Данные для этого необходимо обезличить (п. 9 ч. 1 ст. 6 закона № 152).

Гость, знакомьтесь - !

Компания обязана предупредить субъекта персональных данных о целях обработки

Компания обязана известить работника или клиента о том, с какой целью запрашивает его персональные данные в обработку (п. 4 ч. 4 ст. 9 закона № 152). Это делают в рамках получения согласия на предоставление информации. Список целей должен:

• быть исчерпывающим и конкретным;
• соответствовать положениям устава, а также локальных актов организации;
• соответствовать тому, какие цели компания преследует фактически.

Например, сведения у клиента запрашивает банк. Цель обработки – обслуживание его счета, в том числе:

• открытие счета,
• ведение счета,
• операции по перечислению средств со счета и на счет,
• консультирование клиента.

Еще один пример информирования – перечисление целей обработки персональных данных сотрудников в политике компании. Организация закрепляет, что информацию используют:

• при работе с резюме соискателей;
• для выполнения обязанностей компании в рамках трудового соглашения;
• для соблюдения трудового, налогового и пенсионного законодательства;
• для организации обучения сотрудников, повышения их профессионального уровня;
• при расчете и начислении зарплаты;
• для контроля качества работы сотрудников;
• при предоставлении различных гарантий и льгот и т. д.

Согласие на обработку необходимо получить у субъекта данных почти во всех случаях. Если цель сбора – продвижение компании на рынке или политическая агитация, оператор обязан доказать, что человек дал согласие (ч. 1 ст. 15 закона № 152). Иначе считается, что оно не было запрошено.

Помимо соглашения с работником или клиентом, цели получения данных необходимо отразить в специальном документе – политике компании о работе с такими данными. Это должен быть общедоступный документ. Как правило, его публикуют на сайте организации в специальном разделе.

Профессиональная справочная система для юристов, в которой вы найдете ответ на любой, даже самый сложный вопрос.

Осуществляется на основании исполнения законов и иных нормативных актов.

Что является обработкой персональных данных? В этот процесс включаются следующие действия:

Правовое регулирование работы с персональными данными охватывает все процессы и стадии работы с ними.

Цель

Для чего нужна обработка персональных данных? Обработка персональных данных работника осуществляется на предприятии, в организации в целях содействия ему.

Основные цели обработки персональных данных:

• в устройстве на работу;
• в устройстве в учебное заведение или на обучение, по повышению квалификации;
• в целях охраны организации труда;
• для продвижения по службе и контроля, за возможностью карьерного роста;
• для осуществления контроля, за количеством и качеством выполненных работ.

Законодательство предусматривает аккумуляцию и трансляцию личных данных работника исключительно в целях его развития и целесообразного применения его способностей и опыта. , включают в себя многофункциональные цели.

В цели обработки персональных данных работников входит использование и обработки персональных данных путём их синтеза и взаимосвязи, определяющих актуальность возможностей работника в условиях организации производственного процесса.

Поставленные и озвученные цели для обработки персональных данных не могут изменяться без уведомления работника.

Кем осуществляется?

Под персональными данными понимается такая информация, которая содержит основные сведения о лице, представляющем интерес для определённого круга представителей государственных и иных служб.

В частности, на производстве (в организации), персональные данные представляют интерес для работодателя, который осуществляет управление организацией труда на производстве на основании сведений о своих сотрудниках.

Работодатель имеет право затребовать любые персональные данные, имеющиеся в учётных записях о работнике. Кроме него, доступ к персональным данным имеет ограниченный круг лиц, который осуществляет операционную работу. Как правило, это секретариат и сотрудники кадровой службы.

Оператор, осуществляющий информационную деятельность с персональными данными, прежде, чем приступить к обозначенной работе, проходит инструктаж. Он знакомится с правилами работы и принципами, запрещающими разглашение сведений, содержащихся в персональных данных.

Осуществление перечисленных видов работ может преследовать исключительно те цели, которые явились причиной сбора информации. Нецелевое использование персональных данных или их разглашение считается грубым нарушением, за которое вменяется ответственность.

Нарушения

Как было рассмотрено ранее, нарушениями в обработке персональных данных считаются:

Работа оператора с персональными данными подлежит строгому контролю со стороны уполномоченных служб, а за недочёты, неумышленные или предумышленные нарушения, оператору вменяется ответственность.

За все неправомочные действия при обработке персональных данных, может последовать наказание: дисциплинарное, административное, в некоторых случаях – уголовное.

С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно - дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.

Что такое персональные данные

Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных) . Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:

• фамилия, имя, отчество;
• дата и место рождения;
• адрес;
• семейное положение;
• должность (профессия);
• зарплата, другие доходы;
• владение недвижимым имуществом, денежные вклады и др.;
• образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
• привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
• факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
• физиологические особенности, здоровье;
• деловые и иные личные качества;
• другие сведения.

Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.

Таблица 1. Документы, в которых содержатся персональные данные работников

N	Документ	Сведения
1	Анкета, автобиография, личный листок по учету кадров (заполняется при приеме на работу)	Анкетные и биографические данные работника
2	Копия документа, удостоверяющего личность работника	Ф.И.О., дата рождения, адрес регистрации, семейное положение, состав семьи
3	Личная карточка (форма N Т-2, утверждена Постановлением Госкомстата России от 05.01.2004 N 1)	Ф.И.О. работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность
4	Трудовая книжка	Сведения о трудовом стаже, предыдущих местах работы
5	Копии свидетельств о заключении брака, рождении детей	Состав семьи, изменения в семейном положении
6	Документы воинского учета	Информация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников
7	Справка о доходах с предыдущего места работы	Ф.И.О., данные о сумме дохода и удержанного НДФЛ
8	Документы об образовании	Подтверждают квалификацию работника, обосновывают занятие определенной должности
9	Документы обязательного пенсионного страхования	Ф.И.О., личные данные
10	Трудовой договор	Сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника
11	Приказы по личному составу	Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника

Оператор по обработке персональных данных

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных - любое совершаемое с ними действие. Операции по обработке персональных данных:

• сбор;
• запись;
• систематизация;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передача (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение персональных данных.

Положение о работе с персональными данными

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее - Положение). Унифицированной формы документа нет. Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы. Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.

Таблица 2. Структура Положения о персональных данных работников

N	Обязанность	Содержание раздела
1	Общие положения	Цель принятия Положения
		Вопросы, которые регулирует Положение
		Ссылки на нормативные акты. Указывают, на основании каких документов составляется Положение. В организациях, где работают государственные гражданские служащие, дается ссылка на: - Федеральный закон от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации"; - Указ Президента РФ от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела"; - нормативные акты субъекта РФ
2	Основные понятия. Состав персональных данных работников	Основные понятия. Даются определения понятий "персональные данные", "обработка персональных данных", "использование персональных данных", указывается срок хранения документов и т.д. Отдельно должно быть указано, что относится к персональным данным в конкретной компании с учетом ее особенностей (данные, используемые в работе, например сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, и т.д.)
		Перечень документов организации, которые содержат персональные данные
3	Получение персональных данных работников	Процедура получения персональных данных. Указывается, что данные получают и обрабатывают на основании письменного согласия работника. Указываются случаи, когда согласие не нужно
4	Использование персональных данных	Цели использования личной информации сотрудников
5	Обработка персональных данных	Условия, соблюдаемые при обработке персональных данных работника
6	Передача персональных данных (доступ к персональным данным)	Порядок передачи персональных данных внутри организации (внутренний доступ), сторонним лицам и государственным органам (внешний доступ)
7	Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных	Указывают тех, кто несет ответственность за нарушение правил хранения и использования персональных данных

Фрагмент Положения о персональных данных работников

Введение Положения в действие

Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.

Если есть профсоюз

Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый - согласиться. Второй - в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий. После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

Ознакомление работников с Положением

Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

• в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
• - листе ознакомления с Положением (образец на с. 91);
• - журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Образец листа ознакомления с локальными нормативными актами

N п/п	Наименование локального нормативного акта	Дата	Подпись
1	Правила внутреннего трудового распорядка ООО "Черный лес"	03.10.2011	Евстахов
2	Положение об оплате труда, премировании и социальном обеспечении сотрудников ООО "Черный лес"	03.10.2011	Евстахов
3	Инструкция по информационной безопасности, утвержденная Приказом от 15.06.2008 N 1	03.10.2011	Евстахов
4	Положение о персональных данных	03.10.2011	Евстахов
5	Положение о материальной ответственности работников за ущерб, причиненный ООО "Черный лес"	03.10.2011	Евстахов

Фрагмент журнала ознакомления с Положением о персональных данных

Примечание. Срок хранения персональных данных

Локальные нормативные акты (положения, инструкции) о персональных данных должны храниться постоянно. Что касается заявлений работников о согласии на обработку данных (о них будет рассказано в следующих номерах), других документов работника, то они хранятся 75 лет. Об этом говорится в Перечне, утвержденном Приказом Минкультуры России от 25.08.2010 N 558.

Административная ответственность

Меры административной ответственности (в основном предусмотрены штрафы, дисквалификация в данном случае не применяется) для предприятия и его должностных лиц за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников приведены в табл. 3.

Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников

В соответствии с ч. 2 ст. 85 ТК РФ обработка персональных данных работника - это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении и продвижении по службе, обеспечения столичной безопасности, а также контроля количества и качества выполняемой им работы и обеспечения сохранности имущества (п. 1 ст. 86 ТК РФ).

Согласно п. 3 ст. 3 Федерального закона «О персональных данных» обработка персональных данных — это действия (операции) с персонатьными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Следует иметь в виду, что независимо от количества перечисляемых в законодательстве функциональных операций правовое регулирование должно охватывать все стадии обработки персональных данных — от получения до уничтожения без каких-либо изъятий и исключений.

К принципам обработки персональных данных указанный Закон относит следующие:

• законность целей и способов обработки и добросовестность;
• соответствие целей обработки целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
• соответствие объема и характера обрабатываемых данных, способов обработки целям их обработки;
• достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, не имеющих отношения к целям, заявленным при сборе данных;
• недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

Обработка персональных данных работника начинается с их получения. По общему правилу все персональные данные следует получать у самого работника. В исключительных случаях, когда персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение (п. 3 ст. 86 ТК РФ). Однако персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни работодатель не имеет права получать и обрабатывать (п. 4 ст. 86 ТК РФ). Также работодатель не может запрашивать информацию о состоянии здоровья работника, если это не относится к решению вопроса о возможности выполнения работником трудовой функции (ст. 88 ТК РФ).

Отдельные требования ТК РФ предъявляет к организации и технологии обработки персональных данных работодателем. Обязанность ознакомления работников и их представителей под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области, предполагает необходимость разработки и принятия соответствующего локального нормативного правового акта. Такой акт в зависимости от специфики деятельности и усмотрения работодателя может именоваться положением или инструкцией и, как правило, включает следующие разделы:

• основные понятия и положения;
• обработка персональных данных работника;
• формирование персональных данных работника;
• учет, хранение и передача персональных данных работника;
• права и обязанности работника в области обработки и защиты его персональных данных.

Такой локальный нормативный правовой акт определяет режим конфиденциальности (ограниченного доступа) персональных данных работника у определенного работодателя. Сотрудники работодателя, получающие персональные данные работника, обязаны соблюдать этот режим, о чем необходимо указать не только в их должностных инструкциях, но и в заключаемых с ними трудовых договорах. Положение (инструкция) о защите персональных данных является основным документом, отражающим специфику обработки и передачи персональных данных работника в пределах конкретной организации, у определенного индивидуального предпринимателя. В случае наличия в рамках этой деятельности автоматизированной составляющей работодатель не имеет права принимать в отношении работника решения, основанные на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения (п. 6 ст. 86 ТК РФ). Работодатель может не ограничиваться принятием положения о защите персональных данных работников в своей организации. Однако наличие этого локального акта является обязательным, а его отсутствие рассматривается государственной инспекцией труда как серьезное нарушение трудового законодательства.

За это и другие нарушения норм, регулирующих получение, обработку и работника, работодатель может привлекать виновных лиц к материальной, дисциплинарной ответственности, а соответствующие государственные органы — к гражданско-правовой, административной и уголовной.

Этой информации – любое действие или операция с личными данными субъекта: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Зачем собирать информацию о субъекте и давать согласие на ее анализ?

Для клиента/пациента

Сведения о состоянии здоровья гражданина относятся к специальной категории персональных данных. Согласно ч. 2 п. 4 ст. 10 ФЗ № 152 обработка таких сведений допускается без согласия субъекта при условии, что она осуществляется в целях:

• установления диагноза;
• профилактики заболевания;
• оказания медицинских и медико-социальных услуг.

Это правило справедливо для ситуаций, когда обработка осуществляется профессиональным врачом, обязанным хранить врачебную тайну в соответствии с законодательством РФ.

Исключение составляют те ситуации, когда получить согласие невозможно, но необходима для защиты жизни или здоровья пациента.

Если человек пользуется какой-либо услугой – заключает договор, оформляет кредит – то есть является клиентом, личные сведения о нём также могут быть обработаны согласно ФЗ № 152 .

Данные клиента могут использованы для:

1. Оказание консультационных, информационных и посреднических услуг.
2. Заключение и исполнение договора с клиентом.
3. Ведение кадровой работы и бухгалтерских услуг.
4. Иные сделки, не запрещенные законодательством РФ.

Для сотрудника организации

Работодатель имеет право на своих сотрудников, оно закреплено в ст. 22 ФЗ № 152 . Цели обработки персональных данных в организации:

• Оформление гражданско-правовых договоров с гражданами, предусмотренных Законодательством РФ и Уставом предприятия.
• Кадровый учёт, соблюдение законов и , оформление обязательств по трудовым и гражданско-правовым договорам.
• Помощь в трудоустройстве, получении образования или продвижения по службе, оформлении и использовании льгот.
• Обеспечение личной безопасности работника и сохранность имущества.
• Выполнение требований налогового, а также пенсионного законодательства при начислении взносов на пенсионное страхование.
• Формирование статистики в соответствие с Трудовым, Налоговым Кодексами и федеральными законами.
• Контроль выполняемой сотрудником работы.

(Ст. 86 «Трудового Кодекса Российской Федерации» от 30.12.2001 г. № 197-ФЗ). Личные сведения о сотруднике, относящиеся к категории «специальные», не подлежат обработке работодателем.

Обязательно должны быть установлены сроки действия Согласия на обработку персональных данных, это может быть конкретная дата или событие, например, увольнение или отзыв сотрудником своего согласия.

Примеры

Банковская сфера

Банк «Финансовый». Цель обработки персональных данных клиента – осуществление банковских и других операций, в том числе:

1. Открытие и ведение банковских счетов.
2. Перевод денежных средств по банковским счетам.
3. Перевод денежных средств от лиц – физических и юридических без открытия банковского счёта.
4. Купля-продажа иностранной валюты.
5. Оказание услуг консультирования и информирования, в том числе посредством адреса электронной почты.

Медицинская организация

Медицинская организация «Здоровье». Цель обработки:

• Организация оказания медицинской помощи.
• Выписка льготных рецептов.
• Оплата счетов в системе ОМС и ДМС.
• Использования для статистики и при проведении научно-исследовательской работы.
• Информирование посредством смс-оповещения о результатах анализов, проводимых акциях и расписании работы специалистов.

Заключение

С , клиента или пациента не всё так просто, как кажется на первый взгляд. Просто так, без согласия и предупреждения, они не могут быть переданы третьим лицам или использованы в тех целях, с которыми субъект не согласен. Если человек столкнулся с тем, что произошла утечка его личных данных, он всегда может обратиться в Роскомнадзор или в суд.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему - позвоните прямо сейчас: