Персональні дані працівника: зміни з липня 2017 року.

2. Персональні дані.
3. Обробка персональних даних.
4. Оператор.
5. Вимоги до оформлення положення про персональні дані.
6. Згода на обробку та передачу персональних даних.
7. Що потрібно вказати в злагоді?
8. Коли згоду на обробку даних потрібно отримувати, а коли - ні?
9. Про згоду на передачу даних.

Автор: Медведєва Т. М., експерт журналу

Федеральним законом від 07.02.2016 № 13-ФЗ [1] (Далі - Закон № 13-ФЗ) стала жорсткішою адміністративна відповідальність за порушення законодавства про захист персональних даних і диференційований склад адміністративних правопорушень [2] . З 1 липня 2017 року відповідальність за невиконання вимог до персональних даних, встановлених Федеральним законом від 27.07.2006 № 152-ФЗ [3] (Далі - Закон № 152-ФЗ), підвищиться в рази.

Максимальний розмір штрафу для юридичних осіб становитиме 75 тис. Руб. (Зараз - 10 тис. Руб.). Очевидно, роботодавцям, до сих пір не приділяють належної уваги правилам обробки персональних даних, необхідно на цьому зосередитися. В іншому випадку необачність може обернутися для них істотними фінансовими втратами

Нові адміністративні штрафи.

Законом № 13-ФЗ заново переписані положення ст. 13.11 КоАП РФ. Новою редакцією уточнені склади адміністративних правопорушень за законодавством про персональні дані і збільшені розміри штрафів.

норма

ст. 13.11

Склад адміністративного правопорушення

Розмір штрафу,

тис. руб.

Частина 1

Обробка персональних даних у випадках, не передбачених законодавством РФ, або їх обробка, несумісна з цілями збору цих даних, за винятком випадків, передбачених ч. 2 цієї статті, якщо ці дії не містять кримінально караного діяння

Для ДЛ - від 5 до 10, для ЮЛ - від 30 до 50.

Замість штрафу може бути зроблено попередження

Частина 2

Обробка персональних даних без згоди в письмовій формі їх суб'єкта на обробку його даних у випадках, коли така згода має бути отримано відповідно до законодавства РФ, якщо ці дії не містять кримінально караного діяння, або обробка персональних даних з порушенням встановлених законодавством РФ вимог до складу відомостей, що включаються в згоду в письмовій формі суб'єкта персональних даних на обробку його даних *

Для ДЛ - від 10 до 20, для ЮЛ - від 15 до 75

частина 3

Невиконання оператором передбаченої законодавством РФ обов'язки по опублікуванню або забезпечення іншим чином необмеженого доступу до документа, який визначає політику оператора щодо обробки персональних даних, або відомостями про реалізовані вимоги до захисту персональних даних

Для ДЛ - від 3 до 6, для ІП - від 5 до 10, для ЮЛ - від 15 до 30.

Замість штрафу може бути зроблено попередження

частина 4

Невиконання оператором передбаченої законодавством РФ обов'язки з надання суб'єкту персональних даних інформації, що стосується обробки його персональних даних

Для ДЛ - від 4 до 6, для ІП - від 10 до 15, для ЮЛ - від 20 до 40.

Замість штрафу може бути зроблено попередження

частина 5

Невиконання оператором в терміни, встановлені законодавством РФ, вимоги суб'єкта персональних даних або його представника або уповноваженого органу з захисту прав цих суб'єктів щодо уточнення персональних даних, їх блокування або знищення в разі, якщо дані є неповними, застарілими, неточними, незаконно отриманими або не є необхідними для заявленої мети обробки

Для ДЛ - від 4 до 10, для ІП - від 10 до 20, для ЮЛ - від 25 до 45.

Замість штрафу може бути зроблено попередження

частина 6

Невиконання оператором при обробці персональних даних без використання засобів автоматизації обов'язки по дотриманню умов, що забезпечують відповідно до законодавства РФ збереження персональних даних при зберіганні матеріальних носіїв персональних даних і виключають несанкціонований доступ до них, якщо це спричинило неправомірне або випадковий доступ до персональних даних, їх знищення , зміна, блокування, копіювання, надання, поширення або інші неправомірні дії щодо перс ональних даних, при відсутності ознак кримінально караного діяння

Для ДЛ - від 4 до 10, для ІП - від 10 до 20, для ЮЛ - від 25 до 50

* Зазначений штраф накладається за кожне допущене порушення, тому спочатку заявлена ​​сума штрафу 15 - 75 тис. Руб. в результаті може вирости до досить значних розмірів.

Повноваження щодо порушення справ про адміністративні правопорушення за ст. 13.11 КоАП РФ передані від прокурорів Роскомнадзор (в новій редакції п. 58 ч. 2 ст. 28.3 та ч. 1 ст. 28.4 КоАП РФ). Але розглядати ці справи, як і раніше будуть суди (ч. 1 ст. 23.1 КоАП РФ).

До відома:

Крім Роскомнадзора перевірити дотримання роботодавцем вимог законодавства в області персональних даних може Роструд. Адже положеннями гл. 14 ТК РФ (нарівні з Законом № 152-ФЗ) визначені вимоги до обробки персональних даних працівників і гарантії їх захисту. Інспектори з праці наділені повноваженнями щодо складання протоколів про адміністративні правопорушення, в тому числі передбачених ст. 5.27 КоАП РФ, у випадках порушення трудового законодавства (пп. 16 ч. 2 ст. 28.3 КоАП РФ).

Підкреслимо, що нові адміністративні штрафи будуть застосовуватися з 1 липня 2017 року.

Перш ніж розглядати питання про те, як роботодавцю уникнути штрафів, пояснимо, що розуміється під персональними даними, обробкою персональних даних та оператором.

Персональні дані.

Персональні дані - це інформація, прямо або побічно відноситься до суб'єкта персональних даних (тобто фізичній особі) (ч. 1 ст. 3 Закону № 152-ФЗ). Тобто вона дозволяє однозначно визначити, про яку саме особі йдеться.

Яких-небудь конкретних вказівок про те, які відомості вважати персональними даними, в чинному законодавстві не міститься (їх немає ні в Законі № 152-ФЗ, ні в гл. 14 ТК РФ). У ньому закріплені лише загальні принципи [4] . По суті, розглядається поняття є оціночним, що дає певний простір при кваліфікації тих чи інших відомостей про фізичну особу в якості персональних даних. Очевидно, що такими слід вважати перш за все відомості, на підставі яких можлива безпомилкова ідентифікація суб'єкта персональних даних. Такі відомості співробітник, як правило, повідомляє сам при прийомі на роботу. Персональні дані можна отримати і від третьої сторони, правда, з письмової згоди працівника (ч. 3 ст. 86 ТК РФ). У свою чергу, знеособлені відомості не можуть бути віднесені до категорії персональних даних.

До категорії персональних даних належать, наприклад, такі відомості:

• прізвище ім'я по батькові;
• дата і місце народження;
• адреса (місце реєстрації);
• сімейне, соціальне і майнове становище;
• освіта, професія;
• доходи, майно та майнові зобов'язання.

Це загальні персональні дані. Крім них, в Законі № 152-ФЗ згадуються:

• спеціальні персональні дані (стосуються расової, національної приналежності, політичних поглядів, релігійних або філософських переконань, стану здоров'я, інтимного життя). За загальним правилом обробка цих даних не допускається. Виняток - випадки, передбачені ч. 2 ст. 10 названого закону;
• біометричні персональні дані (характеризують фізіологічні та біологічні особливості людини, на підставі яких можна ідентифікувати його особу). Для обробки таких відомостей необхідна згода суб'єкта персональних даних. Виняток - випадки, встановлені ч. 2 ст. 11.

До відома:

Персональні дані працівників, як правило, містяться в наступних документах:

• в паспорті або іншому документі, що посвідчує особу;
• в трудовій книжці;
• в документах про військовий облік, освіті, склад сім'ї;
• в довідці про доходи з попереднього місця роботи;
• в анкеті, що заповнюється при працевлаштуванні;
• в особовій картці працівника (форма Т-2);
• в свідоцтвах про шлюб, народження дитини;
• в медичних довідках; та ін.

У роботодавця зберігаються копії перерахованих документів, за винятком анкет, трудових книжок та особових карток.

Обробка персональних даних.

Під обробкою персональних даних розуміється будь-яка дія (або сукупність дій), що здійснюється з ними (з використанням засобів автоматизації або без використання таких). Під дією розуміються збір, запис, систематизація, накопичення, зберігання, уточнення (оновлення, зміна), витяг, використання, передача (поширення, надання, доступ), знеособлення, блокування, видалення, знищення даних (ч. 3 ст. 3 Закону № 152-ФЗ).

Цілі обробки персональних даних визначені ч. 1 ст. 86 ТК РФ, а її основні принципи - ст. 5 Закону № 152-ФЗ.

цілі

обробки

персональних даних

→

• забезпечення дотримання законодавства;
• сприяння працівникам у працевлаштуванні, здобутті освіти і просуванні по службі;
• забезпечення особистої безпеки працівників

Основні принципи обробки персональних даних

→

• обробка повинна обмежуватися досягненням конкретних, заздалегідь визначених і законних цілей;
• зміст і обсяг оброблюваних даних повинні відповідати заявленим цілям обробки;
• при обробці даних повинні бути забезпечені їх точність і достатність, а в необхідних випадках - актуальність по відношенню до цілей обробки;
• зберігання даних має здійснюватися у формі, що дозволяє визначити їх суб'єкта, не довше ніж цього вимагають цілі їх обробки *

* Згідно ст. 87 ТК РФ порядок зберігання і використання персональних даних працівників встановлює кожен роботодавець самостійно з дотриманням вимог Трудового кодексу та інших федеральних законів (включаючи Закон № 152-ФЗ).

Важливий нюанс: законодавством не визначені вимоги до обсягу персональних даних, які оператор (роботодавець) може обробляти за згодою (або без) їх суб'єкта. Отже, сторони мають право встановити обсяг одержуваних і оброблюваних відомостей самостійно. При цьому потрібно врахувати, що вимоги закону до порядку отримання згоди на обробку відомостей і до самого порядку їх обробки розрізняються залежно від виду (розряду) персональних даних.

Оператор.

Оператор - особа, яка організує і здійснює обробку персональних даних (ч. 2 ст. 3 Закону № 152-ФЗ).

Під наведене визначення підпадає будь-який роботодавець (юридична особа або індивідуальний підприємець), який отримав персональні дані працівника в своє розпорядження. Значить, з цього моменту на нього відповідно до вимог Закону № 152-ФЗ покладаються обов'язки щодо захисту і забезпечення схоронності персональних даних працівників.

Причому відповідно до ч. 1 ст. 18.1 Закону № 152-ФЗ кожен оператор повинен самостійно визначити склад і перелік заходів, необхідних і достатніх для забезпечення виконання обов'язків, передбачених цим законом. Однією з цих заходів є видання оператором локального нормативного акта, який встановлює порядок обробки персональних даних працівників в організації. Цього ж від оператора вимагають ст. 86 і 87 ТК РФ. У локальному акті (зазвичай він іменується Положенням про персональні дані) визначаються права і обов'язки як суб'єкта персональних даних, так і оператора.

Підкреслимо: наявність визначеного документа у роботодавця обов'язково. За його відсутність фахівці Роскомнадзора можуть оштрафувати оператора (і його посадових осіб) на підставі ч. 3 ст. 13.11 КоАП РФ.

Вимоги до оформлення положення про персональні дані.

При складанні Положення про персональні дані необхідно врахувати вимоги про отримання, обробці, зберіганні і використанні персональних даних працівників, встановлені Законом № 152-ФЗ і гл. 14 ТК РФ [5] . Виходячи з названих нормативних актів, в положенні про Персональних даних треба вказати:

• перелік відомостей, що відносяться до категорії персональних даних;
• які документи, що містять персональні дані працівників, оператор буде представляти в різні держструктури (позабюджетні фонди, податкову, трудову інспекції, органи статистики та т. д.);
• перелік посадових осіб, наділених повноваженнями з обробки, зберігання і використання персональних даних і, відповідно, несуть відповідальність за порушення вимог законодавства;
• хто і в якому порядку має доступ до отриманих персональних даних;
• заходи, спрямовані на збереження і нерозголошення персональних даних, а також порядок їх передачі (усередині організації і третім особам);
• порядок надання суб'єкту персональних даних інформації, що стосується обробки його даних;
• процедуру уточнення персональних даних працівників, їх блокування і знищення;
• умови і порядок зберігання персональних даних співробітників.

Важливий нюанс: роботодавцю слід врахувати вимогу ч. 8 ст. 86 ТК РФ, де сказано, що працівники і їх представники повинні бути під розпис ознайомлені з Положенням про персональні дані. Оператор з метою виконання зазначеного вимоги може, наприклад, оформити відповідний журнал, в якому працівники будуть розписуватися, підтверджуючи факт ознайомлення. Але є і інші способи ознайомлення під розпис, наприклад відображення цього факту в трудовому договорі.

Отже, положення про персональні дані - це, мабуть, головний документ, наявність якого необхідна в силу законодавства. Його відсутність може стати підставою для накладення штрафу за ч. 3 та 4 ст. 13.11 КоАП РФ. Але це не єдиний документ, який оператор повинен оформити для належного виконання вимог закону.

Згода на обробку та передачу персональних даних.

У частині 1 ст. 9 Закону № 152-ФЗ йдеться, що згода має бути конкретним, поінформованим і свідомим. Воно може бути дано суб'єктом персональних даних (або його представником) у будь-який дозволяє підтвердити факт його отримання формі, якщо інше не встановлено Законом № 152-ФЗ. Прямо про те, що згоду співробітника на обробку персональних даних має бути оформлено письмово, в названому законі не сказано.

Але! Частиною 2 ст. 13.11 КоАП РФ визначено відповідальність оператора і його посадових осіб за обробку персональних даних:

• без згоди в письмовій формі суб'єкта персональних даних на обробку його даних у випадках, коли така згода має бути отримано за законодавством РФ, якщо ці дії не містять кримінально караного діяння;
• або з порушенням встановлених законодавством РФ вимог до складу відомостей, що включаються в згоду в письмовій формі суб'єкта персональних даних на обробку його даних.

Виходить, коли чинне законодавство в галузі персональних даних вимагає отримання згоди від суб'єкта цих даних, це згода має бути оформлено письмово (довільно, так як єдиний бланк законодавством не передбачено). Адже при виникненні спірних ситуацій довести факт отримання згоди повинен саме оператор (ч. 3 ст. 9 Закону № 152-ФЗ). І письмова форма згоди в цьому випадку буде дуже до речі.

З урахуванням сказаного роботодавцю-оператору має сенс розробити і затвердити в якості додатку до Положення про персональні дані бланк згоди працівника на обробку та передачу таких даних. Додамо, що Закон № 152-ФЗ допускає оформлення згоди у формі електронного документа.

Що потрібно вказати в злагоді?

Вимоги до змісту письмової згоди для випадків, коли воно необхідне в силу закону, встановлені ч. 4 ст. 9 Закону № 152-ФЗ. У цьому випадку згода має включати:

1. П. І. Б., адреса працівника, реквізити документа, що посвідчує його особу, включаючи дату видачі та відомості про орган, що його органі.
2. При отриманні згоди від представника працівника - його П. І. Б., адреса, реквізити документа, що посвідчує його особу, включаючи дату видачі та відомості про орган, що його органі, реквізити довіреності або іншого документа, що підтверджує повноваження представника.
3. Найменування або П. І. Б. та адреса роботодавця.
4. Мета обробки персональних даних.
5. Перелік персональних даних, які підлягають обробці.
6. П. І. Б. та адреса особи або найменування організації, що здійснюють обробку персональних даних за дорученням роботодавця, якщо вона доручена такій особі або організації.
7. Перелік дій з персональними даними, на вчинення яких працівником дано згоду, загальний опис способів їх обробки.
8. Термін, протягом якого діє згоду працівника на обробку його персональних даних, і спосіб відкликання згоди.
9. Підпис працівника.

В інших випадках (коли законодавство не вимагає отримання згоди співробітника) спеціальних вимог до змісту згоди Законом № 152-ФЗ не встановлено. Разом з тим загальне правило, передбачене ч. 1 ст. 9 цього закону (про конкретний, інформовану і свідомому злагоді), ніхто не відміняв. Тому в злагоді в будь-якому випадку повинен бути вказаний конкретний обсяг персональних даних, мету і способи їх обробки і зберігання.

Коли згоду на обробку даних потрібно отримувати, а коли - ні?

Закон № 152-ФЗ допускає обробку персональних даних співробітників як за їхньою згодою (п. 1 ч. 1 ст. 6), так і без нього.

Тут слід звернути Рамус на Роз'яснення Роскомнадзора [6] . На думку чиновників, обробка персональних даних працівника не вимагає отримання відповідної згоди вказаної особи за умови, що обсяг оброблюваних роботодавцем персональних даних не перевищує встановлених переліків, а також відповідає цілям обробки, передбачених трудовим законодавством (див. Таблицю).

Не потрібно оформляти згоду працівника на обробку персональних даних, якщо вони отримані

джерело

З документів (відомостей), що пред'являються при укладенні трудового договору

Стаття 65, ч. 4 ст. 275 ТК РФ, п. 5 ч. 1 ст. 6 Закону № 152-ФЗ

За результатами обов'язкового попереднього медичного огляду про стан здоров'я

Стаття 69 ТК РФ, п. 3 Роз'яснень Роскомнадзора

З особової картки або в інших випадках, встановлених законодавством РФ (наприклад, при отриманні аліментів, оформлення допуску до державної таємниці, оформленні соціальних виплат)

Пункт 2 Роз'яснень Роскомнадзора

Від кадрового агентства, що діє від імені претендента на вакантну посаду

Пункт 5 Роз'яснень Роскомнадзора

З резюме здобувача, розміщеного в Інтернеті і доступного необмеженому колу осіб

Пункт 10 ч. 1 ст. 6 Закону № 152-ФЗ, п. 5 Роз'яснень Роскомнадзора

Якщо персональні дані про працівника можуть бути отримані тільки в третьої сторони (нагадаємо, відповідна можливість передбачена ст. 86 ТК РФ), то він повинен бути заздалегідь повідомлений про це і від нього має бути отримано згоду на обробку відомостей.

Згода також необхідно, якщо роботодавець планує обробляти інші дані працівника (наприклад, контактні дані - номер стільникового телефону, адреса електронної пошти).

Про згоду на передачу даних.

Крім згоди на обробку даних, оператору необхідно заручитися згодою працівника на їх передачу третім особам (в тому числі в комерційних цілях), що випливає з абз. 2, 3 ч. 1 ст. 88 ТК РФ. У цій згоді теж чітко прописують, які саме операції з персональними даними здійснює роботодавець і яка їхня мета.

Зверніть увагу:

Оператор повинен попередити третіх осіб про те, що персональні дані можуть бути використані лише в цілях, для яких вони повідомлені, і вимагати від зазначених осіб підтвердження того, що це правило дотримане (абз. 4 ч. 1 ст. 88 ТК РФ).

У ряді випадків згоду співробітника на передачу персональних даних третім особам оформляти не потрібно. Уявімо ці випадки в таблиці.

Згода не оформлюється при передачі даних *

джерело

Третім особам з метою попередження загрози життю і здоров'ю працівника

Абзац 2 ст. 88 ТК РФ, абз. 1 п. 4 Роз'яснень Роскомнадзора

Під позабюджетні фонди

Абзац 15 ч. 2 ст. 22 ТК РФ, абз. 3 п. 4 Роз'яснень Роскомнадзора

До податкових органів та військові комісаріати

Підпункти 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Роз'яснень Роскомнадзора

За запитом професійних спілок з метою контролю за дотриманням трудового законодавства роботодавцем

Стаття 370 ТК РФ, абз. 5 п. 4 Роз'яснень Роскомнадзора

За мотивованим запитом органів прокуратури та правоохоронних органів

Абзац 7 п. 4 Роз'яснень Роскомнадзора

За запитом від державних інспекторів праці при здійсненні ними наглядово-контрольної діяльності

Абзац 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Роз'яснень Роскомнадзора

До органів і організації, які повинні бути повідомлені про важкий нещасний випадок, в тому числі зі смертельними наслідками

Абзац 5 ст. 228 ТК РФ

* Члени сім'ї, страхові компанії, кредитні установи, благодійні організації, недержавні пенсійні фонди та інші аналогічні організації в зазначений перелік третіх осіб не увійшли. Тому передати згаданим особам персональні дані співробітника оператор має право тільки за його письмовою згодою.

[1] «Про внесення змін до Кодексу Російської Федерації про адміністративні правопорушення».

[2] Текст нормативного акту надрукований в «Актах і коментарях для бухгалтера», № 3 2017.

[3] «Про персональні дані».

[4] Див. Постанова ФАС СКО від 11.03.2014 у справі № А53-10287 / 2013.

[5] Положення про персональні дані, як і будь-який інший локальний нормативний акт, затверджується керівником організації. При наявності в організації представницького органу працівників (профспілки) позначений документ повинен прийматися з урахуванням вимог, встановлених ст. 372 ТК РФ.

[6] «Питання, що стосуються обробки персональних даних працівників, здобувачів на заміщення вакантних посад, а також осіб, які перебувають у кадровому резерві». Розміщені на офіційному сайті відомства www.rsoc.ru 24.12.2012.

Актуальні питання бухгалтерського обліку та оподаткування, №3 2017 рік