Правовое обоснование и необходимость обработки персональных данных в организации

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Правовое обоснование и необходимость обработки персональных данных в организации». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Согласно статье 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований федерального законодательства. Работодатель обязан в локальном акте определить вопросы хранения и использования персональных данных.

Согласие работника на обработку персональных данных

Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.

Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).

Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).

Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).

Настоятельно рекомендуем включить в него следующую информацию:

• цели получения персональных данных работника у третьих лиц;
• предполагаемые источники информации (лица, у которых будете запрашивать данные);
• способы получения данных, их характер;
• возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.

Хранение и использование персональных данных работников

На практике у работодателей возникает вопрос о праве хранить в личном деле работника копии паспортов, свидетельств о рождении детей, документов об образовании и повышении квалификации и т.п. На этот счет нет единообразной правоприменительной практики. Так, Рострудом в докладах по анализу правоприменительной практики неоднократно высказалось мнение о допустимости хранения копий документов при условии получения согласия работника. Вместе с тем, Роскомнадзор считает такое хранение обработкой персональных данных, избыточных по отношению к заявленным целям обработки. Учитывая неоднозначность мнений контролирующих органов по рассматриваемому вопросу, рекомендуем не хранить в личных делах работников документы, содержащие их персональные данные, если такая необходимость прямо не предусмотрена в нормативных документах или не получено их согласие.

Особенности обработки персональных данных в гражданско-правовых отношениях

При заключении гражданско-правового договора также могут потребоваться персональные данные лица, являющегося стороной по договору. Это может быть ФИО, должность, адрес регистрации, реквизиты документа, удостоверяющего личность, ИНН, ОГРНИП и другие.

Их обработка также должна осуществляться с соблюдением требованием Закона о персональных данных. При этом в силу пункта 5 части 1 статьи 6 ФЗ № 152-ФЗ персональные данные могут обрабатываться без получения согласия на обработку персональных данных, если обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

Таким образом, если обработка персональных данных лица осуществляется в целях исполнения договора, согласие не требуется. Вместе с тем обработка в иных целях, а также поручение обработки персональных данных другому лицу или раскрытие персональных данных третьим лицам требует согласия. Например, при заключении договора на оказание услуг, персональные данные клиента будут использоваться как непосредственно для исполнения договора, так и в целях продвижения своих товаров и услуг на рынке и т.п. Для минимизации возможных рисков привлечения к ответственности рекомендуем получать согласие на обработку персональных данных лица при заключении договора.

Какие меры необходимо предпринять по защите персональных данных сотрудников?

При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.

Среди мер защиты выделяют:

• ограниченное число работников, которые имеют доступ к персданным;

• принятие нормативных документов;

• утверждение перечня документов, которые содержат пнд;

• внедрение программных для защиты информации на эл. носителях – например, антивирусную защиту;

• проведение профилактических работ с сотрудниками – тесты на знание правил хранения пнд;

• установление режима по пропускам;

Этот список можно продолжать до бесконечности, так как перечень защитных мер работодатели вправе определять самостоятельно.

Возможен ли отказ от обработки персональных данных с позиции закона

По закону, отказ от согласия на обработку персональных данных не несет юридических последствий. В ч. 1 ст. 9 ФЗ №152 указано, что само согласие выражается свободно и добровольно.

Ч. 5 ст. 6 того же закона допускает отсутствие согласия на обработку личной информации в случае, если это требуется для исполнения договора, в том числе трудового. Поэтому работодатели, выполняя свои обязанности, в интересах сотрудников могут обрабатывать их персональные данные без получения на то согласия. Это касается только работников, которые уже числятся в штате. Принять человека на работу при его отказе от обработки персональных данных нельзя. В таком случае еще не заключен трудовой договор. Раз этого документа нет, то и обязанности исполнять его у работодателя не возникает.

Иногда отказ от обработки личной информации чреват негативными последствиями. Если на предприятии действует пропускной режим, то при таких обстоятельствах работнику нельзя будет оформить либо заменить пропуск — такое действие выйдет за рамки служебных целей. Поэтому отсутствие согласия повлечет за собой невозможность выполнения трудовых функций.

Задавайте вопросы в комментариях к статье и получите ответ специалиста

27 июля 2006 г. был принят Федеральный Закон № 152-ФЗ «О персональных данных» для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Одной из причин принятия данного закона послужили многочисленные факты краж баз персональных данных в государственных и коммерческих структурах, их повсеместная продажа.

ПРАВА И ОБЯЗАННОСТИ СТОРОН

1. Заказчик имеет право:
   1. Получать полную и достоверную информацию о ходе оказания юридических услуг.
   2. Отказаться от услуг Исполнителя по подготовке документа, уведомив об этом Исполнителя, не позднее 1 (одного) дня после оплаты услуг и при условии уплаты вознаграждения за фактически оказанные услуги. Если на момент получения от Заказчика заявления об отказе от услуг Исполнитель подготовил документ (Результат оказания услуг), Заказчик не вправе отказаться от услуг.
   3. Отказаться от услуг Исполнителя по проведению устной консультации, уведомив об этом Исполнителя, не позднее 1 (одного) дня до даты консультации.
2. Заказчик обязан:
   1. Принять условия настоящей публичной оферты и строго выполнять все требования, изложенные в настоящей Оферте.
   2. Оплатить стоимость юридических услуг в сроки, установленные в настоящей Оферте.
   3. Предоставить Исполнителю полную и достоверную информацию для оказания услуг, а также необходимые копии документов при заполнении Онлайн-заказа юридических услуг, а также по запросу Исполнителя.
   4. Без промедления принять от Исполнителя оказанные услуги в соответствии с настоящей Офертой.
3. Исполнитель имеет право:
   1. Запрашивать у Заказчика дополнительные сведения и документы, необходимые для оказания юридических услуг.
   2. Не преступать к оказанию юридических услуг в случаях:
      • неоплаты Заказчиком стоимости юридических услуг Исполнителю в полном объеме в соответствии с пп. 5.2 — 5.4 настоящей Оферты;
      • если Заказчик не представил или не в полном объёме представил сведения и документы, необходимые для оказания услуг.
   3. Приостанавливать срок оказания Юридических услуг соразмерно времени, в течение которого Заказчиком будут представлены дополнительные сведения и документы в соответствии с п. 6.2.3. настоящей Оферты. При этом срок оказания юридических услуг продлевается на время предоставления Заказчиком дополнительной, необходимой Исполнителю информации (документов, сведений).
   4. В любой момент изменять Прайс-лист и условия настоящей Оферты в одностороннем порядке без предварительного согласования с Заказчиком, обеспечивая при этом публикацию измененных условий на официальном Веб-сайте Исполнителя.
   5. При невозможности оказания услуг расторгнуть в одностороннем порядке в любой момент настоящий Договор, уведомив об этом Заказчика по электронной почте. Договор считается расторгнутым с момента направления Исполнителем уведомления о расторжении. В данном случае Исполнитель возвращает Заказчику полученные в счет оплаты услуг денежные средства в течение 3 (трех) рабочих дней с момента предоставления Заказчиком полных банковских реквизитов. Заказчик не вправе требовать в данном случае компенсации убытков.
4. Исполнитель обязан:
   1. Приступить к оказанию услуг после выполнения Заказчиком своих обязательств в соответствии с п. 4.4. настоящей Оферты;
   2. Предоставить Заказчику Результат оказания услуг в установленный срок.
   3. Оказать юридические услуги надлежащего качества, соответствующие требованиям законодательства РФ, как лично, так и с привлечением третьих лиц.
   4. В случае возникновения непредвиденных задержек при оказании юридических услуг, в том числе по обстоятельствам от него не зависящих, информировать Заказчика любым доступным путем о причинах возникновения задержек не позднее 3 (трёх) дней с момента их возникновения, а также высказывать свои предложения Заказчику по их возможному устранению и срокам оказания юридических услуг.
   5. Не распространять полученную от Заказчика информацию, затрагивающую интересы Заказчика, в ходе исполнения своих обязательств в соответствии с настоящей офертой, согласно действующему законодательству.
5. Исполнитель не несет обязательств по наличию и качеству доступа Заказчика в сеть «Интернет», наличию и качеству соответствующего оборудования и необходимого программного обеспечения для доступа в сеть «Интернет». Исполнитель не несет ответственность за любые сбои или иные проблемы компьютерных систем, серверов или провайдеров, компьютерного или телефонного оборудования, программного обеспечения, сбоев электронной почты или скриптов (программ) по каким-либо причинам, которые могут привести к задержкам при оказании Услуг Заказчику.

СРОК ДЕЙСТВИЯ, ИЗМЕНЕНИЕ И РАСТОРЖЕНИЕ ОФЕРТЫ

1. Акцепт Оферты Заказчиком в соответствии с п. 1.3. настоящей Оферты, влечет заключение Договора оказания юридических услуг на условиях Оферты (статья 438 Гражданского Кодекса РФ).
2. Договор вступает в силу с момента Акцепта Оферты Заказчиком и действует:
   1. до момента исполнения Сторонами обязательств по Договору, а именно оплаты Заказчиком стоимости Услуг и оказания Исполнителем юридических услуг, акцептированных Заказчиком.
   2. до момента расторжения Договора.
3. Исполнитель оставляет за собой право внести изменения в условия Оферты и/или отозвать Оферту в любой момент по своему усмотрению. В случае внесения Исполнителем изменений в Оферту, такие изменения вступают в силу с момента опубликования, если иной срок вступления изменений в силу не определен дополнительно при их опубликовании.

1. Исполнитель соблюдает режим конфиденциальности всей информации, полученной от Заказчика в процессе оказания юридических услуг и уполномоченных им лиц, конфиденциальность личной информации Заказчика, за исключением случаев, предусмотренных законодательством Российской Федерации и настоящим Договором.
2. Заказчик уведомлен и соглашается с тем, что он отправляет информацию по незащищенным каналам электронной связи компьютерной сети общего пользования, и Исполнитель не несет ответственность за сохранность информации, передаваемой по таким каналам электронной связи.
3. Письменная консультация, письменные документы (заявления, письма, жалобы, претензии и иные по запросу Заказчика), подготовленные Исполнителем, высылаются Заказчику на электронный адрес, указанный им в Онлайн-заказе юридических услуг. Заказчик не вправе использовать полученные от Заказчика документы для распространения среди неограниченного круга лиц и публикации на интернет-ресурсах.
4. Акцептируя настоящую Оферту, Заказчик выражает своё согласие Исполнителю обрабатывать свои персональные данные, в том числе фамилию, имя, отчество, дату рождения, пол, место работы и должность, почтовый адрес, домашний, рабочий и мобильный телефоны, адрес электронной почты, иные сведения, предоставленные для оказания услуг, включая сбор систематизацию, накопление, хранение, уточнение, использование, распространение, для проведения исследований, направленных на улучшение качества услуг Исполнителя, маркетинговых акций, стратегических исследований и для продвижения услуг Исполнителя путём прямых контактов с Заказчиком с помощью различных средств связи, включая, но не ограничиваясь: почтовую рассылку, электронную почту, информационную сеть Интернет. Заказчик выражает согласие Исполнителю на обработку своих персональных данных с помощью автоматизированных систем управления базами данных и иных программных средств. Заказчик не возражает против передачи Исполнителем своих персональных данных третьим лицам, если это необходимо для реализации настоящего Договора.
5. Согласие Заказчика на сбор и обработку его персональных данных является бессрочным и может быть отозвано путём направления Исполнителю письменного заявления.

Ознакомление работников с Положением

Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

• в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
• — листе ознакомления с Положением (образец на с. 91);
• — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Образец листа ознакомления с локальными нормативными актами

N п/п	Наименование локального нормативного акта	Дата	Подпись
1	Правила внутреннего трудового распорядка ООО «Черный лес»	03.10.2011	Евстахов
2	Положение об оплате труда, премировании и социальном обеспечении сотрудников ООО «Черный лес»	03.10.2011	Евстахов
3	Инструкция по информационной безопасности, утвержденная Приказом от 15.06.2008 N 1	03.10.2011	Евстахов
4	Положение о персональных данных	03.10.2011	Евстахов
5	Положение о материальной ответственности работников за ущерб, причиненный ООО «Черный лес»	03.10.2011	Евстахов

Что значит обработка?

Любой человек может ознакомиться с информацией об ином гражданине, как при выполнении , так и при нерабочем общении, в ходе просмотра интернет – страниц, а также чтения газеты. Этот (специальный или неспециальный) сбор информации не имеет отношения к обработке персональных данных: ознакомился, прочитал и забыл, скорее всего.

Если же личные данные специально собираются, чтобы их использовать и хранить, то такое действие уже означает обработку персональных данных. Данный процесс происходит чаще всего в учебных учреждениях и больницах: необходимая информация регистрируется, фиксируется в базах, а также классифицируется, чтобы потом ее использовать в законных целях .

Относится ли заработная плата к персональным данным читайте в нашей статье .

Если сведения собирает писатель или журналист, то он вправе обрабатывать личные данные в творческих целях.

Личная информация обрабатывается двумя способами: автоматизировано и неавтоматизировано.

Неавтоматизированной считается та обработка, которую производят с личным участием гражданина.

Если личные данные проходят обработку без средств автоматизации, то их необходимо отделять от прочих сведений. Можно это сделать путем их отметки, к примеру, на полях бланков. Строго не разрешается помещать на единый носитель личные данные , если известно заранее, что цели их обработки несовместимы.

Если личная информация граждан относится к разным категориям, то необходимо для каждого вида применять индивидуальный носитель.

Два следующих пункта ведут к ответу на вопрос, какие системы можно считать автоматизированными, а которые таковыми не являются. Рассмотрим их подробно:

• Личные данные, которые содержатся в системе персональных данных, могут считаться обработанными с помощью неавтоматизированного процесса, если их использование уничтожение производятся при личном присутствии гражданина.
• Нельзя подтвердить тот факт, что данные были автоматизировано обработаны, основываясь только на том, что они существуют в информационной системе персональной информации.

Автоматизированная обработка личных сведений – это обработка персональной информации с применением вычислительных средств.

Такая обработка может включать в себя некоторые процессы, которые производятся с помощью автоматизированных средств : применение математических операций с этими показателями, а также их корректировка и избавление от них.

Кажется, я обрабатываю персональные данные

Итак, с терминологией разобрались. Теперь всем представителям бизнеса, в особенности индивидуальным предпринимателям, у которых может быть всего несколько сотрудников в штате, стоит честно ответить на вопрос: «Обрабатываю ли я персональные данные?»

Да , если вы владелец сайта с посещаемостью пять человек в неделю, но на нём есть форма обратной связи с полями «ФИО, адрес электронной почты, телефон». Информация о том, для каких целей вы собираете персональные данные, как вы их используете, должна быть представлена на вашем сайте.

Да , если вы обрабатываете персональные данные своих сотрудников или сторонних специалистов, нанятых для выполнения каких-то работ.

Да , если вы работаете с частными клиентами и вам требуются их паспортные данные для заключения договоров — это касается турагентств, фитнес-центров, разного рода сервисных компаний, интернет-магазинов и прочего.

И снова да , если вы бюджетная организация, политическая партия или детский сад. Последние обладают не только информацией о ребёнке, но и о его родителях, включая место работы и должность. Не говоря уже о медицинских учреждениях — там море личной деликатной информации, которую необходимо надёжно хранить.

Однако если вы используете данные для личной коммуникации без коммерческой выгоды, то требования законодательства на вас не распространяются и ни о какой уголовной ответственности речи идти не может.

Например, использование вами контактов, напечатанных на визитке, которую вы получили от коллеги, или номеров телефонов в записной книжке на смартфоне, информации в социальных сетях не накладывает на вас ответственность перед законом.

Бремя ответственности

Вы поняли важность вопроса и готовы нести ответственность? Правильно. Потому что ответственность за сохранность персональных данных полностью лежит на операторе.

Это значит, что оператор должен позаботиться о том, чтобы информация не утекла в публичный доступ или не попала в руки третьих лиц, которые не имеют на неё никаких прав. Для этого требуется постоянный мониторинг и предотвращение угроз безопасности данных, контроль за уровнем сохранности информации и её восстановление в случае утраты.

В нашей стране Роскомнадзор контролирует соблюдение законодательства в области обработки персональных данных. Этот орган реагирует на жалобы, регулирует отношения между субъектами и операторами.

За технические требования по защите информации отвечает ФСТЭК и ФСБ: они вырабатывают требования и контролируют их исполнение.

Ограничения на обработку личной информации

Сбор и обработка персональных данных допускаются исключительно для выполнения уставных задач и достижения установленной цели. Например, поликлиника может использовать полученную от пациентов личную информацию только для оказания медицинской помощи указанным лицам.

Целые массивы с личной информацией обрабатывают страховые компании, турагентства, транспортные предприятия, коммунальные службы и другие подобные юридические лица. Указанные организации могут пользоваться такой информацией только для выполнения своих задач перед потребителем и не имеют права собирать сведений больше, чем это необходимо для конкретной ситуации.

Нельзя собирать данные, представляющие риск для прав и свобод лица, если такие сведения не предоставлены самим лицом, например, член политической партии представил сведения о себе непосредственно партийной организации.

Что такое согласие на обработку персональных данных?

Разрешение владельца персональных данных на их обработку обычно оформляется в письменной форме, в том числе и при трудоустройстве.

Наученные горьким опытом или просто осторожные компании просят потребителей подписать соответствующие заявления при оформлении дисконтных карт и участии в акциях; поликлиники, школы, вузы и другие учреждения также разработали типовое согласие на обработку персональных данных.

Образец перед подписанием следует внимательно изучить и убедиться, что запрашиваемая информация действительно необходима конкретному лицу. Письменная форма согласия на обработку персональных данных позволяет подтвердить добрую волю владельца.

Оговорки о персональных данных вносятся практически во все договоры: хозяйственные, трудовые, потребительские, ведь в деле соблюдения закона лучше немного перестараться, чем недоглядеть.

Когда согласие на обработку персональных данных не требуется

Обязанность получать письменное согласие лица на обработку его персональных данных не означает, что, к примеру, работодатель всегда должен получать такое согласие от своих работников. Так, согласие на обработку персональных данных работников не требуется в случае, когда обработка персональных данных производится при исполнении заключенного с работником договора и в рамках обязанностей, которые возлагаются в связи с этим на работодателя. К примеру, обработка данных при заключении трудового договора, когда данные обрабатываются из документов или сведений, предъявляемых при приеме на работу; при заполнении личной карточки по форме № Т-2; при передаче обязательных сведений на работника в ФСС, ПФР, налоговые органы; при обработке сведений в соответствии с коллективным договором. Сюда же относится, в частности, обработка персональных данных уволенного работника в рамках ведения бухгалтерского и налогового учета (Разъяснения Роскомнадзора).

Порядок и условия обработки ПД.

В этом разделе следует перечислить действия, совершаемые оператором с персональными данными субъектов, используемые способы обработки ПД и сроки их обработки. Важно также прописать возможность и формы участия третьих лиц в обработке персональных данных субъектов.

Если для достижения целей обработки ПД необходимо взаимодействие с третьими лицами, оператору нужно отразить в своей политике условия передачи ПД в их адрес (например, наличие поручения оператора на обработку ПД в силу ч. 3 ст. 6 Закона № 152-ФЗ). В том числе это касается третьих лиц, находящихся за пределами Российской Федерации, и трансграничной передачи данных.

Роскомнадзор советует указать конкретное наименование и местонахождение третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых данных (п. 3.5 Рекомендаций). Также следует вносить в политику пункты о соблюдении требований конфиденциальности ПД, установленных ст. 7 Закона № 152-ФЗ, и принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Закона № 152-ФЗ (обычно такие меры учреждения прописывают в отдельном разделе политики).

Хранить персональную информацию нужно в форме, позволяющей определить субъекта ПД, не дольше, чем требуют цели обработки ПД. Нелишне указывать в политике сроки хранения – конкретную дату (число, месяц, год) и обстоятельство, наступление которого повлечет прекращение обработки персональных данных. Ведомство рекомендует указывать и иные условия хранения ПД, в том числе при их обработке без использования средств автоматизации.

При хранении личной информации работников и граждан (в том числе с помощью ресурсов Интернета) оператор в силу ч. 5 ст. 18 Закона № 152-ФЗ обязан использовать базы данных, находящиеся на территории Российской Федерации.

Условием прекращения обработки ПД становится достижение целей их обработки, истечение срока действия согласия или отзыв согласия субъекта ПД на обработку его данных, а также выявление неправомерной обработки.

Похожие записи:

• Кто имеет льготы на земельный налог в 2024 году
• ЕСВ для сотрудников и пенсионеров МВД в 2024 году
• Нужноли ставить печать в 2 НДФЛ для сотрудника в 2024 году