Ответственность за разглашение персональных данных
Использование в любой деятельности идентифицирующих гражданина сведений налагает на любое физическое лицо, госслужащего, компанию или индивидуального предпринимателя обязанность обеспечивать безопасность ПДн в течение всего периода обработки. Это четко прописано в ФЗ-152, как и необходимость несения определенной ответственности за распространение личных данных без согласия владельца. Наказания могут варьироваться, в том числе нарушителя могут обвинить по статье УК РФ, что влечет за собой серьезные последствия, начиная от внушительного штрафа, заканчивая лишением свободы, арестом, принудительными и обязательными работами в течение определенного периода, а также лишением права заниматься той или иной деятельностью либо занимать некоторые должности.
Чтобы не оказаться участником уголовного разбирательства в качестве обвиняемого, нужно знать, когда действует статья 137 УК о разглашении персональных данных. Не менее важно гражданам знать свои права и порядок действий, если они каким-либо способом обнаружили, что конфиденциальная информация была использована без предварительного согласия.
Разглашение и распространение персональных данных без согласия субъекта
Хранить, использовать, дополнять, копировать, блокировать и совершать другие операции с ПДн необходимо исключительно после того, как получено одобрение от субъекта. Причем человек должен дать официальное согласие в электронном либо письменном виде, предварительно ознакомившись с целями, методами, объемом и сроками обработки частных сведений. Если оператор действует самовольно и передает секретные данные иным лицам, то имеет место незаконное распространение персональных данных. Каким образом производится передача информации другим организациям, гражданам или общественности, не имеет значения, в любом случае за совершенные действия виновника накажут. Поводом для начала уголовного производства может служить как заявление субъекта в правоохранительные органы, так и инициатива надзорного органа, который обнаружил признаки несанкционированных операций в рамках плановой или внеплановой проверки.
Нарушением признается разглашение персональных данных без согласия владельца не только в том случае, если он не подписывал соответствующий документ, но и при отзыве ранее предоставленного разрешения. То есть нельзя продолжать обработку, если получили по всем правилам оформленное заявление об отзыве от гражданина либо его законного представителя.
Какая может быть ответственность за разглашение персональных данных гражданина?
Основание для наложения каких-либо санкций в отношении операторов, передающих ПДн третьим лицам, закреплено конфиденциальным статусом личной информации, что прописано в Статье 7 ФЗ-152. Еще одним документом, предписывающим сохранять информацию в тайне является Трудовой Кодекс, где присутствует отдельная статья про дисциплинарные проступки. Нормативно-правовая база РФ предусматривает несение нарушителем трех видов ответственности за распространение персональных данных:
- уголовной;
- административной;
- дисциплинарной.
При обвинении в рамках ТК максимум, что грозит человеку, — это увольнение, хотя часто руководство ограничивается замечанием или взысканием. Более серьезное наказание предусмотрено статьей 13 КоАП, которую недавно откорректировали, увеличив штрафы примерно в 10 раз. Примечательно, что за повторное нарушение полагается в раза больший штраф, чем за первичное невыполнение нормативов ФЗ-152. Значительные проблемы возникают у тех, чьи действия интерпретируют как нарушение положений Уголовного Кодекса.
Статья 137 УК РФ: наказание за разглашение персональных данных
Изначально следует отметить, что уголовная ответственность может наступить, если речь идет именно о разглашении личной информации, например, о состоянии здоровья, интимной сфере, образе жизни и т.д. Вид и серьезность наказания определяются в зависимости от исполнителя правонарушения, способа распространения сведений и последствий, к которым привели незаконные действия нарушителя. Гораздо проще наказать тех, кто сообщает конфиденциальные сведения в публичных выступлениях либо через средства массовой информации.
Основные меры наказания прописаны в статьях 137 и 138 УК РФ:
- за распространение данных, составляющих личную или семейную тайну — штраф до 200 тысяч рублей (или доход за последние 1,5 года), обязательные или принудительные работы продолжительностью до 360 часов и до 2 лет, соответственно (во втором случае нарушителя лишают права до 3 лет заниматься определенной деятельностью), арест до 4 месяцев, тюремное заключение максимум на 2 года;
- за аналогичные действия в случае использования служебного положения — до 6 месяцев ареста, лишение свободы на 4 года (максимум), принудительные работы максимум в течение 4 лет с лишением возможности заниматься той или иной деятельностью до пяти лет, штраф тысяч рублей либо в размере полученного за прошлые года официального дохода;
- за разглашение сведений, касающихся субъектов младше 16 лет — тысяч штрафа, лишение права заниматься определенной деятельностью до пяти лет, принудительные работы до пяти лет, 6 месяцев ареста, заключение в тюрьму на срок до 5 лет;
- за несоблюдение тайны переписки и переговоров (в любом формате — по телефону, электронной почте, в рамках видеоконференций и т.д.) — штраф до 80 тысяч рублей либо в размере полученного за прошлые полгода дохода/зарплаты, исправительные или принудительные работы в течение 1 года или 360 часов, соответственно.
Действия субъекта в случае незаконного распространения ПДн
Ситуации, связанные с неправомерной передачей частных сведений, бывают разными, и каждый субъект вправе сам решать, как отстаивать собственные интересы:
- обращение в судебные органы с иском, где прописано требование прекратить обработку, заблокировать доступ к ПДн, возместить материальный и моральный ущерб;
- подача жалобы в Роскомнадзор, который инициирует дополнительную проверку, и если будут выявлены нарушения, предпримет адекватные меры;
- обращение в правоохранительные структуры позволит в случае удачного завершения дела добиться несения нарушителем административной либо уголовной ответственности. В полицию имеет смысл обращаться, если отсутствует достаточно убедительная для судебного производства доказательная база, подтверждающая вину оператора.
Разобраться в том, по какой статье идентифицировать нарушение и правильно составить претензию на распространение личной информации без согласия владельца, помогут квалифицированные юристы. Есть ряд требований к содержанию, оформлению и подаче жалоб, исковых и других заявлений. Для наиболее эффективной защиты прав есть смысл пойти сразу несколькими путями, продумав обвинения таким образом, чтобы обращения в разные инстанции дополняли друг друга.
Чем грозит разглашение информации о работнике
П оводом для написания статьи стал вопрос от читателя, написавшего в редакцию.
Написал генеральному директору объяснительную записку. На следующий день все в офисе знали и обсуждали ее подробности. Разве такого рода записки не являются конфиденциальной информацией?
Представим, что сотрудник опоздал на работу. После появления на рабочем месте он написал и передал своему руководителю (генеральному директору) объяснительную записку, в которой изложил причины отсутствия. На следующий день все коллеги были в курсе личных проблем сотрудника. При этом сам работник никого не посвящал в подробности. Стало понятно, что начальник рассказал всему отделу о содержании объяснительной.
Возможны и иные схожие ситуации, например: кадровик ознакомился с трудовой книжкой сотрудника и рассказал по секрету парочке коллег из других подразделений о предыдущих местах работы и причинах увольнения с них.
Давайте разберемся, можно ли привлечь к какой-либо ответственности руководителя / сотрудника отдела кадров за разглашение личной информации работника. Выясним, все ли кадровые документы содержат персональные данные. Проведем анализ: кто и в каком размере может понести наказание за утечку информации о зарплате сотрудников. В статье рассмотрим нестандартные ситуации, возникающие на практике.
Персональные данные или нет?
- фамилия, имя, отчество;
- пол;
- возраст;
- место жительства;
- изображение сотрудника (фотография и видеозапись), которое позволяет установить личность;
- образование, квалификация, профессиональная подготовка;
- семейное положение, наличие детей, родственные связи;
- факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии и т.д.);
- деловые и иные личные качества;
- медицинские сведения;
- номер телефона;
- прочие сведения, которые могут идентифицировать работника.
Сведения о заработной плате сотрудника также являются информацией, содержащей его персональные данные (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681 «О передаче работодателем третьим лицам сведений о заработной плате работников»).
Таким образом, любой документ, в котором содержится какая-либо информация о конкретном работнике, будет являться носителем его персональных данных. Ведь в заявлении о переводе сотрудник может указать сведения о своем заболевании. Или в объяснительной записке работник сошлется на расторжение брака. Не каждый захочет, чтобы личная жизнь стала достоянием общественности.
Работодатель не вправе сообщать персональные данные сотрудника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами (абз. 2 ст. 88 ТК РФ).
Кого можно привлечь к ответственности
Чтобы привлечь к ответственности сотрудника за разглашение чужих персональных данных, нужно доказать следующее:
1) разглашенные сведения относятся к персональным данным другого работника;
2) эти сведения стали известны нарушителю в связи с исполнением им трудовых обязанностей;
3) сотрудник обязывался не разглашать такую информацию (п. 43 постановления Пленума Верховного Суда РФ от 17.03.2004 № 2 «О применении судами Российской Федерации Трудового кодекса Российской Федерации»).
Таким образом, привлечь к ответственности за разглашение персональных данных можно далеко не каждого.
ТК РФ позволяет работодателю уволить подчиненного, если он допустит утечку персональных данных своих коллег (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ). Приведем несколько примеров из судебной практики и проанализируем, какие обстоятельства влияли на разрешение конкретных дел.
Истец обратился в суд и просил признать увольнение по подп. «в» п. 6 ч. 1 ст. 81 ТК РФ незаконным. Считал, что не допускал нарушений, за которые с ним расторгли трудовой договор. При трудоустройстве истец был ознакомлен с положением о защите персональных данных работников, с политикой информационной безопасности ответчика. Он также обязался не разглашать информацию, составляющую коммерческую тайну (секрет производства), служебную информацию работодателя и принял на себя обязательство о неразглашении персональных данных. В ходе рассмотрения дела выяснилось, что истец со своей рабочей электронной почты направил на внешний электронный адрес третьего лица некоторые документы. Например, заключение о выплате премии, положение о премировании, о выплате премии работнику после его увольнения, положение о социальном обеспечении работников. Таким образом, установлено и подтверждено документами, что истец с рабочего стационарного компьютера, принадлежащего ответчику, посредством корпоративной почты систематически направлял на внешний электронный адрес служебные документы, локальные нормативные документы, относящиеся к категории «служебная (конфиденциальная) информация», и персональные данные сотрудников. Суд оставил в силе приказ об увольнении (апелляционное определение Московского городского суда от 16.06.2016 по делу № 33-23105/2016).
Персональные данные с 1 сентября 2022: какие требования теперь предъявляет закон
Самое значимое правовое событие этой осени: с 1 сентября 2022 года персональные данные обрабатывают по новым правилам.
Закон 266-ФЗ (Федеральный закон от 14.07.2022 № 266-ФЗ) внес изменения в федеральный закон о персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ ). Благодаря поправкам, не только обработка персональных данных с 1 сентября 2022 года происходит по новым требованиям. Также обозначены и правила, которые нужно соблюдать с 1 марта 2023 года. Они приняты в то же время, что и правки к закону о персональных данных с 1 сентября, при этом обязательны к исполнению только с 1 марта.
Таким образом, изменения в закон о персональных данных касаются всего порядка работы с ними: от особенностей согласия и уведомления Роскомнадзора до правил трансграничной передачи, прекращения обработки и исполнения новых сроков. За нарушение этих требований грозят не только крупные административные штрафы, но и уголовная ответственность (ст. 13.11, 13.12 и 19.7 КоАП РФ, ст. 137 и 272 УК РФ).
Каковы же персональные данные – изменения 2022 и как выполнить требования, которые привнесли изменения по персональным данным в работу компаний, обсудим в статье.
Подготовьтесь к успешному прохождению инспекционной проверки Роскомнадзора – узнайте новые требования к обработке персональных данных 2022–2023 с применением (и без применения) информационных систем в нашем практическом курсе .
Скачайте образцы документов для работы:
Персональные данные: изменения 2022
Условно все изменения персональных данных с 1 сентября 2022 (кратко – ПД, персданные) можно отнести к нескольким группам. Рассмотрим основные из них. Начнем с требований, обязательных к исполнению с 1 сентября 2022 года (по 266-ФЗ ).
Обязанности оператора (работодателя)
С 1 сентября 2022 года персональные данные обрабатывают с учетом обязательных требований статьи 18.1 Закона № 152-ФЗ , которые ранее были рекомендательными. В частности, из ее текста удалено слово «могут». Поэтому теперь работодатель не просто вправе, а обязан:
назначить ответственное лицо (структурное подразделение) за обработку ПД;
издать и опубликовать политику по персданным;
осуществлять внутренний контроль ( аудит ) ПД (способ контроля и подтверждение его проведения нужно прописать в отдельном ЛНА. Его предмет: соблюдение требований законодательства, политики, ЛНА организации по защите ПД);
Чек-лист, какие документы нужно проверить при аудите ПД, скачайте здесь.
оценивать вред, который может быть нанесен их субъекту (способ оценки компания выбирает самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);
выполнять другие требования статьи 18.1 Закона № 152-ФЗ.
Изменения в закон о персональных данных дополнили и сам перечень обязанностей оператора (работодателя). Например, установлено правило взаимодействия с государственной системой предотвращения атак на информационные ресурсы (ч. 12-14 ст. 19 Закона № 152-ФЗ). Также предусмотрена новая обязанность оператора (работодателя) при выявлении неправомерной или случайной передаче ПД: в течение 24 часов сообщить в Роскомнадзор и в течение 72 часов отчитаться о результатах внутреннего расследования (ч. 3.1 ст. 21, ч. 10, 11 ст. 23 Закона № 152-ФЗ).
Какие правовые, организационные и технические меры с учетом изменений по персональным данным должен принимать работодатель при обработке ПД, разъяснят наши опытные консультанты .
Уведомление в Роскомнадзор
В новой редакции Закона № 152-ФЗ утратили силу положения о возможности работать с персданными без уведомления Роскомнадзора (п. 1 – 6 ч. 2 ст. 22). Теперь даже при их обработке во исполнение закона нужно в Роскомнадзор подать уведомление, чтобы попасть в реестр операторов ПД (Письмо Роскомнадзора от 19.08.2022 № 08-75348). Такое уведомление однократное. Его не нужно предоставлять по каждому работнику.
Новые требования к содержанию уведомления в Роскомнадзор о персональных данных согласно Федеральному закону 266-ФЗ
В уведомлении больше не указывают общие сведения о:
категории субъектов ПД;
правовое основание обработки ПД;
перечень действий с ПД, общее описание используемых оператором способов обработки ПД.
Перечисленные пункты описывают по отношению к каждой цели обработки. Также в уведомление в Роскомнадзор – 2022 добавили новый пункт: фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку ПД, которые содержатся в государственных и муниципальных информационных системах (ч. 3 ст. 22 Закона №152-ФЗ).
Уведомление направляют в управление ведомства в субъекте России по месту регистрации работодателя в налоговом органе (Письмо Роскомнадзора от 19.08.2022 № 08-75348, далее – Письмо № 08-75348). Сделать это можно через портал Роскомнадзора: в виде электронного уведомления, подписанного УКЭП, с помощью средств аутентификации ЕСИА, а также – на бумажном носителе. Также допустимо составить уведомление по старой форме (по Приказу Роскомнадзора от 30.05.2017 № 94). При появлении новой формы отправьте информационное письмо о внесении изменений в реестр (Письмо № 08-75348).
Ждать решения Роскомнадзора не нужно. Порядок уведомительный – обрабатывать ПД можно после получения сведений ведомством.
В Роскомнадзор подать уведомление об обработке персданных не потребуется, если (п. 8 ч. 2 ст. 22 Закона № 152-ФЗ ):
оператор обрабатывает данные без автоматизации (например, компания с численностью до 25 человек);
ПД содержатся в информационных системах по защите безопасности государства и общественного порядка;
ПД используют по закону о транспортной безопасности.
Сокращенные сроки
Закон 266-ФЗ сократил сроки, в течение которых оператор должен предоставить субъекту ПД информацию об их обработке: 10 рабочих дней вместо 30. Все сведения предоставляют, ориентируясь на форму запроса (ч. 3 и 7 ст. 14, ст. 20 Закона № 152-ФЗ ). В итоге, сокращены сроки на (ст. 20 Закона № 152-ФЗ):
ответ на запросы субъекта ПД;
отказ субъекту в предоставлении ПД;
ответ на запросы Роскомнадзора.
Содержание согласия на обработку ПД
Федеральный закон 266-ФЗ ввел дополнительные требования к содержанию согласия на обработку ПД . Теперь оно должно быть «предметным» и «однозначным». Новые требования относятся к таким условиям согласия (ч. 1 ст. 9 Закона № 152-ФЗ ):
цель обработки персональных данных;
перечень ПД, на обработку которых дается согласие их субъекта;
наименование или фамилия, имя, отчество и адрес лица, которое осуществляет обработку ПД по поручению оператора (если она поручена такому лицу);
перечень действий с ПД, на совершение которых дается согласие, а также – общее описание способов обработки ПД, которые использует оператор;
срок, в течение которого действует согласие субъекта ПД и способу его отзыва.
Если субъект ПД отказывается предоставить обязательные персданные, нужно разъяснить последствия отказа от предоставления ПД и (или) согласия на их обработку (ч. 2 ст. 18 Закона № 152-ФЗ).
Важно! Когда субъект ПД – выгодоприобретатель или поручитель, допускается обработка ПД без согласия. Обработка персданных несовершеннолетних без согласия возможна в случаях, установленных законом (ч. 3.1 ст. 4, ст. 6 Закона № 152-ФЗ).
Изменения – персональные данные 1 сентября обрабатывают по новым требованиям. Уточните алгоритм работы с персональными данными и их виды.
Правила работы с биометрическими данными
Закон о персональных данных 2022 ужесточил правила работы с биометрией. Теперь оператор не может требовать предоставления биометрических сведений и осуществлять их обработку без согласия субъекта.
Исключение – случаи, предусмотренные законами по вопросам: обороны, безопасности, противодействии терроризму и коррупции, транспортной безопасности, оперативно-розыскной деятельности, государственной службы, уголовно-исполнительного законодательства России, порядка выезда и въезда в нашу страну, гражданства России и нотариата (ч. 2 и 3 ст. 11 Закона № 152-ФЗ ).
Требования к политике в отношении обработки ПД
Новый закон о персональных данных 2022 разъяснил требования к политике в отношении обработки ПД. Теперь в этом документе для каждой цели обработки должны быть отдельно указаны (ст. ст. 18.1, 21 Закона № 152-ФЗ ):
категории и перечень ПД;
категории субъектов ПД;
способы и сроки их обработки и хранения;
порядок уничтожения ПД.
Также внесено уточнение, что размещение политики в отношении обработки ПД возможно в том числе на страницах сайта, принадлежащего оператору в информационно-телекоммуникационной сети «Интернет».
Правила поручения обработки другому лицу
Оператор может поручать обработку ПД другому лицу. Для этого нужно:
договор с лицом, которому передается обработка;
перечень ПД в поручении;
документы и иная информация, которые предоставляются по запросу (в том числе до обработки) и подтверждают принятие мер и соблюдение требований закона в целях исполнения поручения оператора.
При этом на поручителя перекладывают все обязанности по защите ПД как на оператора (ч. 3–5 ст. 6 Закона № 152-ФЗ ).
Порядок обработки ПД иностранными лицами
Иностранные лица могут обрабатывать персональные данные с 1 сентября 2022 на основании согласия гражданина России (ч. 1.1 ст. 1 Закона № 152-ФЗ ).
При передаче ПД иностранному лицу ответственность перед их субъектом – солидарная. Поэтому за нарушения при обработке переданных иностранным юридическим и физическим лицом можно привлечь к ответственности и оператора (работодателя) в том же размере, как если бы он совершил их сам (ч. 6 ст. 6 Закона № 152-ФЗ).
Правила прекращения обработки ПД
Установлены новые правила при обращении субъекта ПД с требованием о прекращении их обработки.
Если такое обращение поступило, оператор по общему правилу обязан в срок 10 рабочих дней прекратить их обработку (обеспечить ее прекращение). Указанный срок может быть продлен, но не более чем на пять рабочих дней: при направлении оператором в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока (ч. 5.1 ст. 21 Закона № 152-ФЗ, пп. «б», п. 13 ст. 1 Закона 266-ФЗ ).
Перечень нормативных правовых актов, которые обязательны при обработке ПД, скачайте по ссылке
Совет
Разработайте отдельные акты (ЛНА): по вопросам обработки ПД (под каждую цель), по процедурам выявления и предотвращения нарушений и политику в отношении обработки ПД. Проверьте, соответствуют ли ваши ЛНА требованиям Закона 266-ФЗ.
Выясните, почему опасно использовать типовые шаблоны при работе с персданными.
Уточните общие требования по составлению ЛНА об обработке ПД.
Требования закона о персональных данных: изменения с 1 марта 2023 года
С 1 марта 2023 года вступят в силу изменения по работе с ПД, которые коснутся вопросов уведомления Роскомнадзора, работы с инцидентами в области ПД, порядка уничтожения ПД и их трансграничной передачи.
Форма уведомления Роскомнадзора и сроки подачи
исключения данных из реестра операторов, если оператор отправит уведомлении о прекращении обработки ПД: само исключение – в течение 30 дней, подача заявления о прекращении – в течение 10 рабочих дней (пп. «б» п. 14 ст. 1 Закона 266-ФЗ);
уведомления оператором в случае изменения сведений (не позднее 15 числа, следующего за месяцем, в котором возникли изменения (пп. «д» п. 14 ст. 1 Закона 266-ФЗ).
Всего будут применяться три формы уведомлений Роскомнадзора:
уведомление до начала обработки ПД;
уведомление о прекращении обработки ПД (в течение 10 рабочих дней с даты прекращения обработки персданных);
уведомление об изменении данных по обработке (до 15 числа следующего месяца)
До 1 марта 2023 года будут установлены требования к подтверждению уничтожения ПД ( Проект Приказа Роскомнадзора (подготовлен 19.08.2022), пп. «г» п. 13 ст. 1 Закона 266-ФЗ).
Порядок работы с инцидентами в области ПД
Изменения с сентября 2022 – персональные данные нужно усиленно защищать и сообщать об их утечке. Информация о компьютерных инцидентах по случайной передаче ПД (а также – их предоставлении, распространении, доступе) будут передавать в специальный федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности по защите прав субъектов ПД (пп. «г» п. 15 ст. 1 Закона 266-ФЗ ).
Такой орган будет вести реестр учета инцидентов в области персданных и определять порядок и условия взаимодействия с операторами (работодателем) в рамках его ведения.
Ограничения при трансграничной передаче
Определен перечень иностранных государств, которые обеспечивают адекватную защиту прав субъектов ПД. К ним относят государства – стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД. Помимо них, будут допускаться государства – не участники при условии соответствия их норм права и применяемых мер по обеспечению конфиденциальности и безопасности при обработке ПД указанной Конвенции (п. 7 ст. 1 Закона 266-ФЗ ).
Важно! Страны, которые обеспечивают адекватную защиту прав субъектов ПД, уточните в « Конвенции о защите физических лиц при автоматизированной обработке персональных данных» (заключена в Страсбурге 28.01.1981) и в Приказе Роскомнадзора от 15.03.2013 № 274 . Проводите проверку перед каждой передачей ПД.
При намерении передать ПД трансгранично будет нужно информировать Роскомнадзор в виде отдельного уведомления, которое первоначально должно быть подано до 1 марта 2023 года (п. 7 ст. 1 Закона 266-ФЗ).
Алгоритм действий работодателя при планируемой трансграничной передаче скачайте здесь
Содержание уведомления в Роскомнадзор о намерении передать ПД трансгранично (п. 7 ст. 1 Закона 266-ФЗ , будущие ч. 4 ст. 12 Закона № 152-ФЗ ):
1) наименование (фамилия, имя, отчество), адрес оператора, а также дата и номер уведомления о намерении осуществлять обработку персональных данных, ранее направленного оператором в соответствии со статьей 22 настоящего Федерального закона;
2) наименование (фамилия, имя, отчество) лица, ответственного за организацию обработки персональных данных, номера контактных телефонов, почтовые адреса и адреса электронной почты;
3) правовое основание и цель трансграничной передачи персональных данных и дальнейшей обработки переданных персональных данных;
4) категории и перечень передаваемых персональных данных;
5) категории субъектов персональных данных, персональные данные которых передаются;
6) перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных;
7) дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке.
Право оператора на трансграничную передачу зависят от того, входит ли страна для передачи ПД в перечень Роскомнадзора. Если да, передача возможна сразу после отправки уведомления. Если нет – только по истечении 10 рабочих дней после отправки уведомления и неполучения запрета или ограничения на передачу (п. 7 ст. 1 Закона 266-ФЗ , будущие ч. 10 – 15 ст. 12 Закона № 152-ФЗ).
Сведения от иностранной организации и органов власти до трансграничной передачи ПД:
данные о принимаемых органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача ПД, мерах по защите ПД и об условиях прекращения их обработки;
информация о правовом регулировании в области ПД иностранного государства, под юрисдикцией которого находятся его органы власти, иностранные физические и юридические лица, которым планируется трансграничная передача ПД;
Примечание. Пункт применяется, если предполагается трансграничная передача ПД органам власти иностранного государства, иностранным физическим и юридическим лицам, которые находятся под юрисдикцией иностранного государства – не участника Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД и не включены в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПД.
- сведения об органах власти иностранного государства, иностранных физических и юридических лицах, которым планируют трансграничную передачу ПД (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).
При этом на поручителя перекладывают все обязанности по защите ПД как на оператора (ч. 3–5 ст. 6 Закона № 152-ФЗ ).
Изменения – персональные данные 1 сентября обрабатывают по новым требованиям. Как уведомлять Роскомнадзор, что изменить в Политике по обработке персданных и в Положении о персданных, что учесть при разработке нового согласия на обработку персданных, узнаете на нашем курсе .
Передача персональных данных по нормам ст. 88 ТК РФ
Представление о персональных данных человека и основные правила работы с ними содержатся в законе РФ «О персональных данных» от 27.07.2006 № 152-ФЗ. Любые сведения, относящиеся к конкретному лицу, являются его персональными данными, на получение и использование которых необходимо получить согласие этого лица.
Чаще всего персональные данные оказываются нужны работодателю, и обычно при трудоустройстве берутся у работника сведения, подтверждаемые:
- паспортом или иным удостоверением личности;
Можно ли хранить копию паспорта в личном деле работника? Ответ на этот вопрос есть в КонсультантПлюс. Получите пробный демо-доступ к системе К+ и бесплатно переходите в материал.
- трудовой книжкой;
- свидетельством ПФР;
- документами об обучении;
- документами воинского учета;
- дополнительными справками, удостоверяющими какие-либо необходимые для трудоустройства обстоятельства.
Получивший персональную информацию работодатель не только собирает и обрабатывает ее в пределах своего подразделения (службы персонала), но и передает в другие подразделения (бухгалтерию, юридическую службу), а также третьим лицам (ПФР, ФСС, ИФНС, банкам, органам внутренних дел, судам).
Какие требования содержатся в ст. 88 ТК РФ?
Ст. 88 ТК РФ, констатируя необходимость передачи персональных данных третьим лицам, устанавливает правила, с соблюдением которых она должна осуществляться работодателем:
- такая передача возможна при наличии письменного согласия работника, если только ситуация не требует такой информации в связи с угрозой его жизни или здоровью или если иное не предусмотрено законодательно;
- запрещается сбор информации о состоянии здоровья работника, за исключением той, которая необходима для оценки пригодности работника к выполнению его должностных обязанностей;
- доступ к персональным сведениям о человеке может иметь ограниченное число сотрудников работодателя, при этом каждый из них должен использовать только те сведения, которые ему необходимы для работы;
- правила обмена информацией между подразделениями работодателя следует закрепить во внутреннем нормативном акте, ознакомив с ними всех работников под расписку;
- при всех процедурах, связанных с персональной информацией, должен соблюдаться режим максимальной конфиденциальности, независимо от того, на каком этапе это происходит: при сборе данных, передаче подразделениям работодателя или третьим лицам;
- представителям работников персональная информация предоставляется в минимально необходимом для обозначенных целей объеме;
- передав сведения третьему лицу, работодатель обязан предупредить его об ограниченном применении этих сведений (только в тех целях, для которых они переданы) и проконтролировать соблюдение этого условия.
ВНИМАНИЕ! Согласие на обработку сведений, разрешенных для распространения, нужно оформлять отдельно от других подобных документов.
Как и когда оформить согласие работника на работу с его данными?
Подавляющее большинство действий, осуществляемых работодателем с персональными сведениями о человеке, требует наличия письменного согласия работника (п. 1 ст. 9 закона РФ от 27.07.2006 № 152-ФЗ). Такое согласие обычно берут уже в момент оформления на работу, учитывая, что сбор персональных данных начинается непосредственно с момента трудоустройства. Оно считается добровольным и допускает возможность отзыва его работником.
Установленной формы у этого документа нет, но есть перечень обязательной информации, установленной Роскомнадзором в приказе от 24.02.2021 № 18 (действует с 01.09.2021). Согласие должно содержать следующую информацию:
- Ф. И. О. субъекта персональных данных;
- контактную информацию субъекта: номер телефона, адрес электронной почты или почтовый адрес;
- сведения об операторе персданных;
Для оператора — организации это наименование, адрес, указанный в ЕГРЮЛ, ИНН, ОГРН (если он известен субъекту персональных данных), для физлица — Ф. И. О., место жительства или место пребывания, для ИП — Ф. И. О., ИНН, ОГРН. - сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными;
- цели обработки персданных;
- категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:
- персональные данные (Ф. И. О.), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);
- специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
- биометрические персональные данные;
Что нужно знать о биометрических персональных данных, см. здесь.
- категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов;
- условия, при которых полученные персональные данные могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных;
- срок действия согласия.
Полный перечень сведений о работниках, являющихся персональными данными, вы найдете в КонсультантПлюс. Это важно знать, поскольку к персональной информации относятся не только сведения о работнике, но и его фото например. Есть и другие интересные моменты. А ведь за нарушения в работе с персональными данными установлены довольно существенные штрафы. Получите бесплатный доступ к системе К+ и переходите в Путеводитель. Это убережет вас от ошибок и позволит избежать ответственности.
Скачать бланк и образец согласия на обработку персональных данных с 01.09.2021 можно бесплатно, кликнув по картинке ниже:
Когда работник является несовершеннолетним, соответствующее согласие оформляется лицом, имеющим право на законное представление его интересов (родителем, опекуном, усыновителем). Обязательная для этого документа информация при этом пополняется сведениями о законном представителе несовершеннолетнего (Ф.И.О., данные паспорта) и пояснениями о том, как эти 2 лица взаимосвязаны.
Подробнее об оформлении этих документов читайте в материалах:
Когда не требуется согласовывать с работником передачу данных о нем?
Существуют ситуации, когда персональные сведения о работнике передаются третьим лицам вне зависимости от того, есть его согласие на это или нет. Это делается по запросам:
- судебного пристава-исполнителя (п. 2 ст. 64 и п. 10 ст. 65 закона РФ «Об исполнительном производстве» от 02.10.2007 № 229-ФЗ, п. 2 ст. 12 и п. 2 ст. 14 закона РФ «О судебных приставах» от 21.07.1997 № 118-ФЗ);
- негосударственного пенсионного фонда (ст. 15 закона РФ «О негосударственных пенсионных фондах» от 07.05.1998 № 75-ФЗ);
- ПФР (ст. 9 и 11 закона РФ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» от 01.04.1996 № 27-ФЗ);
- полиции (п. 4 ст. 13 закона РФ «О полиции» от 07.02.2011 № 3-ФЗ);
- прокуратуры (п. 2.1 ст. 4 закона РФ «О прокуратуре Российской Федерации» от 17.01.1992 № 2202-1);
- банка России (п. 3 ст. 32 закона РФ от 27.06.2011 № 161-ФЗ «О национальной платежной системе»);
- государственных органов, отвечающих за профилактику коррупции (ст. 4 закона РФ «О контроле за соответствием расходов лиц, замещающих государственные должности, и иных лиц их доходам» от 03.12.2012 № 230-ФЗ).
На какие сведения медицинского характера запрет не распространяется?
Несмотря на прямой запрет о сборе сведений медицинского характера, ст. 88 ТК РФ делает оговорку в отношении тех данных, которые значимы с точки зрения отбора кандидатов на конкретную должность или работу в определенных условиях. Это относится:
- к педагогам (ст. 331 ТК РФ);
- работникам служб авиационной безопасности (подп. 2 п. 4 ст. 52 Воздушного кодекса Российской Федерации от 19.03.1997 № 60-ФЗ);
- морякам торгового флота (п. 2 ст. 55 Кодекса торгового мореплавания Российской Федерации от 30.04.1999 № 81);
- работникам объектов атомной энергетики (ст. 27 закона РФ «Об использовании атомной энергии» от 21.11.1995 № 170-ФЗ);
- персоналу объектов топливно-энергетического комплекса (подп. 2 п. 1 ст. 10 закона РФ «О безопасности объектов топливно-энергетического комплекса» от 21.07.2011 № 256-ФЗ);
- муниципальным служащим (подп. 4 п. 1 ст. 13 закона РФ «О муниципальной службе в Российской Федерации»от 02.03.2007 № 25-ФЗ);
- государственным служащим (подп. 4 п. 1 ст. 16 закона РФ «О государственной гражданской службе Российской Федерации» от 27.07.2004 № 79-ФЗ);
- лицам, направляемым на работу в местности, требующие наличия профилактических прививок (п. 2 ст. 5 закона РФ «Об иммунопрофилактике инфекционных болезней» от 17.09.1998 № 157-ФЗ);
- людям, имеющим дело с источниками повышенной опасности (ст. 6 закона РФ «О психиатрической помощи и гарантиях прав граждан при ее оказании» от 02.07.1992 № 3185-1);
- работникам прокуратуры (п. 2 ст. 40.1 закона РФ от 17.01.1992 № 2202-1);
- сотрудникам органов внутренних дел и органов по контролю за оборотом наркотиков (подп. 5 п. 1 ст. 14 и п. 4 ст. 97 закона РФ «О службе в органах внутренних дел Российской Федерации и внесении изменений в отдельные законодательные акты Российской Федерации» от 30.11.2011 № 342-ФЗ);
- лицам, связанным с обеспечением транспортной безопасности (подп. 2 п. 1 ст. 10 закона РФ «О транспортной безопасности» от 09.02.2007 № 16-ФЗ);
- лицам, имеющим дело с пищевыми продуктами (п. 2 ст. 23 закона РФ «О качестве и безопасности пищевых продуктов» от 02.01.2000 № 29-ФЗ);
- работникам ведомственной охраны (ст. 6 закона РФ «О ведомственной охране» от 14.04.1999 № 77-ФЗ);
- лицам, работающим с химическим оружием (ст. 2 закона РФ «О социальной защите граждан, занятых на работах с химическим оружием» от 07.11.2000 № 136-ФЗ).
Поскольку человек может скрыть нежелательную для него информацию о наличии медицинских противопоказаний, препятствующих трудоустройству на соответствующую работу (должность), работодателю предоставляется возможность получить такие сведения из других источников.
Распространенные вопросы
Может ли работодатель передавать персональные данные своих бывших работников новым работодателям по их запросам?
Потенциальный работодатель вправе запросить информацию о персональных данных сотрудника при соблюдении следующих условий:
- если данную информацию нельзя получить у самого работника;
- при наличии согласия работника.
Прежний работодатель вправе передать такие сведеня новому работодателю при наличии согласия сотрудника. Если работник отозвал согласие на передачу персональных данных третьим лицам, прежний работодатель может получить штраф.
Относятся ли сведения полиграфа к персональным данным?
Законодательство не запрещает работодателям использовать детектор лжи для проверки кандидатов и действующих работников с целью получения в ходе такой проверки ответов на вопросы, касающиеся лояльности работника к работодателю, а также деловых и профессиональных качеств работника. Применять полиграф работодатель вправе только при наличии письменного согласия работника. В таком согласии должны быть указаны следующие данные: