Последние новости:

Все статьи Трудовой договор За сохранность и защиту персональных данных будут спрашивать строже (Медведева Т.М.)

Федеральным законом от 07.02.2017 N 13-ФЗ <1> (далее - Закон N 13-ФЗ) ужесточена административная ответственность за нарушение законодательства о защите персональных данных и дифференцирован состав административных правонарушений <2>. С 1 июля 2017 года ответственность за несоблюдение правил о персональных данных, установленных Федеральным законом от 27.07.2006 N 152-ФЗ <3> (далее - Закон N 152-ФЗ), повысится в разы. Максимальный размер штрафа для юридических лиц составит 75 тыс. руб. (сейчас - 10 тыс. руб.). Очевидно, работодателям, до сих пор не уделяющим должного внимания правилам обработки персональных данных, необходимо на этом сосредоточиться. В противном случае неосмотрительность может обернуться для них существенными финансовыми потерями.

--------------------------------

<1> "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях".

<2> Текст нормативного акта напечатан в "Актах и комментариях для бухгалтера", N 3, 2017.

<3> "О персональных данных".

 

Новые административные штрафы 

Законом N 13-ФЗ заново переписаны положения ст. 13.11 КоАП РФ. Новой редакцией уточнены составы административных правонарушений по законодательству о персональных данных и увеличены размеры штрафов. 

Норма ст. 13.11	Состав административного правонарушения	Размер штрафа, тыс. руб.
Часть 1	Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо их обработка, несовместимая с целями сбора этих данных, за исключением случаев, предусмотренных ч. 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния	Для ДЛ - от 5 до 10, для ЮЛ - от 30 до 50. Вместо штрафа может быть сделано предупреждение
Часть 2	Обработка персональных данных без согласия в письменной форме их субъекта на обработку его данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его данных <*>	Для ДЛ - от 10 до 20, для ЮЛ - от 15 до 75
Часть 3	Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных	Для ДЛ - от 3 до 6, для ИП - от 5 до 10, для ЮЛ - от 15 до 30. Вместо штрафа может быть сделано предупреждение
Часть 4	Невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных	Для ДЛ - от 4 до 6, для ИП - от 10 до 15, для ЮЛ - от 20 до 40. Вместо штрафа может быть сделано предупреждение
Часть 5	Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав этих субъектов об уточнении персональных данных, их блокировании или уничтожении в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки	Для ДЛ - от 4 до 10, для ИП - от 10 до 20, для ЮЛ - от 25 до 45. Вместо штрафа может быть сделано предупреждение
Часть 6	Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния	Для ДЛ - от 4 до 10, для ИП - от 10 до 20, для ЮЛ - от 25 до 50

--------------------------------

<*> Указанный штраф налагается за каждое допущенное нарушение, поэтому изначально заявленная сумма штрафа 15 - 75 тыс. руб. в итоге может вырасти до весьма внушительных размеров. 

Полномочия по возбуждению дел об административных правонарушениях по ст. 13.11 КоАП РФ переданы от прокуроров Роскомнадзору (в новой редакции п. 58 ч. 2 ст. 28.3 и ч. 1 ст. 28.4 КоАП РФ). Но рассматривать эти дела по-прежнему будут суды (ч. 1 ст. 23.1 КоАП РФ).

 

К сведению. Помимо Роскомнадзора проверить соблюдение работодателем требования законодательства в области персональных данных может Роструд. Ведь положениями гл. 14 ТК РФ (наравне с Законом N 152-ФЗ) определены требования к обработке персональных данных работников и гарантии их защиты. Инспекторы по труду наделены полномочиями по составлению протоколов об административных правонарушениях, в том числе предусмотренных ст. 5.27 КоАП РФ, в случаях нарушения трудового законодательства (пп. 16 ч. 2 ст. 28.3 КоАП РФ). 

Подчеркнем, что новые административные штрафы будут применяться с 1 июля 2017 года.

Прежде чем рассматривать вопрос о том, как работодателю избежать штрафов, поясним, что понимается под персональными данными, обработкой персональных данных и оператором.

 

Персональные данные 

Персональные данные - это информация, прямо или косвенно относящаяся к субъекту персональных данных (то есть физическому лицу) (ч. 1 ст. 3 Закона N 152-ФЗ). То есть она позволяет однозначно определить, о каком именно лице идет речь.

Каких-либо конкретных указаний о том, какие сведения считать персональными данными, в действующем законодательстве не содержится (их нет ни в Законе N 152-ФЗ, ни в гл. 14 ТК РФ). В нем закреплены лишь общие принципы <4>. По сути, рассматриваемое понятие является оценочным, что дает определенный простор при квалификации тех или иных сведений о физическом лице в качестве персональных данных. Очевидно, что таковыми следует считать прежде всего сведения, на основании которых возможна безошибочная идентификация субъекта персональных данных. Эти сведения сотрудник, как правило, сообщает сам при приеме на работу. Персональные сведения могут быть получены и от третьей стороны, правда, с письменного согласия сотрудника (п. 3 ч. 1 ст. 86 ТК РФ). В свою очередь, обезличенные сведения не могут быть отнесены к категории персональных данных.

--------------------------------

<4> См. Постановление ФАС СКО от 11.03.2014 по делу N А53-10287/2013. 

К категории персональных данных относятся, к примеру, такие сведения:

- фамилия, имя, отчество;

- дата и место рождения;

- адрес (место регистрации);

- семейное, социальное и имущественное положение;

- образование, профессия;

- доходы, имущество и имущественные обязательства.

Это общие персональные данные. Помимо них, в Законе N 152-ФЗ упоминаются:

- специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение - случаи, предусмотренные ч. 2 ст. 10 названного Закона;

- биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение - случаи, установленные ч. 2 ст. 11. 

К сведению. Персональные данные работников, как правило, содержатся в следующих документах:
- в паспорте или ином документе, удостоверяющем личность;
- трудовой книжке;
- документах о воинском учете, образовании, составе семьи;
- справке о доходах с предыдущего места работы;
- анкете, заполняемой при трудоустройстве;
- личной карточке работника (форма Т-2);
- свидетельствах о заключении брака, рождении ребенка;
- медицинских справках; и др.
У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

 

Обработка персональных данных 

Под обработкой персональных данных понимается любое действие (или совокупность действий), совершаемое с ними (с использованием средств автоматизации или без использования таковых). Под действием понимаются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ч. 3 ст. 3 Закона N 152-ФЗ).

Цели обработки персональных данных определены п. 1 ч. 1 ст. 86 ТК РФ, а ее основные принципы - ст. 5 Закона N 152-ФЗ. 

Важный нюанс: законодательством не определены требования к объему персональных данных, которые оператор (работодатель) может обрабатывать с согласия (или без) их субъекта. Следовательно, стороны вправе установить объем получаемых и обрабатываемых сведений самостоятельно. При этом нужно учесть, что требования закона к порядку получения согласия на обработку сведений и к самому порядку их обработки различаются в зависимости от вида (разряда) персональных данных.

 

Оператор 

Оператор - лицо, которое организует и осуществляет обработку персональных данных (ч. 2 ст. 3 Закона N 152-ФЗ).

Под приведенное определение подпадает любой работодатель (юридическое лицо или индивидуальный предприниматель), получивший персональные данные работника в свое распоряжение. Значит, с этого момента на работодателя в соответствии с требованиями Закона N 152-ФЗ возлагаются обязанности по защите и обеспечению сохранности персональных данных работников.

Причем в силу ч. 1 ст. 18.1 Закона N 152-ФЗ каждый оператор должен самостоятельно определить состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Законом. Одной из таких мер является издание оператором локального нормативного акта, устанавливающего порядок обработки персональных данных работников в организации. Этого же от оператора требуют ст. 86 и 87 ТК РФ. В локальном акте (обычно он именуется положением о персональных данных) определяются права и обязанности как субъекта персональных данных, так и оператора.

Подчеркнем: наличие обозначенного документа у работодателя обязательно. За его отсутствие специалисты Роскомнадзора могут оштрафовать оператора (и его должностных лиц) на основании ч. 3 ст. 13.11 КоАП РФ.

 

Требования к оформлению положения о персональных данных 

При составлении положения о персональных данных необходимо учесть требования о получении, обработке, хранении и использовании персональных данных работников, установленные Законом N 152-ФЗ и гл. 14 ТК РФ <5>. Исходя из названных нормативных актов в положении о персональных данных надо указать:

- перечень сведений, относимых к категории персональных данных;

- какие документы, содержащие персональные данные работников, оператор будет представлять в различные госструктуры (внебюджетные фонды, налоговую, трудовую инспекции, органы статистики и т.д.);

- перечень должностных лиц, наделенных полномочиями по обработке, хранению и использованию персональных данных и, соответственно, несущих ответственность за нарушение требований законодательства;

- кто и в каком порядке имеет доступ к полученным персональным данным;

- меры, направленные на сохранение и неразглашение персональных данных, а также порядок их передачи (внутри организации и третьим лицам);

- порядок предоставления субъекту персональных данных информации, касающейся обработки его данных;

- процедуру уточнения персональных данных работников, их блокировку и уничтожение;

- условия и порядок хранения персональных данных сотрудников.

--------------------------------

<5> Положение о персональных данных, как и любой другой локальный нормативный акт, утверждается руководителем организации. При наличии в организации представительного органа работников (профсоюза) обозначенный документ должен приниматься с учетом требований, установленных ст. 372 ТК РФ. 

Важный нюанс: работодателю следует учесть требование п. 8 ч. 1 ст. 86 ТК РФ, где сказано, что работники и их представители должны быть под роспись ознакомлены с положением о персональных данных. Оператор в целях выполнения обозначенного требования может, например, оформить соответствующий журнал, в котором работники будут расписываться, подтверждая факт ознакомления. Но есть и иные способы ознакомления под роспись, например отражение данного факта в трудовом договоре.

Итак, положение о персональных данных - это, пожалуй, главный документ, наличие которого необходимо в силу законодательства. Его отсутствие может стать основанием для наложения штрафа по ч. 3 и 4 ст. 13.11 КоАП РФ. Но это не единственный документ, который оператор должен оформить для надлежащего исполнения требований закона.

 

Согласие на обработку и передачу персональных данных 

В ч. 1 ст. 9 Закона N 152-ФЗ говорится, что согласие должно быть конкретным, информированным и сознательным. Оно может быть дано субъектом персональных данных (или его представителем) в любой позволяющей подтвердить факт его получения форме, если иное не установлено Законом N 152-ФЗ. Прямо о том, что согласие сотрудника на обработку персональных данных должно быть оформлено письменно, в названном Законе не сказано.

Но! Частью 2 ст. 13.11 КоАП РФ определена ответственность оператора и его должностных лиц за обработку персональных данных:

- без согласия в письменной форме субъекта персональных данных на обработку его данных в случаях, когда такое согласие должно быть получено по законодательству РФ, если эти действия не содержат уголовно наказуемого деяния;

- либо с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его данных.

Получается, когда действующее законодательство в области персональных данных требует получения согласия от субъекта этих данных, это согласие должно быть оформлено письменно (произвольно, так как единый бланк законодательством не предусмотрен). Ведь при возникновении спорных ситуаций доказать факт получения согласия должен именно оператор (ч. 3 ст. 9 Закона N 152-ФЗ). И письменная форма согласия в этом случае будет весьма кстати.

С учетом сказанного работодателю-оператору имеет смысл разработать и утвердить в качестве приложения к положению о персональных данных бланк согласия работника на обработку и передачу таких данных. Добавим, что Закон N 152-ФЗ допускает оформление согласия в форме электронного документа.

 

Что нужно указать в согласии? 

Требования к содержанию письменного согласия для случаев, когда оно необходимо в силу закона, установлены ч. 4 ст. 9 Закона N 152-ФЗ. В этом случае согласие должно включать:

1. Ф.И.О., адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе.

2. При получении согласия от представителя работника - его Ф.И.О., адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя.

3. Наименование или Ф.И.О. и адрес работодателя.

4. Цель обработки персональных данных.

5. Перечень персональных данных, которые подлежат обработке.

6. Ф.И.О. и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации.

7. Перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки.

8. Срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия.

9. Подпись работника.

В иных ситуациях (когда законодательство не требует получать согласие сотрудника) специальных требований к содержанию согласия Законом N 152-ФЗ не установлено. Но общее правило, предусмотренное ч. 1 ст. 9 данного Закона (о конкретном, информированном и сознательном согласии), никто не отменял. Поэтому в согласии в любом случае должен быть указан конкретный объем персональных данных, цели и способы их обработки и хранения.

 

Когда согласие на обработку данных нужно получать, а когда - нет? 

Закон N 152-ФЗ допускает обработку персональных данных сотрудников как с их согласия (п. 1 ч. 1 ст. 6), так и без него.

Здесь следует обратить внимание на Разъяснения Роскомнадзора <6>. По мнению чиновников, обработка персональных данных работника не требует получения соответствующего согласия указанного лица при условии, что объем обрабатываемых работодателем персональных данных не превышает установленных перечней, а также соответствует целям обработки, предусмотренным трудовым законодательством (см. таблицу).

--------------------------------

<6> "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве". Размещены на официальном сайте ведомства www.rsoc.ru 24.12.2012. 

Не нужно оформлять согласие работника на обработку персональных данных, если они получены	Источник
Из документов (сведений), предъявляемых при заключении трудового договора	Статья 65, ч. 4 ст. 275 ТК РФ, п. 5 ч. 1 ст. 6 Закона N 152-ФЗ
По результатам обязательного предварительного медицинского осмотра	Статья 69 ТК РФ, п. 3 Разъяснений Роскомнадзора
Из личной карточки или в иных случаях, установленных законодательством РФ (например, при получении алиментов, оформлении допуска к государственной тайне, оформлении социальных выплат)	Пункт 2 Разъяснений Роскомнадзора
От кадрового агентства, действующего от имени соискателя на вакантную должность	Пункт 5 Разъяснений Роскомнадзора
Из резюме соискателя, размещенного в Интернете и доступного неограниченному кругу лиц	Пункт 10 ч. 1 ст. 6 Закона N 152-ФЗ, п. 5 Разъяснений Роскомнадзора

Если персональные данные о сотруднике могут быть получены только у третьей стороны (напомним, соответствующая возможность предусмотрена ст. 86 ТК РФ), то он должен быть заранее уведомлен об этом и от него должно быть получено согласие на обработку сведений.

Согласие также необходимо, если работодатель планирует обрабатывать иные данные работника (например, контактные данные - номер сотового телефона, адрес электронной почты).

 

О согласии на передачу данных 

Помимо согласия на обработку данных, оператору необходимо заручиться согласием работника на их передачу третьим лицам (в том числе в коммерческих целях), что следует из абз. 2, 3 ч. 1 ст. 88 ТК РФ. В этом согласии тоже четко прописывают, какие именно операции с персональными данными совершает работодатель и какова их цель. 

Обратите внимание! Оператор должен предупредить третьих лиц о том, что персональные данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от указанных лиц подтверждения того, что это правило соблюдено (абз. 4 ч. 1 ст. 88 ТК РФ). 

В ряде случаев согласие сотрудника на передачу персональных данных третьим лицам оформлять не требуется. Представим эти случаи в таблице. 

Согласие не оформляется при передаче данных <*>	Источник
Третьим лицам в целях предупреждения угрозы жизни и здоровью работника	Абзац 2 ст. 88 ТК РФ, абз. 1 п. 4 Разъяснений Роскомнадзора
Во внебюджетные фонды	Абзац 15 ч. 2 ст. 22 ТК РФ, абз. 3 п. 4 Разъяснений Роскомнадзора
В налоговые органы и военные комиссариаты	Подпункты 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора
По запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем	Статья 370 ТК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора
По мотивированному запросу органов прокуратуры и правоохранительных органов	Абзац 7 п. 4 Разъяснений Роскомнадзора
По запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности	Абзац 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений Роскомнадзора
В органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом	Абзац 5 ч. 1 ст. 228 ТК РФ

--------------------------------
<*> Члены семьи, страховые компании, кредитные учреждения, благотворительные организации, негосударственные пенсионные фонды и иные аналогичные организации в указанный перечень третьих лиц не вошли. Поэтому передать упомянутым лицам персональные данные сотрудника оператор вправе только с его письменного согласия.

Вернуться на предыдущую страницу