Ответы Роскомнадзора на вопросы о персональных данных

Ответы Роскомнадзора на вопросы о персональных данных

3 октября, 2015

Вопрос: Что такое Уполномоченный орган по защите прав субъектов персональных данных и на кого возложена реализация этих функций?

Ответ: Уполномоченный орган — федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи. В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 г. N 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.

Вопрос: Кто может являться оператором персональных данных?

Ответ: В соответствии с п. 2 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

Вопрос: В каких случаях операторами не должна обеспечиваться конфиденциальность персональных данных?

Ответ: В соответствии с ч. 2 ст. 7 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обеспечения конфиденциальности персональных данных не требуется: 1) в случае обезличивания персональных данных; 2) в отношении общедоступных персональных данных.

Вопрос: В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?

Ответ: Согласно ч. 2 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях: 1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора; 1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии; (п. 1.1 введен Федеральным законом от 25.11.2009 N 266-ФЗ) 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных; 3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных; 4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; 5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи; 6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных; 7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Вопрос: Кто должен запрашивать согласие работников предприятия на обработку персональных данных при их передаче для обработки другому оператору?

Ответ: Получить согласие работника на передачу его персональных данных для обработки другому оператору должна администрация предприятия, на котором работает субъект персональных данных.

Вопрос: В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?

Ответ: В соответствии с ч. 1 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Исключение составляют случаи, предусмотренные ч. 2 комментируемой статьи, при обработке персональных данных: 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения; 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; 3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных; 4) являющихся общедоступными персональными данными; 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных; 6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях; 7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Роскомнадзора  www.rsoc.ru в информационно-телекоммуникационной сети «Интернет». Кроме того, на портале Персональные данные реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.

Вопрос: Вправе ли физическое лицо представлять персональные данные своих близких родственников?

Ответ: Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.

Вопрос: Если при обработке персональных данных организацией нарушаются мои права, куда я могу обратиться за защитой?

Ответ: Вы вправе обратиться в ближайшее территориальное управление Роскомнадзора. Адреса и контактные телефоны указаны на официальном сайте Роскомнадзора www.rsoc.ru в информационно-телекоммуникационной сети «Интернет». Вопрос: Какая ответственность предусмотрена за нарушения оператором требований Федерального закона «О персональных данных»? Ответ: Ст. 24 Федерального закона «О персональных данных» определяет ответственность за нарушение данного Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности. Административная ответственность за нарушение настоящего Федерального  закона наступает за: — неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации ( ст. 5.39 КоАП РФ); — нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) ( ст. 13.11 КоАП РФ); — разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) ( ст. 13.14 КоАП); — непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде ( ст. 19.7  КоАП РФ). Кроме того, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность, предусмотренная ст. 137 , 272 УК РФ.

Вопрос: Вправе ли кредитная организация обрабатывать персональные данные физических лиц, получивших отказ в предоставлении кредита? Возможно ли хранить формы анкет-заявок на получение кредита в формате цифровых копий?

Ответ: Персональные данные субъектов персональных данных, полученные кредитной организацией при рассмотрении заявок на получение кредита, в случае отрицательного решения кредитной организации подлежат уничтожению в срок, не превышающий трех рабочих дней с даты принятия соответствующего решения. Обращаем Ваше внимание, что типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных, могут храниться в формате цифровых копий при соблюдении требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Читайте также:  Предварительный договор купли продажи квартиры (образец): с задатком, ипотекой, с застройщиком

Вопрос: Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?

Ответ: При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных, является файл электронной цифровой подписи. Кроме того, предложение оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта. Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров. Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.

Вопрос: Вправе ли оператор запрашивать сведения о судимости?

Ответ: В соответствии с ч. 3 ст. 10 Федерального закона «О персональных данных» обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

Вопрос: Какие иностранные государства обеспечивают адекватную защиту персональных данных?

Ответ: До начала осуществления трансграничной передачи персональных данных оператор, осуществляющий обработку персональных данных (далее — Оператор) на территории Российской Федерации, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных. Критериев, определяющих адекватность защиты прав субъектов персональных данных на территории иностранного государства, действующим законодательством Российской Федерации не предусмотрено. Оператору, осуществляющему трансграничную передачу персональных данных, необходимо руководствоваться законодательством иностранного государства, на территорию которого осуществляется передача персональных данных, законодательством Российской Федерации в области защиты прав субъектов персональных данных, а также международными нормативными актами, в том числе  Конвенцией о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. ETS N 108 с учетом перечня стран, подписавших и ратифицировавших данную Конвенцию. Это Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония. Вторая группа, которые могут претендовать на статус стран, обеспечивающих адекватную защиту персональных данных, это страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных. Это Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония. Вопрос: Распространяются ли требования Федерального закона «О персональных данных» на юридическое лицо иностранного государства? Ответ: Требования Федерального закона «О персональных данных» распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации.

Вопрос: Является ли веб-сайт информационной системой обработки персональных данных?

Ответ: Согласно пункту 9 статьи 3 Федерального закона «О персональных данных» информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. В случае соответствия веб-сайта указанным требованиям он является информационной системой.

Вопрос: Как документально оформить факт уничтожения персональных данных субъекта?

Ответ: Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим Оператором. Вопрос: Существуют ли стандарты или рекомендации по исполнению Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» операторами? Ответ: Да, такие документы, разработанные отдельными представителями операторского сообщества, существуют. Ознакомиться с ними можно в разделе «Стандарты, рекомендации и концепции» Портала «Персональные данные»: — концепция защиты персональных данных в информационных системах персональных данных оператора связи — http://minkomsvjaz.ru/3495/8317/8319/8322/; Ответы Роскомнадзора на вопросы о персональных данных Один хакер может причинить столько же вреда, сколько 10 000 солдат!  Хакеры объявили кибервойну России! Подпишись на наш Телеграм канал    чтобы узнать первым, как выжить в цифровом кошмаре!

Ответы на вопросы в сфере защиты прав субъектов персональных данных

  • МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ
  • РОССИЙСКОЙ ФЕДЕРАЦИИ
  • ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ,
  • ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ
  • Справочно: Разъяснения РОСКОМНАДЗОРа положений закона о персональных данных 
  • Вопрос: Что такое Уполномоченный орган по защите прав субъектов персональных данных и на кого возложена реализация этих функций?

Ответ: Уполномоченный орган — федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи. В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 г. N228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.

Вопрос: Кто может являться оператором персональных данных?

Ответ: В соответствии с п. 2 ст. 3 Федерального закона от 27.07.

2006 N 152-ФЗ «О персональных данных» оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

Вопрос: В каких случаях операторами не должна обеспечиваться конфиденциальность персональных данных?

Ответ: В соответствии с ч. 2 ст. 7 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обеспечения конфиденциальности персональных данных не требуется:

  1. 1) в случае обезличивания персональных данных;
  2. 2) в отношении общедоступных персональных данных.
  3. Вопрос: В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?

Ответ: Согласно ч. 2 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях:

  • 1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
  • 1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
  • 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
  • 3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  • 4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • 5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
  • 6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • 7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
  • Вопрос: Есть ли ответственность для оператора связи за выдачу дубликата SIM-карты другому лицу?

Ответ:

Разъяснения Роскомнадзора по порядку защиты персональных данных

Что такое персональные данные? Персональные данные — это любая информация, относящаяся к человеку.

К персональным данным относятся ФИО, дата рождения, адрес, семейное положение, образование, профессия, пол, гражданство, сведения о документе, удостоверяющем личность, электронная почта, номер банковской карты.

Часто операторы, обрабатывающие персональные данные, забывают включить в список данных сведения о составе семьи, о трудовом и общем стаже, о занимаемой должности, о воинском учете, национальность, ИНН и СНИЛС (это персональные данные даже без привязки к ФИО).

Если ИНН указан в ЕГРЮЛ, то это общедоступная информация в части налогового законодательства, однако в иных случаях это ПД (персональные данные). Номер телефона без иной информации – это не персональные данные, так как он относится к пользовательскому устройству.

Также государственный номер автомобиля не является ПД, так как относится к транспортному средству. Индивидуальные предприниматели являются операторами ПД. В категории субъектов персональных данных могут входить не только работники, акционеры, клиенты, физлица, состоящие в гражданско-правовых отношениях, но и соискатели, уволенные работники и родственники работников/клиентов.

Обработка персональных данных

Читайте также:  Заявление на увольнение по собственному желанию: образец 2020 года

Правовыми основаниями для обработки ПД являются Трудовой кодекс РФ, Налоговый кодекс РФ, Генеральная лицензия на осуществление банковских операций, Федеральный закон №115-ФЗ,  .

Часто в правовых основаниях обработки забывают указать  Федеральный закон № 353-ФЗ «О потребительском кредите (займе)», согласие на обработку ПД (работника, соискателя, клиента и т.д.), договоры.

 ФЗ «О персональных данных» не является правовым основанием!

Политика обработки ПД и локальные нормативные акты по вопросам обработки должны быть опубликованы. Политика и сведения о мерах по защите ПД размещаются на сайте, где ведётся обработка ПД, а также там могут быть размещены и пользовательское соглашение, и условия использования сервисов. Можно опубликовать общую политику на несколько сайтов, но внутри неё должна быть градация.

Для обработки персональных данных необходимо получить согласие субъекта ПД.

В согласии должны быть указаны адрес или данные основного документа, удостоверяющего личность субъекта, наименование или ФИО и адрес оператора ПД, перечень ПД, на обработку которых дается согласие и способ отзыва согласия на обработку ПД. При составлении текста согласия можно использовать типовые формы на сайте РКН. Срок действия согласия может быть ограничен сроком или достижением цели.

Указание в согласии нескольких целей допустимо, в том числе на сбор файловой информации cookie (кроме биометрии, спецкатегории и трансграничной передачи на территорию неадекватных по защите ПД стран). На период принятия решения о трудоустройстве нужно получать согласие на обработку ПД от соискателя и его близких родственников, если требуется информация о них. При действии субъектов ПД в интересах третьих лиц нужно их согласие, доверенность (например, при оформлении туристического пакета). При опубликовании фотографий и иной информации о сотрудниках на сайте нужно их согласие. Это не распространяется на учителей и работников государственных органов, но при любом превышении минимального перечня ПД из закона их согласие тоже нужно получать. Для передачи персональных данных работников внутри российской группы компаний нужно получать их письменное согласие, а внутри международной группы компаний – письменное согласие и договор-поручение со штаб-квартирой. Одно согласие работника с указанием каждого контрагента даётся для одной цели обработки ПД. При передаче ПД работников третьи лица, привлекаемые по договору поручения, могут объединены в одно согласие (если цель обработки ПД единая). Третьи лица, привлекаемые по договору поручения, подают уведомления об обработке ПД, кроме ч. 2 ст. 22 ФЗ «О ПД». У оператора нет обязанности предоставлять третьему лицу, привлекаемому по договору поручения, сведения о правовых основаниях обработки ПД. После достижения целей обработки персональных данных необходимо их уничтожить и оформить акт об уничтожении. Частым нарушением этого требования является обработка ПД соискателей после принятия решения об отказе в устройстве на работу (при отсутствии внешнего кадрового резерва, кроме гос. служащих) и обработка ПД в информационной системе персональных данных по истечении сроков, указанных в законе. Порядок уничтожения ПД должен быть указан в локальных актах.

Обязанности оператора

Необходимо предоставлять в Роскомнадзор уведомления об обработке ПД. В уведомлении указывается только одно ответственное лицо и даются его почта и телефон. Если контактные данные меняются, об этом нужно обязательно уведомить РКН. Если иностранное юридическое лицо имеет представительство на территории РФ, то можно подать уведомление, а если нет, то уведомление подавать не нужно. Однако требования о локализации такая организация обязана выполнить (базы данных по обработке ПД должны находиться на территории РФ). Кроме того, раз в два года проводятся проверки в отношении таких иностранных компаний.

Чтобы не было нарушений в виде предоставления неполных или недостоверных сведений, рекомендуется проводить внутри организации аудит деятельности оператора по обработке ПД и следить, чтобы ответственное за заполнение уведомления отраслевое подразделение отражало информацию не только о своей деятельности (кадры, бухгалтерия). В организации должны быть планы или материалы проверочных мероприятий, подтверждающие внутренний контроль/аудит ПД (акты, протоколы, докладные записки).

Популярное нарушение — неполный перечень целей обработки ПД. Например, в целях обработки персональных данных часто забывают указать организацию пропускного режима и подбор персонала. Понятие “база данных” трактуется сотрудниками РКН по внутреннему убеждению, например, любая таблица в Word – это тоже база данных.

Адреса всех баз персональных данных обязательно должны быть указаны в формате 123456, Москва г., ул. ___, д. ___, стр.

___, в том числе базы данных сайта и информационной системы персональных данных оператора.

Также необходимо помнить, что база ПД – это не только информационные системы (сервер, центр обработки данных), но и места, где находятся материальные носители (жёсткие диски, картотеки).

При использовании для хранения облачной инфраструктуры требуется договор-поручение с провайдером. Облачная инфраструктура обеспечивает доступ, а эти действия означают обработку, даже не имея самого доступа к ПД. После прекращения обработки персональных данных или при изменении информации, содержащейся в уведомлении, необходимо предоставить сведения об этом в Роскомнадзор в течение 10 дней. Согласно ФЗ №152 “О персональных данных”, в организации должно быть лицо, ответственное за организацию обработки ПД. Нарушением является назначение на эту должность нескольких лиц или отсутствие данного полномочия в должностном регламенте. Можно указать полномочия ответственного лица в трудовом договоре или в приказе о назначении лица и наделении полномочиями, но лучше сделать это отдельно в должностной инструкции. Работников оператора, непосредственно осуществляющие обработку ПД, обязаны быть ознакомлены с положениями законодательства РФ. Для подтверждения этого формируется лист ознакомления работников с положениями законодательства РФ, соответствующие положения включаются в трудовой договор с работником, проводятся курсы для работников (с получением документов) и внутренние обучающие мероприятия. Ознакомление работников с законодательством в электронном виде не в полной мере отвечает требованиям ст. 86 ТК РФ. Также должен быть утверждён перечень лиц, осуществляющих обработку ПД, либо имеющих к ним доступ.

Составы правонарушений ст. 13.11 КоАП РФ (нарушение законодательства РФ в области персональных данных)

  • Ч. 1 ст. 13.11 КоАП: включение избыточного объема данных, неправомерное размещение изображения гражданина на сайте, неправомерная обработка работодателем ПД близких родственников, неправомерная обработка ПД в целях продвижения товаров, работ, услуг;
  • Ч. 2 ст. 13.11 КоАП: публикация статьи в интернете, которая содержит инфо в большом объеме со специальной категорией ПД без согласия гражданина, письменная форма согласия не соответствовала ч. 4 ст. 9 ФЗ;
  • Ч. 3 ст. 13.11 КоАП: нет политики обработки ПД на сайте;
  • Ч. 4 ст. 13.11 КоАП: нереализация права субъекта на получение информации, которая относится к обработке его ПД;
  • Ч. 5 ст. 13.11 КоАП: нарушение сроков по уточнению, блокированию, уничтожению ПД;
  • Ч. 6 ст. 13.11 КоАП: невыполнение обязанностей по соблюдению условий, обеспечивающих сохранность материальных носителей (например, неправильная утилизация медицинских амбулаторных карт).

Основные проблемы при взаимодействии проверяющих лиц с операторами в рамках проведения плановых/внеплановых проверок

  1. Отсутствие уполномоченного представителя оператора;
  2. Отсутствие документа, подтверждающего полномочия сотрудников на представление интересов оператора и взаимодействие с проверяющими лицами (доверенность, приказ);
  3. Назначение в качестве уполномоченных представителей оператора лиц, не обладающих достаточными профессиональными знаниями;
  4. Отказ в предоставлении запрашиваемой информации и документации;
  5. Отказ в предоставлении доступа в помещения оператора, где осуществляется обработка ПД;
  6. Отказ в предоставлении доступа к оборудованию оператора;
  7. Неумышленное затягивание сроков проведения проверки (продление сроков – это дополнительная административная нагрузка).

При этом важно помнить, что должностные лица РКН:

  1. Не осуществляют консультирование проверяемого лица;
  2. Не предоставляют проект акта проверки для предварительного ознакомления представителем проверяемого лица;
  3. Не дают пояснений относительно причин или оснований квалификации отдельных действий оператора как нарушающих ФЗ «О ПД», их можно получить только при обжаловании акта;
  4. Не продлевают, в том числе и по письменному обращению проверяемого лица, контрольные сроки исполнения предписания об устранении нарушений.

Ркн начинает проверку работодателей по защите персональных данных. как подготовиться

С этого года все работодатели должны быть готовы к проверкам соблюдения ими правил обработки персональных данных. Такие проверки будет проводить Роскомнадзор. Уже готов и вступил в силу регламент данных ревизий. В связи с этим предлагаем ознакомиться с типичными нарушениями, которые могут быть выявлены при подобных проверках, с тем, чтобы не допустить их у себя.

Читайте также:  Новый законопроект предполагает сохранение минимальных доходов должника

Регламент проведения проверок обращения с персданными

  • Правительство РФ утвердило правила проверок организаций на предмет того, не нарушают ли они закон при обработке персональных данных своих сотрудников и клиентов-физлиц.
  • Объект проверки
  • Проверять будут юрлиц и ИП, являющихся операторами персданных.
  • Таким образом, контролю подвергнут работодателей, поскольку они являются операторами персданных.
  • Виды проверок
  • Ревизии могут проходить в виде:
  1. плановых проверок – выездных и документарных;
  2. внеплановых проверок – выездных;
  3. мероприятий без взаимодействия инспекторов с операторами.

Плановые проверки

Проводятся в соответствии с ежегодными планами, которые размещаются в сети Интернет.

Частота – раз в 3 года. Срок отсчитывается с момента госрегистрации компании или окончания последней плановой проверки.

В отдельных случаях – раз в 2 года. Например, если фирма собирает биометрические (фотографии сотрудников) и специальные (раса, национальность, состояние здоровья) категории персданных.

Внеплановые проверки

Проводятся на основании:

  •  обращений граждан;
  •  по требованию прокурора;
  •  в случае неисполнения оператором предписания.

Уведомление компании

Роскомнадзор должен уведомить фирму:

  •  о проведении плановой проверки – не позднее чем за 3 рабочих дня:
  •  о проведении внеплановой проверки – не менее чем за 24 часа до начала ее проведения.

Способ уведомления – направление копии приказа о проведении проверки (либо-либо):

  • заказным письмом с уведомлением о вручении;
  • электронным документом с усиленной квалифицированной электронной подписью на электронную почту.

Что будут проверять

Инспекторы проверят:

  • документы, локальные акты и принятые оператором меры по списку в ч. 1 ст. 18.1 закона о персданных;
  • обработку персданных на предмет ее соответствия установленным требованиям;
  • информационные системы персданных.
  1. Мероприятия без взаимодействия с компанией
  2. Такие мероприятия проводятся на основании заданий на их проведение, утверждаемых руководителем органа Роскомнадзора.
  3. К данным мероприятиям относится контроль за соблюдением компанией требований при размещении информации в сети Интернет и СМИ, а также в федеральных государственных информационных системах.

Постановление Правительства РФ от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»

Примечание редакции:

По итогам таких проверок могут накладываться штрафы по ст. 13.11 КоАП РФ: санкции на юрлиц – от 30 до 75 тыс. рублей. 

Что работодатель должен и не должен знать о работнике

В Трудовом кодексе РФ нет конкретного перечня сведений, относящихся к персональным данным работника. Равно как и нет его и в Законе «О персональных данных». В этом документе есть только их Определение: это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Соответственно, в законодательстве отсутствует список сведений, которые работодатель вправе собирать и хранить в отношении каждого работника.

Вместе с тем в ст. 65 ТК РФ приведен перечень документов, которые сотрудник предъявляет работодателю при приеме на работу. По этим документам можно понять, какие сведения о работниках компания получает, и соответственно, имеет право обрабатывать, а каких сведений в ее распоряжении оказаться не должно.

Что у компании должно быть

Итак, при приеме на работу работодатель получает персональные данные работника, а именно:

  •  Ф.И.О., возраст, место жительства, семейное положение (из паспорта);
  •  трудовой стаж и предыдущие места работы (из трудовой книжки);
  •  регистрация в органах ПФР (из карточки СНИЛС);
  •  отношение работника к воинскому учету (из документов воинского учета);
  •  образование и квалификация (из дипломов, аттестатов, свидетельств об образовании);
  •  судимость (из справки о ее наличии или отсутствии);
  •  употребление наркотиков (из справки, подтверждающей или опровергающей этот факт).

Чего быть не должно

Требовать от работника другие документы кодекс запрещает, поэтому иных персональных данных сотрудника у организации быть не должно – например, свидетельств о рождении и браке (по крайней мере, при приеме на работу они не требуются).

Также компания не вправе настаивать на том, чтобы сотрудник при заполнении личной карточки (форма утверждена Постановлением Госкомстата РФ от 05.01.2004 № 1 и, кстати, уже давно необязательна), указывал в ней сведения о составе своей семьи, местах рождения и работы своих родственников, номера их телефонов и так далее.

Исключение сделало только для иностранцев и госслужащих. Для них дополнительные документы для трудоустройства определены отдельными федеральными законами.

Кроме того, фирма не должна хранить копии документов, перечисленных в ст. 65 ТК РФ. В кодексе сказано, что оригиналы предоставляются работодателю лишь при заключении трудового договора. Это значит, что после занесения сведений в договор оригинал возвращается, а снимать копии и хранить их кодекс не разрешает.

Статья Проказина Е.А., редактора-эксперта журнала «Время Бухгалтера»

Положение о порядке обработки персональных данных необходимо

Трудовая инспекция выдала обществу предписание устранить нарушения трудовых прав работников.

Среди них – принять локальный акт, устанавливающий порядок обработки персональных данных сотрудников предприятия.

Общество оспорило предписание, сославшись на то, что вывод о нарушении трудовых прав работников является надуманным. В организации числится лишь один работник, и он же является директором ООО. Выходит, что трудовая инспекция одновременно и защищает права работника, и привлекает его же к ответственности, что недопустимо.

Суд не внял этому аргументу и решил, что в соответствии со ст. 86‒88 ТК РФ у каждого работодателя должен иметься локальный нормативный акт о порядке обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Поэтому у государственного инспектора труда имелись основания для выдачи предписания.

Апелляционное Определение Московского городского суда от 06.05.2014 № 33-15735/14

Копии паспортов, военных билетов и свидетельств о рождении хранить нельзя

Роскомнадзор по итогам проверки банка выдал ему предписание устранить нарушения при работе с персональными данными сотрудников. А именно – не хранить в личных делах копии:

  •  паспортов;
  •  военных билетов;
  •  свидетельств о рождении детей;
  •  свидетельств о браке.
  • Банк обосновал необходимость копий тем, что они нужны ему во исполнение требований действующего законодательства по обеспечению актуализации сведений кадрового и воинского учета.
  • Кроме того, один из работников представил суду объяснения, что он осознанно и добровольно передал банку на хранение копии паспорта, военного билета, свидетельств о браке и о рождении ребенка.
  • Однако суд оставил предписание в силе.
  • Для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом паспорта, в котором содержатся все необходимые сведения.
  • Хранение копий указанных документов превышает объем обрабатываемых персональных данных работника, действующим законодательством не предусмотрено, нарушает права и свободы гражданина, снижает уровень прав и гарантий работника и противоречит федеральному законодательству.
  • Более того, у банка отсутствуют законные основания для обработки специальной категории персданных – национальности сотрудников, которая указана в свидетельствах о рождении и браке.

Что касается доводов банка, то хранение и дальнейшее использование копий паспортов и военных билетов, полученных от сотрудников банка при трудоустройстве, не только не обеспечивает точность и актуальность персональных данных, а напротив, может привести к использованию недостоверных сведений. Используя в качестве источников информации такие копии документов, банк не учитывает реальное состояние указанных в них сведений, что свидетельствует о признаках нарушения ст. 5 закона № 152-ФЗ.

Постановление ФАС Северо-Кавказского округа от 21.04.2014 № А53-13327/2013

Примечание редакции:

Другая компания пошла еще дальше – не только хранила копии трудовых книжек, но и выдавала их сотрудникам за плату. В правилах внутреннего трудового распорядка было прямо прописано, что работник вправе получить заверенную копию трудовой книжки. Только один экземпляр – бесплатно, а второй и последующие – за установленную плату.

Трудовая инспекция оштрафовала фирму за это.

Та оспорила штраф, ссылаясь на то, что нарушение если и есть, то малозначительное, ведь плата была невысока и не причинила сотрудника большого ущерба.

Суд решил, что размер платы значения не имеет. Компания в принципе не имела права вводить платную выдачу копий трудовых книжек, что противоречит трудовому законодательству (Постановление Московского городского суда от 29.08.2011 № 4а-1743/11).

Вместе с тем Роструд считает, что с письменного согласия сотрудников компания вправе хранить копии их документов («Доклад с руководством по соблюдению обязательных требований, дающих разъяснение, какое поведение является правомерным, а также разъяснение новых требований нормативных правовых актов за 2 квартал 2017 г.»).

Ссылка на основную публикацию
Adblock
detector