Цель обработки персональных данных в организации

Что такое обработка персональных данных

Понятие «обработка» представляет собой действия, совершаемые с объектом.

Применительно к информации о гражданах эти действия включают в себя:

• сбор данных;
• проверку;
• представление в виде системы;
• применение;
• ликвидацию;
• сохранение.

Ее положения позволяют оператору самостоятельно обрабатывать персональную информацию, не извещая об этом дополнительно Роскомнадзор.

Ранее закон относил к персональным (личным) данным только фамилию гражданина, его имя с отчеством, место регистрации и данные паспорта. Сейчас этот перечень расширен и включает в себя семейный статус, полученное образование, размер дохода и благосостояния.

Заметьте! Не подлежат обработке работодателем политическая приверженность, принадлежность к определенной религии и другие аспекты личной жизни сотрудников.

Закон позволяет производить обработку информации несколькими методами. Под обработкой автоматизированным способом понимается использование компьютера. Соответственно, неавтоматизированная обработка подразумевает работу с бумажными документами. В настоящее время в большинстве организаций применяется сочетание первого и второго методов.

Состав персональных данных работника

Ч. 2 ст. 86 ТК РФ предписывает устанавливать количественный и качественный состав персональных данных сотрудника исходя из Конституции России и соответствующих ей законов.

Работа с личной информацией сотрудников заключается в использовании документации двух типов:

• представляемой гражданином при трудоустройстве в соответствии со ст. 65 ТК РФ. Сюда включаются личные фотографии, информация о рождении, принадлежность к гражданам страны, сведения о семейном статусе, адресе регистрации, полученном образовании и присвоенной специальности. Соответственно, это паспорт гражданина России, свидетельство СНИЛС, документ военнообязанного лица (военный билет) и пр.;
• составляемой администрацией предприятия без участия гражданина. Речь идет о документации в сфере учета рабочего времени и оплаты труда. Сюда относятся разного рода приказы, издаваемые руководством, карточка сотрудника, табели и платежные ведомости.

ЧИТАЙТЕ ТАКЖЕ: Порядок приема на работу по Трудовому кодексу РФ.

Цели обработки персональных данных на предприятии

Организация обрабатывает личные данные работников в следующих целях:

• создание, заключение, выполнение и расторжение договоров гражданско-правового характера. Сюда включаются отношения и с физическими, и с юридическими лицами, а также с предпринимателями. Такие отношения регулируются законами и документами о деятельности компании;
• учет в кадровой сфере, контроль исполнения законов в общей деятельности и области гражданского права;
• осуществление делопроизводства, соответствующего требованиям закона, правильное оформление приема на работу, помощь в карьерном росте сотрудникам, применение льгот;
• правильное применение норм налогового права в области налогообложения доходов граждан и отчисления взносов в фонды, формирование данных учета и передача их в Пенсионный фонд РФ;
• ведение статистики и оформление документации, требуемой нормами налогового и трудового права.

Посмотрите видео. Как составить согласие на обработку персональных данных:

Что такое согласие на обработку

Передавая работодателю документы, необходимые для оформления приема на работу, гражданин сразу же письменно подтверждает, что согласен на обработку своих данных. Статья 3 Закона № 152-ФЗ включает в состав таких сведений всю информацию о работнике, в том числе и о предыдущей работе.

Принято делить персональные сведения на три раздела:

• сведения общего доступа – ФИО, пол, информация о рождении гражданина;
• биометрические – относящиеся к физическому состоянию и внешним данным, которые определяются обычным осмотром;
• особые – национальная принадлежность, принадлежность к религии, наличие судимостей, состояние здоровья, дополнительная информация о прежней работе, например статья, по которой гражданин уволен.

Сведения общего доступа не являются конфиденциальными, все остальные могут обрабатываться только при получении на то согласия обладателя.

Обратите внимание! Согласие гражданина не может быть бессрочным. Давая его, работник позволяет работать с информацией до какой-либо даты либо до наступления события. Допускается и отзыв работником своего согласия (п. 4 ст. 9 Закона № 152-ФЗ).

В каких случаях согласие требуется

Цель получения и обработки личной информации зависит от того, к какой категории принадлежит сам субъект. Это может быть сотрудник, претендент, клиент и т. д.

В отдельных случаях обработка вызвана исключительно требованиями закона. Речь идет, например, о нормах трудового права. Также закон обязывает кредитные организации публиковать для общего сведения перечень аффилированных лиц.

Открытые АО не имеют права скрывать состав своих акционеров. В этом случае организация исполняет требования закона, и дополнительных действий от нее не требуется.

В других случаях компания самостоятельно решает произвести какие-либо действия, требующие работы с личными данными. Тогда она обязана предварительно испросить у гражданина его согласие.

Имейте ввиду! Так, при оформлении трудового договора компания не обязана брать письменное согласие работника на внесение в документы сведений о его ФИО, дате рождения и месте прописки.

Но если в организации зарплата перечисляется исключительно на банковские карты, то для передачи в банк сведений согласие работника потребуется. Дело в том, что трудовое законодательство не содержит указания на обязательность таких действий. Руководствоваться следует ст. 9 Закона № 152-ФЗ.

Нередко магазины и интернет-площадки пользуются в качестве рекламы рассылками на телефонные номера и электронные адреса клиентов. В этом случае им следует заранее сообщить покупателям, для чего нужна подобная информация, и как она будет использоваться.

Биометрическая информация, как правило, требуется в тех случаях, когда организация устанавливает у себя особые системы доступа к данным. Тогда бывают нужны сведения о внешнем виде гражданина.

Передача данных за границу регламентируется отдельно, статьей 12 вышеуказанного закона. Статья 19 предлагает руководствоваться при обработке данных требованиями трех видов.

Правовые меры

Компании-оператору следует определить, как именно будет осуществляться обработка и с какой целью. Далее в организации должен быть издан внутренний документ, включающий в себя все основные правила.

Он может именоваться Положением об обработке персональных данных или соответствующей Политикой. Руководитель организации должен издать приказ, назначив сотрудника, ответственного за исполнение установленных правил, и порядок реализации.

Меры организационные

Изданный в организации документ должен быть доступен для ознакомления всем работникам. На практике обычно он размещается на специальном стенде, где доступ к нему имеют и работники, и посетители.

Знайте! Закон предусматривает возможность любого гражданина направить в организацию запрос относительно того, ведет ли она обработку его данных. Также он вправе узнать, как и с какой целью осуществляется этот процесс. Также законодатель позволяет физическому лицу установить запрет на обработку его личной информации.

Получив от субъекта персональных данных любой запрос или запрет подобного рода, оператор обязан дать ему обоснованный ответ. Более подробно эти моменты рассмотрены в статьях 20 и 21 Закона № 152-ФЗ.

Технические меры при обработке информации

Закон предусматривает, помимо прочего, меры защиты информации. Они могут относиться к способам физической защиты (опечатывание, хранение бумаг в сейфах, установление замков и решеток).

Оператор, приступая к обработке информации, должен:

• определить, каковы основания и цели его действий в этой сфере применительно к определенным субъектам;
• изучить закон и установить порядок исполнения его положений. Сформировать соответствующие правовые акты компании, предусмотрев в них все важные положения;
• издать «Положение об обработке персональных данных» или такую же «Политику…» и выполнять в дальнейшем те правила, которые там будут отражены;
• принять меры, обеспечивающие безопасность хранимой и обрабатываемой информации.

Важное дополнение. В настоящий момент закон достаточно подробно регламентирует правовую сторону обработки данных и организационные мероприятия, которые должны в этой области осуществляться, в отношении всех операторов.

Что касается мер технической защиты, здесь положение дел несколько иное. Для государственных органов и учреждений разработана целая система мер безопасности, которые успешно применяются.

Для коммерческих организаций этот вопрос решен только в общем виде. Какие именно технические меры и в каком объеме будут применяться, решает сама компания. Закон предоставляет коммерческим организациям свободу выбора в решении этого вопроса.

Следует помнить, что вопрос очень серьезен, поскольку ответственность в случае применения неподходящих способов защиты возлагается на самого оператора.

ЧИТАЙТЕ ТАКЖЕ: Как составить жалобу в Роскомнадзор об использовании персональных данных?

Когда не требуется согласие

Закон не обязывает оператора запрашивать согласие субъекта на обработку его данных в следующих случаях:

• она предусмотрена условиями заключенного с гражданином соглашения или включена в состав полномочий и общих функций работодателя. Примеры таких ситуаций: ответы на официальные запросы государственных органов, направление сведений в ПФР РФ и т. д.;
• в организации имеется коллективный договор или иное соглашение с работниками. Также сюда относятся и иные нормативные акты компании, соответствующие ст. 372 ТК РФ;
• закон обязывает данную категорию работодателей делать доступной информацию о состоящих в штате сотрудниках. Пример: медицинские учреждения, которые обязаны информировать население о количестве своих работников, их уровне образования и результатах пройденной аттестации;
• информация о состоянии здоровья гражданина напрямую связана с его допуском к определенной работе. Например, работники сферы образования должны проходить регулярное медицинское освидетельствование, о чем извещается работодатель;
• обработку данных осуществляет Прокуратура в рамках возложенных на нее законодателем полномочий;
• обработка данных связана с личностями членов семьи работника, указанных в карточке Т-2. Сюда относятся случаи взыскания алиментов, предоставления дополнительных выплат, оформления допуска к закрытым сведениям и пр.;
• трудовые обязанности гражданина напрямую связаны с обработкой данных;
• в организации применяются особые формы предоставления доступа на отдельные территории, требующие обработки данных;
• существует непосредственная и прямая угроза жизни работника и его здоровью, и ее устранение требует передачи другим лицам личной информации о гражданине. Другие подобные случаи могут быть оговорены в законе;
• обрабатываются данные сотрудников, уже уволенных из организации, – обычно речь идет о работе бухгалтерии;
• обрабатываемые данные были переданы работником в обычных документах при оформлении приема на работу согласно ст. и ч. 4 ст. 275 ТК РФ.

Рекомендации Роскомнадзора более глубоко рассматривают каждый из приведенных пунктов. Для лучшего понимания их сути рекомендуется изучить эти положения полностью.

Далее будут приведены отдельные положения из данных рекомендаций. Они касаются необходимости согласия сотрудника на передачу его личных данных по запросу от государственных органов, а также компаний, которые изначально такими правами не обладают.

Запомните! Сведения предоставляются без получения согласия гражданина, если их запросили в пределах своей компетенции: правоохранительные органы, надзорные органы (в том числе Прокуратура и Государственная Инспекция труда), органы системы государственной безопасности, а также другие органы, правомочия которых в этой сфере были закреплены на федеральном законодательном уровне.

Запрос должен быть правильно оформлен. В нем указывается цель, статьи законов, дающие подобное право, а также четкий перечень необходимых данных.

Также работодатель вправе истребовать у получателя информации подтверждение того, что это условие соблюдалось или будет соблюдаться.

Организация может передавать сведения о сотруднике в кредитную организацию, не заручившись его официальным согласием, при работе с банковскими картами в следующих ситуациях:

• банк предварительно заключил с гражданином договор обслуживания, где оговаривалась возможность получения и обработки банком его личных данных;
• работник выдал работодателю доверенность, дающую тому право быть его представителем при оформлении отношений с банковской организацией при выпуске и обслуживании карты;
• коллективный договор компании изначально предусматривает оплату труда с использованием форм обработки данных (ст. 41 ТК РФ).

Согласие: как правильно оформить

Ч. 3 ст. 9 Закона № 152-ФЗ содержит такое положение: оператор обязан либо получить у субъекта официальное согласие на обработку его данных либо представить обусловленные правовыми нормами основания для осуществления подобной деятельности без согласия лица.

Оператору предлагается руководствоваться статьями 2 –11, ч. 1 ст.6, ч.2 ст. 10 и ч. 2 ст. 11 Закона № 152-ФЗ. Ответственность за соблюдение этих норм возлагается на него.

Поскольку статьи 6 и 9 указанного закона обязывают получить согласие работника на такую обработку информации, работодателю рекомендуется подстраховаться, заранее заручившись согласием сотрудника на подобные действия.

ЧИТАЙТЕ ТАКЖЕ: Вторжение в личную жизнь.

Скачать образец согласия на обработку персональных данных бесплатно в формате word

При оформлении согласия на работу с персональными данными в текст документа нужно включить:

• полностью ФИО гражданина, его адрес, данные паспорта, в том числе сведения о его месте и дате выдачи;
• если речь идет о представителе – ФИО, адрес проживания, данные паспорта, включая сведения о месте и дате выдачи, номер и дата выдачи доверенности, дающей соответствующие полномочия;
• полное наименование работодателя (если это ИП, то следует указать полностью ФИО);
• цель работы с информацией;
• перечень сведений, которые будут подвергнуты обработке;
• наименование компании или ФИО с адресом гражданина, который проводит обработку сведений в пределах своих обязанностей и компетенции;
• указание на конкретные способы обработки, которые будут применены к личным сведениям;
• период времени, в течение которого действует данное работником согласие, и способы отказа от него;
• подпись гражданина.

Оформляя согласие работника, необходимо придерживаться следующих требований:

• личные сведения о работнике передаются им работодателю лично;
• согласие на обработку информации должно даваться исключительно добровольно;
• согласие на обработку данных предоставляется при передаче работодателю сведений;
• текст документа о согласии должен быть достаточно подробным, информативным и понятным. Работник подписывает его осознанно.

Можно ли отказаться от обработки персональных данных с позиции закона

Гражданин вправе отказаться от обработки его данных без каких-либо правовых последствий такого решения. Ст. 9 указанного выше закона говорит о том, что согласие должно быть добровольным.

Ч. 5 ст. 6 уже упомянутого закона разрешает работодателю обрабатывать сведения о работнике без его официального согласия, если это связано с исполнением трудового соглашения. Работодатель вправе производить такие действия без дополнительного согласия гражданина. Положение касается только лиц, принятых в штат компании.

Работодатель не обязан заключать трудовой договор при отсутствии возможности работать с информацией. Также отказ подобного рода может отрицательно сказаться на работе, если в организации введен пропускной режим. В таком случае несогласие с обработкой данных влечет невозможность получения и обновления прав доступа к конкретному объекту.

Такой работник не может выполнять закрепленные за ним трудовые обязанности, следовательно, не в состоянии продолжать работу в организации, не имея прав доступа.

Внимание! Наши квалифицированные юристы окажут вам помощь бесплатно и круглосуточно по любым вопросам. Узнайте подробности здесь.

Защита персональных данных: ответственность за нарушение законодательства

Законодатель, подробно оговаривая условия обработки информации, предусматривает наказание за их нарушение.

При этом отдельные последствия могут наступать не только для граждан и должностных лиц, но и для юридических лиц.

В рассматриваемой сфере эти две категории взаимосвязаны. Изначально нарушение правил обработки информации и ее разглашение причиняют гражданину неимущественный вред, из которого проистекает и имущественный ущерб.

Гражданин вправе оценить каждую из этих категорий и предъявить нарушителю соответствующий иск в судебном порядке. При этом моральный вред также подлежит объективной оценке и возмещается в виде денежной суммы.

П. 7 ст. 243 ТК РФ гласит, что работник, виновный в разглашении личной информации, несет ответственность в полном объеме причиненного вреда.

Виновный в подобном нарушении сотрудник привлекается, помимо прочего, к дисциплинарной ответственности, вплоть до увольнения. Право работодателя применять к работнику санкции закреплено статьей 192 ТК РФ.

Если степень вины работника не слишком велика, вместо увольнения могут применяться выговор либо замечание. В каждом случае этот вопрос решается отдельно.

К сведению! Если должностные обязанности работника так или иначе связаны с обработкой персональных сведений о других лицах, его права и обязанности должны быть четко определены. Они закрепляются в трудовом договоре, а также в нормативно-правовых актах, изданных в данной организации применительно к рассматриваемой области.

Перечень полномочий сотрудника и связанных с ними обязательств нужно максимально четко оговорить, чтобы исключить возможные недоразумения.

Административные санкции (статьи 13.11 и 13.14 КоАП РФ) за нарушения в процессе сбора личной информации, ее хранения и работы с ней включают в себя вынесение предупреждения и наложение штрафа:

• для граждан – 1 000 – 3 000 руб.;
• для должностных лиц – 5 000 – 10 000 руб.;
• для организаций – 20 000 – 50 000 руб.

Если при ведении сотрудником профессиональной деятельности или несении государственной службы произошло разглашение персональных данных лиц, передавших их в данную организацию для обработки, размеры штрафов таковы:

• для граждан – 500 – 1000 руб.;
• для должностных лиц – 4 000 – 5 000 руб.

Уголовный кодекс РФ предусматривает меры наказания за вторжение в частную жизнь и нарушение ее неприкосновенности в статье 137. В это понятие включаются также и нарушения в области обработки информации, подпадающие под понятие преступления.

Закон в этом случае более суров, соответственно, санкции здесь таковы:

• штраф до 200 000 руб., взыскание дохода, полученного нарушителем в течение 18 мес., применение обязательных работ продолжительностью 120 – 180 часов;
• применение исправительных работ продолжительностью до года;
• арест гражданина на период до 4 мес.

Оно может заключаться в следующем:

• штраф 100 000 руб. – 300 000 руб., взыскание заработка или прочего дохода, полученного за период до 2 лет;
• запрет на ведение конкретной деятельности или работу в определенной должности на срок 2 – 5 лет;
• арест на период от 4 до 6 месяцев.

Посмотрите видео. Ограничение обработки персональных данных:

Автор статьи:

Евгения Долгая