Персональные данные в трудовом договоре. Оформляем документы для защиты личных данных работников Нужно ли согласие на обработку персональных данных
Какие документы должен составить индивидуальный предприниматель для защиты персональных данных сотрудников?
Что указывается в положении о персональных данных?
Нужно ли от каждого сотрудника получать согласие на обработку данных?
Информация о физлице, которую бизнесмен получает, принимая сотрудника на работу, относится к персональным данным, а значит, предприниматель должен выполнять требования Федерального закона о персональных данных от 27 июля 2006 г. № 152-ФЗ (далее - Закон № 152-ФЗ), а также помнить о Трудовом кодексе, которым также оговаривается защита персональных данных сотрудника.
Персональные данные в рамках ТК РФ
Информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, относится к персональным данным. Получение, хранение, комбинирование, передача или любое другое использование персональных данных кодекс называет обработкой персональных данных работника (ст. 85 ТК РФ).
Все персональные данные работника следует получать у него самого. Если информацию можно получить только у третьей стороны, то сотрудника следует уведомить об этом заранее и от него следует получить письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение (п. 3 ст. 86 ТК РФ).
Персональные данные работника содержатся в различных документах (таблица). Задача коммерсанта – обеспечить защиту персональных данных работника от недобросовестного их использования кем-либо или утраты (п. 7 ст. 86 ТК РФ). Кроме того, нельзя забывать о требованиях Закона № 152-ФЗ, который также регулирует вопросы хранения и обработки персональных данных. Никаких специальных систем и сейфов коммерсант приобретать не обязан. Трудовой кодекс предоставляет работодателю свободу: «порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего кодекса и иных федеральных законов» (ст. 87 ТК РФ). Необходимо документально оформить правила хранения и защиты персональных данных.
Таблица 1
Документы, в которых содержатся персональные данные работников
|
№ п/п |
Вид документа |
Персональные данные сотрудника |
|
Анкета, другой документ, заполняемый кандидатом на должность при собеседовании |
Анкетные, биографические данные физлица |
|
|
Копия паспорта или другого документа, удостоверяющего личность |
ФИО, дата рождения. Адрес регистрации, семейное положение |
|
|
Трудовая книжка |
Информация о трудовом стаже, предыдущих местах работы |
|
|
Копия страхового свидетельства государственного пенсионного страхования |
ФИО, личные данные |
|
|
Документы воинского учета |
Информация о воинской обязанности |
|
|
Документы об образовании, квалификации, наличии специальных знаний |
Сведения о квалификации |
|
|
Личная карточка (форма № Т-2 утверждена постановлением Госкомстата России от 5 января 2004 г. № 1) |
ФИО сотрудника, место его рождения, состав семьи, образование, данные документа, удостоверяющего личность, другие сведения |
|
|
Копии свидетельств о заключении брака, рождении детей |
Состав семьи, изменения в семейном положении |
|
|
Справка о доходах с предыдущего места работы |
ФИО, данные о доходе и удержанном НДФЛ |
|
|
Трудовой договор |
Сведения о должности, зарплате, месте работы, рабочем месте, другие персональные данные |
|
|
Приказы по личному составу |
Информация о приеме на работу, переводе, увольнении, назначениях, других событиях, связанных с трудовой деятельностью |
Положение о персональных данных
В первую очередь коммерсант должен составить внутренний документ, где будут урегулированы вопросы хранения и обработки сведений о сотрудниках – положение о персональных данных работников. Разработать внутренний регламент требует и Закон № 152-ФЗ. Каких-либо требований или унифицированной формы положения нет, исходя из требований законодательства основные разделы, положения приведены в таблице 2.
Положение утверждается приказом коммерсанта. Затем все работники под роспись должны быть ознакомлены с этим документом. Можно сделать отдельный журнал (лист) со списком сотрудников, где каждый напротив свой фамилии поставит подпись и дату. Для работников, которые будут оформляться после утверждения положения, факт ознакомления можно зафиксировать в тексте трудового договора.
Далее следует установить перечень сотрудников, которым будет разрешен доступ к персональным данным. Для этого необходимо составить отдельный приказ, где будет названо лицо, ответственное за сбор, обработку, хранение персональных данных (либо оформить это назначение отдельным приказом), а также лица, имеющие доступ к информации (должности должны быть прописаны в положении о персональных данных) и перечень данных, которыми вправе пользоваться тот или иной специалист. Многие данные хранятся в электронном виде. Доступ к этой информации должен быть ограничен (пароли доступа, другие средства электронной защиты), но это не все – необходимо составить список лиц, имеющих доступ к базам данных. Поэтому придется составить либо еще один приказ, либо указать лиц, имеющих доступ к информации в электронном виде в общем приказе.
Сотрудники, получившие доступ к персональным данным других работников, обязаны не разглашать информацию. Проследить за этим сложно, но обезопасить себя коммерсант сможет, если получит от работника письменное обязательство о неразглашении данных.
Таблица 2
Основные разделы, которые должны содержаться в положении о персональных данных работников
|
№ п/п |
Раздел |
|
|
Общие положения |
Цель создания документа (защита данных), вопросы, которые регулирует положение (порядок получения, обработки, хранения), ссылки на нормативные документы, на основании которых разработано положение (Конституция, Трудовой кодекс, Закон о защите персональных данных) |
|
|
Понятия и состав персональных данных |
Все определения, связанные с персональными данными («персональные данные», «обработка персональных данных» и др.) можно взять из статьи 3 Закона № 152-ФЗ, а также статьи 85 ТК РФ. |
|
|
Обязанности работодателя |
Требования, которые должен соблюдать работодатель, названы в статье 88 ТК РФ, а также статьях 18 – 21 Закона № 152-ФЗ |
|
|
Обязанности работника |
Отдельной статьи, регулирующий этот вопрос, нет. Но в числе обязанностей работника можно назвать обязанность передавать работодателю документы, содержащие персональные данные, перечень которых установлен трудовым и налоговым законодательством, а также своевременно сообщать работодателю об изменении персональных данных |
|
|
Права работника |
Права работника перечислены в статье 89 ТК РФ |
|
|
Обработка персональных данных |
Обработка персональных данных работника – это получение, хранение, комбинирование любое другое использование информации о работнике. Общие требования, которые должны соблюдаться при обработке приводятся в статье 86 ТК РФ, а также в статьях 6 и 9 Закона № 152-ФЗ. Здесь можно указать, что всю информацию работодатель собирает и хранит для трудоустройства и дальнейшего контроля за качеством выполняемой сотрудником работы (или сделать отдельный раздел «Использование персональных данных», где указать цели использования личной информации). Также можно указать сроки хранения документов |
|
|
Передача персональных данных |
Порядок передачи персональных данных внутри (это актуально для организаций), сторонним лицам, государственным ведомствам. Здесь перечисляются требования, которые должен соблюдать работодатель при передаче данных. В частности, нельзя сообщать сведения без письменного согласия сотрудника. Исключение – случаи, предусмотренные законодательством (представление сведений о доходах в налоговую, отчет в фонды) |
|
|
Доступ к персональным данным |
Оговаривается круг лиц, имеющих доступ к персональным данным (внутренний и внешний). Перечислить сотрудников, имеющих доступ к персональным данным (индивидуальный предприниматель, бухгалтер, сам работник). Достаточно назвать должности, а конкретных лиц утвердить отдельным приказом, указав, к каким именно сведениям тот или иной работник имеет право доступа. Далее следует назвать лиц внешнего доступа, то есть, кому могут быть предоставлены сведения: государственные и негосударственные функциональные структуры (налоговые инспекции, фонды, правоохранительные органы, страховые агентства, подразделения муниципальных органов управления и др.), другие организации (в случае запроса о работающем или уволенном сотруднике, сведения предоставляются с письменного согласия работника; можно еще указать необходимость письменного запроса от организации), родственники и члены семьи (сведения могут быть предоставлены родственникам или членам семьи только с письменного разрешения самого работника) |
|
|
Защита персональных данных |
Основные действия работодателя для обеспечения защиты и сохранности сведений: лица, осуществляющие оформление, ведение, хранение информации (только ИП, ИП и бухгалтер, сотрудники отдела кадров); форма хранения (в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа); хранение сведений в электронном виде (персональные компьютеры, защищенные паролем доступа); лица, которые вправе отвечать на письменные запросы о предоставлении информации (только лица, осуществляющие оформление и хранение, либо лица, имеющие доступ в пределах предоставленных полномочий); возможность передачи информации по телефону, факсу, электронной почте (обязательно письменное согласие работника) |
|
|
Ответственность за нарушение норм, регулирующих обработку и защиту персональной информации |
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (ст. 90 ТК РФ) |
Согласие работника
Обработка персональных данных осуществляется с согласия субъекта персональных данных, то есть физлица (подп. 1 п. 1 ст. 6 Закона № 152-ФЗ). Но существуют случаи, когда согласие не нужно, в частности, когда обработка осуществляется для выполнения обязанностей, возложенных на оператора (работодателя) законодательством (подп. 2 п. 1 ст. 6 Закона № 152-ФЗ). Коммерсант как работодатель обрабатывает персональные данные сотрудника для выполнения своих обязанностей, как стороны трудового договора, а именно составление отчетности, представление сведений о доходах, удержание и перечисление налога, то есть выполняет требования закона. Тем не менее, многие работодатели перестраховываются и запрашивают согласие у всех сотрудников, поскольку формулировки Закона № 152-ФЗ нечеткие, а в Трудовом кодексе эта ситуация не оговаривается.
Кроме того, если предполагается какое-либо иное использование персональных данных, выходящее за рамки Трудового кодекса, скажем, размещение информации о сотруднике на стенде или интернет-сайте, использование фамилии сотрудника в его электронном адресе, оформление визитных карточек сотруднику, то согласие лучше получить. Отметим: в согласии работника обязательно должны указываться ФИО и адрес сотрудника и предпринимателя, реквизиты паспорта работника, цель обработки данных (кадровый учет, отчетность); перечень данных, на обработку которых дается согласие; перечень действий с персональными данными, на совершение которых дается согласие; срок действия согласия, способ отзыва, подпись работника (ст. 9 Закона № 152-ФЗ).
Нужно ли согласие работника, если коммерсант самостоятельно не составляет отчетность, а привлекает сторонних специалистов? Однозначного ответа на данный вопрос нет, разъяснений ведомств тоже. Отдельные налоговые представители требуют предоставить согласие каждого сотрудника и даже предлагают собственный бланк заявления. Конечно, документ лишним не будет и обезопасит от возможных претензий контролеров. Поэтому, если работников немного, согласие лучше получить от каждого. В этом случае в заявлении помимо прочего указывается лицо (нанимаемый специалист, фирма), кому будут предоставляться персональные данные. С другой стороны налоговый агент становится представителем работодателя и, представляя отчетность, действует от его имени, то есть в рамках трудового законодательства. Что касается сохранности сведений, в договоре с привлекаемыми специалистами всегда присутствует пункт о конфиденциальности. Условие о неразглашении сведений можно предусмотреть в трудовых договорах с сотрудниками, которые будут иметь доступ к персональным данным.
Образец
Согласие работника на обработку персональных данных
|
ИП Смирнову А. С. от менеджера Киселевой Е. Н. Заявление на обработку персональных данных Я, Киселева Елена Николаевна зарегистрированный (ая) по адресу:__г. Москва, ул. Смольная, д. 7, кв. 15 паспорт серия _45 04 _ № _123456 _, выдан _ОВД «Левобережный» г. Москвы 15.04.2002 даю согласие __ Индивидуальному предпринимателю Смирнову Антону Сергеевичу адрес: ___г. Москва ул. Полярная, д. 25, кв. 75 на автоматизированную, а также без использования средств автоматизации обработку следующих персональных данных: ФИО, паспортные данные, дата рождения, должность, адрес регистрации, ИНН, номер страхового свидетельства государственного пенсионного страхования _______________ в целях соблюдения законодательства, обеспечения личной безопасности, контроля выполняемой работы, обеспечения сохранности имущества. Перечень действий с персональными данными: Формирования кадровых документов и выполнения требований Трудового кодекса; Начисления заработной платы, исчисления и уплаты предусмотренных законодательством налогов, сборов и взносов на обязательное социальное страхование; Представления установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ; Размещения моих фотографий, фамилии, имени, отчества на интернет-сайте. Данное согласие действительно с __ 1 декабря 2011 года до даты расторжения трудового договора Согласие может быть полностью или частично отозвано субъектом персональных данных на основании его заявления Подпись Киселева |
Ответ: Условие трудового договора только о согласии работника на предоставление соответствующих сведений (Ф. И.О., должности, краткой автобиографии) не может считаться надлежащим согласием по смыслу Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее — Закон N 152-ФЗ). В рассматриваемой ситуации необходимо составить отдельный документ, соответствующий требованиям ч. 4 ст. 9 Закона N 152-ФЗ, или заключить дополнительное соглашение к трудовому договору.
Обоснование: Согласно п. 3 ст. 86 Трудового кодекса РФ все персональные данные работника следует получать у него самого.
В соответствии с ч. 1 ст. 6, ст. 9 Закона N 152-ФЗ обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
В ст. 8 Закона N 152-ФЗ установлено, что в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
Требования к письменному согласию субъекта персональных данных установлены в ч. 4 ст. 9 Закона N 152-ФЗ: согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Как отмечается в Разъяснениях Роскомнадзора по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве по состоянию на 24.12.2012, согласие работника может быть оформлено как в виде отдельного документа, так и закреплено в тексте трудового договора и отвечать требованиям, предъявляемым к содержанию согласия, согласно ч. 4 ст. 9 Закона N 152-ФЗ.
Таким образом, условие трудового договора только о согласии работника на предоставление соответствующих сведений не может считаться надлежащим согласием по смыслу Закона N 152-ФЗ. В рассматриваемой ситуации необходимо составить отдельный документ, соответствующий требованиям ч. 4 ст. 9 Закона N 152-ФЗ, или заключить дополнительное соглашение к трудовому договору.
В трудовой договор с работником включено условие о согласии предоставить Ф. И. О., должность и краткую автобиографию работодателю для опубликования на общедоступном сайте работодателя в сети Интернет. Необходимо ли дополнительно запрашивать согласие работника на предоставление персональных данных (по правилам Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»)? Организация не относится к тем работодателям, обязанность по размещению персональных данных работников которых в сети Интернет установлена нормативно
Узнаем некоторые особенности получения согласия на обработку персональных данных.
Если закон устанавливает обязанность получить согласие субъекта ПД на их обработку, оператор не имеет права принуждать этого субъекта к подписанию соответствующего соглашения. Гражданин принимает решение о предоставлении его ПД и дает согласие на их обработку свободно, своей волей и в своем интересе (п. 1 ст. 9 Закона о персональных данных).
Если субъект ПД недееспособен, согласие на обработку дает его законный представитель (например, если субъект – ребенок, его представляет один из родителей). Если субъект ПД мертв, согласие необходимо получить у его наследников (при условии, что это согласие не было дано субъектом ПД при жизни) .
Роскомнадзор в Разъяснениях указывает, что работодатель вправе обрабатывать персональные данные работника без получения соответствующего согласия в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка (являющимися обычно приложением к коллективному договору), соглашением, а также локальными актами.
А вот при привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан получить согласие работников на передачу их персональных данных.
Пунктом 2 ст. 9 Закона о персональных данных предусмотрена возможность субъекта ПД отозвать свое согласие на их обработку. Там же оговаривается возможность такой обработки без согласия субъекта ПД в случаях, установленных законом.
Форма согласия на обработку ПД
Согласие на обработку ПД может быть дано субъектом ПД или его представителем в любой форме, позволяющей подтвердить факт его получения (если иное не установлено федеральным законодательством (п. 1 ст. 9 Закона о персональных данных).
Роскомнадзор в Разъяснениях рекомендует согласие работника либо оформлять в виде отдельного документа, либо закреплять в тексте трудового договора. Требования к содержанию такого документа указаны в ч. 4 ст. 9 Закона о персональных данных.
Согласие в письменной форме должно включать в себя , в частности:
1) фамилию, имя, отчество, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПД);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПД;
4) цель обработки персональных данных;
5) перечень ПД, на обработку которых дается согласие субъекта ПД;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки;
8) срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Если согласие на обработку ПД составляется в форме электронного документа , оно должно быть подписано электронной подписью – таково требование п. 4 ст. 9 Закона о персональных данных.
Некоторые вопросы получения согласия субъекта ПД на их обработку
Что нужно учитывать, когда условие об обработке ПД является частью документа, например, договора?
Когда условие об обработке ПД является неотъемлемой частью подписываемого документа:
1. Содержание согласия должно быть конкретным и информированным , то есть включать сведения, позволяющие субъекту ПД однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных. Законом о персональных данных установлены требования к форме такого согласия (которые разберем ниже).
2. Документ должен предусматривать возможность отказа от данного условия, поскольку согласие добровольное.
Возьмем в качестве примера Постановление Девятого арбитражного апелляционного суда от 20.04.2015 № 09АП-9095/2015-АК. Гарантийная мастерская вынудила клиента подписать приложение к заявлению о сдаче товара, включающее пункт о согласии на обработку персональных данных. Согласие было неотъемлемой частью приложения, имело типовую форму с заранее определенными условиями, что не позволяло потребителю влиять на его содержание. Кроме того, приложение не предоставляло возможности отказаться от этого условия. Суд признал ремонтную организацию виновной в нарушении Закона о персональных данных.
Получатель жилищной субсидии не дает согласия на обработку персональных данных по религиозным соображениям. Имеет ли он право на получение госуслуги?
Когда обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Законом о госуслугах , для обеспечения предоставления такой услуги, для регистрации субъекта ПД на едином портале государственных и муниципальных услуг, согласие субъекта ПД на обработку указанной информации не требуется.
Статьей 6 Закона о персональных данных определены условия обработки персональных данных, в том числе указаны случаи, когда допускается обработка ПД без согласия на это субъекта ПД, среди которых и получение госуслуги. Из буквального толкования названной нормы следует, что каждый из таких случаев является самостоятельным основанием обработки персональных данных .
Получатель госуслуги в заявлении на ее получение выражает согласие на передачу и обработку своих персональных данных, необходимых для предоставления услуги.
Обращаясь с заявлением о предоставлении жилищной субсидии и указывая в нем необходимые данные, а также прилагая к нему предусмотренные законодательством документы, получатель госуслуг фактически выражает согласие на передачу и обработку своих персональных данных, требуемых для предоставления услуги.
Ни Законом о персональных данных, ни Законом о госуслугах не установлено, что обработка персональных данных гражданина в целях предоставления ему государственных или муниципальных услуг должна осуществляться только с его письменного согласия. Гражданин имеет право получать госуслуги даже без предоставления письменного заявления на обработку своих персональных данных.
Рассмотрим Апелляционное определение Костромского областного суда от 16.05.2012 по делу № 33-703А. При подаче документов в МФЦ гражданка не стала подписывать заявление о согласии на сбор ее персональных данных, в связи с чем ей было отказано в выплате субсидии. Суд первой инстанции признал действия сотрудников МФЦ правильными, поскольку обработка персональных данных заявителя сотрудниками МФЦ может осуществляться только с письменного согласия. Нежелание дать такое согласие – основание для отказа в приеме заявления и комплекта документов на предоставление государственных и муниципальных услуг.
Вывод суда о том, что МФЦ как оператор персональных данных обязан обеспечить их защиту, соответствовал нормам Закона о персональных данных и Закона о госуслугах. Вместе с тем последующие выводы о невозможности обработки персональных данных без письменного согласия получателя госуслуг и обоснованности отклонения документов на предоставление субсидии апелляционный суд признал ошибочными, поскольку заявление о предоставлении госуслуги с приложенными к нему документами получатель не отзывал, от предоставления услуги не отказывался. А отзыв заявления о согласии на обработку персональных данных, получение которого в силу закона необязательно, не являлся основанием для невозможности предоставления госуслуги. Тем более что у оператора были основания продолжить обработку персональных данных без согласия субъекта ПД.
Субъект ПД уклоняется от исполнения договора (не платит по счетам) и не хочет, чтобы кредитор беспокоил его звонками. Может ли субъект отозвать согласие на обработку своих персональных данных?
Обработка персональных данных может быть продолжена даже после того, как субъект ПД направил требование о ее прекращении, если правоотношения, возникшие между сторонами, продолжаются.
Рассмотрим в качестве примера Апелляционное определение Пермского краевого суда от 14.10.2015 по делу № 33-11127/2015. При заключении кредитного договора гражданин дал согласие на обработку ПД, а впоследствии обратился с заявлением об отзыве этого согласия. Банк отказался исполнить требования клиента, поскольку у него имелась просроченная задолженность. Суд первой инстанции, а затем и апелляционный суд, куда обратился должник, указали, что согласие на обработку персональных данных действительно может быть отозвано субъектом персональных данных (п. 2 ст. 9 Закона о персональных данных). Однако в случае отзыва субъектом ПД согласия на обработку оператор все равно может ее продолжить при наличии на то законных оснований.
Одно из таких оснований установлено п. 5 ч. 1 ст. 6 Закона о персональных данных: обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет выгодоприобретателем или поручителем.
Субъект ПД отозвал согласие на их обработку. Но оператор может ее продолжить при наличии на то законных оснований, например, если это необходимо для исполнения договора с субъектом ПД.
Как следует из содержания данной нормы закона, согласие субъекта ПД на обработку персональных данных не требуется, если она осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД. Поскольку субъект ПД задолженность перед банком не погасил – договор не расторгнут , для взыскания недостающих сумм кредитная организация вправе продолжать обработку ПД и после отзыва субъектом ПД своего согласия.
Случается и другое – оператор обрабатывает персональные данные лица, не участвующего в договоре , которые предоставлены другой стороной при заключении сделки. Например, получатель кредита указывает телефоны своих близких родственников, по которым можно с ним связаться. Оператор может получить такие данные иным путем, если другая сторона не выполняет обязательства по договору. Но следует помнить, что в рассматриваемом случае обработка полученных оператором персональных данных незаконна, несмотря на то, что это могло бы помочь исполнению договора.
Объект ПД, не давший своего согласия на обработку ПД и не являющийся стороной договора, имеет право потребовать прекратить незаконно использовать полученные сведения , а также компенсировать моральный и материальный вред, полученный в результате указанных действий. Рассмотрим Апелляционное определение Верховного Суда Республики Карелия от 14.09.2015 по делу № 33-3094/2015. При заключении договора по просьбе сотрудника банка клиент предоставил телефон своей супруги. После несвоевременного внесения очередной суммы обязательного платежа сотрудники банка стали звонить женщине с требованием посодействовать в возвращении долга. В первом же разговоре жена должника сообщила, что не согласна на использование ее персональных данных, и просила прекратить их обработку. Однако звонки с угрозами и требованиями продолжали поступать. Суд, куда обратилась истица, признал действия банка незаконными, потребовал прекратить обработку персональных данных и выплатить женщине компенсацию морального вреда, поскольку ст. 17, 24 Закона о персональных данных предусмотрено право субъекта ПД на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Вправе ли прокурор потребовать от медучреждения предоставить персональные данные пациентов, больных наркоманией, если согласия на такую обработку ПД эти пациенты не давали?
Прокурор или иное должностное лицо имеет право на получение персональных данных в том числе пациентов больницы, если обработка данных необходима для осуществления и выполнения возложенных на него законодательством РФ функций, полномочий и обязанностей.
В качестве примера рассмотрим Апелляционное определение Челябинского областного суда от 17.07.2014 по делу № 11-6845/2014. Районный прокурор в интересах неустановленного круга лиц через суд лишил водителя права на управление транспортным средством. Причиной послужило наличие у гражданина заболевания, запрещающего вождение автомобиля. Информация была получена прокурором посредством предоставления выписки из истории болезни.
Водитель решил, что его персональные данные были обработаны без согласия, и обратился в суд, указав, что не давал согласия на обработку ПД во время лечения от алкоголизма в районной больнице. Суд счел правильными действия прокурора, а также действия администрации больницы, предоставившей должностному лицу выписку из истории болезни пациента. Суд установил, что администрация больницы предоставила список лиц, состоящих на диспансерном учете с диагнозом «наркомания» районному прокурору по его требованию.
Должностное лицо вправе получить персональные данные, если это необходимо для осуществления и выполнения возложенных на него функций, полномочий и обязанностей.
В силу толкования ст. 1, 21, 22 Закона о прокуратуре прокурор при осуществлении возложенных на него функций вправе в том числе требовать от руководителей организаций и других должностных лиц представления необходимых для выяснения возникших вопросов сведений.
В соответствии с п. 2 ч. 1 ст. 6 Закона о персональных данных обработка ПД допускается для достижения целей, указанных в законе, для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей. Таким образом, Закон о персональных данных, которым предусмотрена обработка персональных данных с согласия их носителя, не препятствует удовлетворению запроса прокурора на истребование сведений в отношении лиц, состоящих на учете в медучреждениях с диагнозами, не позволяющими иметь разрешение на управление транспортными средствами.
Имеет ли право медучреждение заключить договор с ритуальным агентством на предмет перевозки умерших? Не будет ли это расценено как нарушение врачебной тайны и незаконная передача персональных данных?
Если доказательств получения ритуальным агентством в качестве встречного обязательства информации о родственниках умершего суду не будет представлено, то есть если будет доказано, что договор с медучреждением заключен без обязательной передачи персональных данных, действия участников договора будут признаны правомерными.
Рассмотрим в качестве примера Постановление ФАС УО от 26.03.2013 № Ф09-1909/13. Между ритуальным агентством и муниципальной больницей был заключен договор на оказание безвозмездных услуг по обеспечению перевозок умерших в морг специализированным транспортом. ФАС посчитала, что данный договор противоречит п. 5 ч. 1 ст. 14 Закона о защите конкуренции , что выражается в совершении действий, направленных на незаконное получение и использование информации (персональных данных), и вынесла постановление о прекращении нарушения. По мнению антимонопольного органа, ритуальное агентство оказывало услуги в обмен на контакты родственников умершего.
Факт незаконной передачи персональных данных третьему лицу может быть установлен только при наличии соответствующих доказательств.
Кроме того, обработка персональных данных не допускается без согласия субъекта ПД, а в случае его смерти – без согласия его наследников (п. 1 ст. 6, п. 7 ст. 9 Закона о персональных данных). Также в силу ст. 7 Закона о персональных данных операторы и иные лица, получившие доступ к указанной информации, обязаны не раскрывать третьим лицам и не распространять персональные данные без соответствующего согласия.
Еще один запрет на передачу информации третьим лицам (в нашем случае – ритуальному агентству) содержат п. 1, 2 ст. 13 Закона о здоровье, не допускающие разглашение врачебной тайны (сведений о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иных сведений, полученных при медицинском обследовании и лечении) в том числе после смерти человека. Таким образом, по мнению антимонопольного органа, передавать информацию об умерших ритуальному агентству больница не имела права.
Однако суды указали, что из текста заключенного договора не следует, что ритуальное агентство в качестве встречного предоставления получило от больницы информацию об умерших. В договоре также не указано, что перевозчик получает какие-либо документы, содержащие персональные данные умерших. При этом антимонопольный орган не установил, каким способом осуществляется документооборот в больнице. Соответственно, доказательств, подтверждающих передачу от больницы ритуальному агентству персональных данных в период исполнения договора, антимонопольный орган предоставить не смог – суд первой инстанции, а впоследствии и апелляционный суд посчитали действия ФАС незаконными.
Итак, обратите внимание, что именно оператор – то есть организация или лицо, обрабатывающие персональные данные (производящие с ними любые действия), – обязан доказать, что согласие субъекта ПД на их обработку получено или что обработка данных возможна на основаниях, установленных законом .
В силу п. 2 ст. 24 Закона о персональных данных моральный вред, причиненный субъекту ПД вследствие нарушения его прав, правил обработки персональных данных подлежит возмещению в соответствии с законодательством РФ. Причем возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПД убытков.
См. статью С. П. Фролова «Какие персональные данные можно обрабатывать?», № 3, 2016.
Статья 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).
Пункты 6, 7 Закона о персональных данных.
Письмо Роскомнадзора от 24.12.2012 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» опубликовано на официальном сайте www.rsoc.ru.
Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг».
Федеральный закон от 17.01.1992 № 2202-1 «О прокуратуре Российской Федерации».
Федеральный закон от 26.07.2006 № 135-ФЗ «О защите конкуренции».
Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
Пункт 3 ст. 9 Закона о персональных данных.
Обязан ли работодатель требовать от работников письменное согласие на обработку персональных данных, в том числе при заключении трудового договора? Необходимо ли брать данное согласие с работников, с которыми заключен до вступления в силу Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"? Существуют ли установленные перечни объемов обрабатываемых работодателем персональных данных, которые нельзя превышать?В соответствии с ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ (далее - Закон N 152-ФЗ) обработка персональных данных может осуществляться только в установленных данной статьей случаях. Одним из таких случаев является получение от субъекта персональных данных согласия на их обработку (п. 1 ч. 1 указанной статьи). Буквальное толкование данной нормы позволяет заключить, что в иных случаях получение согласия на обработку персональных данных не требуется. В частности, п. 5 ч. 1 ст. 6 Закона N 152-ФЗ допускает обработку персональных данных в случаях, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Таким образом, если работодатель получает от работника, хранит и передает лишь ту информацию, которая необходима для исполнения трудового договора, получение согласия работника на такие действия не требуется. Однако отсутствие согласия работника исключает возможность осуществления работниками кадровых служб многих стандартных действий, необходимость которых не вытекает из трудового договора. Так, например, без согласия работника работодатель не может получить и хранить копии предоставленных им при приеме на работу документов, содержащих в себе информацию, не требующуюся для исполнения трудового договора (например, информацию о месте рождения), в том числе паспорта (постановление ФАС Северо-Кавказского округа от 11.03.2014 N Ф08-480/14 по делу N А53-10287/2013, постановление Пятнадцатого арбитражного апелляционного суда от 28.10.2013 N 15АП-15175/13, решение Арбитражного суда Ростовской области от 14.11.2013 N А53-12557/2013). Также работодатель без согласия работника не может обрабатывать его контактные данные (номер телефона, электронную почту и т.д.), поскольку отсутствие данной информации не влечет за собой невозможность исполнения трудового договора.
Если же работодатель все-таки планирует обрабатывать такую информацию, ему необходимо получить согласие работника. В соответствии с ч. 1 ст. 9 Закона N 152-ФЗ согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Из данной нормы следует, что в общем случае согласие работником может быть дано в том числе и в устной форме, однако работодателю в любом случае необходимо обеспечить возможность подтвердить факт получения такого согласия (ч. 3 ст. 9 Закона N 152-ФЗ). Кроме того, для отдельных категорий персональных данных законом прямо установлена необходимость получения именно письменного согласия на их обработку (ч. 1 ст. 11, п. 1 ч. 2 ст. 10 Закона N 152-ФЗ). Такой вид обработки персональных данных, как их передача, также возможен только с письменного согласия работника, за исключением установленных законом случаев (ст. 88 ТК РФ).
Требования к содержанию письменного согласия для случаев, когда такое согласие необходимо в силу закона, установлены ч. 4 ст. 9 Закона N 152-ФЗ. Так, согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
В иных случаях специальных требований к содержанию согласия на обработку персональных данных, если такое согласие дается в письменной форме, законом не установлено. Однако к такому согласию применяются общие требования ч. 1 ст. 9 Закона N 152-ФЗ, в соответствии с которыми согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Это значит, что работодателю в любом случае необходимо указать, какой конкретно объем информации, в какой форме и для каких целей он планирует обрабатывать (абзац третий п. 5 разъяснений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14.12.2012; далее - Разъяснения Роскомнадзора).
Отметим, что в качестве формы получения письменного согласия на обработку персональных данных можно рассматривать и включение соответствующего пункта в трудовой договор, если его содержание будет отвечать требованиям, предъявляемым к содержанию указанного согласия (абзац четвертый п. 5 Разъяснений Роскомнадзора).
Законодательством не установлено требований к объемам персональных данных, которые работодатель вправе обрабатывать с согласия субъекта персональных данных. Субъект персональных данных вправе передать оператору любые персональные данные, которые стороны данных правоотношений посчитают нужными. В зависимости от вида передаваемых данных будут различаться лишь требования, предъявляемые законодателем к форме согласия на обработку таких данных и к самому порядку такой обработки.
В силу существующих общеправовых принципов нормативные правовые акты обратной силы не имеют и распространяют свое действие на отношения, возникшие после вступления их в силу (определения Конституционного Суда РФ от 16 июля 2009 года N 691-О-О, от 15 июля 2010 года N 958-О-О, от 17.11.2011 N 1614-О-О). Таким образом, любые отношения, связанные с обработкой персональных данных, возникшие после вступления в силу Закона N 152-ФЗ, должны подчиняться установленным этим законом требованиям независимо от даты возникновения иных отношений (в том числе трудовых) между субъектом персональных данных и оператором. Следовательно, в настоящий момент обработка персональных данных работников, в том числе принятых до даты вступления в силу Закона N 152-ФЗ, возможна только в случаях, предусмотренных ч. 1 ст. 6 указанного закона.
В ситуации, когда организация заключила договор с оператором связи об оказании услуг связи (Интернет), в договоре абонента с юридическим лицом либо индивидуальным предпринимателем устанавливается обязанность предоставлять оператору связи юридическим лицом либо индивидуальным предпринимателем список лиц, использующих его оборудование, а также срок представления указанного списка.Обоснование: В договоре абонента помимо обязательных сведений (Ф. И.О., контактные данные и т. д.) установлено обязательство представления списка лиц, пользующихся оконечным оборудованием, с обновлением такого списка не реже одного раза в квартал (п. 22(1) Правил оказания телематических услуг связи, утвержденных Постановлением Правительства РФ от 10.09.2007 N 575, введен Постановлением Правительства РФ от 31.07.2014 N 758 "О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей"). Согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее — Закон N 152-ФЗ) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). По нашему мнению, организация связи, рассматриваемая в данном вопросе, подпадает под определение оператора персональных данных, согласно которому оператором признается, в частности, юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (ст. 3 Закона N 152-ФЗ). В то же время обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Таким образом, организация — оператор связи подпадает под ограничения, установленные ст. 7 Закона N 152-ФЗ, в соответствии с которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. В этой связи считаем, что каких-либо дополнительных мер предосторожности для защиты персональных данных работников организации не требуется. Вместе с тем в Российской Федерации согласно ст. 421 Гражданского кодекса РФ предусмотрена свобода договора. Возможность договориться с оператором о, например, выборе ответственного за пользование оконечным оборудованием либо заключить дополнительное соглашение о неразглашении персональных данных, включив в него размер штрафа по своему усмотрению, всегда есть. Соответственно, организация вправе предусматривать условия в договоре совместно с оператором по согласованию о неразглашении персональных данных. Таким образом, обязательство о представлении списка лиц, пользующихся оконечным оборудованием, установлено законодательно, а вот особые условия, такие как соглашение о неразглашении персональных данных, возможно предусмотреть сторонами в самом договоре.
Обязана ли организация, заключившая договор с оператором связи об оказании услуг связи (Интернет), предоставить персональные данные работников организации, имеющих на своих рабочих местах доступ к сети Интернет? Как обезопасить себя от утечки персональных данных работников?
