Цель обработки персональных данных: что это, зачем давать согласие на анализ информации о субъекте, какие примеры сбора материала о сотрудниках организаций

Главная — Организация бизнеса — Кадры — Цели обработки персональных данных в организации


Российским законодательством достаточно четко регламентируются вопросы установления целей обработки персональных данных в организации. При этом на работодателей и сотрудников предприятия возлагаются определенные обязанности, напрямую связанные с вопросами обработки личной информации других трудящихся или третьих лиц, несоблюдение которых может привести к негативным последствиям для субъекта хозяйствования, вплоть до привлечения виновных к дисциплинарной, гражданской, административной и уголовной ответственности.

Цель обработки персональных данных в организации — правовое регулирование

С точки зрения российского законодательства, с целью соблюдения требований Конституции РФ, а также международных нормативно-правовых актов, в которых участвует Российская Федерация, личная информация граждан и иностранцев, должна быть защищена от незаконных операций с ней. В вопросах трудовых взаимоотношений ключевое значение для определения действующих юридических нормативов, затрагивающих любые виды операций с личными сведениями, имеют следующие положения нормативно-правовых документов и актов:

• ФЗ №152 от 27.07.2006. Данным законом регламентируются основные общие принципы обращения с информацией, составляющей личные сведения о любом человеке, в том числе и в вопросах осуществления трудовых взаимоотношений, но не ограничиваясь ими.
• Ст.81 регламентирует принципы увольнения сотрудников по инициативе работодателя, в том числе и за грубые дисциплинарные нарушения, к которым можно отнести разглашение персональных данных трудящимся.
• Ст.86 обеспечивает регулирование общих принципов обеспечения защиты личной информации работников.
• Ст.87 посвящена нормативам использования и хранения рассматриваемых данных в рамках трудовых взаимоотношений.
• Ст.88 устанавливает принципы, по которым может осуществляться передача личной информации при ведении трудовой деятельности.
• Ст.89 посвящена основным правам трудящихся касательно сведений, относимых к персональным.
• Ст.90 регламентирует ответственность за нарушение установленного законом порядка работы с личными данными.

Кроме вышеозначенных нормативно-правовых актов для сотрудников некоторых государственных служб и ведомств могут иметь значение и законодательные нормативы, регламентирующие деятельность таковых служб.

Общие цели обработки персональных данных сотрудников в организации

Вне зависимости от конкретных принципов, которые могут быть установлены в компании, каждый работодатель в обязательном порядке преследует общие для трудовых взаимоотношений цели при обработке персональных данных в организации. К таковым общим целям можно отнести:

1. Документальное оформление трудовых взаимоотношений в соответствии с требованиями законодательства. При заключении трудового договора, работодатель получает доступ и проводит обработку персональных данных соискателя в любом случае. Поэтому таковая цель обработки личной информации является одной из основных.
2. Ведение кадрового делопроизводства и учета на предприятии. Каждый работодатель обеспечивает хранение трудовых книжек работников, их личных карточек или же личных дел и внесение изменений в означенные документы.
3. Налогообложение и уплата страховых сборов. В Российской Федерации именно на работодателей возлагается обязанность по уплате налогов за своих трудящихся и страховых сборов в систему пенсионного и социального страхования.
4. Выполнение иных действий, связанных с исполнением требований законодательства в отношении учета, сбора и передачи информации, которая может включать в себя и личные сведения трудящихся.
5. Исполнение требований уполномоченных органов, например, правоохранителей, когда они требуют доступ к личной информации сотрудника.

Во всех вышеозначенных ситуациях обработке подлежат общедоступные данные работника, которые непосредственно необходимы для решения соответствующих вопросов.

При этом истребовать согласие сотрудника на обработку означенных данных нет необходимости — само желание его заключить трудовой договор свидетельствует о подобном согласии.

В отношении биометрических и иных личных сведений согласие работника не требуется только при обращении уполномоченных органов.

Соискатель или сотрудник вправе отказаться от обработки персональных данных и в вышеозначенном формате, однако таковой отказ является однозначным основанием для невозможности заключения с ним трудового договора или продолжения действующих взаимоотношений. Если данные затребуются правоохранительными органами, то отказ работника от их обработки в этом контексте не имеет юридической силы — сотрудники органов правопорядка и иные уполномоченные лица вправе истребовать их даже при отказе самого трудящегося.

Другие возможные цели обработки персональных данных трудящегося

Личные сведения могут собираться работодателями не только в целях исполнения прямых требований российского законодательства, но и для решения других задач. В частности, работодатель может самостоятельно регламентировать порядок и принципы обработки информации о трудящихся. Он обязан лишь ознакомить потенциальных сотрудников с таковым порядком. Например, личные данные могут собираться и использоваться для оформления служебных удостоверений. Также в рамках учета рабочего времени может использоваться сбор сведений о сотрудниках и их затратах рабочего времени в рамках хронометража или использования автоматизированных систем учета.

Помимо этого, работодатель также может затребовать от работников доступ к их биометрическим данным. Например — также для обеспечения работы систем пропуска. Или же — для изготовления рабочей униформы или средств индивидуальной защиты.

Во всех вышеозначенных ситуациях работодатель обязан прежде, чем проводить обработку сведений трудящегося, получить согласие на такие действия.

При этом если соискатель отказывается от дачи такового, работодатель вправе не заключать с ним трудовой договор.

Однако, все сведения, обрабатываемые и собираемые работодателем, должны использоваться исключительно в соответствии с установленными локальными нормативными актами и только в объемах, необходимых для решения поставленных задач.

(19

Источник: https://delatdelo.com/organizaciya-biznesa/tseli-obrabotki-personalnyh-dannyh-v-organizatsii.html

Определение целей обработки персональных данных и способов работы с ними

Закон 152-ФЗ «О персональных данных» был принят 27 июля 2006 года. Он начал действовать с 23 января 2007 года. До его вступления в силу такая информация не имела юридической защиты.

В нем определено понятие того, что относится к данной категории ведомостей. Как сформулировано в статье 3 закона 152-ФЗ, персональные сведения включают в себя всё, что имеет отношение к конкретному человеку. Причём сюда входят те, которые имеют к нему прямое отношение и те, которые имеют только косвенное.

Нормативный акт регламентирует деятельность юридических и физических лиц, которые занимаются сбором сведений о различных людях.

В частности, получить всё это в большинстве случаев возможно, только если получено согласие человека, о котором идет речь.

Однако, предусмотрены отдельные случаи, когда информация может быть получена без такого согласия. Они перечислены в статье 6 закона № 152-ФЗ.

Одно из положений устанавливает требование, согласно которому все персональные сведения о гражданах Российской Федерации должны находиться на серверах, расположенных на территории страны. Не разрешается пополнять свою информацию на основе той, которая взята с сайтов, расположенных вне российских границ.

В ситуации, когда человек считает какие-либо сообщения о нём не соответствующими действительности, он может обратиться к оператору (в соответствии со статьёй 14 закона 152-ФЗ) с просьбой удалить или соответствующим образом откорректировать их.

В случае отказа такой человек имеет право обратиться в суд.

Согласие на обработку персональных данных

Такой документ должен содержать следующие разделы:

1. В документе указывается, кто выражает согласие, указываются паспортные данные.
2. Даётся наименование оператора, которому даётся разрешение.
3. Пишут, для каких целей обработки даётся согласие.
4. Конкретно перечисляется список данных, на обработку которых даётся разрешение.
5. Перечисляются все операции с ними, о которых идёт речь.
6. Период времени действия разрешения.
7. Ставится подпись, ее расшифровка и дата.

Составленное разрешение согласно образцу, даёт разрешение только на то, что в нем конкретно указано.

Цели обработки

Использование рассматриваемых сведений необходимо для:

1. Ведения документов в отделе кадров.
2. Заключения договоров и выполнения других юридических действий.
3. В связи с выполнением требований налогового законодательства.
4. Других целей аналогичного рода.

При этом надо заметить, что:

• в каждом таком случае получение информации определяется нормативными актами;
• оно осуществляется в определённом составе, объёме, на конкретный срок и только для выполнения заявленных целей.

Примеры целевого использования личных сведений

В различных сферах экономики и общественной жизни персональные данные граждан жизненно важны.

В медицинском учреждении важно знать подробности о здоровье человека в течение всей его жизни. При этом обладателем персональных сведений является пациент. Оператор, который их использует — поликлиника или другое медучреждение. Она обязана получить разрешение Роскомнадзора для обработки. Если поликлиника передаёт данные, например, в специализированную больницу, она должна получить письменное согласие гражданина.

Для банка жизненно важно при предоставлении кредита обоснованно предположить, будет ли способен кандидат вернуть одолженные деньги или у нет подходящих финансовых ресурсов.

Для этого потребуются подробности о доходе, занятости, составе семьи и некоторые другие. Владельцем информации является клиент. Банк — это оператор, который проводит обработку. Клиент имеет право отозвать разрешение на пользование сведениями о нём.

Цели работы с информацией — обеспечение выполнения требований банковского законодательства РФ.

Без предоставления этой или подобной информации обойтись нельзя. Но при этом важно, чтобы её использование не нарушало требований действующих нормативов.

Правила и принципы работы с информацией

Закон №152-ФЗ формулирует основные принципы, на которых необходимо основываться, работая с персональными ведомостями граждан:

1. Делаться это должно на основе справедливости и законности. В частности, это означает, что каждый раз, когда кто-либо собирает или обрабатывает рассматриваемые материалы. У него должно быть законное основание для таких действие, а также согласие того, к кому эта информация относится.
2. Есть ограничение, которое относится к целям обработки. То есть подробности о человеке могут собираться только с конкретными, заранее определёнными целями. Когда происходит обработка, то для других направлений деятельности эти данные использовать запрещено.
3. Каждый способ работы с личными материалами подразумевает, что они должны быть строго определённого вида и их объем должен соответствовать заявленным целям и не быть избыточным. Это означает, что у человека нельзя запрашивать ведомостей о нем больше, чем необходимо для конкретного случая.
4. Важным принципом является требование о том, чтобы сведения соответствовали определённым критериям. Они должны быть точны и полны, не могут быть устаревшими, полученными незаконно или такими, которые не соответствуют заявленным целям. Если получена информация, которая указанным характеристикам не соответствует, оператор обязан её уничтожить.
5. Для такой работы установлены строгие временные рамки. Ведомости могут собираться, храниться и обрабатываться только до того момента, когда заявленная для этого цель выполнена. После этого может быть сделано одно из двух действий: она может быть сделана обезличенной или должна быть уничтоженной.

В каждой организации в той или иной форме происходит работа с персональными данными работников. Однако она должна происходить только в рамках, которые определены российским законодательством.

Для того, чтобы сотрудникам был понятен порядок такой работы, обычно, принимается локальный нормативный акт, который подробно описывает процедуры такой работы и требования, которые к ней предъявляются.

Обычно такой документ носит название «Положение об обработке персональных данных на предприятии». Стандартно, такой документ включает в себя следующие разделы:

1. Объяснение, с какой целью составлен и принят такой документ.
2. Перечень нормативных актов, на которых основано его действие.
3. Точные формулировки юридических понятий, которые используются далее.
4. Конкретные правила обработки таких материалов. Сначала перечисляются цели использования (обычно, они ограничиваются различными кадровыми вопросами).
5. Порядок получения информации у самого субъекта, его законного представителя, третьих лиц. При этом должно быть получено согласие сотрудника.
6. Требование об ограничении видов и глубины получения данных рамками конкретных ситуаций. При этом даётся список таких ситуаций.
7. Запрет на получение избыточных подробностей о сотрудниках (обычно в этом случае речь идёт о национальности, религиозной принадлежности и т.п.).
8. Отмечается также, что на основании полностью автоматизированных процедур не будут приниматься такие решения, у которых будут юридические последствия для субъекта.
9. Обеспечение неразглашения имеющейся информации.
10. Указывается, что получение персональных данных может быть сделано только в случае получения письменного согласия гражданина на это.
11. Образец такого разрешительного документа.
12. Регламент для всех процедур на предприятии, которые связаны с проведением обработки персональных сведений.

Этот документ устанавливает порядок работ в указанной сфере на конкретном предприятии.

Понятие об обезличенных персональных данных и правила работы с ними

Считается, что ведомости, которые были собраны и нужда в которых отпала, должны быть уничтожены или обезличены. Как поступать с ними — для государственных учреждений рассмотрено в Методических рекомендациях к Приказу Роскомнадзора №996:

1. Установка абстрактных идентификаторов вместо имён и фамилий и других объектов, позволяющих точно определить субъекта такой информации.
2. Изменение состава ранее собранного для работы.
3. Применение хранения по частям. При этом каждая часть не даёт возможность установить владельца.
4. Использование перемешивания информации по специальному алгоритму. При этом по итоговым таблицам невозможно установить первоначально собранные материалы.

Можно понять, что случайному лицу непосредственно из обезличенной информации нельзя получить исходные тексты. Однако сама эта организация восстановить его впоследствии сможет.

Нарушения, связанные с нецелевым использованием персональных данных

Начиная с 1 июля 2017 года в КоАП внесены изменения в статью 13.11, которые определяют ответственность за нарушение закона №152-ФЗ. При нарушении установленных правил закон предусматривает соответствующие наказания.

Если собирается информация в тех случаях, когда для этого нет законного основания или производится обработка с незаконными целями, налагается штраф. Для физических лиц сумма составит от 1 до 3 тысяч руб., должностные лица заплатят от 5 до 10 тысяч руб., предприятия — от 30 до 50 тысяч руб.

Если имело место разглашение информации, штраф начисляется в связи с каждым отдельным таким случаем. Он может составлять от 500 до 1000 руб. с сотрудника, по чьей вине произошло нарушение. Если речь идёт об организации, которая несёт ответственность за происшедшее, то сумма возрастает. Теперь она может составить от 5 до 10 тысяч руб.

В частности, он проводит соответствующие проверки и, если выявляются нарушения, выдаёт предписание о недостатках, которые требуется устранить.

Если распоряжение не выполнено, на виновного налагается штраф, который может составлять 20 тысяч руб.

О том, как правильно организовать работу с чужими данными, расскажет автор следующего ролика.

Рекомендуем другие статьи по теме

Источник: https://ZnayBiz.ru/kadry/rezhim/trudovaya-disciplina/celi-obrabotki-personalnyh-dannyh.html

Каковы цели обработки персональных данных в организации

Все организации собирают, хранят и используют сведения о своих сотрудниках. Информация личного характера сейчас имеет высокую ценность, а при попадании в руки мошенников она становится средством для совершения преступлений. В этой статье мы расскажем, как и с какой целью компании обрабатывают персональные данные и должны ли они получать на это согласие работников.

Что такое обработка персональных данных

Понятие «обработка персональных данных» включает любые действия, совершаемые оператором с индивидуальной информацией. Среди них:

1. сбор;
2. уточнение;
3. систематизация;
4. использование;
5. удаление;
6. хранение.

Все организации и предприятия являются операторами персональных данных, поскольку обрабатывают их. В ст. 22 закона № 152-ФЗ дается правовое основание обработки персональных данных. Исходя из текста статьи, работодатель вправе совершать действия с личной информацией работников без уведомления об этом намерении органов Роскомнадзора.

Раньше к персональным данным относились только ФИО, место рождения, адрес регистрации и паспортные данные. Сейчас это любые сведения о человеке, включая его семейное положение, образование, уровень доходов.

Работодатель не вправе обрабатывать данные о политических взглядах, вероисповедании и частной жизни работника. Подробнее о том, что относится к персональным данным — читайте в этой статье https://otdelkadrov.online/5841-ponyatie-vidy-personalnyh-dannyh

Для совершения действий с личной информацией применяются несколько способов. Автоматизированная обработка персональных данных — это обработка на компьютере. Неавтоматизированный способ предполагает использование бумажных носителей. Сейчас в большинстве случаев применяется смешанная обработка, которая сочетает в себе элементы автоматизированной и неавтоматизированной.

Цели обработки персональных данных на предприятии

Выделяют следующие цели обработки персональных данных в организации:

1. Заключение, исполнение и прекращение гражданско-правовых договоров с гражданами, юридическими лицами, ИП и другими лицами в ситуациях, предусмотренных законодательством и Уставом предприятия.
2. Организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам.
3. Ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами.
4. Исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физлиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование.
5. Заполнение первичной статистической документации в соответствии с Трудовым, Налоговым кодексом и федеральными законами.

Что такое согласие на обработку персональных данных

Вместе с предоставлением необходимых документов при заключении трудового договора подписывается согласие работника на обработку персональных данных работника. Согласно ст. 3 ФЗ №152, к таким данным относятся все сведения о человеке — от имени и фамилии до записей в трудовой книжке.

Персональные данные делятся на 3 категории:

• Общедоступные — основные анкетные данные, включая ФИО, пол, дату и место рождения.
• Биометрические — информация о внешности и некоторых физиологических особенностях, если они определяются визуально.
• Специальные — национальность, вероисповедание, состояние здоровья, судимости, частично — сведения о работе (причины увольнения и др.).

Персональные данные конфиденциальны (за исключением общедоступных), поэтому для их обработки необходимо получать согласие человека.

В обязательном порядке устанавливается срок действия согласия на обработку персональных данных. Моментом его окончания становится либо конкретная дата, либо определенное событие, в том числе отзыв работником своего согласия. Это требование указано в п. 4 ст. 9 ФЗ №152.

В каких случаях нужно согласие на обработку персональных данных

Согласие требуется на обработку специальных и биометрических данных. Общедоступную информацию разрешается свободно использовать, если только это не противоречит закону, а также общепринятым нормам морали и этики.

Ситуации, когда согласие на обработку персональных данных не требуется

Исключение составляют случаи, когда расследуется уголовное дело, проводятся оперативно-розыскные мероприятия. Биометрические данные могут понадобиться, чтобы установить личность при отсутствии у человека документов. В таких ситуациях не требуется согласие на обработку личной информации.

Примерная форма оформления согласия и описание документа

Заявление о согласии на обработку личной информации подается на имя руководителя организации в письменной форме. В шапке документа указываются:

1. должность руководителя и наименование организации, которую он возглавляет;
2. ФИО руководителя;
3. должность работника;
4. ФИО работника;
5. дата;
6. место составления.

Возможен ли отказ от обработки персональных данных с позиции закона

По закону, отказ от согласия на обработку персональных данных не несет юридических последствий. В ч. 1 ст. 9 ФЗ №152 указано, что само согласие выражается свободно и добровольно.

Обратите внимание

За разглашение персональных данных Трудовым кодексом предусмотрены виды ответственности. Подробнее читайте на нашем сайте здесь

Ч. 5 ст. 6 того же закона допускает отсутствие согласия на обработку личной информации в случае, если это требуется для исполнения договора, в том числе трудового.

Поэтому работодатели, выполняя свои обязанности, в интересах сотрудников могут обрабатывать их персональные данные без получения на то согласия. Это касается только работников, которые уже числятся в штате. Принять человека на работу при его отказе от обработки персональных данных нельзя. В таком случае еще не заключен трудовой договор.

Иногда отказ от обработки личной информации чреват негативными последствиями. Если на предприятии действует пропускной режим, то при таких обстоятельствах работнику нельзя будет оформить либо заменить пропуск — такое действие выйдет за рамки служебных целей. Поэтому отсутствие согласия повлечет за собой невозможность выполнения трудовых функций.

Задавайте вопросы в х к статье и получите ответ специалиста

Источник: https://otdelkadrov.online/5837-pravovoe-obosnovanie-neobhodimost-obrabotki-personalnyh-dannyh-v-organizatsii

Цели обработки персональных данных

Компания не может обойтись без получения личных сведений от работников, клиентов и контрагентов. Нужны фамилии, адреса, другая информация. Однако заниматься обработкой персональных данных компания вправе только в конкретных целях. Иное использование данных является нарушением, которое повлечет административные меры.

В ходе ведения бизнеса компания имеет дело с информацией, которая нуждается в охране. К конфиденциальным относятся сведения о технологиях, проектах, разработках, о специфике сделок и т. д.

Также закон обязывает защищать информацию о людях, которые работают в компании, являются ее клиентами или представляют контрагентов. Действует Федеральный закон № 152 от 27.01.2006 «О персональных данных» во исполнение конституционного принципа защиты частной жизни (ст. 23 Конституции РФ, ст. 2 закона № 152).

Требования закона распространяются на любые организации, которые получают данные от их субъектов (ст. 1 закона № 152).

Компания, которая приступает к обработке персональных данных, вправе затребовать их только с определенными целями (ч. 2 ст. 5 закона № 152). Кроме того, от целей зависит объем данных.

Нельзя запрашивать сведения, которые компании не понадобятся (ч. 4 и 5 ст. 5 закона № 152).

Например, интернет-магазин не вправе требовать от покупателя паспортные данные или просить указать почтовый адрес, если клиент забирает товар самовывозом.

Компания сама определяет цели обработки персональных данных клиентов и сотрудников

Для чего именно потребовались сведения, определяет компания (п. 2 ст. 3 закона № 152). Как правило, персональные данные клиентов, контрагентов, сотрудников организация запрашивает в целях:

1. Заключения договоров. Это могут быть договоры с потребителями услуг или товаров компании, с другими типами клиентов, с партнерами по бизнесу, трудовые соглашения и т. п. Для любого договора, который компания собирается подписать, потребуются личные данные – сотрудника, который выступает в ее интересах, представителя контрагента или самого контрагента, если это частное лицо. В том числе данные нужны, чтобы компания могла выполнить свои обязательства.   
2. Систематизации информации о персонале, ведении кадрового учета и делопроизводства. Данные работников необходимы не только для заключения трудовых договоров, но и для всех остальных операций в рамках трудовых отношений.
3. Выполнения требований закона об отчислении налогов в бюджет, страховых взносов и т. д. Компания удерживает с работников НДФЛ, взносы и перечисляет эти суммы государству, в ПФР и другие организации (ст. 22 закона № 152, ст. 86 ТК РФ).
4. Формирования статистики. Данные для этого необходимо обезличить (п. 9 ч. 1 ст. 6 закона № 152).

Гость, знакомьтесь — Правобот!

Интеллектуальный сервис для подбора судебной практики. Думает, как юрист, только быстрее. 

Познакомиться поближе

Компания обязана предупредить субъекта персональных данных о целях обработки

Компания обязана известить работника или клиента о том, с какой целью запрашивает его персональные данные в обработку (п. 4 ч. 4 ст. 9 закона № 152). Это делают в рамках получения согласия на предоставление информации. Список целей должен:

• быть исчерпывающим и конкретным;
• соответствовать положениям устава, а также локальных актов организации;
• соответствовать тому, какие цели компания преследует фактически.

Например, сведения у клиента запрашивает банк. Цель обработки – обслуживание его счета, в том числе:

• открытие счета,
• ведение счета,
• операции по перечислению средств со счета и на счет,
• консультирование клиента.

Еще один пример информирования – перечисление целей обработки персональных данных сотрудников в политике компании. Организация закрепляет, что информацию используют:

• при работе с резюме соискателей;
• для выполнения обязанностей компании в рамках трудового соглашения;
• для соблюдения трудового, налогового и пенсионного законодательства;
• для организации обучения сотрудников, повышения их профессионального уровня;
• при расчете и начислении зарплаты;
• для контроля качества работы сотрудников;
• при предоставлении различных гарантий и льгот и т. д.

Согласие на обработку необходимо получить у субъекта данных почти во всех случаях. Если цель сбора – продвижение компании на рынке или политическая агитация, оператор обязан доказать, что человек дал согласие (ч. 1 ст. 15 закона № 152). Иначе считается, что оно не было запрошено.

Помимо соглашения с работником или клиентом, цели получения данных необходимо отразить в специальном документе – политике компании о работе с такими данными. Это должен быть общедоступный документ. Как правило, его публикуют на сайте организации в специальном разделе.

Источник: https://www.law.ru/article/22246-tseli-obrabotki-personalnyh-dannyh

Получение и хранение информации: соблюдение прав субъекта персональных данных

24.01.2011
Бухгалтерский ДЗЕН
подписывайтесь на наш канал
Вряд ли кто сможет оспорить утверждение, что персональные данные хранятся в любой организации. В одних организациях это только информация о своих сотрудниках, в других — есть информация о клиентах, в третьих — сформированы целые информационные базы, в которых присутствует информация о физических лицах, полученная различными способами и в различных целях (например, в целях формирования базы потенциальных клиентов). Однако далеко не всегда при этом соблюдается законодательство о защите персональных данных. В каких случаях необходимо получать согласие от субъекта персональных данных, сколько времени можно хранить сведения персонального характера? В настоящей статье методисты фирмы «1С» отвечают на эти вопросы.

Содержание

В соответствии со статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.

Напомним, что согласно статье 3 указанного выше Федерального закона персональными данными (далее — ПДн) признается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его ФИО, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Рассмотрим два простых примера, иллюстрирующие обязательный и добровольный характер предоставления данных.

Специалист устраивается на работу. Работодатель требует представить ряд необходимых сведений (в том числе, паспортные данные, сведения о прописке, ИНН, номер страхового свидетельства в ПФР). Несомненно, что будущий сотрудник обязан предоставить такие сведения при оформлении трудового соглашения в целях соблюдения норм ТК РФ, а также требований налогового и пенсионного законодательства. Соответственно, в данном случае согласие на обработку персональных данных, получение которых необходимо в целях соблюдения действующего законодательства, не требуется.

Специалист претендует на вакантное место в организации и заполняет анкету, предоставленную потенциальным работодателем. Обязан ли соискатель на должность предоставлять данные персонального характера? С одной стороны, ответ очевиден: ни один работодатель не возьмет на работу человека, не ознакомившись с его персональными данными. С другой стороны, действующее законодательство не содержит требований об обязательном предоставлении сведений кандидатом на работу. В ряде случаев может быть найден компромисс. Например, в предварительной анкете указываются фамилия, имя, отчество, возраст, город проживания и сведения, имеющие отношения к профессиональным навыкам. Такие сведения как место жительства, номер паспорта, дата рождения и т. п. не указываются. Если в анкете кандидата указываются данные, позволяющие идентифицировать человека, получать согласие от субъекта персональных данных будет необходимо.

С учетом приведенных двух примеров можно говорить, что предоставление данных может быть обязательным и добровольным.

Обязательное предоставление данных может быть предусмотрено федеральными законами (например: Федеральным законом от 01.04.

1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования») в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (перечень приведен в пункте 2 статьи 9 Федерального закона «О персональных данных»).

В соответствии с пунктом 2 статьи 6 Федерального закона № 152-ФЗ без получения согласия субъекта ПДн может осуществляться обработка персональных данных в следующих случаях:

• на основании федерального законодательства;
• в целях исполнения договора с субъектом персональных данных;
• в статистических или научных целях;
• для защиты жизни, здоровья субъекта персональных данных;
• для доставки почтовых отправлений организациями почтовой связи;
• в ходе профессиональной деятельности журналиста, ученого;
• в отношении ПДн, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПДн лиц, занимающих государственные должности, должности гражданской службы, ПДн кандидатов на выборные государственные должности.

• Вместе с тем применять приведенные выше исключения необходимо с «должной степенью осмотрительности», так как на оператора возлагается обязанность представить доказательство получения согласия субъекта персональных данных на обработку его данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными.
• Логично предположить, что наиболее часто персональные данные будут предоставляться в целях исполнения договора с субъектом персональных данных (например, при заключении договора бытового подряда).
• В соответствии с пунктом 4 статьи 9 Федерального закона № 152-ФЗ согласие субъекта ПДн на обработку своих персональных данных должно включать в себя:

• фамилию, имя, отчество, адрес субъекта персональных данных; номер основного документа, удостоверяющего его личность; сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
• срок, в течение которого действует согласие, а также порядок его отзыва;
• собственноручную подпись субъекта ПДн.

Несмотря на кажущуюся простоту, выполнить все требования, предусмотренные Федеральным законом, не так просто.

Наибольшую сложность вызывают указание информации в отношении 3-6 позиций. Проанализируем данные позиции.

Другим вопросом, имеющим отношение к документации оператора ПДн, является вопрос о сроках хранения персональных данных. В отношении персональных данных можно говорить о трех способах определения срока хранения информации, который может быть определен:

• нормативным правовым актом;
• достижением цели обработки данных;
• решением субъекта.

Наиболее простая ситуация имеет место, в случае если срок хранения установлен в согласии субъекта. В такой ситуации стоит лишь помнить, что субъект ПДн не может указать срок меньший, чем предусмотрен нормативным правовым актом, устанавливающим срок хранения информации.

Например: Перечнем типовых управленческих документов, образующихся в деятельности организаций с указанием сроков хранения, утвержденным руководителем Федеральной архивной службы России 15.08.

1988, установлены следующие сроки хранения документов в части расчетов с работниками организации:

• лицевые счета (форма Т-2) — 75 лет;
• расчетные (расчетно-платежные) ведомости — 5 лет;
• книги учета депонированной заработной платы, журналы регистрации исполнительных листов — 5 лет;
• исполнительные листы — до минования надобности; справки, представляемые в бухгалтерию на оплату учебных отпусков, получения льгот по налогам и другие — до минования надобности;
• договоры, соглашения (хозяйственные, операционные, трудовые и другие) — 5 лет.

В зависимости от сферы деятельности необходимо анализировать нормативные правовые акты, определяющие сроки хранения документов, содержащих персональные данные.

Источник: https://buh.ru/articles/documents/14684/

Согласие на обработку персональных данных

Если говорить начистоту, то мы думали, что после пика активности летом 2017 года, тему защиты персональных данных (далее в статье — ПДн) мы уже никогда поднимать не будем.

Нам казалось, что тема себя исчерпала… что она уже никому и никогда не будет интересна, так как почти у всех уже появилось понимание, что персональные данные нужно оберегать, как собственное дитя от шального внешнего мира.

Но как бы мы ни хотели сесть на единорога и добраться на нем в страну фантазии по радуге, факт остается фактом, наши с Вами персональные данные все еще под угрозой.

Лакмусовой бумажкой для наc, а значит и для регуляторов в этой области, является согласие на обработку ПДн.

И, к сожалению, мы вынуждены признать, что большинство согласий, которые мы видим в обычной жизни либо составлены безграмотно, либо не составлены вовсе.

Поэтому на всякий случай повторим для тех, кто в танке все еще не разобрался в вопросе.

Что такое согласие на обработку персональных данных и зачем его давать?

Это задекларированный факт того, что субъект ПДн (как правило Ваш клиент) разрешает обрабатывать его ПДн, а в некоторых случаях использовать их в маркетинговых целях. Но на маркетинговых целях остановимся чуть позже.

Почему этот факт должен быть задекларирован?

Потому что с точки зрения п.3 ст.9 Федерального закона “О персональных данных” ФЗ-152 (далее ФЗ-152) обязанность предоставить доказательство получения согласия или доказательство наличия оснований,не собирать такое согласие, возлагается на ОПЕРАТОРА, то есть на Вас.

О! Есть случаи, когда согласие можно НЕ собирать? Это какие?

Да, конечно, такие случаи есть и они описаны в п.2-11 ч.1 ст.6, ч.2. ст.10 и ч.2 ст.11. Если кратко (на самом деле не кратко, но максимально простыми словами), то вот такие случаи:

• обработка осуществляется для выполнения функций возложенных на оператора законодательно;
• обработка осуществляется в связи с участием лица в судебном процессе или необходима для исполнения судебного акта;
• обработка осуществляется в целях предоставления государственных и муниципальных услуг;
• субъект является стороной договора, по которому он является выгодоприобретателем;
• обработка осуществляется для защиты жизни и здоровья субъекта, если получить согласие при этом невозможно;
• обработка необходима для профессиональной журналистской, научной, литературной или др. творческой деятельности, если не нарушаются законные права субъекта ПДн;
• обработка осуществляется в статистических целях, при условии обезличивания ПДн;
• осуществляется обработка ПДн, которые субъект ПДн сам сделал общедоступными;
• осуществляется обработка ПДн, которые подлежат обязательному раскрытию в соответствии с законодательством РФ;
• обработка осуществляется в связи с международными договорами о реадмиссии*

_____________________________

* Реадмиссия (англ. to readmit — принимать назад) — согласие государства на приём обратно на свою территорию своих граждан (а также, в некоторых случаях, иностранцев, прежде находившихся или проживавших в этом государстве), которые подлежат депортации из другого государства.

_____________________________

• в соответствии с законом “О переписи населения”;
• обработка ведется в соответствии с трудовым законодательством;
• обработка осуществляется в медицинских или медико-профилактических целях лицом профессионально занимающимся медицинской деятельностью, на которое распространяется законодательство о врачебной тайне;
• осуществляется обработка ПДн членов общественной или религиозной организации самой организацией в соответствии с законодательством и ПДн не передаются без согласия субъекта;
• обработка осуществляется в соответствии с законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, о порядке въезда и выезда, о гражданстве РФ;
• при обработке органами прокуратуры в связи с осуществлением прокурорского надзора;
• обработка осуществляется в соответствии с законодательством об обязательных видах страхования;
• обработка осуществляется в соответствии с законодательством РФ в целях устройства детей, оставшихся без попечения родителей.

Если Ваша деятельность подпадает под какой-то один из этих пунктов, то ВОЗМОЖНО Вам можно и не брать согласие на обработку ПДн со своих клиентов. Но… это не точно.

Если Вы увидели что-то похожее на свою деятельность, то обязательно обратитесь к ФЗ-152 и сами почитайте перечисленные пункты, а также подкрепите свои знания законодательством в области Вашей деятельности.

Потому что задача по доказательству того, что Вам не обязательно брать согласие, лежит на Ваших плечах.

Что обязательно должно быть в согласии?

А теперь к вопросу, как грамотно составить согласие на обработку ПДн. С точки зрения нашего любимого ФЗ-152 в согласии обязательно должно быть:

• полное ФИО субъекта ПДн;
• адрес субъекта ПДн
• номер основного документа, удостоверяющего личность, а также дата выдачи и кем выдан;
• вся эта же информация о представителе субъекта ПДн, а также реквизиты документа, подтверждающие основания представителя действовать от лица субъекта (например, если субъектом является ребенок, то основанием действия родителя будет свидетельство о рождении ребенка или паспорт родителя с отметкой о ребенке);
• наименование или полное ФИО, а также адрес оператора ПДн;
• цель обработки ПДн (четкая и понятная);
• перечень ПДн, на обработку которых дается согласие;
• наименование или ФИО, а также адрес оператора по поручению, если таковой имеется (т.е. если Вы передаете обработку ПДн своих клиентов другому юридическому лицу, то клиент с этим тоже должен согласиться и знать об этом);
• перечень действий, на совершение которых дается согласие (их можно подглядеть в ст.3 ФЗ-152);
• срок в течение которого действует согласие;
• подпись субъекта персональных данных.

Хороший вопрос, в таком случае мы в согласие обычно пишем так: “ФИО, адрес и реквизиты документа удостоверяющего личность обрабатываются исключительно в бумажном виде в целях получения согласия на обработку персональных данных.”

Как подписывать согласие?

Мы сказали о том, что в согласии на обработку ПДн обязательно должна быть подпись субъекта ПДн, но не сказали в каком виде. На данный момент ФЗ-152 предполагает, что согласие получается в письменной форме с собственноручной подписью субъекта или в форме электронного документа, подписанного электронной подписью.

А что делать, если мы с моим клиентом (субъектом ПДн) никогда не увидимся лично и электронной подписи у него нет?

В той же 9 статье ФЗ-152 в п.1 есть замечательное предложение “Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

” Также мы сделали официальный запрос регулятору (Роскомнадзору), хоть он и не уполномочен трактовать законодательство. В этом запросе мы напрямую спросили, подходит ли использование чек-боксов (это когда нужно поставить галочку) для получения согласия на обработку.

Так вот, регулятор ответил нам однозначно — подходит. Так что если Вы никогда не встретитесь со своими субъектами ПДн лично и электронных подписей быть у них не может, то единственная ваша возможность получить согласие, это сделать чек-бокс на сайте.

Но это не отменяет того, что Вы обязаны рассказать субъекту о политике защиты его ПДн, а также предоставить текст согласия в электронном виде.

С основными моментами вроде разобрались. Теперь давайте поговорим об основным ошибках (случайных или преднамеренных), которые мы видим в согласиях.

Ошибка №1. Согласия нет в принципе.

Без комментариев, мы уже ответили на вопрос, зачем оно нужно и в каких случаях нет необходимости в согласии.

Ошибка №2. Не все данные указываются.

Еще раз просим Вас внимательно ознакомиться с перечнем информации, которая должна быть в согласии.

Ошибка №3. ПДн передаются третьим лицам, но при этом в согласии не указываются конкретные наименования.

Бывают такие ситуации, когда компании по тем или иным причинам не хотят говорить, кому передаются ПДн.

Уважаемые субъекты, нам кажется, что это повод задуматься о том, насколько прозрачно ведет свои дела компания, предоставляющая Вам услуги.

Сказать, кому они могут передать Ваши персональные данные, — это их святая обязанность, прописанная в законодательстве. Так что хватит юлить, указываем напрямую, кому передаем ПДн своих субъектов.

Ошибка №4. С точки зрения ФЗ-152 компания вовсе не обязана брать согласие и вроде бы все правильно, не берет, но при этом например размещает на своем сайте информацию о сотрудниках или передает ПДн третьим лицам.

Это 100% нарушение законодательства “О ПДн”. Даже если Вы можете не брать согласие на обработку ПДн субъектов, то Вы обязательно должны брать согласие на передачу ПДн третьим лицам, если обратное не установлено условиями законодательства, а также брать согласие на размещение ПДн на общедоступных ресурсах, чем и является сайт организации, доска почета, телефонный справочник и т.д.

Ошибка №5. Согласие на обработку ПДн заполняет сотрудник организации, спрашивая у субъекта его ПДн.

Напрямую нигде не прописано, что так делать нельзя, но в таком случае вырисовывается интересная картина. У вас появляется дополнительный канал утечки информации, что несомненно усложнить Вашу жизнь с точки зрения защиты ПДн, так что просто не делайте так.

И на сладкое поговорим немного о маркетинге. 

Многие… очень многие компании собирают номера телефонов и адреса электронной почты для рассылки “полезной” информации об акциях и прочих крутых штуках (статьях, рекламе и т.д.). Так вот в ст.

15 ФЗ-152 черным по белому написано, что Вы обязаны получить дополнительное согласие для рассылки маркетинговой информации или политических агитаций.

И незамедлительно прекратить рассылку по запросу субъекта!

Ну и в качестве бонуса всем, кто дочитал/долистал до конца статьи пример согласия на обработку ПДн.

Если у Вас остались вопросы, то можете задать их на нашу почту: secret@avitek.ru

Источник: https://avitek.ru/info/articles/soglasie-na-obrabotku-personalnykh-dannykh/