1.2 Локальный уровень

На локальном уровне обработка персональных данных регулируется такими локальными нормативными актами, как:

1.Положение о защите персональных данных клиентов и работников

2.Уведомление о получении персональных данных третьих лиц

3.Согласие на получение ПД третьих лиц

4.Согласие на получение ПД третьей стороне

5.Согласие на обработку персональных данных

6.Приказ о назначении ответственных за обработку персональных данных

7.Приказ о внесении изменений содержащие персональные данные работника

8.Приказ об установлении списка лиц, имеющих доступ к персональным данным работников, клиентов и контрагентов

9.Отзыв согласия на обработку персональных данных

10.Ответ 3-й стороне о ПД

11.Обязательство о неразглашении ПД

12.Образец запроса ПД 3-й стороны

13.Журнал учета обращений субъектов ПД

14.Журнал учета передачи ПД

15.Инструкция по учету лиц, допущенных к ПД

16.Политика по обработке и защите ПД

17.Инструкция для ответственных за обработку ПД

18.Приказ о местах хранения ПД

Положение о персональных данных устанавливает в соответствии с законодательством порядок работы с персональными данными, лиц, имеющих доступ к персональным данным и т.д.

Глава 2

2.1 Сбор, обработка персональных данных

Рассмотрение порядка сбора персональных данных следует начать с того, что под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе:

1) его фамилия, имя, отчество;

2) год, месяц, дата и место рождения;

3) адрес, семейное, социальное, имущественное положение, образование, профессия, доходы;

4) другая информация¹.

В Трудовом кодексе под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ч.1 ст.85 ТК РФ). Легко заметить, что под это определение можно подвести любую информацию о работнике. И работодатели нередко собирают о сотруднике всю информацию, мотивируя это тем, что хотят иметь максимально полное о нем представление.

Довольно часто от работника требуют сообщить исчерпывающую информацию о его семейном положении и ближайших родственниках, о жилищных условиях, состоянии здоровья, о фактах привлечения к уголовной ответственности, о наличии постоянной регистрации по месту жительства и многое другое. Но такого рода информация никаким образом не относится к трудовой деятельности работника. Наоборот, тем самым работодатель переходит тонкую грань, отделяющую персональные данные от сведений, составляющих тайну частной жизни, личную или семейную тайну гражданина².

Среди документов и материалов, содержащих информацию, необходимую работодателю в связи с трудовыми отношениями, основное место занимают:

1) документы, предъявляемые при заключении трудового договора (см. ст. 65 ТК);

2) документы о составе семьи работника, необходимые для предоставления ему гарантий, связанных с выполнением семейных обязанностей;

3) документы о состоянии здоровья работника, если в соответствии с законодательством он должен пройти предварительный и периодические медицинские осмотры;

4) документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (об инвалидности, донорстве, нахождении в зоне воздействия радиации в связи с аварией на Чернобыльской АЭС и др.);

5) документ о беременности работницы и возрасте детей для предоставления матери установленных законом условий труда, гарантий и компенсаций¹.

Среди документов, в которых фиксируются персональные данные работника, можно назвать трудовой договор, приказы по личному составу, личную карточку работника, листок по учету кадров, трудовую книжку и проч.

Для того чтобы установить, в каком объеме работодатель вправе получать от работника информацию о его персональных данных, необходимо обратить внимание на очень важное ограничение: целевой характер использования персональных данных. Обработка этого вида информации может производиться исключительно в целях, указанных в п. 1 ст. 86 ТК РФ².

Все персональные данные работника организации следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо, представляющее работодателя, обязано сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение . При отказе работника от ознакомления с уведомлением о предполагаемом получении его персональных данных у иного лица составляется акт, который должен быть подписан лицами, предъявившими работнику соответствующее уведомление¹.

Данная норма исключает сбор сведений о работнике без его ведома. В соответствии с п. 1 ст. 9 закона «О персональных данных» субъект персональных данных принимает решение о предоставлении своих данных и дает согласие на их обработку своей волей и в своем интересе. Указанный закон также возлагает на работодателя обязанность представить доказательство получения согласия на обработку персональных данных, а в случае обработки общедоступных данных – обязанность доказать, что эти данные являлись общедоступными (п. 1 ст. 9 закона «О персональных данных»). Однако следует учитывать, что в силу п. 2 ч. 2 ст. 6 того же закона согласия субъекта персональных данных не требуется, когда обработка таких данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. Поскольку работник является стороной трудового договора, то письменное согласие на получение его персональных данных не нужно².

Таким образом, порядок сбора персональных данных регулируется Конституцией, Трудовым кодексом и Федеральным законом «О персональных данных». Все персональные данные работника следует получать от него самого. Но если его персональные данные возможно получить только от третьих лиц, то работник должен быть уведомлен об этом в письменной форме. В уведомлении нужно обязательно указывать цели получения персональных данных.

Обработка персональных данных в России

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных¹.

В 90-х годах в России персональные данные сотрудников и клиентов организаций спокойно продавались на дисках. Их можно было купить на рынке или в подземном переходе. В 90-е годы законодательство РФ не предполагало какой-либо ответственности за разглашение конфиденциальной информации. Впервые понятие «персональные данные» упоминается в российском законодательстве в указе Президента «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 года. В этом указе лишь перечисляется то, что относится к конфиденциальной информации, но там ничего не сказано ни об обработке персональных данных, ни о видах ответственности за неправомерную обработку.

В 2001-м году Государственной Думой был принят Трудовой Кодекс РФ, в котором глава 14 посвящена защите персональных данных работников. В этой главе было определено понятие «обработка персональных данных работника» следующим образом:

Согласно Трудовому Кодексу РФ работодатель не имеет права на обработку персональных данных без ведома и согласия работника, не может получать данные о его религиозных, политических и иных убеждениях, а также несёт ответственность за потерю, искажение и неправомерную обработку персональных данных¹.

Следующим важным шагом было принятие Федерального закона N 152-ФЗ от 27 июля 2006 года «О персональных данных». Цель этого закона — обеспечение защиты прав и свобод человека, при обработке его персональных данных.

Принципы обработки персональных данных

1.Обработка персональных данных должна осуществляться на законной и справедливой основе..

2.Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4.Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5.Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

6.При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7.Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом¹.

Условия обработки персональных данных

1.Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

2.Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

3.Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта).

4.Обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг.

5.Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

6.Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

7.Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

8.Обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.

9.Обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных.

10.Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных).

11.Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом¹.

Таким образом, порядок сбора и обработки персональных данных достаточно четко регулируется российским законодательством.