Согласно статье 3 (далее ст.) Федерального закона № 152-ФЗ от 31.12.2017 г. «О персональных данных» под персональными данными принято понимать любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу, т.е. субъекту персональных данных. Таким образом, это могут быть любые сведения, идентифицирующие человека, в том числе: ФИО, дата рождения, место жительства, семейное положение, сведения об образовании и профессиональной деятельности, финансовое положение, факты биографии, деловые и личные качества человека и пр.
Под обработкой персональных данных понимается любое действие (операция) или их совокупность, которые совершаются с использованием или без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Персональные данные могут содержаться, к примеру, в анкете или автобиографии; в документе, удостоверяющем личность гражданина; в личной карточке; в трудовой книжке; в свидетельствах о заключении брака, рождении ребёнка; в документах воинского учёта; в документах об образовании; в справках о доходах с предыдущего места работы; в документах обязательного пенсионного страхования; в трудовом договоре и в других документах.
Обработку персональных данных осуществляют операторы. Согласно ФЗ № 152-ФЗ от 31.12.2017 г. под операторами понимаются государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Собранные операторами персональные данные хранятся в информационной системе персональных данных, т.е. в информационной системе, представляющей собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Согласно ФЗ № 152-ФЗ от 31.12.2017 г. принято выделять следующие категории персональных данных:
1)Общедоступные – данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Общедоступные источники персональных данных создаются в целях информационного обеспечения (например, справочники и адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных. Важно отметить, что сведения о субъекте ПД могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.
2)Специальные категории - персональные данные, касающиеся расо-вой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их об-работка допускается только в следующих случаях:
-субъект ПД дал согласие в письменной форме на обработку своих персональных данных;
-персональные данные являются общедоступными;
-персональные данные относятся к состоянию здоровья субъекта ПД и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
-обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
-обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации или необходима в связи с осуществлением правосудия.
Согласно ст. 6 все персональные данные следует получать у самого работника и только с его согласия, если иное не установлено законом. Если их можно получить только от третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие. При этом ему нужно сообщить: о целях получения персональных данных; о способах их получения; о характере подлежащих получению персональных данных; о последствиях отказа дать письменное согласие на их получение. Работодатель не вправе получать и обрабатывать: персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности; специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, установленных законом. Порядок получения согласия на обработку персо-нальных данных регламентирован в ст. 9 Закона № 152-ФЗ.
Согласно разъяснениям Роскомнадзора согласие на получение персональных данных требуется и от соискателей, в том числе: от претендента на замещение вакантной должности на период принятия работодателем решения о приёме либо отказе в приёме на работу, при поступлении резюме по каналам электронной почты, факсимильной связи; при сборе персональных данных посредством типовой формы анкеты соискателя, утверждённой работодателем. Если же от имени соискателя действует кадровое агентство, с которым у него заключён договор, или если соискатель самостоятельно разместил своё резюме в сети Интернет, предоставив доступ к нему неограниченному кругу лиц, получать согласие не требуется; для включения соискателя в кадровый резерв работодателя. Согласия на обработку персональных данных не требуется, если обработка необходима для исполнения договора, стороной которого является субъект персональных данных.
По мнению федеральной нотариальной палаты России, это правило распространяется и на стороны трудового договора. Не требуется согласия на обработку персональных данных работника (соискателя), получаемых, в частности: из документов (сведений), предъявляемых при заключении трудового договора в соответствии со ст. 65, ч. 4 ст. 275 Трудового Кодекса РФ (далее ТК РФ); по результатам обязательного предварительного медицинского осмотра о состоянии здоровья; в объёме, предусмотренном унифицированной формой, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, социальных выплат). В случаях, предусмотренных федеральным законодательством, не требуется получать согласие на обработку персональных данных уволенного работника.
Например, в случае если обработка персональных данных осуществляется в рамках бухгалтерского и налогового учёта. Работодатель не может сообщать третьей стороне персональные данные работника без его письменного согласия. Например, если от сторонней организации поступил запрос о предоставлении письменной характеристики в отношении вашего сотрудника. Без письменного согласия сообщить третьим лицам персональные данные можно только в случае, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами. Например, когда необходимо представить сведения в Пенсионного Фонда РФ, Фонда социального страхования РФ или по запросу правоохранительных органов, а также органов безопасности, государственных инспекторов труда при осуществлении ими государственного контроля и надзора за соблюдением трудового законодательства по их мотивированным запросам.
Мотивированный запрос должен содержать: указание цели запроса; ссылку на правовые основания запроса, в том числе подтверждающие пол-номочия органа, направившего запрос; перечень запрашиваемой информации. По этой же самой причине направление персональных данных работников в орган центр занятости населения при проведении процедуры сокращения численности или штата не будет противоречить действующему законодательству о защите персональных данных. Ведь это обязанность работодателя. А вот если запрос поступил из организации, не обладающей соответствующими полномочиями, согласие получить нужно. Например, в случае если организация планирует провести аудит бухгалтерской (финансовой) отчётности, в том числе в целях подтверждения правильности расчётов по заработной плате с работниками. Проводится ли аудит в обязательном или добровольном порядке, правового значения не имеет. Кроме того, работодатель обязан предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы только в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя, базируются на главном принципе свободы доступа работника к своим персональным данным, в том числе на праве получения копии любой записи, содержащей такие данные.
Это право корреспондируется с обязанностью работодателя на основании письменного заявления работника не позднее 3 рабочих дней выдать ему безвозмездно надлежащим образом заверенные копии документов, связанных с работой (приказ о приёме на работу, приказ об увольнении, выписку из трудовой книжки, справку о заработной плату и т. п.). Работники также имеют право:
-на полную информацию о своих персональных данных и их обработке;
-на доступ к медицинской документации, отражающей состояние его здоровья, с помощью медицинского специалиста по его выбору;
-обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите их персональных данных. Защищать свои персональные данные они могут самостоятельно либо через представителя. Таким представителем может выступать профсоюз либо иное лицо (как физическое, так и юридическое).
-требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства. Если работодатель отказывается выполнять это требование, работник может заявить ему о своём несогласии в письменной форме с соответствующим обоснованием. Если речь идёт о персональных данных оценочного характера, работник вправе дополнить их заявлением, выражающим его собственную точку зрения. Защиту персональных данных работника от неправомерного их использования или утраты работодатель обеспечивает за счёт своих средств.
Работодателю необходимо:
-установить порядок хранения и использования персональных данных работников в локальном нормативном акте – Положении о персональных данных. Здесь должен быть закреплен, в частности, перечень персональных данных, обрабатываемых в организации, порядок доступа работника к своим персональным данным и вопросы защиты последних от неправомерного использования или утраты. Работников организации нужно ознакомить с этим документом, а также с их правами и обязанностями в этой области. Его отсутствие может быть квалифицировано государственной инспекцией труда как нарушение трудового законодательства;
-назначить ответственное за организацию обработки персональных данных лицо;
-установить конкретный перечень работников, которые имеют доступ к персональным данным других работников (например, руководитель, бухгалтер, кадровик). А с такими работниками работодателю необходимо оформить письменное обязательство о неразглашении конфиденциальных сведений;
-вести журналы учёта персональных данных, в которых будет чётко отражено, кто, когда имел доступ, к каким персональным данным, каких работников и с какой целью;
-при использовании электронных систем хранения и обработки персональных данных обеспечить их защиту в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных;
-по требованию работника работодатель обязан известить всех лиц, которым ранее были сообщены неверные или неполные персональные 49 данные этого работника, обо всех произведённых в них исключениях, ис-правлениях или дополнениях. В целом защита персональных данных представляет собой сложный технологический процесс, предупреждающий нарушение конфиденциальности персональных данных и обеспечивающий безопасность информации в процессе управленческой и производственной деятельности компании. А обязанность по организации такого комплексного процесса всецело возложена на работодателя (оператора). За нарушение положений законодательства о персональных данных при обработке персональных данных работников виновные лица привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности.
