Изменения законодательства о защите персональных данных. Что нужно знать работодателю

13981
 Станскова У. М.
старший преподаватель кафедры трудового и социального права Южно-Уральского государственного университета
В июле 2011 г. были внесены очередные изменения в Закон о персональных данных - появились новые определения основных используемых понятий, в том числе и самого понятия «персональные данные». В этом номере мы решили остановиться на тех определенных законом мерах, которые следует принимать в целях обеспечения безопасности персональных данных работников. Как показала практика, далеко не все работодатели с должным вниманием отнеслись к произошедшим изменениям. А зря...

25 июля 2011 г. был принят Федеральный закон № 261-ФЗ «О внесении изменений в Федеральный закон "О персональных данных"» далее - Закон о персональных данных), который вступил в силу с 27 июля 2011 г. (со дня официального опубликования). При этом действие положений Закона о персональных данных в редакции Федерального закона № 261-ФЗ распространяется на отношения, возникшие с 1 июля 2011 г.

ПОНЯТИЕ И КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

В новой редакции Закона о персональных данных изменилось само понятие «персональные данные». Теперь персональные данные - это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (п. 1 ст. 3 Закона о персональных данных). Как видим, в определении понятия не перечисляются сведения, которые составляют персональные данные.

Обратите внимание!В понятии персональных данных в настоящее время отсутствует указание на сведения, составляющие персональные данные

В трудовых отношениях субъектом персональных данных является работник. Поэтому его персональные данные - это любые сведения, которые относятся к нему прямо или косвенно (п. 1 ст. 3 Закона о персональных данных) и которые необходимы работодателю в связи с трудовыми отношениями (ст. 85 ТК РФ). Однако это не означает, что работодатель теперь вправе получить от работника любые персональные данные. Объем получаемых и обрабатываемых работодателем сведений ограничен:

1. Целями обработки персональных данных работника - они названы в п. 1 ст. 86 ТК РФ.

2. Необходимостью обработки персональных данных в связи с трудовыми отношениями:

  • для оформления приказа о приеме на работу, для переводов, прекращения трудового договора;
  • для установления условий труда, определенных трудовым законодательством, коллективным договором, соглашением, локальным нормативным актом или трудовым договором;
  • для предоставления льгот и компенсаций, предусмотренных трудовым законодательством;
  • для обеспечения безопасных условий труда;
  • для выплаты заработной платы и других выплат стимулирующего и компенсационного характера;
  • для формирования графиков отпусков, предоставления дополнительных выходных дней и т. п.

3. Связанностью с деловыми качествами работника.

Словарь кадровикаДеловые качества - это способности физического лица выполнять определенную трудовую функцию с учетом имеющихся у него профессионально-квалификационных качеств (наличие определенной профессии, специальности, квалификации) и личностных (состояние здоровья, уровня образования, опыт работы по данной специальности, в данной отрасли)

Понятие деловых качеств содержится в п. 10 постановления Пленума Верховного Суда РФ от 17.03.2004 г. № 2 «О применении судами Российской Федерации Трудового кодекса Российской Федерации».

Таким образом, персональные данные работника включают в себя:

1) фамилию, имя, отчество; дату рождения; место рождения; возраст; адрес места жительства и регистрации;

2) паспортные данные, сведения ИНН, страхового свидетельства обязательного пенсионного страхования, медицинских полисов и других документов;

3) сведения об актах гражданского состояния: брак, рождение или усыновление детей;

4) сведения о профессии, специальности, квалификации, образовании, опыте работы; стаже; переквалификации;

5) сведения о местах работы, продолжительности работы, о переводах и других изменениях трудового договора и причинах прекращения трудовых отношений;

6) сведения о признании недееспособным, ограниченно дееспособным, о судимости, о наличии административных и иных наказаний, о привлечении к ответственности;

7) сведения о доходах, об имуществе работника и членов его семьи, о долговых обязательствах, о размере заработной платы и других выплат, о наличии акций, об учреждении юридических лиц и т. п.;

8) сведения о состоянии здоровья работника, фактах обращения за медицинской помощью и прохождения медицинских обследований, проводимом лечении, о диагнозе заболевания, о пластических и других операциях, об инвалидности, временной нетрудоспособности;

9) сведения о политических взглядах, религиозных и философских убеждениях, о членстве в общественных организациях и профсоюзах;

10) сведения об интимной жизни работника, его любовных связях, смене пола;

11) сведения о вредных и других привычках работника, его образе жизни;

12) биографические и анкетные данные работника, результаты тестирований, прохождения конкурсов, сдачи экзаменов;

13) сведения о членах его семьи, об их состоянии здоровья, возрасте, месте жительства, регистрации, доходах и т. д.

14) другие сведения.

Классификация персональных данных является решающим фактором для определения тех персональных данных, которые может обрабатывать работодатель.

Специальные категории персональных данных

Как и прежде, специальные категории персональных данных работника составляют сведения:

1) о расовой и национальной принадлежности;

2) о политических взглядах, религиозных или философских убеждениях;

3) о состоянии здоровья и интимной жизни;

4) о судимости.

В пунктах 4 и 5 ст. 86 ТК РФ предусмотрены специальные требования к получению и обработке персональных данных о политических, религиозных и иных убеждениях работника, а также сведений о его частной жизни; членстве в общественных объединениях или профсоюзной деятельности.

Относятся ли сведения о членстве в общественных объединениях и профсоюзной организации к специальным категориям персональных данных?

ТК РФ к специальным категориям персональных данных сведения о членстве в общественных объединениях или профсоюзной организации не относит. Такие сведения, на наш взгляд, также должны быть отнесены к специальным категориям, однако в Законе о персональных данных этого не сделано.

Цитируем документ

Обработка персональных данных должна вестись ссоблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта);

4) обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27.07.2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Часть 1 ст. 6 Закона о персональных данных

Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные сделаны общедоступными субъектом персональных данных;

2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25.01.2002 года № 8-ФЗ «О Всероссийской переписи населения»;

2.3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;

9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан.

Часть 2 ст. 10 Закона о персональных данных

Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Часть 2 ст. 11 Закона о персональных данных

Словарь кадровикаБиометрические персональные данные - это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных

Указанная классификация персональных данных имеет значение и при проведении классификации информационных систем в соответствии с Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» (далее - Порядок). Порядком определены следующие категории персональных данных:

Категория 1. Специальные категории персональных данных.

Категория 2. Персональные данные, позволяющие получить о субъекте персональных данных дополнительную информацию, за исключением специальных категорий персональных данных.

Категория 3. Персональные данные, позволяющие идентифицировать субъекта персональных данных.

Категория 4. Обезличенные или общедоступные персональные данные.

Биометрические персональные данные

Как и прежде, в новой редакции Закона о персональных данных не определен перечень биометрических персональных данных.

К биометрическим персональным данным работника могут быть отнесены: отпечатки пальцев, ладони, особенности сетчатки глаза, строения тела; почерк, подпись, ДНК и т. п.

В трудовых отношениях биометрические персональные данные работника используются при пропускной системе на территорию работодателя, при использовании электронно-цифровой подписи,); для использования фотографий работника, записи голоса и т. д.

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА

Обратите внимание!В настоящее время необходимо получить согласие на обработку персональных данных в трудовых отношениях

В прежней редакции ст. 6 Закона о персональных данных не требовалось согласия на обработку персональных данных для исполнения договора, одной из сторон которого является субъект персональных данных (в частности, при обработке персональных данных работника по трудовому договору). Сегодня в ч. 1 ст. 6 этого закона обозначены случаи, когда возможно осуществлять обработку персональных данных, а в ст. 9 определены требования к согласию субъекта. При этом в ст. 9 нет перечня исключений, как это было сделано до внесения изменений в Закон о персональных данных. Поэтому в настоящее время для обработки персональных данных требуется согласие работника (приложение).

ОСОБЕННОСТИ ОБРАБОТКИ ОТДЕЛЬНЫХ ВИДОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

По общему правилу обработка специальных категорий персональных данных не допускается. Исключение сделано для обработки персональных данных в соответствии с трудовым законодательством или при наличии согласия работника.

Анализ п. 4 ст. 86 ТК РФ и новой редакции ст. 10 Закона о персональных данных свидетельствует о необходимости получения письменного согласия работника на обработку специальных категорий его персональных данных (сведений о его политических, религиозных и иных убеждениях и частной жизни).

Обработка биометрических персональных данных, как и прежде, возможна с письменного согласия работника, кроме случаев, указанных в ч. 2 ст. 11 Закона о персональных данных.

У нас фотографии лучших работников, которым была присуждена эта номинация по итогам ежегодного конкурса, вывешиваются на Доске почета. Необходимо ли для этого письменное согласие сотрудников?

Согласно ч. 1 ст. 11 Закона о персональных данных фотографии работников относятся к биометрическим персональным данным, которые, в свою очередь, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.

Таким образом, для размещения фотографий работников на Доске почета необходимо получить у них письменное согласие на это.

Обратите внимание!В определенных Законом о персональных данных случаях работодатель вправе продолжить обработку персональных данных работника, даже в случае отзыва его согласия на такую обработку

Обработка персональных данных, подлежащих трансграничной передаче на территории иностранных государств, осуществляется по требованиям ст. 12 Закона о персональных данных.

Работодатель должен определить, обеспечивает ли адекватную защиту персональных данных то иностранное государство, на территорию которого он предполагает передачу персональных данных.

Если иностранное государство не обеспечивает надлежащей защиты персональных данных, то трансграничная передача персональных данных возможна:

1) при наличии письменного согласия работника на трансграничную передачу его персональных данных;

2) в случаях, предусмотренных международными договорами РФ;

3) в случаях, предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя РФ, обеспечения обороны страны, безопасности государства, а также обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;

4) для исполнения трудового договора с работником;

5) для защиты жизни, здоровья, иных жизненно важных интересов работника или других лиц при невозможности получения письменного согласия работника.

ОТЗЫВ СОГЛАСИЯ РАБОТНИКА НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Изменился и порядок отзыва согласия работника на обработку его персональных данных - работник может сделать это в любой момент. Однако работодатель вправе продолжить обработку персональных данных такого работника в случаях, названных в пп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных.

УВЕДОМЛЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Изменился и порядок отзыва согласия работника на обработку его персональных данных - работник может сделать это в любой момент. Однако работодатель вправе продолжить обработку персональных данных такого работника в случаях, названных в пп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных.

Согласно Закону о персональных данных не требуется уведомлять территориальные органы Роскомнадзора об обработке персональных данных, если такая обработка осуществляется в соответствии с трудовым законодательством. Относится ли данное исключение только к работникам организации или об обработке персональных данных кандидатов на вакантные должности также можно не уведомлять Роскомнадзор?

Взаимоотношения будущего работодателя и кандидата на вакантную должность не являются еще трудовыми правоотношениями, поэтому в данной ситуации следует руководствоваться ч. 2 ст. 22 Закона о персональных данных и определить необходимость уведомления. Если перечисленные исключения не подходят, то следует направить уведомление об обработке персональных данных.

Обратите внимание!Новую форму уведомления об обработке персональных данных см. на портале www.pro-personal.ru

Следует обратить внимание на новую форму уведомления, предусмотренную приказом Роскомнадзора от 19.08.2011 № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных».

В частности, в новую форму включена графа, в которой указываются меры, принимаемые оператором для обеспечения безопасности персональных данных, в том числе криптографических, с учетом положений ст. 18.1 и 19 Закона о персональных данных.

Также в уведомлении надлежит указать юридическое лицо, ответственное за организацию обработки персональных данных, контактные телефоны, адреса.

В новой форме уведомления предусмотрена необходимость указать сведения о трансграничной передаче персональных данных и перечень иностранных государств, на территорию которых передаются персональные данные.

Отдельной строкой следует обозначить сведения об обеспечении безопасности персональных данных.

МЕРЫ, НАПРАВЛЕННЫЕ НА ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ТРУДОВЫХ И ИНЫХ НЕПОСРЕДСТВЕННО СВЯЗАННЫХ С НИМИ ОТНОШЕНИЯХ

В Законе о персональных данных появилась ст. 18.1, где определены меры, направленные на обеспечение безопасности персональных данных.

В силу ст. 19 Закона о персональных данных такие меры классифицируются на три группы.

Группа 1. Правовые меры.

Группа 2. Организационные меры.

Группа 3. Технические меры.

Требования статьи 18.1 Закона о персональных данных обращены только к оператору - юридическому лицу. Означает ли это, что для работодателей - физических лиц, являющихся операторами персональных данных, такие требования носят рекомендательный характер?

В силу того, что ответственность за обеспечение безопасности персональных данных предусмотрена для любых операторов, полагаем, что работодателю - физическому лицу также следует руководствоваться ст. 18.1 Закона о персональных данных.

Остановимся на новых требованиях подробнее.

Требование 1. Работодатель как оператор должен назначить лицо, ответственное за обработку персональных данных, и оформить назначение приказом. Возложение соответствующих обязанностей на ответственного работника также должно быть подкреплено соответствующим трудовым договором и должностной инструкцией.

Обратите внимание: если выполнение таких обязанностей выходит за пределы трудовой функции того работника, на которого работодатель собирается возложить эти обязанности, то такое поручение возможно только с согласия работника.

Так, поручение дополнительной работы должно быть оформлено путем совмещения профессий (должностей). В некоторых ситуациях потребуется оформить перевод на другую работу.

Требование 2. Издание документов, определяющих политику в отношении обработки персональных данных, и локальных актов.

В Законе о персональных данных определено два вида локальных актов в области персональных данных.

Вид 1. Локальные акты по вопросам обработки персональных данных.

Вид 2. Локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

Занимаемся в настоящее время разработкой политики в отношении обработки персональных данных. Как правильно назвать данный документ? Что он должен содержать?

Документы, определяющие политику оператора в отношении персональных данных, как правило, именуются «Политика конфиденциальности» и могут содержать следующие разделы:

  • преамбулу (введение, обращение к субъектам персональных данных);
  • информацию (персональные данные), которая собирается и обрабатывается оператором;
  • цели сбора и обработки персональных данных;
  • условия обработки персональных данных;
  • правила передачи персональных данных (кому, в каких целях и на каких условиях);
  • общую характеристику мер защиты персональных данных;
  • права субъектов персональных данных;
  • сведения о порядке внесения изменений в политику.

Согласно ч. 2 ст. 18 Закона о персональных данных работодатель обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Работодатель, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Ряд компаний уже опубликовали свою политику конфиденциальности персональных данных в сети Интернет. Например, Яндекс (http://company.yandex.ru/legal/confidential).

Требование 3. Работодатель должен применить организационные, правовые и технические меры защиты персональных данных работника.

Меры по обеспечению конфиденциальности персональных данных определены в ст. 19 Закона о персональных данных. Однако конкретизация названных мер в ней отсутствует, так как в ч. 1 ст. 18.1 Закона о персональных данных ^ указано, что оператор сам определяет состав и перечень необходимых мер. Определены только средства, с помощью которых может быть достигнута безопасность персональных данных (ч. 2 ст. 19 Закона о персональных данных).

В частности, обеспечению безопасности способствует установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

Требование 4. Работодатель должен осуществлять внутренний контроль (аудит) соответствия обработки персональных данных требованиям нормативных правовых актов в этой области, а также принятой работодателем политике обработки персональных данных и локальным нормативным актам работодателя.

Полномочия по осуществлению такого контроля могут быть возложены на ответственного работника. Также может быть создана комиссия для проведения соответствующего контроля.

Требование 5. Работодатель должен оценить вред, который может быть причинен при нарушении требований по обеспечению безопасности персональных данных, и соотнести его с принятыми мерами защиты.

Требование 6. Работодатель должен ознакомить работников, получающих доступ к персональным данным, с требованиями законодательства, политики организации и локальными нормативными актами об обеспечении безопасности персональных данных.

В этих целях может быть проведено обучение работников работе с персональными данными и обеспечению их безопасности.

В связи с изменением законодательства в области защиты персональных данных мы обновили локальные нормативные акты, посвященные этим вопросам. Как должно быть оформлено ознакомление работников с новыми требованиями о персональных данных?

Ознакомление работников с установленными требованиями о персональных данных может быть оформлено несколькими способами. Приведем наиболее распространенные из них.

Способ 1. Приложить к политике организации и локальным нормативным актам об обеспечении безопасности персональных данных листы ознакомления, на которых работник будет проставлять визы ознакомления, включающие личную подпись, дату ознакомления и расшифровку личной подписи.

Способ 2. Оформить специальный журнал ознакомления работников с политикой организации и локальным нормативным актом об обеспечении безопасности персональных данных.

Способ 3. Составить перечень документов об обеспечении безопасности персональных данных, с которыми должен быть ознакомлен работник, довести до сведения работника каждый документ, оформить визы ознакомления с каждым из них. В дальнейшем приложить оформленный перечень к трудовому договору, заключенному с работником, указав (от руки) дату и номер договора.

ПОРУЧЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обратите внимание!Работодатель обязан назначить лицо, ответственное за организацию обработки персональных данных

В Законе о персональных данных появилась ст. 22.1, где предусмотрена обязанность оператора персональных данных назначить лицо, ответственное за организацию обработки персональных данных.

Такое поручение может быть дано и сторонней организации. Отдельно в статье оговорено, что такое ответственное лицо получает указания от исполнительного органа организации (т. е. руководителя организации) и подотчетно ему.

Если таким ответственным лицом является работник организации, то в его трудовом договоре (должностной инструкции) следует предусмотреть следующие обязанности:

1) осуществлять внутренний контроль соблюдения законодательства о персональных данных у работодателя - оператора персональных данных, в том числе действий других работников;

2) доводить до сведения других работников требования законодательства и локальных нормативных актов об обработке и защите персональных данных;

3) организовывать прием и обработку обращений и запросов субъектов персональных данных (их представителей) по вопросам обработки и защиты персональных данных.

ПРАВА РАБОТНИКА КАК СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Работник как субъект персональных данных может сделать запрос об обработке своих персональных данных.

В соответствии с новой редакцией ст. 14 Закона о персональных данных работник имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.

ОБЯЗАННОСТИ РАБОТОДАТЕЛЯ ПРИ СБОРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

В новой редакции ст. 18 Закона о персональных данных определена обязанность оператора персональных данных уведомить субъекта о получении его персональных данных от третьих лиц.

Вместе с этим определены случаи, когда оператор освобожден от такой обязанности, в частности, если персональные данные получены в связи с исполнением договора, стороной которого является субъект. В силу же п. 3 ст. 86 ТК РФ при получении персональных данных работника от третьих лиц его следует уведомить об этом заранее и указать цели, предполагаемые источники и способы получения персональных данных, сообщить о характере получаемых данных и последствиях отказа. Поэтому, несмотря на исключения, предусмотренные в ч. 4 ст. 18 Закона о персональных данных, работодатель должен уведомить работника о получении его персональных данных от других лиц и получить от него письменное согласие.

Приложение

Примерная форма согласия работника на обработку персональных данных

Изменения законодательства о защите персональных данных. Что нужно знать работодателю

Читайте в этом месяце
    Узнать подробнее >>>


    Ваша персональная подборка

      Подписка на статьи

      Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

      Рекомендации по теме

      Самое выгодное предложение

      Самое выгодное предложение

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией




      PRO-personal.ru: сайт для специалистов по кадрам и управлению персоналом

      Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции сайта. Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

      Свидетельство о регистрации ПИ № ФС77-64204 от 31.12.2015

      
      • Мы в соцсетях
      Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
      Извините, что прерываем ваше чтение

      Чтобы обеспечить качество материалов и защитить авторские права наших экспертов, многие статьи на сайте находятся в закрытом доступе для незаарегистрированных пользователей.
      Зарегистрируйтесь, чтобы продолжить чтение. Это займет меньше минуты.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И читать продолжение
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      Зарегистрируйтесь на сайте и скачайте файл!

      Это бесплатно и займет всего одну минуту! Вам станут доступны для скачивания более 2000 форм и образцов документов.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      Ваш подарок придет на указанный при регистрации Email
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль