Какие шаги необходимо предпринять работодателю в связи с изменениями в законе о персональных данных

108

Вопрос

Какие шаги необходимо предпринять работодателю в связи с изменениями в законе о персональных данных?

Ответ

Прежде всего, работодателю следует разработать локальный нормативный акт, устанавливающий порядок обработки персональных данных работников, порядок передачи персональных данных работников, а также права и обязанности работника работодателя в этой области (например, Положение о порядке обработки персональных данных работников как локальный нормативный акт). Безусловно, при его составлении необходимо руководствоваться нормами Трудового кодекса РФ (далее - ТК РФ) (глава 14) и положениями Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее Закон о персональных данных).

Если же такой локальный нормативный акт уже был разработан в организации к моменту внесения изменения в Закон о персональных данных Федеральным законом от 25.07.2011 № 261-ФЗ (указанные изменения вступили в силу с 27.07.2011), то его следует привести в соответствие с указанными изменениями. Остановимся на некоторых их них более подробно.

В обновленном Законе о персональных данных скорректированы принципы обработки персональных данных. Применительно к трудовым отношениям принципы означают следующее:

Во-первых, обработка персональных данных работника должна осуществляться на законной и справедливой основе означает, что работодатель при их обработке должен руководствоваться действующими нормативными правовыми актами в этой сфере; при их обработке не допускать дискриминации и ущемления прав работников и нарушения ограничений, установленных для обработки отдельных категорий персональных данных.

Во-вторых, обработка персональных данных работника должна ограничиваться достижением конкретных, заранее определенных и законных целей: цели обработки персональных данных работника определены в п. 1 ст. 86 ТК РФ. Предполагается предварительное ознакомление работника с целями обработки его персональных данных.

В-третьих, не допускается объединение баз данных, содержащих персональные данные работников и других лиц, обработка которых осуществляется в целях, несовместимых между собой. Цели обработки предполагают различный состав персональных данных и лиц, допускаемых к их обработке. Реализация данного принципа позволит избежать ознакомления с отдельными категориями персональных данных неуполномоченных на то лиц. Например, работники бухгалтерии используют свою базу персональных данных работников в целях расчета заработной платы, исчисления налогов и т.д. В то время как служба охраны организации обладает базой персональных данных работников для контроля безопасности, осуществления пропускного режима.

В-четвертых, обработке персональных данных подлежат только те персональные данные работника, которые отвечают целям их обработки. К примеру, организация осуществляет обработку персональных данных претендента на работу в целях определения соответствия его квалификационных и личностных качеств установленным организацией требованиям. Следовательно, обработке подлежат только данные, позволяющие определить такую квалификацию. Из данного принципа вытекает принцип недопустимости избыточности обрабатываемых персональных данных. Распространенной является ситуация, когда при приеме на работу от претендентов требуют предоставления документов, не указанных в ст. 65 ТК РФ (в частности, справки о судимости в отсутствии законодательного требования для выполнения данной работы).

В-пятых, требуется обеспечить точность, достаточность и актуальность персональных данных работника. Необходимо постоянно обновлять обрабатываемые персональные данные, удалять устаревшие сведения о работнике.

Содержание ст. 6 Закона о персональных данных изменилось полностью. Если ранее статья определяла случаи, когда при обработке персональных данных требовалось согласие субъекта, то теперь в ней установлен только исчерпывающий перечень случаев, когда допускается обработка персональных данных. При этом открытым остался вопрос о том, всегда ли требуется согласие субъекта на обработку персональных данных или существуют ситуации, когда такого согласия не требуется.

Анализ ч. 1 ст. 6 позволяет сделать следующие выводы на этот счет. Общее правило: обработка персональных данных допускается с согласия субъекта (п. 1 ч. 1). Случаи, перечисленные в п. 2 – 11 ч. 1 ст. 6 либо подразумевают наличие согласия субъекта на получение и обработку его персональных данных либо предполагают отсутствие такового. В частности, запрос о предоставлении субъекту государственной или муниципальной услуги приравнивается к согласию на обработку его персональных данных (п. 2 ст. 7 Федерального закона от 27.07.2010 № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг"). Обработка персональных данных для исполнения договора, стороной которого является субъект персональных данных (п. 5 ч. 1 ст. 6) также подразумевает согласие субъекта, поэтому логично предположить, что от оператора не должно требоваться оформления соответствующего согласия (например, в силу трудового договора). Однако теперь в Законе о персональных данных подобное исключение отсутствует. Очевидно, что в случаях, перечисленных в п. 3 и 6 ч. 1 ст. 6 согласия на обработку персональных данных также не требуется.

Часть 3-5 ст. 6 Закона о персональных данных регламентируют поручение оператором обработки персональных данных другому лицу. При поручении обработки персональных данных другому лицу оператор заключает договор с этим лицом об обработке персональных данных. Такой договор именуется в Законе "поручение оператора", в котором должен быть определен перечень действий, совершаемых с персональными данными; цели обработки; требование по обеспечению конфиденциальности и защите обрабатываемых персональных данных. Согласие на передачу персональных данных по такому договору обязан получить именно первоначальный оператор. Он же несет ответственность перед субъектом за действия лица, которому была поручена обработка. Например, если работодатель как оператор персональных данных работника поручает их обработку другому лицу по "поручению оператора", то ответственность перед работником за деятельность такого лица при обработке персональных данных будет нести именно работодатель. Причем на "поручение обработки" другому лицу необходимо предварительно получить согласие субъекта персональных данных (к примеру, работника), если иное не предусмотрено федеральным законом. На данный момент затруднительно определить, существуют ли подобные федеральные законы. Из ст. 7 Закона о персональных данных изъято указание на конкретные случаи, когда не требуется обеспечения конфиденциальности персональных данных с отсылкой к случаям, предусмотренным федеральным законом. Установлены требования к согласию на обработку персональных данных. Оно должно быть: конкретным, информированным и сознательным. Форма согласия на обработку персональных данных может быть любой. Обязательное требование – форма позволяет подтвердить факт получения согласия. Письменное согласие, как и прежде, требуется при обработке специальных категорий персональных данных (п. 1 ч. 2 ст. 10), биометрических персональных данных (ст. 11), при трансграничной передаче персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (п. 1 ч. 4 ст. 12). Как и прежде субъект может отозвать свое согласие на обработку его персональных данных. Однако в отличие от прежней редакции Закона о персональных данных, определены случаи, когда даже при наличии такого отзыва оператор вправе продолжить обработку персональных данных (ч. 2 ст. 9). В частности, если работник отзовет свое согласие на обработку своих специальных категорий персональных данных, то работодатель вправе продолжить их обработку по своему усмотрению.

Из ст. 7 Закона о персональных данных изъято указание на конкретные случаи, когда не требуется обеспечения конфиденциальности персональных данных с отсылкой к случаям, предусмотренным федеральным законом.

Помимо предусмотренных ранее сведений в письменное согласие субъекта необходимо включить следующее:

  1. сведения о представителе субъекта и документах, подтверждающих его полномочия. Представитель субъекта персональных данных участвует в рассматриваемых отношениях в случае недееспособности субъекта персональных данных или смерти субъекта (ч. 6, 7 ст. 9);

  2. сведения о лице, осуществляющем обработку персональных данных на основании "поручения оператора".

Как и прежде субъект может отозвать свое согласие на обработку его персональных данных. Однако в отличие от прежней редакции Закона о персональных данных, определены случаи, когда даже при наличии такого отзыва оператор вправе продолжить обработку персональных данных (ч. 2 ст. 9). В частности, если работник отзовет свое согласие на обработку своих специальных категорий персональных данных, то работодатель вправе продолжить их обработку по своему усмотрению.

Статья 9 дополнена новой частью 8, определяющей возможность получения персональных данных от третьих лиц при наличии предусмотренных в Законе оснований (например, подтверждения обработки персональных данных в силу трудового договора)

Закон о персональных данных дополнен случаями, когда допускается обработка специальных категорий персональных данных. Важным дополнением является правомочие обрабатывать специальные категории персональных данных в соответствии с трудовым законодательством. Ранее при отсутствии специального основания обработка таких персональных данных в трудовых отношениях допускалась либо в силу п. 1 ч. 2 ст. 10 (с письменного согласия субъекта), либо – п. 3 ч. 2 ст. 10 (обработка сведений о состоянии здоровья в целях защиты его жизни, здоровья других лиц при отсутствии возможности получить согласие субъекта) и др.

Расширен перечень информации, которую субъект вправе получить об обработке его персональных данных (ч. 7 ст. 14), а также случаев, когда право субъекта на доступ к его персональным данным ограничено (ч. 8 ст. 14). Как и ранее для получения информации об обработке персональных данных субъект может направить оператору соответствующий запрос. В соответствии с новым содержанием ч. 3 ст. 14 такой запрос должен также содержать сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором. В этих целях в запросе должны быть указаны, например, номер и дата заключения трудового договора с работником. Теперь в ч. 5 ст. 14 определены сроки направления повторного запроса (не ранее чем через 30 дней) и возможность установления более коротких сроков.

Изменены сроки рассмотрения оператором возражений субъекта против принятия решения, порождающих юридические последствия в отношении субъекта персональных данных, исключительно на основании автоматизированной обработки персональных данных и направления уведомления о результатах его рассмотрения с 7 рабочих дней на 30 дней со дня его получения (ст. 16).

Расширено содержание информации, предоставляемой субъекту при получении его персональных данных от других лиц: дополнительно необходимо указать источник получения персональных данных. В ч. 4 ст. 18 установлен перечень случаев, когда оператор освобожден от обязанности сообщать субъекту информацию о получении его персональных данных от третьих лиц. Например, если персональные данные были получены из общедоступного источника персональных данных (адресной книги, телефонного справочника и т.д.) (ст. 18).

В Закон о персональных данных включены две новые статьи: ст. 18.1 и ст. 22.1 В ст. 18.1определены меры, которые должен принять оператор для защиты персональных данных. К таковым отнесены как правовые, организационные и технические меры по обеспечению безопасности персональных данных, разработку локальных нормативных актов и документов, определяющих политику защиты персональных данных. ВАЖНО: локальные нормативные акты и документы, определяющие политику в области персональных данных, должны быть опубликованы или иным образом обеспечивать их доступность неограниченному кругу лиц (ч. 2 ст. 18.1). Статья 22.1 устанавливает обязанности оператора по назначению лица, ответственного за организацию обработки персональных данных и обязанности такого лица. В числе обязанностей ответственного лица названо доведение до сведения работников оператора положений законодательства о персональных данных и осуществление внутреннего контроля за соблюдением ими этих положений (ч. 4 ст. 22.1). Обратим внимание на то, что в ст. 22.1 обязанность назначить ответственное лицо установлена только для оператора – юридического лица. Для оператора – физического лица такой обязанности не предусмотрено.

В новую редакцию ст. 19 включены способы достижения обеспечения безопасности персональных данных и конкретизированы полномочия Правительства РФ, федеральных органов исполнительной власти и права объединений операторов в области персональных данных.

В ст. 20 сохранены обязанности оператора сообщить субъекту информацию о наличии его персональных данных, но в новый срок – в течение 30 дней с даты получения запроса (в прежней редакции – 10 рабочих дней). Изменился срок направления субъекту мотивированного отказа в предоставлении информации: 30 дней со дня обращения субъекта либо с даты получения запроса (ранее срок составлял 7 рабочих дней). Теперь для оператора установлен срок внесения изменений (уточнений, актуализации, дополнений) персональных данных по требованию субъекта – 7 рабочих дней со дня предоставления субъектом сведений, подтверждающих необходимость внесения соответствующих изменений. Такой же срок предусмотрен для уничтожения оператором незаконно полученных персональных данных. Срок направления сообщения в уполномоченный орган по защите персональных данных по его запросу также изменился на 30 дней с даты получения запроса.

Необходимо обратить внимание на то, что в новой редакции отсутствует уточнение того в каких днях исчисляется тридцатидневный срок: календарных или рабочих. Так как в других случаях в Законе указывается на рабочие дни, то можно сделать предположение, что при отсутствии конкретизации речь идет о календарных днях.

Дополнены обязанности оператора по устранению нарушений законодательства при обработке персональных данных. Оператор обязан блокировать: а) неправомерно обрабатываемые данные; б) неточные персональные данные. Учтены положения закона относительно обработки данных по "поручению оператора": оператор обязан обеспечить блокирование персональных данных лицом, действующим по "поручению оператора".

Кроме того в ст. 21 включены новые сроки:

  • уточнение персональных данных оператор должен произвести в течение 7 рабочих дней;

  • уничтожить персональные данные необходимо в срок, не более 10 рабочих дней при невозможности обеспечить правомерность их обработки.

Увеличен срок:

  • уничтожения персональных данных при достижении целей обработки с 3 рабочих дней до 30 дней с даты достижения целей;

  • прекращения обработки персональных данных в случае отзыва согласия субъекта с 3 рабочих дней до 30 дней с даты поступления такого отзыва.

В статье 22 Закона о персональных данных сделано уточнение: уведомления в уполномоченный орган по обработке персональных данных не требуется при их обработке в соответствии с трудовым законодательством. Ранее речь шла о субъектах, которых связывают с оператором трудовые отношения, теперь уведомления не требуется при обработке персональных данных не только лиц, состоящих непосредственно в трудовых отношениях, но и в иных, непосредственно связанных с ними отношениях (ст. 1 ТК РФ). В статье также дополнены требования к форме и содержанию уведомления об обработке персональных данных.

Взамен конкретных видов юридической ответственности (гражданская, уголовная, дисциплинарная) предусмотрена общая формулировка – предусмотренная законодательством ответственность. Новеллой является включение в данную статью возможности возмещения морального вреда субъекту персональных данных независимо от возмещения имущественного вреда и понесенных убытков.

В связи с включением в содержание уведомления об обработке персональных данных дополнительных сведений (ч. 3 ст. 22) операторы, осуществлявшие обработку персональных данных до 1 июля 2011 г., обязаны направить недостающие сведения в уполномоченный орган до 1 января 2013 (ст. 25).

10 лучших материалов по мнению наших читателей


—  Трудовая книжка от А до Я

—  Ответственность за невыплату заработной платы

—  Отпуск работнику: сложные случаи

—  Как оформляются командировки в 2017 году

—  Как уволить работника без проблем

—  Совместительство и совмещение, в чем разница?

—  Все про дисциплинарные взыскания

—  Прием на работу: пошаговая инструкция

—  Работа в выходные дни: актуально на "майские"

—  Трудовой договор: нюансы оформления  


Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

Актуально


Рассылка




PRO-personal.ru: сайт для специалистов по кадрам и управлению персоналом

Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции сайта. Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

Свидетельство о регистрации электронных СМИ № ФС77-40332 от 23 июня 2010 года


  • Мы в соцсетях
Зарегистрируйтесь на сайте и скачайте файл!

Это бесплатно и займет всего одну минуту! Вам станут доступны для скачивания более 2000 форм и образцов документов.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Статья для специалистов отдела кадров!

Зарегистрируйтесь, чтобы продолжить чтение статьи, и Вы сможете:

- прочитать 5600 статей по кадровому делопроизводству

- узнать 3200 ответов на вопросы

- посмотреть 44 видеолекции по трудовому законодательству

- скачать любой документ из бесплатной правовой базы

- найти 4800 готовых образцов кадровых документов

Подарок дня: NEW! Справочник должностных инструкций, которые учитывают требования профстандартов

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль