Юридические тонкости работы с персональными данными

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Юридические тонкости работы с персональными данными». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Во-первых, как поясняет Ирина Ахмедова, чтобы важная для компании информация попала, например, под закон о коммерческой тайне, юрлицо должно ввести определенный режим внутри своей организации: «Руководителю компании нужно принять положение о коммерческой тайне, определить уровни доступа к информации, установить меры защиты, способы передачи информации и прочее», — поясняет Ахмедова.

Проведя работу над ошибками, команда поняла, что правильнее будет все же дублировать инфраструктуру в защищенной зоне и скопировать лишь файлы с данными. Было принято решение не требовать от заказчика доплаты за дополнительные серверные мощности, которые пришлось развернуть для завершения миграции.

В результате, когда кластеры в защищенной зоне были полностью продублированы, миграция прошла без проблем.

Далее требовалось лишь разделить сети защищенной и незащищенной зон. Здесь обошлось несколькими незначительными перебоями в работе. Этап тестирования всей системы в защищенной зоне без какой-либо защиты удалось запустить в штатном режиме. Собрав положительную статистику работы системы в таком режиме, мы перешли к последнему этапу: запуску систем защиты и ограничению доступа.

NDA (от англ. non‑disclosure agreement) — это соглашение о неразглашении. Оно регламентирует порядок обращения с конфиденциальной информацией, которая указана в соглашении. Например, работодатель может подписать такой документ с сотрудником, запретив ему разглашать данные о контрагентах компании или ее финансовых показателях. Если же работник нарушит NDA, ему могут грозить штрафы или возмещение материального ущерба от разглашения информации.

В российском законодательстве есть несколько федеральных законов, которые обеспечивают защиту важной информации: «О коммерческой тайне», «О персональных данных», «О государственной тайне». Кроме того, есть статья «Соблюдение врачебной тайны» в ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и право на секрет производства, закрепленное в Гражданском кодексе.

NDA — это альтернативный способ защиты информации, не закрепленный в законодательстве. Такое соглашение составляется как гражданско-правовой договор, либо как приложение к трудовому договору.

Что относится к персональным данным работника

Персональные данные работника — это любая информация прямо или косвенно относящаяся к сотруднику, имеющаяся у работодателя.

К персональным данным относятся:

• фамилия, имя, отчество;
• пол, возраст;
• паспортные данные, СНИЛС, ИНН;
• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
• место жительства;
• семейное положение, наличие детей, родственные связи;
• факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
• финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
• деловые и иные личные качества, которые носят оценочный характер;
• номер телефона или электронная почта;
• прочие сведения, которые могут идентифицировать человека.

Риски при нарушении требований к обработке персональных данных работников организации

В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

• — на граждан — от 500 до 1 000 руб.;
• — на должностных лиц — от 4 000 до 5 000 руб.

Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных

За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.

В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):

• — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
• — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
• — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.

Особенности работы с персональными данными

Сталкиваться с понятием персональных данных работника приходится уже на этапе публикации вакансий на сайте работодателя или на ином интернет-ресурсе. В ответ на них потенциальные кандидаты отправляют свои данные, а получатели начинают нести ответственность за их нераспространение. Можно игнорировать отсутствие договора на обработку данных, если кандидат сам разместил резюме в интернете.

На следующем этапе — при трудоустройстве будущему работнику нужно будет предоставить:

1. паспорт гражданина РФ (или иной документ для подтверждения личности);
2. трудовую книжку;
3. ИНН и СНИЛС;
4. диплом об образовании или квалификации;
5. документы о воинской обязанности.

В каких случаях потребуется уведомление Роскомнадзора

Практически любая организация и ИП обязаны отправить уведомление, если они являются работодателем или заключают договоры с физлицами. Данное действие необходимо сделать до начала обработки персональных данных.

Уведомление необходимо направить в случае, если данные записываются с помощью средств автоматизации, например, компьютера или смартфона. Когда сбор сведений происходит на бумажный носитель, информацию отправлять не требуется. Если в компании планируется перенос личных сведений с бумаги в автоматизированную систему, сообщение в Роскомнадзор становится обязанностью.

Что делать компаниям, которые сбор персональных данных уже осуществляют? В таком случае ведомство также потребуется проинформировать.

Уведомление направляется однократно. При оформлении работодателем нового сотрудника каждый раз информировать Роскомнадзор не требуется.

Могут ли контрагенты требовать персональные данные сотрудников другой организации

Закона N 152-ФЗ). Таким образом, обработка персональных данных контрагентов — физических лиц (в том числе являющихся индивидуальными предпринимателями), с которыми непосредственно у организации заключены договоры поставки (либо оказания услуг и пр.), может осуществляться без согласия на обработку персональных данных и без уведомления уполномоченного органа при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях заключения с ними соответствующих договоров (определение СК по гражданским делам Московского городского суда от 06.04.2012 N 33-8687). Если же организация намерена осуществлять обработку персональных данных в иных случаях, не связанных с исполнением договора, то она обязана получить согласие на обработку персональных данных.

4.1. Оператор обрабатывает персональные данные клиентов контрагента в рамках правоотношений с Оператором, урегулированных частью второй Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ.

4.2. Оператор обрабатывает персональные данные клиентов контрагента с целью исполнения обязанностей по договорам оказания услуг с контрагентами, а также лицензионным договорам, заключенным с контрагентами.

4.3. Оператор обрабатывает персональные данные клиентов контрагента по поручению контрагентов. Согласие субъектов персональных данных на обработку их персональных данных (в том числе третьим лицам) предоставляется контрагенту.

4.4. Оператор обрабатывает персональные данные клиентов контрагента не дольше, чем того требуют цели обработки персональных данных, если иное не предусмотрено требованиями законодательства РФ.

4.5. Оператор обрабатывает следующие персональные данные клиентов контрагента:

• Фамилия, имя, отчество;
• Тип, серия и номер документа, удостоверяющего личность;
• Дата выдачи документа, удостоверяющего личность, и информация о выдавшем его органе;
• Год, месяц и дата рождения;
• Место рождения;
• Адрес регистрации;
• Номер контактного телефона;
• Адрес электронной почты;
• Идентификационный номер налогоплательщика;
• Номер страхового свидетельства государственного пенсионного страхования;
• Данные о социальных льготах;
• Сведения об оказанных услугах;
• Сведения о задолженности перед контрагентом.

8.1. Оператор назначает ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

8.2. Оператор применяет комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий:

• обеспечивает неограниченный доступ к Политике, копия которой размещена по адресу нахождения Оператора, а также может быть размещена на сайте Оператора (при его наличии);
• во исполнение Политики утверждает и приводит в действие документ «Положение об обработке персональных данных» (далее — Положение) и иные локальные акты;
• производит ознакомление работников с положениями законодательства о персональных данных, а также с Политикой и Положением;
• осуществляет допуск работников к персональным данным, обрабатываемым в информационной системе Оператора, а также к их материальным носителям только для выполнения трудовых обязанностей;
• устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе Оператора, а также обеспечивает регистрацию и учёт всех действий с ними;
• производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;
• производит определение угроз безопасности персональных данных при их обработке в информационной системе Оператора;
• применяет организационные и технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защищенности персональных данных;
• осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принимает меры по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• производит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы Оператора;
• осуществляет внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике, Положению и иным локальным актам, включающий контроль за принимаемыми мерами по обеспечению безопасности персональных данных и их уровня защищенности при обработке в информационной системе Оператора.

VI. ОБЯЗАННОСТИ КЛИЕНТА, КОНТРАГЕНТА И ОПЕРАТОРА

В целях обеспечения достоверности персональных данных,

6.1 Клиент или Контрагент обязан:

6.1.1 При заключении договора предоставить Оператору полные и достоверные данные о себе;

6.1.2 В случае изменения сведений, составляющих персональные данные Клиента или Контрагента, незамедлительно, но не позднее пяти рабочих дней, предоставить данную информацию Оператору.

6.2 Оператор обязан:

6.2.1 Обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;

6.2.2 Ознакомить Клиента, Контрагента или их законных представителей с настоящим положением и его правами в области защиты персональных данных под подпись;

6.2.3 Обеспечить хранение первичной учетной документации. При этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.

6.2.4 Вести учет передачи персональных данных Клиента или Контрагента третьим лицам путем ведения соответствующего журнала, отражающего сведения о поступившем запросе (кто является отправителем запроса, дата его поступления Оператору, дату ответа на запрос, какая именно информация была передана либо отметка об отказе в ее предоставлении).

6.2.5 В случае реорганизации или ликвидации Оператора учет и сохранность документов, порядок передачи их на государственное хранение осуществлять в соответствии с правилами, предусмотренными учредительными документами и действующим законодательством Российской Федерации.

6.2.6 Вести журнал учета обращений субъектов персональных данных в части Федерального Закона №152-ФЗ.

6.2.7 Осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации.

6.2.8 По требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.

Сведения из ЕГРЮЛ являются источником полезной информации, которую можно использовать для оценки надежности контрагентов (например, данные о «массовости» юридического адреса или «массовости» руководителя).

В разделе ЕГРЮЛ (рис. 2) выводятся все реквизиты организации контрагента в объеме выписки из ЕГРЮЛ, включая связанную информацию:

• краткое и полное наименование контрагента;
• сведения о регистрации в ФНС, ПФР, ФСС, в том числе статус организации контрагента (действующая, находится в стадии реорганизации, закрыта, причина закрытия и т.д.);
• ИНН, ОГРН, КПП;
• виды деятельности по ОКВЭД;
• наличие лицензий;
• юридический адрес, включая список других организаций, зарегистрированных по этому адресу;
• ФИО руководителя, наименование должности, дата назначения, а также список других организаций, где данное лицо является руководителем или учредителем (участником), в том числе статусы этих организаций;
• учрежденные организацией-контрагентом компании, доли в этих компаниях;
• величина уставного капитала организации контрагента;
• состав учредителей (участников) организации контрагента, доли уставного капитала, а также список других организаций, где данные учредители также являются учредителями (участниками), в том числе статусы этих организаций;
• адреса филиалов и представительств;
• сведения о фактах внесения изменений в ЕГРЮЛ.

Почему нужно проверять контрагентов

Есть две основные причины, из-за которых необходимо каждого поставщика проверять на специальных сайтах.

• Первая — обезопасить компанию от недобросовестных контрагентов. Поставщик может нарушить условия договора: не предоставить товар, привезти заказ позже назначенного срока, выполнить некачественно услуги. С помощью проверки можно узнать, что компания уже нарушала договоры в прошлом, и не потерять деньги и время.
• Вторая — избежать блокировки расчетного счета. Согласно №115-ФЗ, банки могут заблокировать счет компании, которая была заподозрена в связи с ненадежными контрагентами. Поэтому всех поставщиков необходимо постоянно проверять до заключения договора.

Дисциплинарная ответственность

Если персональные данные работника не сохранил в секрете бухгалтер компании, директор вправе сделать ему выговор или даже уволить (п. 6 ч. 1 ст. 81, ст.

90 и 192 ТК РФ).

Однако если бухгалтер решит оспорить в суде увольнение на основании пункта 6 части 1 статьи 81 Трудового кодекса за разглашение персональных данных другого работника, администрация компании должна будет доказать следующее:

— сведения, которые уволенный бухгалтер расчетной части неправомерно разгласил, относятся к персональным данным другого работника;

— они стали известны работнику в связи с исполнением им трудовых обязанностей;

— уволенный работник дал обязательство не разглашать такие сведения.

Об этом говорится в пункте 43 постановления Пленума Верховного суда РФ от 17. 03. 2004 № 2.

Могут ли контрагенты требовать персональные данные сотрудников другой организации

Персональные данные генерального директора могут содержаться в доверенностях на исполнение обязанностей, договорах, распорядительных документах, анкетах. Они могут потребоваться для получения банковских и иных кредитов и т.
д. В соответствии со ст. 88 ТК РФ передача персональных данных работника третьей стороне без письменного согласия сотрудника запрещена, за исключением предусмотренных законом случаев. В соответствии со ст.

88 ТК РФ генеральный директор считается работником, на него распространяются все положения трудового законодательства. Может, вы подскажете, в чем тут тайный смысл? : Возможно, требование вашего поставщика вовсе не связано с «налоговой осмотрительностью и он хочет быть уверенным, что с вашей стороны договор, а также документы на получение товара подпишет лицо, имеющее должные полномочия (ведь оно действует по доверенности, выданной руководителем). Чтобы потом не возникла ситуация, когда договор подписан с кем-то неизвестным или товар отгружен непонятно кому.
Истребование документов при проведении налоговой проверки (в ред. Федерального закона от 27. 07. 2006 N 137-ФЗ) 1. Должностное лицо налогового органа, проводящее налоговую проверку, вправе истребовать у проверяемого лица необходимые для проверки документы.
(в ред. Федерального закона от 23. 07. 2013 N 248-ФЗ) В случае нахождения должностного лица налогового органа, проводящего налоговую проверку, на территории налогоплательщика требование о представлении документов передается руководителю (законному или уполномоченному представителю) организации или физическому лицу (его законному или уполномоченному представителю) лично под расписку. (абзац введен Федеральным законом от 23. 07. 2013 N 248-ФЗ) Если указанным способом требование о представлении документов передать невозможно, оно направляется в порядке, установленном пунктом 4 статьи 31 настоящего Кодекса. Если данные сведения не относятся к предмету проверки, работодатель не вправе их предоставлять, а сотрудники ФНС не вправе требовать их предоставления.

Подробности в материалах Системы Кадры: 1. Ответ: В каких случаях согласие сотрудника на передачу персональных данных не требуется Нина Ковязина, заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России В отдельных случаях обработка персональных данных возможна и без согласия сотрудника. * Например, если обработка персональных данных необходима в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления и выполнения возложенных законодательством России на оператора функций, полномочий и обязанностей, – она может осуществляться без согласия сотрудника – субъекта персональных данных. Вопрос ФНС запросила в организации (в целях налогового контроля) сведения о договорных отношениях с определенными контрагентами, а также сведения о работниках организации, которые взаимодействовали с этими контрагентами (ф. и. о. , служебный телефон, должность, домашний адрес). Вправе ли организации на основании такого запроса предоставить сведения, относящиеся к персональным данным — о местах регистрации/проживания сотрудников? Если да – то в каком порядке? Спасибо.

При проведении налоговой проверки консолидированной группы налогоплательщиков продление сроков осуществляется не менее чем на 10 дней. (абзац введен Федеральным законом от 16. 11. 2011 N 321-ФЗ) 4. Отказ проверяемого лица от представления запрашиваемых при проведении налоговой проверки документов или непредставление их в установленные сроки признаются налоговым правонарушением и влекут ответственность, предусмотренную статьей 126 настоящего Кодекса.

Мифы и реальные истории

Организовываем работу

Требования к организации работы с персональными данными клиентов, по сути, те же, что и к организации работы с персональными данными сотрудников. Подробнее об этом читайте на с. 13 — 19 журнала N 2, 2015. Причем в зависимости от специфики оператора стоит учитывать те или иные нормы подзаконных нормативных актов. Например, в Постановлении Правительства РФ от 01.11.2012 N 1119 устанавливаются требования к уровню защищенности персональных данных при обработке в информационной системе, если оператор обрабатывает биометрические или иные специальные категории ПД более чем 100 тыс. субъектов ПД, не являющихся сотрудниками оператора. Однако в этом случае кадровой службе вряд ли поручат обработку ПД клиентов.

Имейте в виду: несмотря на то что работа с ПД и клиентов, и работников регулируется одним Законом N 152-ФЗ, регламентирование данной работы на уровне организации должно происходить с учетом того, что базы данных клиентов представляют коммерческую ценность. А работа с такой информацией регулируется также Федеральным законом от 29.07.2004 N 98-ФЗ «О коммерческой тайне».

Примечание. См. статью «Устанавливаем режим коммерческой тайны» на с. 11 журнала N 11, 2014.

Похожие записи:

• Стоит ли ожидать индексацию военных пенсий в 2023 году
• Что нужно знать для путешествия на машине в Беларусь
• Прибавка к пенсии в 80 лет в 2022 году: размер и основания получения