Бесплатная горячая линия

8 800 700-88-16
Главная - Другое - Срок уничтожения персональных данных

Срок уничтожения персональных данных

Раздел V. Сроки обработки и хранения персональных данных


Раздел V.Сроки обработки и хранения персональных данных 29. Сроки обработки и хранения персональных данных определяются в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных». 30. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект.

31. Сроком обработки персональных данных сотрудников является срок замещения ими соответствующей должности. Срок хранения бумажных носителей персональных данных сотрудников составляет 50 (пятьдесят) лет. 32. Сроком обработки и хранения персональных данных претендентов, включенных в кадровый резерв на государственной гражданской службе Тверской области или резерв управленческих кадров Тверской области, является срок их нахождения в соответствующем резерве.

33. Сроком обработки персональных данных претендентов, не допущенных к участию в конкурсных процедурах, и претендентов, участвовавших в конкурсных процедурах, но не прошедших конкурсный отбор, является срок проведения конкурсных процедур.

Персональные данные претендентов, не допущенных к участию в конкурсных процедурах, и претендентов, участвовавших в конкурсных процедурах, но не прошедших конкурсный отбор, хранятся на бумажных носителях в течение трех лет со дня завершения конкурса, если они не были возвращены по письменным заявлениям претендентов.

34. Сроки обработки и хранения персональных данных, предоставляемых субъектами операторам в связи с получением государственных услуг и исполнением государственных функций, определяются нормативными правовыми актами, регламентирующими порядок предоставления государственных услуг или исполнения государственных функций. 35. Персональные данные, предоставляемые субъектами на бумажном носителе в связи с предоставлением операторами государственных услуг и исполнением государственных функций, хранятся на бумажных носителях у соответствующего оператора, к полномочиям которого относится обработка персональных данных в связи с предоставлением государственной услуги или исполнением государственной функции, в соответствии с утвержденным положением о соответствующем операторе. 36. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители операторов.

< раздел iv.> Раздел VI.

>> Содержание Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно! Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете прямо сейчас или запросить по Горячей линии в системе.

7 ноября 2020 Вход Введите адрес электронной почты: Введите пароль: Запомнить Вы можете войти, используя учетную запись одной из социальных сетей:

Обязан ли работодатель уничтожить копии документов, на основании которых заполнялась карточка формы N Т-2, после увольнения работника?

Важное По теме Читайте все материалы (240) по теме . Есть обновление (+191), в том числе:Читайте все материалы (127) по теме .

Есть обновление (+58), в том числе: 03 апреля 2017 г.

11:37 ИА Обязан ли работодатель уничтожить копии документов, на основании которых заполнялась карточка формы N Т-2, после увольнения работника (копия паспорта, ИНН, СНИЛС, диплом и прочее), или они могут храниться вместе с карточкой формы N Т-2 (с работника было получено согласие на обработку персональных данных, которое не отозвано)? Обязан ли работодатель выдать копии этих документов по заявлению работника и в какой срок?

1. ТК РФ предоставляет работодателю право обрабатывать персональные данные работника исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), является его персональными данными.

Под обработкой персональных данных понимается в том числе хранение и уничтожение персональных данных. Уничтожением персональных данных признаются в том числе действия, в результате которых уничтожаются материальные носители персональных данных. В соответствии с ч. 1 ст. 6 Закона N 152-ФЗ обработка персональных данных может осуществляться только в установленных данной статьей случаях.

Одним из таких случаев является получение от субъекта персональных данных согласия на их обработку (п.

1 ч. 1 указанной статьи). Буквальное толкование данной нормы позволяет заключить, что в иных случаях получение согласия на обработку персональных данных не требуется. В частности, п. 5 ч. 1 ст. 6 Закона N 152-ФЗ допускает обработку персональных данных в случаях, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

Таким образом, если работодатель получает от работника, хранит лишь ту информацию, которая необходима для исполнения трудового договора, получение согласия работника на такие действия не требуется. Однако отсутствие согласия работника исключает возможность осуществления работниками кадровых служб многих стандартных действий, необходимость которых не вытекает из трудового договора.

Так, например, без согласия работника работодатель не может получить и хранить копии предоставленных им при приеме на работу документов, содержащих в себе информацию, не требующуюся для исполнения трудового договора (например информацию о месте рождения), в том числе паспорта (постановление ФАС Северо-Кавказского округа от 11.03.2014 N Ф08-480/14 по делу N А53-10287/2013, постановление Пятнадцатого арбитражного апелляционного суда от 28.10.2013 N 15АП-15175/13, решение Арбитражного суда Ростовской области от 14.11.2013 N А53-12557/2013).

Так, например, без согласия работника работодатель не может получить и хранить копии предоставленных им при приеме на работу документов, содержащих в себе информацию, не требующуюся для исполнения трудового договора (например информацию о месте рождения), в том числе паспорта (постановление ФАС Северо-Кавказского округа от 11.03.2014 N Ф08-480/14 по делу N А53-10287/2013, постановление Пятнадцатого арбитражного апелляционного суда от 28.10.2013 N 15АП-15175/13, решение Арбитражного суда Ростовской области от 14.11.2013 N А53-12557/2013). Согласно ч. 5, ч. 6 ст. 21 Закона N 152-ФЗ в случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку и уничтожить их, если их сохранение более не требуется для целей обработки персональных данных.

Для этого оператору предоставляется срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных данным законом или другими федеральными законами. При отсутствии возможности уничтожить персональные данные в 30-дневный срок оператор должен их блокировать и обеспечить их уничтожение в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами. Отметим, что обязанность оператора уведомлять субъекта персональных данных о прекращении обработки, блокировании или уничтожении его персональных данных действующим законодательством не предусмотрена.

Такая обязанность будет возложена на оператора, только если соответствующие положения будут включены им в свои локальные нормативные акты (Положение об обработке персональных данных). При этом часть 2 ст. 9 Закона N 152-ФЗ специально оговаривает, что оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных в случае отзыва им согласия на их обработку при наличии оснований, указанных в пп.

2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч.

2 ст. 11 данного закона. К таковым относятся случаи обработки персональных данных без согласия работника. Таким образом, только в случае отзыва работником согласия на обработку его персональных данных у работодателя возникает обязанность прекратить их обработку и уничтожить (за исключением тех данных, которые могут обрабатываться без согласия работника).

Поскольку в рассматриваемой ситуации работник не отзывал свое согласие на обработку персональных данных, бывший работодатель не обязан уничтожать копии документов работника в связи с его увольнением. 2. В силу ТК РФ работодатель обязан выдавать работнику по его письменному заявлению копии документов, связанных с работой.

Копии должны быть заверены надлежащим образом и предоставлены работнику безвозмездно не позднее трех рабочих дней со дня подачи соответствующего заявления. С учетом общих норм, регламентирующих понятия «работник» и «работодатель» и их статус (ст.ст.

15, 20-22, 56 ТК РФ), можно прийти к выводу о том, что данная норма действует только в отношении лица, состоящего в трудовых отношениях с работодателем на момент запроса копий документов. Однако при таком подходе указание в ТК РФ на обязанность работодателя выдать приказ об увольнении в течение трех рабочих дней с момента подачи заявления становится бессмысленным: приказ об увольнении можно выдать настоящему (не бывшему) работнику только в день увольнения. В связи с этим мы полагаем, что по смыслу ТК РФ работодатель должен выдавать документы, связанные с работой, в течение трех рабочих дней как лицам, с которыми у него имеются действующие трудовые договоры, так и тем, с которыми трудовые договоры уже прекращены.

Судебная практика подтверждает данную позицию (смотрите, например, определение Верховного Суда РФ от 16.12.2016 N 307-ЭС16-15862, апелляционное определение СК по гражданским делам Забайкальского краевого суда от 15.06.2016 по делу N 33-2543/2016 и т.д.). Примерный перечень документов, подлежащих предоставлению по письменному заявлению работника, приводится в ТК РФ. В их числе указаны копии приказа о приеме на работу, приказов о переводах на другую работу, приказа об увольнении с работы; выписки из трудовой книжки; справки о заработной плате, о начисленных и фактически уплаченных страховых взносах на обязательное пенсионное страхование, о периоде работы у данного работодателя и другое.

Как видно, данный перечень является открытым, в связи с чем работник вправе обратиться к работодателю с требованием о выдаче при увольнении любых копий документов (справок, выписок), содержащих информацию о его трудовой деятельности. Так, в судебной практике имеется точка зрения, согласно которой ТК РФ является основанием предоставления работнику служебной характеристики (смотрите, например, кассационное определение Санкт-Петербургского городского суда от 18.01.2012 N 33-410). В ряде случаев судебная практика исходит из того, что ТК РФ распространяется лишь на те документы, которые содержат сведения, связанные с работой конкретного работника, и не является основанием для представления документов, касающихся работы других работников или деятельности работодателя в целом (смотрите, например, определения Судебной коллегии по гражданским делам Московского городского суда от 17.02.2012 N 33-3019/2012, от 20.06.2011 по делу N 33-18698, постановление президиума Московского областного суда от 08.02.2012 по делу N 44г-24/12, определение Московского городского суда от 25.11.2010 по делу N 4г/8-10206/10).

Вместе с тем существует точка зрения, что работодатель обязан предоставить работнику на основании ТК РФ также копии тех документов, которые хотя и не содержат сведений о работе конкретного работника, однако непосредственно затрагивают его права и обязанности. В частности, к таким документам практика иногда относит (смотрите, например, определение Судебной коллегии по гражданским делам Московского городского суда от 24.08.2011 N 33-25677, кассационное определение Судебной коллегии по гражданским делам Московского городского суда от 21.09.2010 N 33-29697).

В то же время нельзя забывать, что на основании части первой ТК РФ работодатель не имеет права представлять документы, содержащие персональные данные работника, без его письменного согласия третьей стороне, в том числе другому работнику. Таким образом, если работник запрашивает документы, содержащие в том числе информацию о других работниках (например приказ о премировании работников), то работодатель вправе представить лишь выписку из этого документа, содержащую информацию, относящуюся конкретно к этому работнику, или обезличенную информацию, относящуюся ко всем работникам организации в целом или к некоторой группе работников, включающей в себя работника, обратившегося с просьбой о выдаче копий документов. По вопросу об обязанности работодателя выдать бывшему работнику по его требованию копии документов, которые не издавались работодателем, в которые работодатель не вносил какие-либо записи и которые представлялись работодателю самим работником в период действия трудовых отношений (в том числе копий таких документов, как паспорт, диплом об образовании работника, страховое свидетельство обязательного пенсионного страхования), отметим следующее.

Согласно ч. 7 ст. 14 Закона N 152-ФЗ субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе информации, содержащей обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом. В силу ч. 1 ст. 20 Закона N 152-ФЗ оператор обязан сообщить в порядке, предусмотренном ст. 14 Закона N 152-ФЗ, субъекту персональных данных информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

Рекомендуем прочесть:  Обучение на пилотов с нуля

Следует также отметить, что работодатель не обязан хранить у себя копии документов, предоставленных ему работником (смотрите также ответ на вопрос: Обязан ли работодатель делать и хранить копии трудовых книжек уволенных работников? (ответ службы Правового консалтинга ГАРАНТ, декабрь 2015 г.)).

Поэтому отказ работодателя в предоставлении информации о персональных данных, содержащихся на материальных носителях, которые работодатель хранить не обязан и которые были уничтожены работодателем по собственной инициативе после прекращения трудовых отношений с работником, не является нарушением прав бывшего работника. Таким образом, на работодателе, являющемся оператором персональных данных бывшего работника, лежит обязанность ознакомить бывшего работника по его просьбе с теми персональными данными, которые он сообщал работодателю и которые имеются у работодателя в наличии. Обязательных требований к форме ознакомления с этими данными не установлено, поэтому мы полагаем, что работодатель вправе в указанный в ст.

20 Закона N 152-ФЗ срок самостоятельно сделать копию с копии документа и представить ее работнику или сообщить бывшему работнику о способах ознакомления с интересующими его данными, в том числе и о возможности самому воспроизвести копию документа с помощью любых доступных ему технических средств. При этом заверять воспроизведенные изображения печатью организации-работодателя или подписью какого-либо должностного лица организации не требуется.

Ответ подготовил: Эксперт службы Правового консалтинга Мазухина Анна Контроль качества ответа: Рецензент службы Правового консалтинга Комарова Виктория 19 января 2017 г. Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

Что такое неприкосновенность частной жизни в России

от 01.02.2020, 13:53 На этой неделе в мире отметили день защиты персональных данных.

“Ъ” собрал ответы на очевидные и не самые очевидные вопросы.

Ст. 3 Федерального закона от 27 июля 2006 года 152-ФЗ «О персональных данных» определяет персональные данные как любую информацию, относящуюся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Конкретного перечня в законе нет, что оставляет некоторый простор для толкования.

Конкретного перечня в законе нет, что оставляет некоторый простор для толкования.

Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность.

Ст. 10 закона вводит понятие специальных категорий персональных данных, к которым относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Ст. 11 определяет биометрические персональные данные как физиологические и биологические особенности человека, на основе которых можно установить его личность (физиологические параметры, фото- и видеоизображения).

Нет. Только те, которые позволяют установить личность и используются для установления личности.

Как пояснил Роскомнадзор (уполномоченный орган по защите прав субъектов персональных данных), не является персональными данными, в частности, ксерокопия паспорта, предоставляемая при заключении договора с банком, фотография в личном деле или рентгеновские и флюорографические снимки (во всех этих случаях личность человека уже известна и эти данные не используются для ее установления).

Аналогичная ситуация и с видеосъемкой в общественных местах или на охраняемой территории.

До передачи материалов в компетентные органы для установления личности снятого человека она не считается биометрией. При этом фотоизображения на пропусках суды признают биометрическими данными, и для их использования необходимо письменное согласие гражданина (см.

Определение Верховного суда РФ от 05.03.2018 №307-КГ18–101 по делу №А42–342/2017).

Да, сведения о заработной плате работника являются его персональными данными и не подлежат публичному разглашению работодателем или третьими лицами, получившими доступ к этой информации. Данное положение подтверждено судебной практикой. В частности, в одном из дел системный администратор частной компании, получивший доступ к персональным данным коллег через программу 1С, стал распространять информацию о повышении зарплаты одного из менеджеров.

Раскрытие размера зарплаты было признано грубым нарушением трудовых обязательств и послужило основанием для его увольнения (см. апелляционное определение Московского городского суда от 14.06.2016 по делу №33-22906/2016).

Следует учитывать, что персональными данными считается не только зарплата, но и другие данные сотрудников, а также клиентов компании. Последние, являясь ценным активом для бизнеса, также подпадают под действие режима коммерческой тайны, пояснила “Ъ” руководитель практики интеллектуального и информационного права юридической группы «Яковлев и Партнеры» Анна Никитова.

При этом сам по себе неправомерный доступ к просмотру карточек клиентов или сотрудников не может являться основанием для увольнения. Такие последствия влечет только установление факта их разглашения. Судебная практика знает случаи, когда разглашением была признана отправка информации на электронную почту, в мессенджеры или копирование на съемный носитель.

Данная позиция подтверждена и Конституционным судом (см. определение КС РФ от 28.02.2019 №457-О).

По общему правилу обработка персональных данных должна осуществляться с согласия субъекта.

Перечень исключений, при которых согласие не требуется, содержится в ч.

1 ст. 6 закона: — обработка персональных данных необходима для достижения целей, предусмотренных международным договором или законом; — обработка осуществляется в связи с участием лица в судопроизводстве, необходима для исполнения судебного акта; — необходима для исполнения полномочий госорганов; — необходима для заключения или исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных; — необходима для защиты жизни, здоровья, иных жизненно важных интересов лица, если получение его согласия невозможно; — для осуществления прав и законных интересов оператора (организация или лицо, занимающееся обработкой данных) или третьих лиц, либо для достижения общественно значимых целей; — для осуществления профессиональной деятельности журналиста и (или) СМИ, научной, литературной или иной творческой деятельности; — осуществляется в статистических или исследовательских целях при условии обязательного обезличивания персональных данных; — данные являются общедоступными (например, справочники, адресные книги); — данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом. В ст. 10, 11 перечисляются основания, при которых можно без получения согласия обрабатывать специальные категории персональных данных и биометрические данные. Нет, не являются. Закон действительно не требует получать согласие на обработку общедоступных данных.

Однако российские суды пришли к выводу, что размещение персональных данных в открытых онлайн-ресурсах не делает их автоматически общедоступными.

Примером может послужить Национального бюро кредитных историй против регионального управления Роскомнадзора.

Организация собирала данные о потенциальных заемщиках из соцсетей и других открытых интернет-источников («ВКонтакте», «Одноклассники», «Мой Мир», Twitter, Instagram, Avito, Avto.ru) без получения согласия пользователей, что ведомство посчитало нарушением.

Суд встал на сторону Роскомнадзора, эту позицию все вышестоящие инстанции вплоть до Верховного суда (см. постановление Арбитражного суда Московского округа от 9 ноября 2017 года по делу №А40–5250/2017, определение ВС РФ от 29 января 2018 года по делу №305-КГ17–21291) Ст.

9 ФЗ «О персональных данных» допускает возможность вместо письменного согласия дать его в форме электронного документа и подписать электронной подписью.

Получение согласия по телефону или с помощью СМС-сообщений законом не предусмотрено.

Как следует из Роскомнадзора в отношении интернет-магазинов, при заполнении формы заявки на покупку товара на сайте критерием, свидетельствующим о получении оператором согласия на обработку персональных данных, является файл электронной цифровой подписи.

Да, но на это также нужно получить согласие лица, чьи данные обрабатываются.

В частности, интересным представляется случай привлечения к административной ответственности крупной медийной компании, передававшей на обработку третьему лицу персональные данные соискателей на вакантные должности без получения у них соответствующего согласия. Арбитражные суды встали на сторону Роскомнадзора, посчитавшего такую практику нарушением закона ( постановление Арбитражного суда Московского округа от 15.01.2018 №Ф05–18981/2017 по делу №А40–81171/17–149–793).

Арбитражные суды встали на сторону Роскомнадзора, посчитавшего такую практику нарушением закона ( постановление Арбитражного суда Московского округа от 15.01.2018 №Ф05–18981/2017 по делу №А40–81171/17–149–793).

Да, закон дает лицу такую возможность без каких-либо дополнительных условий. Данные подлежат уничтожению в срок до 30 дней.

В настоящее время уже завершена разработка в ст. 21 закона, призванных унифицировать правила уничтожения персональных данных после завершения обработки либо отзыва согласия на их обработку.

В случае их одобрения Госдумой конкретные требования будут разработаны Роскомнадзором. Ст. 14 закона «О персональных данных» дает лицу право получать подтверждение самого факта обработки его данных, информацию об источнике данных, целях и способах обработки, сроках, операторе (наименование и место нахождения), работающем с данными. Эти права могут быть ограничены при обстоятельствах, перечисленных в п.

8 ст. 14. В частности, если персональные данные получены в результате оперативно-разыскной, разведывательной или контрразведывательной деятельности, используются для противодействия легализации доходов или противодействия финансированию терроризма, субъект подозревается или обвиняется в совершении уголовного преступления и прочее. Как пояснил партнер юридической фирмы Law & Commerce Offer Антон Алексеев, в качестве наиболее частых можно выделить следующие правонарушения: 1. Неполучение у гражданина согласия на обработку его персональных данных; 2.

Неполучение согласия на передачу его персональных данных для обработки третьим лицам; 3. Неполучение согласия на трансграничную (за пределы РФ) передачу персональных данных; 4.

Неполучение согласия на обработку биометрических персональных данных; 5.

Нарушение правил и требований к обработке (хранение, передача, защита, уничтожение и т. д.) персональных данных. Российское законодательство предусматривает разные виды ответственности — дисциплинарную, административную, уголовную. Cт. 81 Трудового кодекса допускает дисциплинарное наказание вплоть до увольнения работника за разглашение персональных данных другого работника.

Как работник, так и работодатель могут также понести материальную ответственность за ненадлежащее обращение с персональными данными. Ст. 13.11. КоАП РФ

«Нарушение законодательства Российской Федерации в области персональных данных»

предусматривает административные штрафы за различные нарушения при их обработке.

В частности, в не предусмотренных законом случаях (до 50 тыс. руб. для организаций); в целях, не совместимых с целями сбора (до 50 тыс.); без согласия (до 75 тыс. руб.); без использования баз данных, находящихся в России (до 6 млн руб., за повторное нарушение до 18 млн руб.).

Также предусматривается административная ответственность за неисполнение оператором обязанностей при взаимодействии с Роскомнадзором. Ст. 137 УК РФ предусматривает наказание за нарушение неприкосновенности частной жизни, ст. 272 УК РФ — за неправомерный доступ к охраняемой законом компьютерной информации, повлекшей ее уничтожение, блокирование, модификацию либо копирование.

272 УК РФ — за неправомерный доступ к охраняемой законом компьютерной информации, повлекшей ее уничтожение, блокирование, модификацию либо копирование. Нарушителям могут грозить различные санкции вплоть до двух лет лишения свободы.

Большая часть нарушений квалифицируется по административным статьям.

Один из свежих привлечения к административной ответственности — 29 января 2020 года суд оштрафовал университет «Синергия» на 150 тыс. руб. за неправомерный сбор биометрических персональных данных несовершеннолетних в образовательном учреждении Красногорска.

По закону пострадавшее лицо может добиваться возмещения не только материального ущерба, но и морального вреда. В частности, Верховный суд подтвердил возможность гражданина требовать взыскания с коллекторского агентства, неоднократно звонившего и отправлявшего СМС на его мобильный номер с требованием «в грубой форме» погасить задолженность по кредиту, не получив согласия на обработку его персональных данных (см.

определение №5-КГ17–256 от 27.02.2018). Как отметил старший юрист группы технологий и инвестиций юридической фирмы Vegas Lex Дмитрий Бородин, существующая судебная практика не позволяет гражданам рассчитывать на значительные суммы. Обычный размер возмещения составляет 3–5 тыс.

руб. К примеру, в одном подобном деле гражданин пожаловался в суд на администратора группы «ВКонтакте» в связи незаконным опубликованием его персональных данных в соцсети. Суд присудил истцу 5 тыс. руб.

вместо требуемых 100 тыс., даже несмотря на то, что персональные данные были опубликованными в порочащем честь гражданина ключе (Определение Кемеровского областного суда от 19.07.2018 по делу №33-7157/2018). Поправки в закон, предусматривающие, что хранение и обработка персональных данных россиян в интернете может производиться только с использованием баз данных, находящихся на территории России, вступили в силу 1 сентября 2015 года. До сих пор самым серьезным последствием их принятия стала блокировка на территории России соцсети LinkedIn, отказавшейся выполнять требование о локализации.

По данным на 2016 год в ней было зарегистрировано около 5 млн россиян. (см. Определение Мосгорсуда от 10.11.2016 по делу №33–38783/2016). Претензии в части локализации данных Роскомнадзор предъявлял и другим крупным соцсетям — Twitter и Facebook.

Однако в их отношении надзорный орган ограничился штрафами в размере 3 тыс. руб. Положение о миллионных штрафах за несоблюдение требований о локализации баз данных было внесено в КоАП РФ позже, лишь в декабре 2020 года.

31 января 2020 года Роскомнадзор возбудил в отношении обеих компаний новое административное производство за непредоставление информации о локализации. Ольга Шкуренко Самое важное в канале Коммерсантъ в

  1. подписка подписка
  1. подписка подписка

5 шагов по организации учета и хранения персональных данных

Сохранности персональных данных стоит уделить особое внимание, так как с прошлого года законодатель ужесточил ответственность для работодателя за несоблюдение обязанности по их защите. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и как организовать правильный учет и хранение персональных данных сотрудников.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы нав Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства.

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации. Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст.

3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  1. семейное положение, наличие детей, родственные связи;
  2. деловые и иные личные качества, которые носят оценочный характер;
  3. изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  4. дата и место рождения;
  5. фамилия, имя, отчество;
  6. образование, профессия;
  7. прочие сведения, которые могут идентифицировать человека.
  8. факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  9. адрес (место регистрации);
  10. финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);

Кроме того, в Законе о персональных данных упоминаются:

  1. специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни).

    По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;

  2. биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность).

    Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч.

    2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу).

Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  1. медицинских справках и др.
  2. в паспорте или ином документе, удостоверяющем личность;
  3. справке о доходах с предыдущего места работы;
  4. трудовой книжке;
  5. документах о воинском учете, образовании, составе семьи;
  6. анкете, заполняемой при трудоустройстве;
  7. личной карточке работника (форма Т-2);
  8. свидетельствах о заключении брака, рождении ребенка;

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст.

3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных.

Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных).

Во избежание судебных споров лучше, если это согласие будет оформлено письменно.

То же самое правило действует в отношении соискателей. В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных).

Например, письменное согласие работника на обработку его персональных данных требуется: 1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п.

3 ст. 86 ТК РФ). В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  1. цели получения персональных данных работника у третьего лица;
  2. возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.
  3. предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  4. способы получения данных, их характер;

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч.

2 ст. 9 Закона о персональных данных). Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен. 2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз.

2 ст. 88 ТК РФ); 3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п.

4 ст. 86 ТК РФ, п. 1 ч. 2 ст.

10 Закона о персональных данных).

К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных).

А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч.

7 ст. 9 Закона о персональных данных). Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п.

2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз.

1 Разъяснений Роскомнадзора):

  • от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).
  • от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  • по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  • из документов (сведений), предъявляемых при заключении трудового договора;
  • в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции. Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ). Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п.

8 ст. 86 ТК РФ). Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись. При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо.

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ.

Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194). Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации.

В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики). Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных. Таким ответственным может быть как конкретное лицо, так и подразделение.

В последнем случае личную ответственность несет руководитель такого подразделения.

Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью. Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  1. заявления работников о согласии на обработку персональных данных;
  2. журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  3. журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия.

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  1. должным ли образом осуществляется хранение и защита персональных данных;
  2. от всех ли работников получено согласие на обработку персональных данных;
  3. соответствует ли документация об их обработке требованиям законодательства и т.д.
  4. ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;

Для отображения формы необходимо включить JavaScript в вашем браузере и обновить страницу.

38 621 Смотрите 4 полезных видеоурока, проходите онлайн-тесты и получите электронный сертификат Контур.Школы.

Последние новости по теме статьи

Важно знать!
  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов.
  • Знание базовых основ желательно, но не гарантирует решение именно вашей проблемы.

Поэтому, для вас работают бесплатные эксперты-консультанты!

Расскажите о вашей проблеме, и мы поможем ее решить! Задайте вопрос прямо сейчас!

  • Анонимно
  • Профессионально

Задайте вопрос нашему юристу!

Расскажите о вашей проблеме и мы поможем ее решить!

+