Интернет-агентство «Мибок»
https://tp.mibok.ru/ Адрес в Ростове-на-Дону344082, Ростов-на-Дону, ул. Московская, д. 43/13, оф. 302 Телефон в Ростове-на-Дону +7 (863) 303-34-54
115114, г. Москва, Дербеневская наб., д.7, стр.2, оф.309 (м. Павелецкая) Телефон в Москве +7 (495) 240-82-20
2. Уведомление об обработке ПД
3. Получение и передача персональных данных
4. Обработка персональных данных
5. Как защитить персональные данные работников и клиентов
В соответствии со статьей 3 ФЗ-152 персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Согласно этому определению к персональным данным относится как любая информация о конкретном лице, так и информация, с помощью которой лицо можно идентифицировать, т.е. установить.
К таким данным относятся:
В соответствии со ст. 9 ФЗ 152 оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
До начала обработки персональных данных оператор обязан представить в уполномоченный орган уведомление о намерении осуществлять такую обработку (ч. 1 ст. 22 Закона).
Не требуется представление уведомления в следующих случаях (ч. 2 ст. 22 Закона):
На практике данное основание является одним из самых распространенных исключений, позволяющим не подавать уведомление. Однако работодателям следует учитывать, что под него подпадают не все персональные данные работников, а только те, обработка которых осуществляется в соответствии с трудовым законодательством. На практике встречаются случаи обработки персональных данных работников в объемах (категориях) и целях, не предусмотренных трудовым законодательством, например, обработки сведений об имущественном положении, о судимости (за исключением случаев, указанных в ст. ст. 65, 349.1 ТК РФ). Кроме того, данное исключение не распространяется на персональные данные уволенных сотрудников (за исключением случаев, предусмотренных трудовым законодательством, например, ст. 64.1 ТК РФ); членов семей сотрудников, их детей (персональные данные которых могут иметься у работодателя, например, в связи с уплатой алиментов или предоставлением налоговых вычетов по НДФЛ). В указанных случаях операторы обязаны подавать уведомление, если отсутствуют иные основания для обработки персональных данных без его подачи (например, обработка персональных данных без использования средств автоматизации);
Обработка персональных данных без использования средств автоматизации является еще одним из распространенных оснований, при которых она может осуществляться без представления уведомления. Постановлением Правительства РФ от 15.09.2008 N 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (далее - Положение). При соблюдении требований данного Положения подача уведомления согласно п. 8 ч. 2 ст. 22 Закона не требуется.
Если средства автоматизации (вычислительная техника, компьютеры) при обработке персональных данных не используются вовсе, уведомление об обработке персональных данных подаваться не должно (при соблюдении особенностей организации обработки данных, установленных в разд. II Положения). Однако при нынешней распространенности электронно-вычислительной техники она очень часто задействована в обработке персональных данных. Критерии, при которых такая обработка признается (либо не признается) неавтоматизированной, сформулированы в п. п. 1 и 2 Положения. Согласно п. 1 данного Положения считается неавтоматизированной обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из нее, если обработка ПД осуществляются при непосредственном участии человека. Кроме того, обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержатся в информационной системе персональных данных либо извлечены из нее (п. 2 Положения).
Однако, в настоящее время большинство компаний используют автоматизированные системы учета кадров и расчета заработной платы, например, программу 1С зарплата и кадры. Позиция Роскомнадзора и некоторых судов сводится к тому, что обработка ПД в информационной системе 1С является обработкой ПД с использованием средств автоматизации.
Так в Постановлении четвертого арбитражного апелляционного суда от 17 января 2011 г. по делу N А19-25289/2009 определяя 1С как автоматизированную систему обработки персональных данных высказал следующую позицию:
Программный продукт прикладной системы "1С: Зарплата и управление персоналом" предназначен для автоматизации расчета заработной платы и ведения кадрового, бухгалтерского и налогового учета на предприятиях различных типов финансирования и форм собственности, в частности, работодатель использует персональные данные сотрудников при начислении зарплаты, удержании налога на доходы физических лиц, расчете страховых взносов на обязательное пенсионное страхование и передает их с помощью средств автоматизации.
Формирование расчетного документа по заработной плате происходит после подачи команды рассчитать (путем нажатия на соответствующую опцию специалистом банка) и осуществляется автоматически системой "1С: Зарплата и управление персоналом". При этом она без участия человека обращается к своей базе данных, хранящих соответствующие персональные данные субъектов, систематизирует и выдает по установленному алгоритму результат расчета. Только после этого соответствующий специалист распечатывает расчетный документ, который в дальнейшем порождает юридические последствия для субъекта. Аналогичный процесс происходит при расчете и удержании налога на доходы физических лиц.
При приеме на работу после занесения всех необходимых данных на работника прикладная система "1С: Зарплата и управление персоналом" автоматически формирует Анкету формы Т2 на работника. Прикладная система "1С: Зарплата и управление персоналом" также производит самостоятельно исчисление трудового стажа при помощи заданных алгоритмов и хранящихся персональных данных в базе данных прикладной системы "1С: Зарплата и управление персоналом".
В перечисленных случаях совершаются такие действия как сбор и использование персональных данных оператором. В связи с чем, суд первой инстанции обоснованно отклонил доводы заявителя о том, что сбор персональных данных осуществляется без использования средств автоматизации…
Таким образом, можно сделать вывод, что в случае обработки ПД работников в 1С подача уведомления об обработке ПД НЕОБХОДИМА.
Но есть и иная позиция:
Четвертый арбитражный апелляционный суд в постановлении от 01.10.2012г. по делу № А19-7241/2012 высказал позицию, что в случае обработки в автоматизированной системе 1С только ПД работников, подача уведомления не требуется, обосновав это следующим образом:
Судом первой инстанции установлено, что в целях использования во внутрихозяйственной деятельности ОАО "Иркутскэнерго" по лицензионному договору от 31 марта 2011 года приобретена автоматизированная система управления персоналом "БОСС-Кадровик"
Функциональным назначением данной системы являются: учет кадров и расчет заработной платы (организационный менеджмент, управление расстановкой и штатным расписанием, управление документооборотом, кадровый учет, планирование и управление рабочим временем, расчет заработной платы, формирование регламентированной отчетности для контрольных органов, формирование внутрифирменной отчетности); управление кадровыми процессами (управление рекрутингом, управление мотивацией, управление аттестацией и оценкой, управление карьерой, планирование и прогнозирование фондов оплаты труда, управление обучением и развитием, расчет затрат на мероприятия); расчет ключевых показателей и система поддержки принятия решений (анализ эффективности работы персонала).
Довод заявителя апелляционной жалобы о том, что если оператор осуществляет обработку персональных данных в рамках трудового законодательства, но с использованием информационных систем, то он обязан представить в уполномоченный орган уведомление, не основан на нормах права. Ни статьи 18.1 и 19 Закона о персональных данных, ни Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства Российской Федерации от 17.11.2007 N 781, на которые в обоснование своей позиции ссылается Управление Роскомнадзора, не позволяют сделать такого вывода.
Напротив, в части 2 статьи 22 Закона о персональных данных прямо предусмотрен перечень из 9 случаев, когда оператор освобождается от обязанности представлять в уполномоченный орган уведомление об обработке (о намерении осуществлять обработку) персональных данных. Одним из таких случаев является обработка персональных данных в соответствии с трудовым законодательством.
Таким образом, для обработки персональных данных, обрабатываемых в соответствии с трудовым законодательством, вне зависимости от того, каким способом она осуществляется - без использования средств автоматизации или с использованием информационных систем - в силу пункта 1 части 2 статьи 22 Закона о персональных данных не требуется уведомления уполномоченного органа (Роскомнадзора)…
Орган, в который подается уведомление
Уведомление об обработке персональных данных представляется в уполномоченный орган по защите прав субъектов персональных данных (ч. 1 ст. 22 Закона). Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор (п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16.03.2009 N 228).
Уведомление должно быть направлено в территориальный орган Роскомнадзора - управление Роскомнадзора по субъекту РФ по месту нахождения оператора (п. п. 2 и 4.1 Рекомендаций). Уведомление также может быть подано на сайте Роскомнадзора http://61.rkn.gov.ru/forms/.
Последствия обработки персональных данных без подачи уведомления, а также в случаях его несвоевременной подачи либо подачи уведомления, содержащего неполные или недостоверные сведения
Непредставление в уполномоченный орган уведомления об обработке персональных данных, является административным правонарушением, ответственность за которое установлена ст. 19.7 КоАП РФ.
Ответственность установлена в виде предупреждения или штрафа в размере:
Ответственность по данной статье наступает также в случае предоставления сведений в неполном объеме или в искаженном виде.
Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 г., обязаны до 1 января 2013 г. представить в уполномоченный орган следующие сведения (ч. 2.1 ст. 25 Закона):
Получение ПД работников
Условия получения ПД содержаться в ст. 86 ТК:
При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами.
Все персональные данные работника следует получать у него самого.
Работодатель не вправе получать сведения о работнике относящиеся к специальным категориям персональных данных, а именно, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п. 4 ст. 86 ТК РФ, ч. 1 ст. 10 Закона о персональных данных).
Исключения из этого правила установлены в ч. 2 ст. 10 Закона о персональных данных.
Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие (п. 3 ст. 86 ТК РФ).
В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):
Информацию, не имеющую отношения к перечисленным в п. 1 ст. 86 ТК РФ целям, работодатель не вправе запрашивать у третьих лиц даже с согласия работника.
Не требуется согласие на обработку персональных данных работника (соискателя), получаемых, в частности (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):
Передача ПД работников
Работодатель вправе осуществлять передачу персональных данных работника третьим лицам, в том числе в коммерческих целях, только с его предварительного письменного согласия (абз. 2, 3 ч. 1 ст. 88 ТК РФ).
Перед передачей персональных данных работодатель должен предупредить третье лицо о том, что они могут быть использованы только в тех целях, для которых были сообщены. При этом у третьего лица необходимо получить подтверждение того, что такое требование будет им соблюдено (абз. 4 ч. 1 ст. 88 ТК РФ).
Не требуется согласие работника на передачу персональных данных:
Поскольку в случае возникновения спора доказать получение согласия работника на обработку его персональных данных должен работодатель (ч. 3 ст. 9 Закона о персональных данных), целесообразно оформить такое согласие письменно.
Согласие работника на обработку персональных данных должно включать (ч. 4 ст. 9 Закона о персональных данных):
Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в п. п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных. Это следует из ч. 2 ст. 9 указанного Закона.
Согласно ст. 3 ФЗ 152 Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Обработка ПД может осуществляться двумя способами:
Обработка персональных данных без использования средств автоматизации
Согласно п. 3 ст. 4 Закона о персональных данных порядок обработки персональных данных, осуществляемой без использования средств автоматизации, может устанавливаться федеральными законами и иными нормативными правовыми актами РФ.
В настоящее время действует Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15.09.2008 N 687 (далее - Положение). Таким образом, к обработке персональных данных работников в организации должны применяться правила, предусмотренные для обработки данных без использования средств автоматизации.
Персональные данные при такой обработке должны быть обособлены от иной информации, в частности путем фиксации их на отдельных материальных носителях.
Согласно п. 6 Положения лица, осуществляющие обработку персональных данных без использования средств автоматизации (в т.ч. сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте такой обработки, категориях обрабатываемых данных, а также об особенностях и правилах такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии).
Оператор обязан соблюсти меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации, а именно:
Обработка персональных данных в информационных системах ПД
Согласно п. 10 ст. 3 ФЗ 152 информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Согласно п. 4 ст. 10 автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Необходимо учитывать, что обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержались в информационной системе персональных данных либо были извлечены из нее (п. 2 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15.09.2008 N 687).
Однако, в настоящее время большинство работодателей используют для автоматизированные системы учета кадров и расчета заработной платы, например, информационную систему 1С зарплата и кадры (БОСС кадровик, Парус), которая относится к информационной системе, в которой ПД обрабатываются автоматизировано. Это означает, что к обработке персональных данных работников в организации должны применяться правила, предусмотренные для обработки ПД, предусмотренные Постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
Согласно указанному Постановлению оператор, обрабатывающий ПД в информационных системах должен обеспечить безопасность персональных данных при их обработке в информационной системе с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных".
Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
Таким образом оператор самостоятельно определяет тип угроз, актуальных для информационной системы, в которой обрабатываются ПД, устанавливает уровень защищенности (всего 4 уровня защищенности) и принимает меры для соблюдения требований, предусмотренных для обеспечения установленного уровня защищенности.
Например, для установления 4 уровня защищенности (самого распространенного для оператора, который обрабатывает только ПД своих работников) необходимо следующее (п. 12 Постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"):
Дополнительно можно ознакомиться со статьей в журнале «Главная книга»:
"Главная книга", 2013, N 19
- Что это такое - актуальные угрозы?
- Это официальный термин, он используется во всех документах по информационной безопасности. Актуальная угроза - это угроза, которая может быть реализована. Иначе говоря, существует реальная опасность, что данные могут быть украдены, испорчены, уничтожены. Такие угрозы связаны с возможными ошибками в системном программном обеспечении и в прикладных программах, например, офисных, бухгалтерских, почтовых.
Так, в системном программном обеспечении бывают незадекларированные возможности (они считаются угрозами первого типа). Злоумышленники могут отправить по сети на компьютер, где хранятся персональные данные, специально сформированный запрос. И таким образом с помощью незадекларированных возможностей вашего компьютера скачать персональные данные.
Защититься от этих угроз можно, подключив компьютер к Интернету через роутер в режиме трансляции сетевых адресов (NAT) или прокси-сервер. Они принимают все приходящие из Интернета запросы на себя, не пропуская их к защищаемому компьютеру или локальной сети. И тогда, выбирая уровень защищенности системы, можно считать, что угрозы первого типа для вас неактуальны.
- Какие еще бывают угрозы?
- Еще больше незадекларированных возможностей встречается в прикладном программном обеспечении. Вы можете что-то искать в Интернете и случайно набрести на сайт злоумышленников. Используя неисправленную ошибку в браузере вашей программы, они могут незаметно для вас загрузить на ваш компьютер и запустить вредоносную программу. И тогда ваш компьютер и информация на нем окажутся под их контролем.
Такие угрозы называются угрозами второго типа. Для большинства организаций такой тип угроз считается актуальным. Стопроцентной защиты от них нет, хотя можно серьезно снизить вероятность их наступления.
Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством. К таким случаям, в том числе, относится обработка персональных данных в рамках бухгалтерского, налогового и кадрового учета.
Так, согласно подп. 5 п. 3 ст. 24 Налогового кодекса Российской Федерации установлена обязанность налоговых агентов (работодателей) в течение 4 лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога.
В соответствии с "О бухгалтерском учете" N 402-ФЗ от 06.12.2011 первичные учетные документы, регистры бухгалтерского учета, бухгалтерская (финансовая) отчетность, аудиторские заключения о ней подлежат хранению экономическим субъектом в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее пяти лет после отчетного года.
Исходя из положений Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения (утв. Приказом Минкультуры РФ от 25.08.2010 N 558) документы кадрового учета относятся к документам долговременного хранения и сроки их хранения составляют 75 лет или постоянно. Согласно данному Перечню личные дела руководителя организации, членов руководящих, исполнительных, контрольных органов, работников, имеющих государственные и иные звания, премии, награды, степени и звания, хранятся постоянно, а иных работников - в течение 75 лет. Трудовые договоры, соглашения, не вошедшие в состав личных дел, должны храниться 75 лет. Также 75 лет хранятся личные карточки. Невостребованные трудовые книжки хранятся 75 лет. Согласие на обработку персональных данных также подлежит хранению в течение 75 лет.
Таким образом, с учетом положений п. 2 ч. 1 ст. 6 Федерального закона "О персональных данных", согласие уволенных работников на обработку их персональных данных в вышеуказанных случаях не требуется.
Исходя из вышеизложенного, для соблюдения требования законодательства о защите ПД в организации должны быть в наличии следующие документы:
Основные нарушения, выявляемые в ходе проведения проверок:
Перечень основных нормативных правовых актов в сфере обработки персональных данных: