Содержание
- Хранение персональных данных
- Срок, в течение которого действует согласие
- Перечень действий с персональными данными, на осуществление которых дается согласие
- Перечень персональных данных
- Цель обработки данных
- Получение сведений персонального характера
В соответствии со статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.
Напомним, что согласно статье 3 указанного выше Федерального закона персональными данными (далее - ПДн) признается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его ФИО, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Рассмотрим два простых примера, иллюстрирующие обязательный и добровольный характер предоставления данных.
Пример 1
|
Специалист устраивается на работу. Работодатель требует представить ряд необходимых сведений (в том числе, паспортные данные, сведения о прописке, ИНН, номер страхового свидетельства в ПФР). Несомненно, что будущий сотрудник обязан предоставить такие сведения при оформлении трудового соглашения в целях соблюдения норм ТК РФ, а также требований налогового и пенсионного законодательства. Соответственно, в данном случае согласие на обработку персональных данных, получение которых необходимо в целях соблюдения действующего законодательства, не требуется. |
Пример 2
|
Специалист претендует на вакантное место в организации и заполняет анкету, предоставленную потенциальным работодателем. Обязан ли соискатель на должность предоставлять данные персонального характера? С одной стороны, ответ очевиден: ни один работодатель не возьмет на работу человека, не ознакомившись с его персональными данными. С другой стороны, действующее законодательство не содержит требований об обязательном предоставлении сведений кандидатом на работу. В ряде случаев может быть найден компромисс. Например, в предварительной анкете указываются фамилия, имя, отчество, возраст, город проживания и сведения, имеющие отношения к профессиональным навыкам. Такие сведения как место жительства, номер паспорта, дата рождения и т. п. не указываются. Если в анкете кандидата указываются данные, позволяющие идентифицировать человека, получать согласие от субъекта персональных данных будет необходимо. |
С учетом приведенных двух примеров можно говорить, что предоставление данных может быть обязательным и добровольным.
Обязательное предоставление данных может быть предусмотрено федеральными законами (например: Федеральным законом от 01.04.1996 № 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования") в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (перечень приведен в пункте 2 статьи 9 Федерального закона "О персональных данных").
В большинстве же случаев мы предоставляем персональные данные в добровольном порядке. При этом в ряде случаев получение согласия субъектов ПДн на обработку ПДн не требуется.
В соответствии с пунктом 2 статьи 6 Федерального закона № 152-ФЗ без получения согласия субъекта ПДн может осуществляться обработка персональных данных в следующих случаях:
- на основании федерального законодательства;
- в целях исполнения договора с субъектом персональных данных;
- в статистических или научных целях;
- для защиты жизни, здоровья субъекта персональных данных;
- для доставки почтовых отправлений организациями почтовой связи;
- в ходе профессиональной деятельности журналиста, ученого;
- в отношении ПДн, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПДн лиц, занимающих государственные должности, должности гражданской службы, ПДн кандидатов на выборные государственные должности.
Вместе с тем применять приведенные выше исключения необходимо с "должной степенью осмотрительности", так как на оператора возлагается обязанность представить доказательство получения согласия субъекта персональных данных на обработку его данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными.
Логично предположить, что наиболее часто персональные данные будут предоставляться в целях исполнения договора с субъектом персональных данных (например, при заключении договора бытового подряда).
В соответствии с пунктом 4 статьи 9 Федерального закона № 152-ФЗ согласие субъекта ПДн на обработку своих персональных данных должно включать в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных; номер основного документа, удостоверяющего его личность; сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва;
- собственноручную подпись субъекта ПДн.
Несмотря на кажущуюся простоту, выполнить все требования, предусмотренные Федеральным законом, не так просто.
Наибольшую сложность вызывают указание информации в отношении 3-6 позиций. Проанализируем данные позиции.
Хранение персональных данных
Другим вопросом, имеющим отношение к документации оператора ПДн, является вопрос о сроках хранения персональных данных. В отношении персональных данных можно говорить о трех способах определения срока хранения информации, который может быть определен:
- нормативным правовым актом;
- достижением цели обработки данных;
- решением субъекта.
Наиболее простая ситуация имеет место, в случае если срок хранения установлен в согласии субъекта. В такой ситуации стоит лишь помнить, что субъект ПДн не может указать срок меньший, чем предусмотрен нормативным правовым актом, устанавливающим срок хранения информации. Например: Перечнем типовых управленческих документов, образующихся в деятельности организаций с указанием сроков хранения, утвержденным руководителем Федеральной архивной службы России 15.08.1988, установлены следующие сроки хранения документов в части расчетов с работниками организации:
- лицевые счета (форма Т-2) - 75 лет;
- расчетные (расчетно-платежные) ведомости - 5 лет;
- книги учета депонированной заработной платы, журналы регистрации исполнительных листов - 5 лет;
- исполнительные листы - до минования надобности; справки, представляемые в бухгалтерию на оплату учебных отпусков, получения льгот по налогам и другие - до минования надобности;
- договоры, соглашения (хозяйственные, операционные, трудовые и другие) - 5 лет.
В зависимости от сферы деятельности необходимо анализировать нормативные правовые акты, определяющие сроки хранения документов, содержащих персональные данные.
Так, например, пунктом 12 Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность, утвержденных Постановлением Правительства РФ от 27.08.2005 № 538, предусмотрено, что оператор связи обязан хранить информацию об абонентах оператора связи и оказанных им услугам в течение 3-х лет. Для образовательных учреждений следует руководствоваться письмом Минобразования РФ от 20.12.2000 № 03-51/64.
Наиболее сложная ситуация может иметь место в случае установления срока хранения "по достижению цели обработки информации".
Например: физическое лицо заключает договор бытового подряда. Логично предположить, что цель обработки информации будет достигнута, когда будет выполнен договор и заказчик примет результаты работ. Однако в ряде случаев может быть предусмотрена гарантия на определенный срок, т. е. договор продолжает действовать после выполнения работ и в течение срока гарантийного обслуживания.
По истечении этого срока информация о физическом лице должна быть удалена. Однако некоторые организации предпочтут сведения не уничтожать (например: в целях предоставления скидок при заключении следующих договоров или направления клиентам рекламной информации).
В такой ситуации по окончании договора необходимо будет получить согласие у субъекта ПДн и предусмотреть новый срок обработки данных.
Таким образом, в локальных актах организации необходимо определить сроки хранения информации. Хранить ПДн можно не дольше, чем этого требуют цели их обработки, по достижению которых ПДн подлежат уничтожению.
Учитывая данное требование законодательства, в зарплатных конфигурациях фирмы "1С" реализован механизм уничтожения персональных данных, не подлежащих обязательному хранению. Предполагается, что уничтожение данных может быть выполнено, например, по требованию кандидата, который предоставлял свои сведения на этапе подбора, но в последствие так и не стал сотрудником (рис. 3).
Рис. 3
Уничтожение сведений выполняется только пользователем с полными правами в новой форме Управление персональными данными. При уничтожении сведений выполняется замена значений защищаемых полей пустыми значениями.
Иначе говоря, происходит очистка полей, а ссылочная целостность базы данных сохраняется.
Реализованный в программе алгоритм позволяет включить в настройках регламентных заданий автоматическое уничтожение персональных данных. Т. е. данные кандидатов будут уничтожаться автоматически по истечении срока, указанного в опросе (рис. 4).
Рис. 4
В завершение статьи необходимо напомнить, что обработка персональных данных в нарушение действующего законодательства может повлечь гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.
Например, статьей 13.11 КоАП РФ предусмотрен административный штраф за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных): для должностных лиц от 500 до 1 000 руб.; для юридических лиц - от 5 000 до 10 000 руб.
Срок, в течение которого действует согласие
При установлении срока важно найти "золотую середину". Ведь вряд ли человек предоставит свои данные, если в форме согласия будет написано - бессрочно. Срок, на который персональные данные предоставляются, должен быть определен разумными целями. Например, период рассмотрения кандидата на работу может быть установлен от полугода до года. Вряд ли персональные данные соискателя будут интересны работодателю через значительный промежуток времени - либо человек найдет работу, либо вакансия будет заполнена. В случае получения сведений персонального характера для участия в дисконтной программе, срок следует определять исходя из срока действия дисконтной программы (например: 5 лет). Также не стоит забывать, что субъект персональных данных в любой момент может отозвать свое согласие на их обработку.
Нетрудно заметить, что в самом согласии субъекта ПДн уже содержатся ПДн. В отношении таких данных необходимо учитывать положения пункта 5 рассматриваемой статьи, который гласит, что "для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительного согласия не требуется".
В соответствии с частью 6 статьи 9 Федерального закона № 152-ФЗ в случае недееспособности субъекта ПДн согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных, а в случае смерти субъекта ПДн согласие на обработку его ПДн дают в письменной форме наследники субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни.
В конфигурациях "1С:Зарплата и управление персоналом 8" и "1С:Зарплата и кадры бюджетного учреждения 8" (далее - зарплатные конфигурации) предусмотрена возможность подтверждения получения согласия на обработку данных и внесения срока, на который предоставлены данные.
В типовую анкету, которая используется в системе как анкета резюме кандидата, может быть дополнительно введено два вопроса:
- "Разрешить обработку персональных данных"
- "Срок предоставления персональных данных, мес."
Программа позволяет осуществить настройку "обязательности ответа" на данные вопросы. С целью контроля соблюдения законодательства о защите персональных данных рекомендуется указывать Всегда обязателен к заполнению (рис. 1).
Рис. 1
При заполнении опроса кандидат или лицо, заполняющее опрос по данным соответствующего кандидата, должен в явном виде "поставить галочку" в поле Разрешить обработку персональных данных, иначе документ не будет записан, и сведения не попадут в информационную базу (рис. 2).
Рис. 2
Отдельно необходимо остановиться на получении согласия в форме электронного документа. Данные изменения внесены Федеральным законом от 27.07.2010 № 227-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "Об организации предоставления государственных и муниципальных услуг".
Внесенными изменениями предусмотрено, что "равнозначным содержащему собственноручную подпись письменному согласию субъекта персональных данных на бумажном носителе признается согласие в форме электронного документа, подписанного электронной цифровой подписью или в случаях, предусмотренных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами, иным аналогом собственноручной подписи".
Порядок получения согласия субъекта персональных данных в форме электронного документа на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, определяется Правительством РФ.
С учетом вышеизложенного необходимо организовать документооборот таким образом, чтобы имелась возможность получить у человека (субъекта персональных данных) разрешение (согласие) на обработку его данных. При этом необходимо четко указать, в каких целях данная обработка осуществляется, а также в течении какого времени правомерно хранить полученные сведения. Также в ряде случаев может понадобиться форма "отзыва согласия".
Оператору персональных данных целесообразно разработать и утвердить список должностных лиц в организации (у предпринимателя), уполномоченных на получение персональных данных субъектов ПДн, а также определить порядок реагирования на обращения субъектов ПДн, предусмотреть возможные варианты ответов и действий, установить сроки реагирования, а также ответственных за соблюдение установленного порядка.
Такой порядок следует "закрепить" в организационно-распорядительных документах организации. Например, могут быть разработаны "Правила получения согласия у субъекта персональных данных", "Положение о порядке и сроках подготовки ответов на обращения субъектов персональных данных" и иные аналогичные документы (приказы, инструкции, процедуры). В качестве необходимых документов в организации следует разработать и использовать журналы учета полученных согласий, а также журналы обращений субъектов персональных данных.
Перечень действий с персональными данными, на осуществление которых дается согласие
Напомним, что в соответствии с определением, приведенным в Федеральном законе № 152-ФЗ, обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Таким образом, в согласии следует определить, какие конкретно действия можно производить с полученными персональными данными. Перечень таких действия вытекает из приведенного выше определения (например: накопление, хранение и уточнение - обновление, изменение).
Перечень персональных данных
Для простоты заполнения формы согласия может быть предложен конкретный перечень сведений, которые получает оператор персональных данных, и субъекту остается только выбрать те данные, которые он передает. Например, перечень передаваемых сведений может выглядеть следующим образом:
- дата и место рождения;
- биографические сведения;
- сведения об образовании (образовательное учреждение, время обучения, присвоенная квалификация);
- сведения о местах работы (место нахождения, название организации, должность, сроки работы);
- сведения о семейном положении, детях (фамилия, имя, отчество, дата рождения);
- сведения о месте регистрации, проживании;
- контактная информация;
- паспортные данные;
- сведения о постановке на налоговый учет (ИНН);
- сведения о регистрации в Пенсионном фонде РФ (номер страхового свидетельства);
- сведения об открытых банковских счетах.
Цель обработки данных
Цели обработки персональных данных могут быть различны. Наиболее простой случай - предоставление сведений в целях исполнения трудового договора. Например, сотрудник дает согласие на передачу необходимых персональных данных работодателем в кредитное учреждение (для оформления банковской карты) и страховую компанию (для оформления страхового полиса).
Также довольно популярной целью получения согласия является предоставление данных при участии в дисконтных программах, лотереях и т. п.
Т. е. при заполнении данной позиции необходимо четко представлять - с какой целью передаются персональные данные. Если четкого ответа на данный вопрос нет, то стоит задуматься: "А надо ли такие сведения передавать?".
Например, при оформлении дисконтной карты операторы нередко требуют паспортные данные с указанием даты выдачи документа и органа его выдавшего. Представляется логичным, что такие данные явно будут излишними. Для участия в "скидках" достаточно иметь данные, позволяющие идентифицировать человека (например: фамилия, имя отчество и возможно место проживания или электронный адрес для направления рекламных материалов, или же дата рождения для направления специальных предложений в связи с праздником). Необходимость указания паспортных данных или сведений "о прописке" должна вызвать сомнения.
С учетом изложенного могут быть рассмотрены следующие цели обработки:
- рассмотрение в качестве кандидата на занятие вакантной должности;
- участие в дисконтной программе/рекламной акции;
- передача данных в кредитные учреждения/страховые компании и т. п.
Получение сведений персонального характера
В соответствии со статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.
Напомним, что согласно статье 3 указанного выше Федерального закона персональными данными (далее - ПДн) признается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его ФИО, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Рассмотрим два простых примера, иллюстрирующие обязательный и добровольный характер предоставления данных.
Пример 1
|
Специалист устраивается на работу. Работодатель требует представить ряд необходимых сведений (в том числе, паспортные данные, сведения о прописке, ИНН, номер страхового свидетельства в ПФР). Несомненно, что будущий сотрудник обязан предоставить такие сведения при оформлении трудового соглашения в целях соблюдения норм ТК РФ, а также требований налогового и пенсионного законодательства. Соответственно, в данном случае согласие на обработку персональных данных, получение которых необходимо в целях соблюдения действующего законодательства, не требуется. |
Пример 2
|
Специалист претендует на вакантное место в организации и заполняет анкету, предоставленную потенциальным работодателем. Обязан ли соискатель на должность предоставлять данные персонального характера? С одной стороны, ответ очевиден: ни один работодатель не возьмет на работу человека, не ознакомившись с его персональными данными. С другой стороны, действующее законодательство не содержит требований об обязательном предоставлении сведений кандидатом на работу. В ряде случаев может быть найден компромисс. Например, в предварительной анкете указываются фамилия, имя, отчество, возраст, город проживания и сведения, имеющие отношения к профессиональным навыкам. Такие сведения как место жительства, номер паспорта, дата рождения и т. п. не указываются. Если в анкете кандидата указываются данные, позволяющие идентифицировать человека, получать согласие от субъекта персональных данных будет необходимо. |
С учетом приведенных двух примеров можно говорить, что предоставление данных может быть обязательным и добровольным.
Обязательное предоставление данных может быть предусмотрено федеральными законами (например: Федеральным законом от 01.04.1996 № 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования") в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (перечень приведен в пункте 2 статьи 9 Федерального закона "О персональных данных").
В большинстве же случаев мы предоставляем персональные данные в добровольном порядке. При этом в ряде случаев получение согласия субъектов ПДн на обработку ПДн не требуется.
В соответствии с пунктом 2 статьи 6 Федерального закона № 152-ФЗ без получения согласия субъекта ПДн может осуществляться обработка персональных данных в следующих случаях:
- на основании федерального законодательства;
- в целях исполнения договора с субъектом персональных данных;
- в статистических или научных целях;
- для защиты жизни, здоровья субъекта персональных данных;
- для доставки почтовых отправлений организациями почтовой связи;
- в ходе профессиональной деятельности журналиста, ученого;
- в отношении ПДн, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПДн лиц, занимающих государственные должности, должности гражданской службы, ПДн кандидатов на выборные государственные должности.
Вместе с тем применять приведенные выше исключения необходимо с "должной степенью осмотрительности", так как на оператора возлагается обязанность представить доказательство получения согласия субъекта персональных данных на обработку его данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными.
Логично предположить, что наиболее часто персональные данные будут предоставляться в целях исполнения договора с субъектом персональных данных (например, при заключении договора бытового подряда).
В соответствии с пунктом 4 статьи 9 Федерального закона № 152-ФЗ согласие субъекта ПДн на обработку своих персональных данных должно включать в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных; номер основного документа, удостоверяющего его личность; сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва;
- собственноручную подпись субъекта ПДн.
Несмотря на кажущуюся простоту, выполнить все требования, предусмотренные Федеральным законом, не так просто.
Наибольшую сложность вызывают указание информации в отношении 3-6 позиций. Проанализируем данные позиции.
