Фз об обработке персональных данных. Федеральный закон о персональных данных

В очередной раз ужесточают ответственность за обработку персональных данных. С 1 июля 2017 года будет действовать новая редакция статьи 13.11 КоАП РФ. Список нарушений стал более детализированным, а размеры штрафов значительно выросли - до 75 тыс. руб. О том, как защититься от нарушений, читайте в статье.

Ответственность за нарушения по персональным данным

Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей). Законодатель с 1 июля вносит изменения в статью 13.11 КоАП (Федеральный закон от 7 февраля 2017 г. № 13-ФЗ).

для юридических лиц - от 5 тыс. до 10 тыс. руб.;
для должностных лиц - от 500 до 1 тыс. руб.

Ниже в таблице приведу перечень нарушений и размеры новых штрафов за них с 1 июля 2017.

Вид нарушения	Размер штрафа
Вид нарушения	для юридических лиц	для должностных лиц
Обработка персональных данных в случаях, не предусмотренных законодательством, либо их обработка, несовместимая с целями сбора персональных данных*.	От 30 тыс. до 50 тыс. руб.	От 5 тыс. до 10 тыс. руб.
Обработка персональных данных без письменного согласия субъекта персональных данных на их обработку*	От 15 тыс. до 75 тыс. руб.	От 10 тыс. до 20 тыс. руб.
Обработка персональных данных с нарушением требований к составу сведений, отражаемых в письменном согласии субъекта персональных данных на их обработку	От 15 тыс. до 75 тыс. руб.	От 10 тыс. до 20 тыс. руб.
Нарушение оператором требований законодательства в области обработки, хранения и предоставления персональных данных	От 15 тыс. до 50 тыс. руб.	От 3 тыс. до 10 тыс. руб.

* Если не предусмотрена уголовная ответственность

Полномочия по возбуждению дел об административных правонарушениях в области персональных данных переданы от прокуроров к Роскомнадзору. Срок давности для административной ответственности - три месяца со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Протокол об административном нарушении составляют сотрудники Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ).

Трудовая инспекция также вправе наказать за нарушения правил работы с персональными данными, которые установлены в трудовом законодательстве (например, если бухгалтер использует сведения сотрудника в незаконных целях или их утерял). Наказание - штраф от 1000 до 5000 руб., за повторное нарушение - штраф от 10 000 до 20 000 руб. или дисквалификация от одного года до трех лет (ч. 1, 2 ст. 5.27 КоАП РФ).

Срок давности для ответственности за персональные данные по трудовому законодательству - один год со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Кроме административной ответственности за нарушения в области обработки персональных данных могут привлечь к дисциплинарной, материальной и даже к уголовной ответственности.

Ситуации из практики: что изменится с 1 июля

Пример 1. Должностное лицо без согласия человека разгласил зарплату, премию, вознаграждение по договору, передал данные должников в юридическую фирму, чтобы составить исковые заявления или разместил копию заявления человека в качестве образца на стенде с образцами других заявлений. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как разглашение персональных данных без письменного согласия от человека или по письменному согласию, которое оформлено с нарушениями и выдадут постановление об административном правонарушении и назначат штраф: на учреждение - от 15 000 до 75 000 руб., на должностное лицо - от 10 000 до 20 000 руб. (ч. 2 ст. 13.11 КоАП РФ).

Пример 2. Бухгалтер не предоставил сотруднику расчетный листок, справку, сведения о страховом стаже и другие документы, в которых есть персонифицированные сведения о человеке. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как сокрытие от человека его персональных данных и назначат штраф: на учреждение - от 20 000 до 40 000 руб., на бухгалтера - от 4000 до 6000 руб. (ч. 4 ст. 13.11 КоАП РФ).

Пример 3. Должностное лицо отказался принять к обработке новые паспортные данные человека, банковские реквизиты или другую изменяющую информацию - за такое нарушение инспекторы могут назначить штраф на учреждение - от 25 000 до 45 000 руб, а на должностное лицо - от 4000 до 10 000 руб.

Пример 4. Должностное лицо небрежно работает с документами, персональные сведения о сотруднике стали известны другим лицам из-за того, что он оставил на столе без присмотра или вынес с рабочего места справки, расчетные листки, другие документы с персональными данными или потерял эти документы. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как невыполнение требования человека уточнить, блокировать или уничтожить его персональные данные и назначат штраф: на учреждение - от 25 000 до 50 000 руб., а на бухгалтера - от 4000 до 10 000 руб. (ч. 6 ст. 13.11 КоАП РФ).

Пример 5. Должностное лицо передает имена, адреса, телефоны и другие данные сотрудников организациям, действующим в рекламных целях коллекторским агентствам или другим третьим лицам. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как обработку персональных данных, когда это не предусмотрено законами и не соответствуют целям сбора персональных данных и назначат штраф на учреждение - от 30 000 до 50 000 руб., а на бухгалтера - от 5000 до 10 000 руб. (ч. 1 ст. 13.11 КоАП РФ).

О других видах ответственности

К дисциплинарной ответственности руководитель учреждения может привлечь работника за нарушения, которые обязаны соблюдать правила работы с личными данными, но нарушили их (ст. 192 ТК РФ). За дисциплинарный проступок руководитель может наказать работника, сделать замечание, объявить выговор и даже уволить (ч.1 ст. 192 ТК РФ).

Материальная ответственность работника может наступить, если его нарушение привело к ущербу для учреждения (ст. 238 ТК РФ). К примеру, ответственный работник за обработку персональных данных распространил персональные данные сотрудников в сети Интернет, а те в свою очередь подали на работодателя в суд, который постановил: «выплатить пострадавшим работникам денежную компенсацию - 50 000 рублей каждому». В таком случае руководитель может привлечь как к ограниченной так и к полной материальной ответственности.

Самый страшный вид ответственности - это уголовная. Она может наступить за незаконные действия:

сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.

Как защитить персональные данные

Для защиты и ограничения доступа к персональным данным работодатель должен обеспечить качественную и современную систему их защиты. Как именно это сделать?

Этот вопрос решает каждый работодатель самостоятельно. Чиновниками утверждены меры по обеспечению безопасности персональных данных при их обработке (статья 19 Закона от 27 июля 2006 г. № 152-ФЗ и требованиях, установленных постановлением Правительства РФ от 1 ноября 2012 г. № 1119). Злоумышленники могут уничтожить, изменить, заблокировать, скопировать информацию, предоставить ее третьим лицам. Иногда несанкционированный доступ случайно получают люди, у которых нет дурных намерений. Но угрозу безопасности персональных данных это не исключает.

Примите меры, чтобы предотвратить несанкционированный доступ к персональным сведениям в базе данных.

1. Ограничьте доступ сотрудников к компьютерам.

2. Введите систему индивидуальных паролей. Их нужно периодически менять.

3. Храните диски и другие носители информации в запирающихся шкафах.

4. Закрепите процедуру защиты информации в положении.

Положение об обработке персональных данных

Работодатель может получить все персональные данные сотрудника только от него самого. Учреждение не имеет права собирать информацию, которая не относится напрямую к работе персонала. Поэтому руководитель не должен заставлять сотрудников раскрывать сведения об их вероисповедании, политических пристрастиях, жилищных условиях и т. п. Все это относится к личной или семейной тайне гражданина (п. 4 ч. 1 ст. 86 ТК РФ, ст. 10 от 27 июля 2006 г. Закона № 152-ФЗ).

Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия сотрудника (ст. 7 от 27 июля 2006 г. закона № 152-ФЗ). Чтобы не допустить утечки информации, создайте систему защиты. Порядок получения, обработки, передачи и хранения сведений установите в локальном акте, например в положении о работе с персональными данными сотрудников.

Положение утверждает руководитель учреждения. Ознакомьте сотрудников с положением под подпись (п. 8 ч. 1 ст. 86 ТК РФ). Руководитель определяет, кто будет отвечать за работу с персональными данными (ч. 5 ст. 88 ТК РФ). На практике такую работу поручают работникам отдела кадров, а в бухгалтерии - бухгалтеру по начислению зарплаты, так как они чаще всего имеют дело с персональными данными сотрудников.

Обработка данных без согласия сотрудника

Иногда обрабатывать персональные данные сотрудника можно без его согласия. Например, в случаях, прямо предусмотренных коллективным договором, а также локальными актами учреждения (разъяснения Роскомнадзора от 14 декабря 2012 г.).

Также не нужно получать согласие человека на обработку персональных данных в случаях, когда такая обработка предусмотрена законодательством. К таким случаям относится передача сведений в следующие органы:

Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 № 27-ФЗ);
налоговую инспекцию (ст. 24 НК РФ);
военные комиссариаты (ст. 4 Закона от 28 марта 1998 № 53-ФЗ);
иные органы (например, суды, прокуратуру, трудовую инспекцию и т. п.).

Кроме того, не требуйте согласия сотрудника для передачи персональных данных банку при открытии и обслуживании платежной карты для начисления зарплаты:

если договор на выпуск банковской карты заключен напрямую с сотрудником, а в договоре предусмотрена передача персональных данных работника банку;
если организация оформила доверенность на представление интересов сотрудника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
если соответствующая форма и система оплаты труда прописана в коллективном договоре учреждения (абзаце 10 пункта 4 разъяснений Роскомнадзора от 14 декабря 2012 г.).

В 2017 году с 1 июля увеличили штрафы за нарушение закона о персональных данных. Например, штраф за обработку персональных данных без согласия владельца составляет 75 тысяч рублей. Чем рискует компания, которая нарушает закон, и сколько ей придется заплатить.

Читайте в нашей статье:

По действующим правилам ответственность несет лицо, которое нарушает правила сбора, хранения, использования или распространения персональных данных. Максимальная сумма штрафа за нарушение требований закона о персональных данных составляет сейчас 75 тыс. руб. ( КоАП РФ).

Новые штрафы за разглашение персональных данных и другие нарушения действуют с 1 июля 2017 года

1 июля 2017 года произошло повышение штрафов, которые Роскомнадзор начислит за нарушение требований о работе с персональными данными, в 2018 году действуют те же правила. Компанию привлекут к административной ответственности, если она обрабатывает персональные данные:

в случаях, которые не указал . Например, от покупателя интернет-магазина требуют сканы документов, подтверждающих личность;
в целях, которые отличаются от заявленных. Например, отправляет рекламные сообщения на адрес электронной почты, которую покупатель указал при оформлении заказа в интернет-магазине (ч. 1 ст. 13.11 КоАП РФ).

В качестве наказания могут вынести предупреждение или оштрафовать. Штраф за нарушение обработки о персональных данных составляет:

1 – 3 тыс. руб. для граждан;
5 – 10 тыс. руб. для должностных лиц и предпринимателей;
30 – 50 тыс. руб. для компаний.

Есть исключения. Некоторые случаи могут подпадать под действие ч. 2 ст. 13.11 КоАП РФ. Также иное наказание предусмотрено за действия, в которых присутствует состав уголовного преступления.

Чтобы обезопасить себя от штрафа за персональные данные, нужно обрабатывать их только в заявленных целях и согласно ч. 1 ст. 3 закона о персональных данных.

Штраф за персональные данные достигает 75 тысяч

В ряде случаев граждане должны согласиться на обработку своих данных. Нарушением считается, если компания использует персональные данные граждан без их письменного согласия. Также компанию накажут за несоблюдение требования закона к составу данных, которые необходимо перечислить в документе о согласии на обработку . Например, если компания не указала, каким третьим лицам будут доступны данные после того, как гражданин согласится на их обработку.

По правилам ч. 2 ст. 13.11 КоАП РФ штраф за использование и обработку персональных данных без согласия их владельца составляет:

3 – 5 тыс. руб. для граждан;
10 – 20 тыс. руб. для предпринимателей и должностных лиц;
15 – 75 тыс. руб. для компаний.

Если у нарушения будут признаки уголовно наказуемого деяния, совершивший несет ответственность по ст. 137 или ст. 272 УК РФ.

Чтобы не возникло необходимости платить за обработку персональных данных штраф, нужно получать у граждан согласие на обработку персональных данных и соблюдать требования к списку сведений в документе о согласии.

Если компания не опубликует документ о политике использования данных, ее ждет штраф

Компания не опубликовала на интернет-ресурсе или иным образом не предоставила неограниченный доступ к документу, из которого граждане могут узнать о политике компании в отношении обработки персональных данных, либо к информации о том, как компания реализует требования к защите данных.

Согласно ч. 3 ст. 13.11 КоАП РФ за такое нарушение могут вынести предупреждение или назначить штраф. Штраф за такое нарушение составляет:

700 – 1,5 тыс. руб. для граждан;
3 – 6 тыс. руб. для должностных лиц;
5 – 10 тыс. руб. для предпринимателей;
15 – 30 тыс. руб. для компаний.

Чтобы предотвратить нарушение, компании нужно опубликовать у себя на сайте в общем доступе ссылки на документ о политике компании в отношении обработки данных и другие сведения о требованиях к защите данных.

Штраф получит лицо, которое не ответило на запрос граждан

Если компания не предоставила гражданину сведений о том, что касается обработки его данных, такое нарушение наказывают предупреждением или штрафом. Такие правила закрепили в ч. 4 ст. 13.11 КоАП РФ. В данном случае штраф за нарушение обработки персональных данных составляет:

1 – 2 тыс. руб. для граждан;
4 – 6 тыс. руб. для должностных лиц;
10 – 15 тыс. руб. для предпринимателей;
20 – 40 тыс. руб. для организаций.

Во избежание нарушения предоставляйте гражданам информацию по запросу в течение 30 дней (ч. 1 ст. 20 Закона о персональных данных).

Если информацию своевременно не уничтожить, это влечет штраф

Гражданин или его полномочный представитель потребовали уточнить персональные данные, блокировать их или уничтожить. Компания обязана сделать это, если данные утратили актуальность, оказались неполными или неточными, а также в случае незаконного получения или если они были собраны с целью, отличающейся от заявленной.

В ч. 5 ст. 13.11 КоАП РФ указано, что нарушение наказывается предупреждением или штрафом. Роскомнадзор начислит штраф за персональные данные по такому нарушению в сумме:

1 – 2 тыс. руб. для граждан;
4 – 10 тыс. руб. для должностных лиц;
10 – 20 тыс. руб. для предпринимателей;
25 – 45 тыс. руб. для компаний.

Если компания не хочет, чтобы ее оштрафовали, следует выполнить требования заявителя.

Компания получит штраф, если не обеспечила сохранность носителей с данными

Компания не обеспечила сохранность носителей, на которые записаны персональные данные, и не создала условий, исключающих несанкционированный доступ. Это является нарушением по ч. 6 ст. 13.11 КоАП РФ. Норма касается случаев, когда:

персональные данные обрабатывают без средств автоматизации;
нет состава уголовного преступления;
данные оказались доступны постороннем улицу, которое их уничтожило, распространило или незаконно использовало иным образом.

В этом случае штраф за персональные данные начисляют в размере.

На портале правовой информации размещен подписанный Президентом РФ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», устанавливающий новые размеры штрафов за нарушение законодательства Российской Федерации в области персональных данных, которые вступят в силу с 1 июля 2017 года .

Положения Федерального закона уточняют основания для применения мер административной ответственности за нарушение законодательства Российской Федерации в области персональных данных с учётом изменений, внесённых в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Изменения вносятся в основном в статью 13.11, а также в статьи 28.3 и 28.4 КоАП РФ.

Итак, что же изменится в области персональных данных с 1 июля 2017 года. Новая редакция статьи 13.11 содержит теперь семь конкретных составов правонарушений и предусматривает соответствующие им штрафы с самым высоким из них – 75 тысяч рублей (для юридических лиц). В отличие от прошлой редакции ст.13.11, новая редакция статьи четко устанавливает случаи, за которые оператор ПДн может понести наказание. Например, по ст.13.11 можно было наказать за нарушение ФЗ №242, с новой редакцией сделать это будет невозможно, так же как и сложно будет наказать за отсутствие уведомления Роскомнадзора.

Тексты статьи 13.11 коротко представлены на рисунке ниже. Более развернутое описание — можно скачать в виде таблицы . А постатейный разбор приведен в статье.

Напомним, что изменения в ст.13.11 готовились еще с декабря 2014 года, но работа над ними была надолго заморожена законодателями. Самым существенным моментом ранней версии этого законопроекта был относительно большой (до 300 000 рублей) штраф за неправомерную обработку персональных данных специальных категорий, но в принятой версии этот текст был убран:

Обработка специальных категорий персональных данных , касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости в случаях, не предусмотренных законодательством Российской Федерации о персональных данных,
— влечет наложение административного штрафа на граждан от трех тысяч до пяти тысяч рублей; на должностных лиц — от десяти тысяч до двадцати пяти тысяч рублей; на индивидуальных предпринимателей — от пятидесяти тысяч до ста тысяч рублей; на юридических лиц — от ста пятидесяти тысяч до трехсот тысяч рублей .

Какие основные последствия принятия поправок? Их несколько:

В связи с тем, что формулировка ст.13.11 стала более конкретна, многие эксперты выражают обеспокоенность ( , ), что схема назначения взыскания может измениться принципиально. Если по текущей редакции наказание могло быть одно за «нарушение установленного законом порядка…» , по совокупности, сколько бы нарушений найдено не было, то новая формулировка ст.13.11 поменялась и она просто перечисляет семь составов правонарушений, за которые возможно составление отдельного протокола и назначение отдельного штрафа. Видимо, стоит ожидать увеличения общей суммы штрафа при проверке.
Протоколы об административных правонарушениях, квалифицируемых по новой редакции статьи 13.11, будут после 1 июля составлять должностные лица Роскомнадзора и его территориальных управлений, а не прокуроры, как сейчас. Срок привлечения к ответственности остается как и раньше – 3 месяца, но процедура привлечения к ответственности существенно упростилась: цепочка «территориальное управление Роскомнадзора» — «Прокуратура» — «Суд» сократилась, материалы будут двигаться быстрее и штрафов, скорее всего, станет больше.
Не за все ранее квалифицируемые по ст.13.11 нарушения могут быть привлечены операторы в соответствии с новой редакцией: данная статья не предусматривает, например, ответственности за невыполнение ФЗ № 242 о локализации баз персональных данных.

Здравствуйте, дорогой коллега!

Если у вас есть сайт, то с 1-го июля вы можете попасть на штрафы до 300000 руб. просто за то, что не разметили нужную информацию.

В феврале 2017 года были внесены поправки в Федеральный закон 152 по поводу нарушений закона о персональных данных.

Поправки вступают в силу 1 июля 2017 года и коснутся всех, кто обрабатывает и хранит на сайте любые персональные данные.

Являетесь ли вы оператором персональных данных?

Являетесь, если используете следующие инструменты:

обратная связь (форма обратной связи, заказ обратного звонка, форма любой заявки),
пользователи (регистрация, авторизация, данные соц.сетей),
продажи (данные для доставки и связи с клиентом),
е-маил маркетинг (подписка на новости, рассылку, на лидмагнит).

Персональные данные - это любая информация о пользователе, по которой его можно идентифицировать.

Например, по имени и логину понять что за человек нельзя. А вот по логину и е-маилу уже можно. Также можно определить пользователя по установленному пикселю ретаргетинга на сайте.

Поэтому вы являетесь оператором персональных данных, если пользователи на вашем сайте оставляют в любом сочетании следующие данные:

е-маил
телефон
адрес
образование, семейное положение, уровень доходов,
cookie
данные об IP адресе и местоположении

Что делать с сайтом?

Хостинг и база данных должны располагаться на территории России
По хранению персональных данных в ФЗ 152 не все прозрачно и понятно, поэтому, чтобы не было проблем лучше руководствоваться требованием ФЗ-242 и хранить данные на территории РФ.
Согласие на обработку персональных данных
Под каждой формой разместить текст "Нажимая на кнопку, вы даете согласие на обработку своих персональных данных" и ссылка на документ.
Разместить в футере ссылку на политику работы с персональными данными
Необходимо подготовить документы по работе с персональными данными (по закону эти документы можно объединить в один).
Зарегистрироваться в Роскомнадзоре
Ссылка на регистрацию http://pd.rkn.gov.ru/operators-registry/notification/form/ .
Разместить на сайте всплывающую информацию о сборе cookies.

Кроме этого нужно:

Сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали
Удалять по первому требованию данные, которые используются для рассылки
Подписать с сотрудниками обязательства о неразглашении персональных данных
Защищать сайт и базу данных от взлома и утечки

Зачем нужна регистрация в Роскомнадзоре?

По закону операторы персональных данных должны уведомить Роскомнадзор, причем сделать это нужно до начала обработки данных или хотя бы до 1 июля 2017 г.

Уведомление можно не подавать если:

Обрабатываются только данные сотрудников.
Персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более распространяться.
Человек сам опубликовал эти данные в общем доступе.
У вас есть только ФИО клиента.

Штрафы

Штраф не зависит от вида нарушения. Для ИП или директора 1000 руб., для юр.лица - 10000 руб.

Выпиской штрафов занимается прокуратура. Процедура длительная, сумма не высокая, поэтому на этот счет не было особых переживаний.

7 видов нарушений, общий штраф до 295000 руб.

Нет политики конфиденциальности - штраф 10 тыс.руб. для ИП, 30 тыс.руб. для юр.лица.
Нет согласия на обработку персональных данных клиента магазина или подписчика на информационный курс - штраф 20 тыс.руб. для ИП, 75 тыс.руб. для юр.лица.
В форме обратной связи нет ссылки на обработку персональных данных, то штраф для юр.лица 50 тыс.руб.
За отказ в уточнении или удалении персональных данных штраф 20 тыс.руб. для ИП и 45 тыс.руб. для юр.лица.

Выпиской штрафов занимается Роскомнадзор, решение принимается быстро.

Перед наложением штрафа Роскомнадзор присылает уведомление о нарушении и требование предоставить документы.

Будут ли штрафовать на самом деле?

Как говорится, время покажет. Но на данный момент в Тамбовоской области и в Астрахани прокуратура идет просто по списку сайтов и штрафует за формы обратной связи.

Может быть им делать больше нечего, может нагнетают страха перед введением закона. Но так или иначе, лучше подготовиться.

Татьяна Гежа,
главный эксперт-консультант ООО «ТЛС-ПРАВО»

С 01.07.2017 существенно повысилась ответственность за нарушения при обработке персональных данных. Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» внес изменения в статью 13.11 КоАП РФ. Новая редакция содержит дифференцированную шкалу штрафных санкций, вводится семь новых составов правонарушений. К ответственности будут привлекаться не только организации, но и должностные лица. Помимо тех организаций, которые обрабатывают персональные данные физических лиц - клиентов, данные изменения безусловно касаются и всех работодателей, которые обрабатывают персональные данные своих работников. Мы рассмотрим некоторые ситуации из практики, за которые работодателя могут привлечь к ответственности.

Персональные данные работников

В соответствии со ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), т. е. это любая информация о человеке, по которой его можно идентифицировать. В том числе: Ф.И.О., год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, доходы и другая информация.
Для того чтобы идентифицировать человека, порой достаточно иметь фамилию, имя и отчество и какую-нибудь дополнительную информацию, например, Ф.И.О. и номер телефона. В этом случае возможно идентифицировать личность.
Если же, например, имеется только электронный адрес и телефон, то идентифицировать личность вряд ли получится.
Чаще всего персональные данные, с которыми имеют дело кадровики, бухгалтеры, - это фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, номер телефона, семейное положение, образование, профессия.

Нужно ли брать согласие на обработку персональных данных при приеме на работу?

При заключении трудового договора в соответствии со ст. 65 ТК РФ работодатель получает от работника большой перечень персональных данных. К ним, в частности, относятся: данные документа, удостоверяющего личность, СНИЛС, трудовая книжка, данные об образовании, документы воинского учета и т. д. Все это персональные данные работника.
Так как работник выступает стороной трудового договора, получать согласие на обработку его персональных данных при заключении трудового договора не нужно (п. 5 ст. 6 Закона от 27.07.2006 № 152-ФЗ «О персональных данных».) Также на это указывает Роскомнадзор в своих Разъяснениях «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

Имеет ли право работодатель, получив персональные данные работника при заключении трудового договора, хранить в личном деле копии паспортов, военных билетов, дипломов и т. д.?

Если кадровая служба хранит в личных делах сотрудников копии паспорта, военного билета, Роскомнадзор при проведении проверки, может привлечь работодателя к ответственности в соответствии с ч. 1 ст. 13.11 КоАП РФ за обработку избыточных персональных данных работника в случаях, не предусмотренных законодательством РФ в области персональных данных.
За это на юридическое лицо может быть возложен штраф в размере от 30 000 до 50 000 руб., а на должностное лицо - от 5 000 до 10 000 руб.
Данный вывод подтверждается судебной практикой (см. Постановление ФАС Северо-Кавказского округа от 21.04.2014 по делу № А53-13327/2013).
В данном Постановлении, в частности указано: «…суд апелляционной инстанции сделал правильный вывод о том, что для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом документа, удостоверяющего личность, в котором содержатся все необходимые сведения.
Хранение копий паспорта, страниц военного билета, свидетельства о заключении брака, свидетельства о рождении ребенка на рабочем месте превышает объем обрабатываемых персональных данных работника и действующим законодательством не предусмотрено, это нарушает права и свободы гражданина, снижает уровень прав и гарантий работника,
противоречит федеральному законодательству.
При проведении проверки… сделан правильный вывод о том, что «организация <…> производит обработку избыточных персональных данных, по сравнению с теми, которые определены к заявленным целям их обработки, что является нарушением ч. 5 ст. 5 Закона № 152-ФЗ».

Обязана ли организация, арендующая офис в здании, в котором действует пропускной режим, направляя сторонней организации персональные данные работников в целях выдачи им пропусков на проход в здание, получать от них разрешение на передачу таких данных третьим лицам?

В соответствии со ст. 88 ТК РФ работодатель не должен сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами.
В своем Письме от 13.05.2011 № 1302-6-1 Роструд разъясняет, что, если обработкой персональных данных работников занимается организация, не являющаяся стороной трудовых отношений, передача персональных данных работников данной организации для последующей обработки должна осуществляться с соблюдением ограничений, установленных ст. 88 ТК РФ.
Это означает, что для оформления пропусков организация обязана получать от работников разрешение на передачу их персональных данных третьему лицу - сторонней организации.
В противном случае к организации могут применить ч. 2 ст. 13.11 КоАП РФ: обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных <…> влечет наложение административного штрафа <…> на должностных лиц - от 10 000 до 20 000 руб.; на юридических лиц - от 15 000 до 75 000 руб.

Оформление личной карточки работника

При приеме на работу работодатель обязан оформить на работника личную карточку по форме Т-2. Необходимо ли для ее оформления брать согласие с родственников работника на обработку их персональных данных?
В соответствии с Разъяснениями Роскомнадзора обработка персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой № Т-2, утвержденной Постановлением Госкомстата РФ от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», либо в случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) не требуется.
В иных случаях получение согласия близких родственников работника является обязательным условием обработки их персональных данных, иначе также возможно привлечение к ответственности в соответствии с ч. 2 ст. 13.11 КоАП РФ.

Кадровый и бухгалтерский учет осуществляется сторонней организацией. Нужно ли брать согласие от работников на обработку их персональных данных?

В соответствии с Разъяснениями Роскомнадзора при привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Федерального закона «О персональных данных», в том числе получить согласие работников на передачу их персональных данных. В противном случае возможно привлечение к ответственности работодателя в соответствии с ч. 2 ст. 13.11 КоАП РФ.

Что необходимо указать в согласии на обработку персональных данных?

В соответствии с ч. 2 ст. 13.11 КоАП РФ работодателя могут привлечь к ответственности за обработку персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных.
Согласие сотрудника на обработку персональных данных должно быть оформлено письменно. Работодателю имеет смысл разработать и утвердить в качестве приложения к положению о персональных работников бланк согласия работника на обработку и передачу его персональных данных.
Требования к содержанию письменного согласия установлены ч. 4 ст. 9 Закона № 152-ФЗ «О персональных данных».

В согласии нужно указать:
Ф.И.О., адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе;
при получении согласия от представителя работника - его Ф.И.О., адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя;
наименование или Ф.И.О. и адрес работодателя;
цель обработки персональных данных;
перечень персональных данных, которые подлежат обработке;
Ф.И.О. и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации;
перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки;
срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия;
подпись работника.

Нужно ли разрабатывать положение о персональных данных работников?

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов.
Работодатель должен определить политику организации в отношении обработки персональных данных, а также издать локальный акт, в котором будет установлен порядок обработки, хранения и защиты персональных данных работников (пп. 2 п. 1 ст. 18 Закона № 152-ФЗ «О персональных данных»).
Это означает, что работодатель должен издать локальный нормативный акт, в котором он пропишет весь порядок, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты.
С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под роспись.
Необходимость утверждения подобного документа подтверждается судебной практикой (см., например, Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06).

Примерная структура положения может быть такой:

1) «Общие положения» - в данном разделе следует указать, с какой целью принимается данное Положение и какие вопросы оно регулирует;
2) «Основные понятия. Состав персональных данных работников» - здесь следует указать, какие документы в организации содержат персональные данные;
3) «Обработка персональных данных» - в этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника;
4) «Передача персональных данных» - здесь следует прописать порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам;
5) «Доступ к персональным данным» - в данном разделе должна содержаться информация о порядке доступа к персональным данным работников. Доступ делится на внутренний (предоставление персональных данных отдельным работникам организации) и внешний (передача персональных данных представителям других организаций и государственных органов);
6) «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных» - в данном разделе нужно указать, кто в организации несет ответственность за нарушение правил хранения и использования персональных данных.
Отсутствие разработанного в организации порядка хранения и использования персональных данных работников расценивается как нарушение требований ст. 87 ТК РФ и, соответственно, образует состав административного правонарушения, предусмотренного ст. 5.27 КоАП РФ. (см., например, Решение Верховного суда Республики Карелия от 11.04.2014 по делу № 21-153/2014).