Передача персональных данных работника

Порядок трансграничной передачи данных

Трансграничная отправка данных является непростой процедурой, предполагающей целый ряд формальных действий, обязательных к исполнению. Для того, чтобы она была осуществлена на законных основаниях, требуются определенные условия.

Таблица 1. Трансграничная передача данных поэтапно

О каждом из упомянутых условий мы и поговорим в данном разделе.

Уведомление Роскомнадзора

Роскомнадзор должен быть первой инстанцией, которая будет поставлена в известность о планирующейся трансграничной передаче данных. Для того, чтобы проинформировать Роскомнадзор потребуется:

• направить уведомление, касающееся обработки ПД гражданина РФ;
• перечислить страны, которые примут данное сообщение.

Роскомнадзор должен быть оповещен о предстоящей передаче персональных данных за пределы РФ

Информирование субъекта ТППД

Как уже говорилось, субъект ТППД должен быть оповещен о планирующейся операции еще до того, как она произойдет. Эта информация должна быть зафиксирована в следующих документах:

• политика в отношении обработки персональных данных;
• договор, заключенный с субъектом ТППД;
• любой иной документ, который ставит своей целью донесение до субъекта ТППД планирующейся операции.

В договоре, который адресуется обладателю персональных данных указываются цели трансграничной передачи

Составление нормативных документов

Внутренние нормативные документы, составляемые оператором, осуществляющим передачу данных, должны включать в себя следующие детали:

• правовую основу, позволяющую проводить ТППД. Под правовой основной подразумевается список конкретных правовых документов, придающих пересылке сведений законный статус;
• регламент, который обеспечивает безопасный обмен персональными данными;
• оглашение списка планируемых мер и способов сохранения персональных данных под защитой (к таким средствам защиты относятся всевозможные средства, обеспечивающие криптографическую защиту данных).

О том, что такое криптографическая защита информации и какие методы она применяет можно прочесть ниже.

Криптографические методы защиты данных

Заключение договора с посредником

Договор с посредником, отвечающим за передачу персональных данных, в обязательном порядке состоит из таких пунктов, как:

• список манипуляций, которые будут осуществляться компанией-посредником с персональными данными;
• цели, в которых будет осуществляться обработка данных;
• обязательства компании-посредника перед Россией и самим субъектом ТППД, заключающиеся в соблюдении принципов конфиденциальности и предоставления полной безопасности субъекту;
• требования защищенности персональных данных, подлежащих обработке. Сама компания-посредник при осуществлении данной процедуры основывается на законодательных нормах, принятых в стране ее расположения.

Компания-посредник должна обеспечить полную безопасность передаваемых данных в силу своих возможностей

Защита канала

Под защитой канала понимается предотвращение всех случайных или злонамеренных попыток получить доступ к охраняемой информации. Особого внимания требует передача данных, осуществляющаяся посредством интернета – в таких ситуациях операторы обязаны использовать специальные способы шифровки сведений.

Иногда допускается практикование средств криптографической защиты, не прошедших необходимую по закону сертификацию ввиду:

• требований, изложенные в Конвенции ETS номер 108, которая налагает запрет на создание ограничений и контролирование циркуляции персональных данных, направляющихся в другие страны, руководствуясь соображениями защиты личной сферы субъекта ТППД;
• присутствия лимитов на вывоз оборудования, в составе которых наличествуют способы шифрования с российских территорий;
• нюансов законодательных норм иностранных государств, которые выступают получателями криптографического оборудования, а также согласование данного вопроса со службами страны, в которую перевозится соответствующее оборудование.

Конвенция 108 EST оговаривает особенности охраны персональных данных

Правовой статус “обработчика” персональных данных в России и его отличие от оператора

Все, кто сталкивался с обработкой персональных данных (ПД) знаком с понятием Оператор. И в целом законодательство, а именно ФЗ «О персональных данных» от 27.07.2006 N 152-ФЗ, дает достаточно емкое понятие термина Оператор.

Встает вопрос, кем является организация, получившая данные от Оператора, по отношению к субъекту ПД: тоже Оператор или же просто “Обработчик”, правовой статус которого в N 152-ФЗ не определен?

Пункты 3-5 ст. 6 N 152-ФЗ предусматривают возможность Операторов поручать обработку ПД третьим лицам. Эти третьи лица как раз и являются “Обработчиками”.

Права и обязанности Обработчика сформулированы достаточно кратко: лицо обязано соблюдать принципы и правила обработки персональных данных выполнять требования Оператора.

Также, закон закрепляет, что

Это ограничивает ответственность Обработчика:

Европейский GDPR четко выделяет два субъекта обработки ПД: Контроллер и Процессор, аналог российского Оператора и “Обработчика”. GDPR фиксирует правовой статус, права, обязанности и ответственность обоих субъектов обработки ПД.

В России же, изучая административную практику Роскомнадзора и Судебную практику, бросается в глаза, что третьих лиц, занимающихся обработкой, еще ни разу не назвали “Оператором”, но и как-то иначе, чем “третьи лица” они также не именуются.

Бывают ситуации, когда юридическое лицо поручает другому лицу собирать персональные данные и оказывать определенные услуги с использованием таких данных. При этом такое юридическое лицо считает, что оно не является Оператором, а факт того, что оно определяет цели обработки ПД, состав ПД, подлежащих обработке и действия (операции), совершаемые с ПД, его не сильно волнует. И при этом лицо, которому поручили собрать ПД и оказать с ними определенные услуги, также не является Оператором.

Встает вопрос о разграничении ответственности субъектов, обрабатывающих ПД. Также, нередко дискутируется необходимость уведомления РКН и включения в реестр третьих лиц, если они все такие не являются “Операторами”, но обрабатывают ПД по поручению.

Если у организации есть своя база ПД, собранная ей на своем сайте, и база ПД, полученная ей по договору с целью оказания услуг, неужели по отношению к обеим базам ПД она будет выступать Оператором?

Это далеко не единственная неопределенность ФЗ «О персональных данных» от 27.07.2006 N 152-ФЗ, ответ на которую не может дать РКН.

Образец жалобы на незаконное использование персональных данных

В Федеральную службу по надзору в сфере защиты прав потребителей и благополучия человека

В Центральный банк Российской Федерации

От П.

Жалоба на использование персональных данных

   Между мной, П., и ОАО «Уралвнешторгбанк» был заключен кредитный договор который был исполнен путем фактического исполнения в 2006 году. 2 месяца назад в мой адрес постоянно начали поступать звонки от лиц, представляющихся сотрудниками организации «Первое коллекторское бюро» с требованием оплатить задолженность по указанному выше кредиту 2 700 рублей. Однако кредит мной давно погашен, задолженности, в том числе пени я не имею, об указанных обстоятельствах я неоднократно сообщал звонившим мне работникам коллекторского агентства, однако никакого результата не последовало.

   В настоящее время ОАО «Уралвнешторгбанк» не существует, поэтому обратиться в банк для урегулирования данного вопроса не представляется возможным.

   В результате неправомерных действий сотрудников НАО «Первое коллекторское бюро» нарушается покой и благополучие моей семьи.

   Кроме того, звонки поступают мне на работу, сотрудники коллекторского агентства в ходе этих телефонных разговоров вводят в заблуждение моих коллег и начальство, передавая им информацию, не соответствующую действительности, таким образом дискредитируя меня.

   Звонки поступают со следующих номеров телефонов: …

   Таким образом, необходимо сделать вывод что ПАО «Бинбанк», являющееся правопреемником ОАО «Уралвнешторгбанк» нарушило закон о банковской тайне и сообщило мои конфиденциальные данные третьим лицам.

   В связи с давностью получения и выплаты кредита у меня не сохранилось никаких документов, ни кредитного договора, ни графика платежей, ни документов подтверждающих погашение кредита. В связи с вышеизложенным, считаю необходимым запросить ПАО «Бинбанк», сведения об отсутствии у меня задолженности по кредиту.

   Ст. 26 Федерального закона о банках и банковской деятельности гласит, Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.

   За разглашение банковской тайны Банк России, руководители (должностные лица) федеральных государственных органов, перечень которых определяется Президентом Российской Федерации, высшие должностные лица субъектов Российской Федерации (руководители высших исполнительных органов государственной власти субъектов Российской Федерации), организация, осуществляющая функции по обязательному страхованию вкладов, кредитные, аудиторские и иные организации, уполномоченный орган, осуществляющий функции по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, орган валютного контроля, уполномоченный Правительством Российской Федерации, и агенты валютного контроля, а также должностные лица и работники указанных органов и организаций несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном федеральным законом.

   Операторы платежных систем не вправе раскрывать третьим лицам информацию об операциях и о счетах участников платежных систем и их клиентов, за исключением случаев, предусмотренных федеральными законами.

   Исходя из вышеизложенного, мои конфиденциальные данные, которыми являются сведения о моем кредите, не должны были попасть к третьим лицам, т.е. к ООО «Первое коллекторское  бюро», таким образом необходимо сделать вывод о существенном нарушении моих право ПАО «Бинбанк».

   На основании изложенного и руководствуясь нормами действующего законодательства,

ПРОШУ:

• провести проверку в отношении ПАО «Бинбанк» по факту разглашения конфиденциальных данных  третьим лицам;
• привлечь лиц ответственных за разглашение к предусмотренной законом ответственности.

Дата, подпись

Автор статьи:

адвокат, управляющий партнер АБ «Кацайлиди и партнеры»

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

Отказ от предоставления персональных данных

По большому счету, согласие на предоставление персональных данных требуется только в отношении специальных и биометрических сведений. Если говорить проще, общедоступная информация, т.е. информация из паспорта, ИНН, СНИЛС, может использоваться совершенно свободно, конечно, в рамках закона и без нарушения этических и моральных норм.

А вот если кому-либо понадобились данные, касаемые религии или национальности человека, его здоровья или судимостей, взаимоотношений с работодателями (текущим и бывшими) и т.п. очень личные сведения – их можно получать только с согласия гражданина, оформленного в письменном виде.

В соответствии с законодательством РФ, любой человек имеет полное право отказаться от предоставления подобного рода информации, если считает, что она может привести к ущемлению его прав и интересов или даже вовсе без объяснения причин. Никакого наказания за такой отказ не предусмотрено.

И даже если представитель какого-либо учреждения требует предоставления таких сведений, угрожая отказом в предоставлении необходимых услуг (образовательных, медицинских и т.д.), его действия легко можно обжаловать как на уровне руководства, так и в прокуратуре или суде.

Единственное, что нужно помнить, что при обращении в различные муниципальные и бюджетные структуры, а также при трудоустройстве существует установленный законом перечень документов, а значит и персональных сведений, без которых заключение договоров (гражданско-правовых, трудовых и т.д.) будет просто-напросто невозможно.

Если есть сомнения в том, что работник той или иной организации требует документы сверх установленного законом списка, следует обратиться за разъяснениями к юристам или ознакомиться с соответствующими статьями российского законодательства.

С того момента, как персональные данные попадают во «вторые» руки, вся ответственность за их огласку возлагается на того, кто их получил.

При этом закон в отношении лиц, разгласивших чью-либо личную информацию довольно суров – он предусматривает наказание, начиная от крупного административного штрафа и вплоть до возбуждения уголовных дел.

Процедура отправки

СПРАВКА! Желательно также не делать отметки о своем доходе, медицинскую и личную информацию. Иными словами, если можно уменьшить количество сведений, которые вы передаете, то лучше это сделать.

Как передать данные третьим лицам:

1. Определиться с набором сведений, которые будут переданы.
2. Дать согласие на передачу.
3. Получить информацию о возможном отзыве согласия (например, адрес электронной почты, куда можно направить заявление в случае, если вы передумаете).

После того как согласие будет передано, можно будет приступать к онлайн-покупкам или к выполнению трудовых обязанностей, пользоваться кредитом, страховкой и так далее.

Подготовка документов

Основной документ, подтверждающий готовность передать персональные сведения о себе, называется письменное согласие.

Это может быть документ, в котором указывается дата, персональные данные и контакты, а также дается разрешение на их передачу. Либо пользователь принимает его путем регистрации на сайте или подачи заявки на получение товара или услуги. В последнем случае достаточно будет просто поставить отметку напротив соответствующей фразы.

Письменное согласие включает в себя:

• Ф.И.О., адрес, номер паспорта;
• наименование и адрес оператора;
• цель обработки, перечень данных и действий с ними;
• срок, в течение которого действует согласие, а также порядок его отзыва.

Согласие дается на срок действия договора и в течение 5 лет после его окончания. Отзыв согласия может быть произведен в письменной форме не ранее даты прекращения договора или даты исполнения обязательств в соответствии с ним.

Согласие дается на целый ряд действий: от сбора до уничтожения и трансграничной передачи. Обработка осуществляется путем хранения, записи на электронные носители и их хранение, составления перечней, маркировки. Если вы регистрируетесь на сайте, то оператор должен разъяснить, как может быть отозвано согласие и что для этого нужно сделать.

• Скачать бланк согласия на обработку персональных данных
• Скачать образец согласия на обработку персональных данных

Трудовой договор

При заключении письменного договора с работодателем иногда дается одновременное согласие на передачу данных. Оформляется оно в виде отдельного пункта соглашения. Подписывая договор, работник одновременно дает согласие. В пунктах соглашения может быть отражено, какие именно данные будут обрабатываться.

Согласие работника действует со дня заключения договора до прекращения трудовых отношений и может быть отозвано. После заключения договора, сведения о работнике можно, например, публиковать на сайте компании (например, информацию об образовании, возрасте и пр.).

Каналы

Передавать данные можно из рук в руки, когда вы заключаете письменный договор, по открытым каналам связи (например, по телефону), а также по электронной почте. Передача может осуществляться внутри страны или за ее пределами (трансграничный вариант). Прежде чем рассказывать личную информацию о себе по телефону или высылать по электронной почте стоит убедиться, что это действительно необходимо и безопасно.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

• штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
• либо обязательными работами на срок от 120 до 180 часов;
• либо исправительными работами на срок до одного года;
• либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

• штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
• либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
• либо арестом на срок от четырех до шести месяцев.