Назад в "Вопрос-ответ"

Персональные данные


Вопрос: Нужно ли уведомлять Роскомнадзор об обработке персональных данных работников?
Ответ:

В соответствии со статьей 3 Федерального закона от 27.07.2006 N 152-ФЗ "О  персональных данных", персональные данные – это любая информация, относящаяся к прямо или косвенно к определенному или определяемому  физическому лицу (субъекту персональных данных), а оператор - юридическое или физическое лицо, самостоятельно или совместно с другими лицами  организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. То есть фактически, любая организация обрабатывает персональные данные своих работников и является оператором.

 

Однако, в этом случае  уведомлять орган Роскомнадзора об  обработке таких данных организация не обязана, так как согласно части 2 статьи 22 Закона N 152-ФЗ оператор персональных данных не обязан уведомлять орган Роскомнадзора об обработке данных своих сотрудников, так как такая обработка осуществляется в соответствии с трудовым законодательством.

Но, здесь также следует отметить, что в Рекомендациях по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утв. Приказом № 706 от 19.08.2011, Роскомнадзор отметил, что в данном уведомлении также указываются и работники, состоящих в трудовых отношениях с юридическим лицом, а в качестве правового основания обработки в данном случае указываются статьи 85-90 Трудового кодекса РФ.


Выписки из нормативных актов.  27 июля 2006 года N 152-ФЗ

                                                  РОССИЙСКАЯ ФЕДЕРАЦИЯ
                               ФЕДЕРАЛЬНЫЙ ЗАКОН О ПЕРСОНАЛЬНЫХ  ДАННЫХ

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

 В целях настоящего Федерального закона используются следующие основные понятия:

 1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

 2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

 3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Статья 22. Уведомление об обработке персональных данных

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) обрабатываемых в соответствии с трудовым законодательством;


 МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ

 РОССИЙСКОЙ ФЕДЕРАЦИИ
 ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ,

ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ

                                                                  ПРИКАЗ
                                                   от 19 августа 2011 г. N 706
 ОБ УТВЕРЖДЕНИИ РЕКОМЕНДАЦИЙ  ПО ЗАПОЛНЕНИЮ ОБРАЗЦА ФОРМЫ УВЕДОМЛЕНИЯ ОБ ОБРАБОТКЕ (О НАМЕРЕНИИ ОСУЩЕСТВЛЯТЬ ОБРАБОТКУ) ПЕРСОНАЛЬНЫХ ДАННЫХ

Утверждены
Приказом Роскомнадзора от 19 августа 2011 г. N 706
РЕКОМЕНДАЦИИ
ПО ЗАПОЛНЕНИЮ ОБРАЗЦА ФОРМЫ УВЕДОМЛЕНИЯ ОБ ОБРАБОТКЕ (О НАМЕРЕНИИ ОСУЩЕСТВЛЯТЬ ОБРАБОТКУ) ПЕРСОНАЛЬНЫХ ДАННЫХ

7. В поле "категории субъектов, персональные данные которых обрабатываются"  указываются категории субъектов (физических лиц) и виды отношений с субъектами (физическими лицами), персональные данные которых обрабатываются (например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (Оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (Оператором) и др.).

8. В поле "правовое основание обработки персональных данных" указываются:
Федеральный закон, постановление Правительства Российской Федерации, иной нормативно-правовой акт, закрепляющий основание и порядок обработки персональных данных (Примечание N 2);

Примечание N 2. Указываются не только соответствующие статьи Федерального закона "О персональных данных", но и статьи иного нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных (например: ст. ст. 85 - 90 Трудового кодекса Российской Федерации, ст. 85.1 Воздушного кодекса Российской Федерации, ст. 12 Федерального закона "Об актах гражданского состояния" и др.).


Подробнее...
Вопрос: Можно ли спрашивать у кандидатов семейный статус и пол в электронной анкете на сайте при отправке их резюме и на собеседовании? При этом, как быть со статьей Конституции РФ о не дискриминации по признаку пола и семейного положения, возникает вопрос - зачем работодателю задавать такой вопрос в анкете, если это не может влиять на решение о найме?
Ответ:

Запрашиваемая информация о кандидате на работу является персональными данными гражданина Российской Федерации.  

Персональные данные
- это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (статья 3 часть 1 Федерального Закона Российской Федерации № 152-ФЗ от 27 июля 2006 года «О защите персональных данных»).  

Вы можете запросить у кандидата на соискание работы данные о семейном статусе и поле, при этом  вы должны с потенциального работника взять согласие на обработку указанной Вами информации, где изложите цели обработки данной информации (статья 9 Федерального Закона Российской Федерации № 152-ФЗ от 27 июля 2006 года «О защите персональных данных»).  

Помните, что запрашиваемые данные являются конфиденциальными и вы не имеете права распространять их третьим лицам. За исключением обезличивания персональных данных и общедоступных персональных данных ( статья 7 Федерального Закона Российской Федерации № 152-ФЗ от 27 июля 2006 года «О защите персональных данных»).  

Так же если кандидат на работу сочтет, что организация осуществляет обработку его персональных данных с нарушением настоящего Федерального закона Российской федерации, то он может подать на организацию в суд (статья 17 Федерального Закона Российской Федерации № 152-ФЗ от 27 июля 2006 года «О защите персональных данных»).  

В соответствии со статьей 19 Конституции Российской Федерации нельзя дискриминировать людей по их полу, семейному положению, расовой принадлежности. Независимо от кого исходит дискриминация от обычного человека или работодателя. Также, никто не может быть ограничен в трудовых правах и свободах или получать какие-либо преимущества независимо от расы, цвета кожи, национальности, языка, происхождения, имущественного, социального и должностного положения, возраста, места жительства, отношения к религии, политических убеждений и других обстоятельств, не связанных с деловыми качествами работника (часть 1 статья 3 Трудового Кодекса Российской Федерации).  

Запрос данной информации у кандидата не может быть расценен как дискриминация человека. Так как кандидат на работу не получает отказ на основании того, что он женат или разведен. Не стоит так же обосновывать отказ в приеме на работу в связи с семейным положением или  полом.  

Нужно ли задавать в анкете вопрос о семейном положение или поле кандидата, решает сам работодатель. Если Вам важно семейное положение и пол кандидата, тогда необходимо указать цель данного вопроса. В том случае, если вопрос не важен, рекомендуем Вам не включать его в анкету.

Выписки из нормативных актов:
 

РОССИЙСКАЯ ФЕДЕРАЦИЯ
 
ФЕДЕРАЛЬНЫЙ ЗАКОН
от 27 июля 2006 года № 152-ФЗ  
«О ПЕРСОНАЛЬНЫХ ДАННЫХ»  

Статья 3. Основные понятия, используемые в настоящем Федеральном законе.
 

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;  

Статья 7. Конфиденциальность персональных данных.
 

1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. 2. Обеспечения конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.  

Статья 14. Право субъекта персональных данных на доступ к своим персональным данным.
 

4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

2) способы обработки персональных данных, применяемые оператором;

3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

4) перечень обрабатываемых персональных данных и источник их получения;

5) сроки обработки персональных данных, в том числе сроки их хранения;

6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.  

Статья 17. Право на обжалование действий или бездействия оператора.
 

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.  

КОНСТИТУЦИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ
 

12 декабря 1993 года


Статья 19.
 

1. Все равны перед законом и судом.  

2. Государство гарантирует равенство прав и свобод человека и гражданина независимо от пола, расы, национальности, языка, происхождения, имущественного и должностного положения, места жительства, отношения к религии, убеждений, принадлежности к общественным объединениям, а также других обстоятельств. Запрещаются любые формы ограничения прав граждан по признакам социальной, расовой, национальной, языковой или религиозной принадлежности.  

3. Мужчина и женщина имеют равные права и свободы и равные возможности для их реализации.      

30 декабря 2001 года N 197-ФЗ


ТРУДОВОЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ

(Извлечение)


Статья 3. Запрещение дискриминации в сфере труда.
 

Каждый имеет равные возможности для реализации своих трудовых прав.   Никто не может быть ограничен в трудовых правах и свободах или получать какие-либо преимущества независимо от пола, расы, цвета кожи, национальности, языка, происхождения, имущественного, семейного, социального и должностного положения, возраста, места жительства, отношения к религии, политических убеждений, принадлежности или непринадлежности к общественным объединениям, а также от других обстоятельств, не связанных с деловыми качествами работника.


Подробнее...
Вопрос: Требуется ли отдельное согласие работника на трансграничную передачу персональных данных случае, если работодатель осуществляет трансграничную передачу персональных данных (через третьих лиц). Или возможно сделать одно согласие на обработку персональных данных, куда необходимо включить трансграничную передачу?
Ответ:

Законодательство не обязывает работодателя брать отдельное согласие у работника на трансграничную передачу персональных данных. Исходя из этого, Вы можете оформить одно согласие от работника, куда включить все случаи, когда работодатель может осуществлять передачу персональных данных работника третьим лицам, в том числе и трансграничную передачу персональных данных. Согласие на передачу и обработку персональных данных работника должно соответствовать требованиям статьи 9 Федерального закона № 152-ФЗ от 27.07.2006 "О персональных данных".


Выписки из нормативных актов:  

27 июля 2006 года N 152-ФЗ

РОССИЙСКАЯ ФЕДЕРАЦИЯ

ФЕДЕРАЛЬНЫЙ ЗАКОН
О ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных


1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни. 8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

Статья 12. Трансграничная передача персональных данных


1. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

2. Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных. Государство, не являющееся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности персональных данных.

3. Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.

4. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

1) наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;

2) предусмотренных международными договорами Российской Федерации;

3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;

4) исполнения договора, стороной которого является субъект персональных данных;

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных. 


Подробнее...