Заполните форму






CAPTCHA
Что делать Аудит
Аудиторская компания
Публикации, статьи, актуальные консультации

Об использовании персональных данных

16.09.2013
Специально для сайта www.4dk-audit.ru
К персональным данным на территории Российской Федерации в соответствии с п.1 ст.3 Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных» (далее- №152-ФЗ, Закон о персональных данных) относится любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Любые действия или совокупность действий, которые совершаются с персональными данными при помощи средств автоматизации, либо без использования таких средств, а именно: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление или уничтожение, - являются в соответствии с п.3 ст.3 Закона о персональных данных обработкой персональных данных.

Законом установлены принципы и условия обработки персональных данных. В частности обработка персональных данных должна ограничиваться достижением конкретных и заранее определенных законных целей. Обработка персональных данных, несовместимая с целями сбора персональных данных, не допускается. Таким образом, персональные данные, подлежащие обработке, их объем и содержание должны соответствовать целям такой обработки (ч.2,4,5 ст.5 Закона о персональных данных).

По общему правилу на персональные данные распространяется режим конфиденциальности. Это означает, что операторы и иные лица, получившие доступ к персональным данным обязаны не раскрывать их третьим лицам и не распространять без согласия субъекта персональных данных (ст.7 №152-ФЗ).

В ст.6 №152-ФЗ устанавливаются случаи, когда допускается обработка персональных данных лица. Приведем некоторые из них: 
  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении государственных и муниципальных услуг;
  • обработка персональных данных необходима для исполнения договора, стороной по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.
В случае если субъект персональных данных  предоставил доступ к таким персональным данным неограниченному кругу лиц, а в случае со специальными категориями персональных данных сделал их общедоступными, то такие персональные данные могут беспрепятственно обрабатываться оператором. Это подтверждается ст.9 №152 ФЗ, в которой установлено, что согласие на их обработку дается субъектом персональных данных (либо его представителем) свободно, по своей воле и в своем интересе. Причем такое согласие должно быть конкретным, информированным и сознательным.

Однако субъект персональных данных может отозвать свое согласие на их обработку. В тоже время, законодатель предусмотрел основания, когда наличие такого отзыва не может препятствовать осуществлению оператором дальнейшей обработки персональных данных субъекта. К ним относятся основания, указанные в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 №152-ФЗ. Однако обязанность представить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных выше, лежит на операторе (ч.1,2 ст.9 №152-ФЗ).

Для сведения
Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Охрана и защита персональных данных субъекта – является основной задачей оператора в рамках обеспечения безопасности персональных данных при осуществлении их обработки. В связи с этим и на основании ст.19 Закона о персональных данных оператор при их обработке обязан принимать все необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты от неправомерных действий в отношении персональных данных. К таким неправомерным действиям могут относиться: случайный доступ к ним, уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные, совершенные неправомерно действия.

Обработка персональных данных для осуществления правосудия

Законом о персональных данных установлено, что в случае, когда это необходимо для целей осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению, согласие лица на обработку его персональных данных не требуется.

Для наиболее полного понимания настоящего положения Закона о персональных данных, считаем, что необходимо определить значение понятия «правосудие», с точки зрения российского законодательства.

Конституция Российской Федерации устанавливает, что в Российской Федерации правосудие осуществляется судом посредством конституционного, гражданского, административного и уголовного судопроизводства (ч.1, 2 ст.118 Конституции). В Федеральном конституционном законе от 31.12.1996г. №1-ФКЗ «О судебной системе в Российской Федерации» (далее - №1-ФКЗ) предусмотрено, что правосудие в РФ осуществляется только теми судами, которые учреждены в соответствии с Конституцией РФ и данным ФКЗ, а именно - федеральные суды, конституционные (уставные) суды и мировые судьи субъектов РФ, составляющие судебную систему в РФ (ст.4 №1-ФКЗ).

Говоря о международных коммерческих арбитражных судах, которые образуются с целью разрешения споров, возникающих в сфере международной торговли, необходимо отметить, что, во-первых, они не входят в судебную систему того или иного государства, во-вторых, при осуществлении арбитража такие третейские суды действуют по своим специальным регламентам. Таким образом, международные коммерческие арбитражные суды находятся за рамками определения «правосудие» и не входят в судебную систему РФ. Поэтому представляется, что для компании не может возникнуть обязательства по предоставлению и раскрытию персональной информации работников (в том числе и бывших работников) без их согласия на основании требования международного арбитражного суда.

Кроме того, в случае представления персональных данных международным коммерческим арбитражным судам и истцу по делу, имеет место трансграничная передача персональных данных. Под ней следует понимать передачу персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. Россия подписала настоящую Конвенцию, однако, для нее она вступает в силу с 1 сентября 2013 года.

Несмотря на тот факт, что страна может являться стороной данной Конвенции и страной, которая обеспечивает адекватную защиту прав субъектов персональных данных, нельзя говорить о наличии полных гарантий нераспространения переданных за пределы территории РФ персональных данных. Это является дополнительным подтверждением того факта, что без согласия субъектов персональных данных их передача недопустима.
Поэтому прежде чем представлять соответствующие данные в иностранный третейский суд необходимо совершить следующие действия.

Во-первых, учитывая тот факт, что будет производиться передача персональных данных работников компании, в данном случае в равной степени будут применяться и нормы трудового законодательства. Поскольку ст. 86 Трудового кодекса Российской Федерации (далее - ТК РФ) установлено, что все персональные данные следует получать непосредственно у самого работника и только с его согласия, то принимая решение об их передаче, он дает свое согласие на их обработку. Однако согласие работника на обработку персональных данных при предоставлении им документов, предусмотренных ст.65 ТК РФ при заключении трудового договора, не требуется (паспорт, трудовая книжка, страховое свидетельство государственного пенсионного страхования, документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу, документ об образовании, о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям). Представляется, что при подписании трудового договора работник уже дает согласие на обработку этих данных, именно поэтому дополнительного согласия от него на обработку персональных данных, указанных в документах, предоставляемых при заключении трудового договора, не потребуется.

Тем не менее, организации в качестве локального нормативного акта разрабатывают Положение о персональных данных, с которым под роспись знакомят работников. Если в этом Положении работодатель указал в качестве одного из способов обработки персональных данных их трансграничную передачу, то в таком случае работодателю не потребуется дополнительного согласия работника на такой способ обработки персональных данных. Однако важно учитывать, что точный перечень персональных данных, который подлежит трансграничной передаче, будет необходимо согласовывать с работником.
Таким образом, первоначальным действием является проверка работодателем существующего у него и действующего Положения о персональных данных на наличие в нем предоставленной работодателю возможности осуществления трансграничной передачи данных и перечня таких данных. Если такой возможности в Положении не предусмотрено, то необходимо, либо внести изменения в Положение о персональных данных, либо каждый раз при необходимости отдельно согласовывать данный вопрос с работником.

Далее следует разработать письменную форму согласия работника на обработку его персональных данных. В этой форме должна содержаться следующая информация (ч.4 ст.9 Закона о персональных данных):
  1. фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  2. фамилия, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  3. наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  4. цель обработки персональных данных;
  5. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  6. наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  7. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  8. срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  9. подпись субъекта персональных данных.
В согласии, данном работником, также должен содержаться и пункт о том, что оператор (работодатель) может осуществлять трансграничную передачу персональных данных. Следует особо отметить, что  согласию в письменной форме на бумажном носителе, содержащем собственноручную подпись субъекта  персональных данных, равнозначным признается согласие в форме электронного документа, подписанного электронной подписью.

Кроме того, работодателю следует направить всем работникам, чьи персональные данные могут быть подвергнуты трансграничной передаче, сопроводительное письмо, в котором необходимо дать разъяснения о том, в связи с чем возникла необходимость их передачи, а также пояснить работникам, что на территории иностранного государства будет обеспечена соответствующая защита их персональных данных в пределах, установленных Конвенцией о защите физических лиц в отношении автоматизированной обработки данных личного характера от 28.01.1981г. Представляется, что работодателю также не лишним будет иметь распечатанный экземпляр Конвенции, на случай желания работника ознакомиться с ее текстом.

Немаловажным действием является и предупреждение международному коммерческому арбитражному суду  о действующих нормах российского права в отношении персональных данных. Представляется, что компании следовало бы в письменной форме разъяснить третейскому суду, ссылаясь на нормы права РФ, что представление персональных данных на территорию иностранного государства возможно только при наличии согласия субъектов персональных данных и заявить ходатайство о рассмотрении дела в отсутствие такой информации.

В случае нарушения Закона о персональных данных, виновные лица несут ответственность, предусмотренную законодательством Российской Федерации (ст.24 Закона о персональных данных). В ст.90 ТК РФ предусмотрена дисциплинарная (для работников) и материальная ответственность для сторон трудового договора, причинивших ущерб другой стороне, а также гражданско-правовая ответственность в виде возмещения убытков и компенсации морального вреда; административная ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) в виде наложения административного штрафа на должностных лиц в размере от пятисот до одной тысячи рублей, а на юридических лиц - от пяти тысяч до десяти тысяч рублей (ст.13.11 Кодекса об административных правонарушениях Российской Федерации); уголовная ответственность, установленная ст.137 Уголовного кодекса Российской Федерации – нарушение неприкосновенности частной жизни, ст.272 неправомерный доступ к компьютерной информации.
Материал, представленный в настоящей статье, предоставлен исключительно для информационных целей и может оказаться не применимым в конкретной ситуации, и не должен воприниматься как гарантия будущих результатов. За решением конкретных вопросов рекомендуем обращаться к специалистам нашей компании.
Обращаем внимание на необходимость учитывать изменения в законодательстве, произошедших после даты подготовки материала.

Все публикации