Порядок передачи персональных данных третьим лицам

Особенности передачи персональных данных работников

Порядок передачи персональных данных третьим лицам

Партнер юридической компании «Гареев, Махно и Касьян»

При передаче данных сотрудников в пределах компании или третьим лицам необходимо соблюдать требования Трудового кодекса и Закона о персональных данных, иначе компания может понести финансовые потери

Работодатель обязан «осуществлять передачу ПД работника в пределах организации, у одного ИП в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись» (абз. 5 ст. 88 ТК РФ).

Передача ПД работников в пределах одной организации – это перемещение данных между структурными подразделениями. Сюда не входят случаи передачи ПД в группе компаний, которая равнозначна передаче ПД третьим лицам.

Во внутреннем локальном акте у каждой компании и ИП должны быть описаны процедура передачи ПД работников, правила и цели их обработки, перечислены структурные подразделения компании, участвующие в обработке, и т.д. С этим актом работник должен быть ознакомлен во время подписания трудового договора.

Часто предприниматели не соблюдают правило о создании локальных актов о ПД. Также многие не знают о том, что документы, регулирующие правила обработки ПД, должны быть разработаны не только для работников, но и для других категорий субъектов ПД (соискателей, клиентов и т.д.).

Персональные данные: ответы на популярные вопросыКто и как может получить доступ к персональным данным, в каких случаях не нужно разрешение на их использование и передачу, могут ли не продать товар или не оказать услугу при отказе дать согласие на обработку данных, какие данные собирают владельцы сайтов и как отказаться от рекламной рассылки?

Работодатель обязан «разрешать доступ к ПД работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД работника, которые необходимы для выполнения конкретных функций» (абз. 6 ст. 88 ТК РФ).

Работодатель обязан «передавать ПД работника представителям работников в порядке, установленном настоящим кодексом […], и ограничивать эту информацию только теми ПД работника, которые необходимы для выполнения указанными представителями их функций» (абз. 8 ст. 88 ТК РФ).

В каждой организации и у ИП должны быть назначены сотрудники, которые имеют право работать с ПД коллег. Одного из них необходимо приказом руководителя назначить ответственным за обработку ПД.

В его обязанности должны входить создание локальных актов в сфере обработки ПД и контроль за соблюдением работниками правил, прописанных в этих актах.

Наличие такого сотрудника позволяет минимизировать риски компании и разгрузить отдел кадров и руководителя.

Остальные работники должны выполнять обязанности по непосредственной обработке ПД. Обычно это сотрудники бухгалтерии и отдела кадров. Их список необходимо установить приказом или внутренним локальным актом. Эти документы также должны содержать перечень ПД работников, которые могут обрабатываться каждым сотрудником.

Нередко компании не назначают ответственного за обработку ПД и не создают отдельных документов с перечнем лиц, наделенных правом на обработку данных сотрудников.

Ответственность за нарушение закона: штраф для ИП – от 1 тыс. до 5 тыс. руб., для юрлиц – от 30 тыс. до 50 тыс. руб. В случае повторного нарушения штраф для ИП – от 10 тыс. до 20 тыс. руб., для юрлиц – от 50 тыс. до 70 тыс. руб. (ч. 1, 2 ст. 5.27 КоАП РФ).

Также придется выплатить компенсацию морального вреда работнику, чьи права были нарушены.

Пример из личной практики

К нам обратилась компания, которую привлекли к административной ответственности в виде штрафа в размере 45 тыс. руб. по ч. 1 ст. 5.27 КоАП РФ.

Госинспекция труда при проверке обнаружила отсутствие локального акта, устанавливающего порядок внутренней передачи ПД работников.

Также было вынесено предписание об устранении выявленных нарушений, так как не был составлен перечень лиц, имеющих право на обработку ПД сотрудников.

Пример из судебной практики

ИП привлечен к административной ответственности по ч. 1 ст. 5.27 КоАП РФ в виде штрафа. Основание – отсутствие у ИП локального акта, регулирующего передачу ПД работников (Решение Игринского районного суда Удмуртской Республики по делу № 12-127/2018 от 19 октября 2018 г.).

Работодатель обязан «не сообщать ПД работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законом» (абз. 2 ст. 88 ТК РФ).

Работодатель должен получить от работника письменное согласие на передачу его ПД третьему лицу. В согласии нужно обязательно указать реквизиты компании (ИП), которой передаются ПД работника: наименование компании (Ф.И.О. ИП), ОГРН (ОГРНИП), ИНН, адрес места нахождения.

Если работник не дал своего согласия, передача его ПД третьему лицу невозможна. Но есть исключения: передача данных в ПФР, ФСС, налоговые органы, по мотивированному запросу органов прокуратуры и внутренних дел, по запросу суда и т.д.

Не нужно брать согласие работника и в случаях, связанных с исполнением им своих должностных обязанностей, в том числе при направлении работника в командировку1. Например, когда нужно купить авиабилеты, забронировать номер в гостинице и т.д. Другой пример – работодатель передает клиенту Ф.И.О.

и номер телефона работника-курьера, который должен доставить посылку.

Остальные случаи передачи ПД без согласия будут нарушением закона. Например, когда работодатель передает ПД работника в охранную организацию для оформления пропуска.

Что учесть при переводе бизнеса в Интернет?Решили продавать товары или услуги через сайт – подумайте о грамотной обработке персональных данных, чтобы не пришлось платить тысячи и миллионы за нарушение закона Работодатель обязан «не сообщать ПД работника в коммерческих целях без его письменного согласия» (абз. 3 ч. 1 ст. 88 ТК РФ).

Источник: https://www.advgazeta.ru/ag-expert/advices/osobennosti-peredachi-personalnykh-dannykh-rabotnikov/

Меры по защите персональных даных сотрудников — Audit-it.ru

Порядок передачи персональных данных третьим лицам

Юлия Бронских, начальник отдела безопасности «Джон Дир Русь»

Источник: Журнал “Директор по безопасности”

Что такое персональные данные?

За рубежом сложились два основных подхода к определению персональных данных: в некоторых государствах (Нидерланды, Швеция, Новая Зеландия и др.

) они отождествляются с любой информацией, имеющей отношение к конкретному лицу, в других – прослеживается детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.).

В Великобритании не допускается сбор данных о расовом происхождении, политических, религиозных и прочих взглядах работников, их физическом и умственном здоровье, сексуальной жизни, судимости.

В США многие штаты приняли законы, запрещающие предпринимателям проводить расследования прошлого нанимаемых работников. Согласно этим законам, прежде чем вступить в контакт с прежним работодателем, новый наниматель должен получить согласие на это кандидата на рабочее место.

У нас в соответствии с ТК РФ под персональными данными подразумевается информация, необходимая работодателю в связи с установлением трудовых отношений и касающаяся конкретного работника (ст. 85). При этом законодатель не устанавливает перечня таких сведений.

А это означает, что круг сведений и вид информации, которые составляют персональные данные работника, компаниям следует определять в локальном нормативном акте, но в пределах, установленных федеральным законодательством.

Другой документ, где дается характеристика персональным данным, – это ФЗ № 152 «О персональных данных».

В нем указывается, что персональные данные – это любая информация, относящаяся к определенному или определяемому на ее основе физическому лицу (субъекту персональных данных).

Она включает фамилию, имя, отчество, число, месяц, год и место рождения, а также адрес, сведения о семейном, социальном, имущественном положении, об образовании, профессии, доходах и иные.

Обязательное и добровольное предоставление данных

Предоставление данных может быть обязательным и добровольным. Обязательное предусмотрено федеральными законами (например, ФЗ от 01.04.

1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования») в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (перечень приведен в п. 2 ст. 9 ФЗ «О персональных данных»).

Без получения согласия субъекта может осуществляться обработка его персональных данных в целях исполнения договора, одной из сторон которого он является, либо в случае, если это необходимо для доставки почтовых отправлений и т. п. Полный перечень таких исключений приведен в п. 2 ст. 6 ФЗ № 152

Соблюдения конфиденциальности не требуется и в отношении общедоступных персональных данных.

Так, столичный мировой суд отказал советнику Президента РФ Сергею Дубику в претензиях к порталу «Гражданский контроль», обнародовавшему неправомерно, по мнению чиновника, его персональные данные.

Суд признал законной публикацию на сайте «Гражданский контроль» фамилии и должности советника Путина, и судья постановила, что использование в публикациях информации об именах и должностях госслужащих не является нарушением закона.

Является ли ваша компания оператором?

Если организация, например, передает данные работника в банк для выпуска «зарплатной» карты, то она является оператором. Если у фирмы есть клиенты – физические лица, то ее также следует считать оператором. Если предприятие осуществляет передачу персональных данных в другие организации, любым лицам, то и оно – оператор.

Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс.

Уведомления должны быть посланы в письменной форме и подписаны уполномоченным лицом или отправлены в электронном виде и подписаны электронной цифровой подписью Операторам необходимо зарегистрироваться в Реестре операторов персональных данных на сайте Роскомнадзора: http://www.rsoc.

ru/p582/p585/ и указать цель обработки персональных данных.

Это может быть, например, кадровый учет сотрудников по трудовому договору; исполнение трудового договора; подбор кадров; поддержка иностранных сотрудников; продвижение товаров на рынке; продажа рекламных мест; возврат утерянных паспортов; учет обращений в медицинский кабинет; организация пропускного режима; автоматизация обмена почтовыми сообщениями.

Что касается оснований, при которых работодатель вправе обрабатывать персональные данные без уведомления Роскомнадзора, то они перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В частности, это можно делать, если персональные данные работника используются в соответствии с трудовым законодательством.

Обрабатывать такие данные разрешается исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, оказания содействия работникам в трудоустройстве, обучении и продвижении по службе, создания условий для личной безопасности персонала и сохранности имущества организации, контроля качества выполняемой работы (ст. 86 ТК РФ).

Итак, направлять уведомления об обработке персональных данных в Роскомнадзор нет необходимости в том случае, когда персональные данные работников обрабатываются согласно трудовому законодательству.

При этом, если работодатель планирует в рамках совместного с банком «зарплатного» проекта выплачивать зарплату работнику через банковскую карту или оформить ему договор добровольного медицинского страхования, то такие отношения выходят за рамки трудового законодательства.

В такой ситуации необходимо отослать в Роскомнадзор уведомление установленного образца.

Защита персональных данных

Любое юридическое лицо в силу требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обязано принимать меры по защите персональных данных, при этом перечень таких мер оно вправе определять самостоятельно.

Мероприятия по защите персональных данных можно разделить на две большие подгруппы: по внутренней и внешней защите персональных данных.

К мерам по внутренней защите персональных данных относятся следующие действия:

• ограничение числа работников (с регламентацией их должностей), которым открыт доступ к персональным данным. Кого может включать этот перечень? Абсолютно всех, кто имеет доступ к личным делам, т. е.

сотрудников отделов кадров или ответственных за кадровое делопроизвод-
ство, работников бухгалтерии, секретарей-делопроизводителей, специалистов, которые заключают договоры с физическими лицами, а также инженеров, программистов, юристов;

• назначение ответственного лица, обеспечивающего исполнение организацией законодательства в рассматриваемой сфере;

• утверждение перечня документов, содержащих персональные данные;

• издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением;

• ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами; проведение систематических проверок соответствующих знаний работников, обрабатывающих персональные данные, и соблюдения ими требований нормативных документов по защите конфиденциальных сведений. Следует иметь в виду, что все сотрудники, которые имеют доступ к персональным данным других людей, должны быть ознакомлены с особенностями законодательства в области защиты персональных данных;

• рациональное размещение рабочих мест для исключения несанкционированного использования защищаемой информации;

• утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;

• утверждение порядка уничтожения информации;

• выявление и устранение нарушений требований по защите персональных данных;

• проведение профилактической работы с сотрудниками по предупреждению разглашения ими персональных данных.

Среди мер по внешней защите персональных данных следует выделить такие:

• введение пропускного режима, порядка приема и учета посетителей;

• внедрение технических средств охраны, программных средств защиты информации на электронных носителях и др.

Несмотря на то что законом не установлены конкретные требования к количеству и содержанию локальных актов, принимаемых в организации по вопросам обработки и защиты персональных данных, практика реализации данного нормативного акта сформировала необходимый минимум документов, которые должны быть разработаны в компании:

• общий документ, определяющий политику фирмы в отношении обработки персональных данных, например положение о персональных данных;

•  список лиц, обрабатывающих персональные данные;

• приказ о назначении сотрудника, ответственного за организацию обработки персональных данных.

Указанное лицо должно осуществлять внутренний контроль за соблюдением компанией и ее работниками законодательства о персональных данных, в том числе требований к их защите, доводить до сведения персонала положения законодательства о персональных данных, локальных актов по вопросам их обработки, а также требования к защите таких данных, организовывать прием и обработку обращений и запросов субъектов персональных данных и (или) контролировать прием и обработку таких обращений и запросов;

• положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

В данном положении рекомендуется прописать конкретные меры по защите персональных данных (введение пропускного режима, применение программных средств защиты информации – паролей, антивирусных программ, хранение персональных данных обособленно от других сведений, на отдельных материальных носителях и в специально оборудованных помещениях с ограниченным доступом и т. д.);

•  локальный акт, устанавливающий процедуры,направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений.

Так, в компании могут быть разработаны план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, вестись журнал антивирусных проверок и контроля работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных.

Иные организационные и технические меры, направленные на защиту персональных данных

Следует позаботиться также об организационных и технических мерах, предназначенных для защиты персональных данных. Вот как может выглядеть их список:

• утверждение требований к помещению, где хранятся персональные данные.

Следует иметь в виду, что законодательством они не установлены.

Однако если исходить из имеющихся аналогичных законов, учитывать положения Трудового кодекса РФ, то во избежание несанкционированного доступа к персональным данным на бумажных носителях необходимо оборудовать помещение, где они хранятся, запирающимися шкафами.

В локальном нормативном акте следует установить требования к помещению, где хранятся персональные данные, а также издать приказ об определении помещений, где обрабатываются персональные данные, и утвердить перечень лиц, имеющих допуск туда;

• обеспечение программной защиты информационной системы организации.

При использовании электронных систем обработки персональных данных необходимо учитывать требования по обеспечению безопасности таких данных, установленные в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.

В том числе следует ограничить доступ к определенным сведениям в информационных системах (например, установить пароли и т. д.).

Целесообразно также ограничить доступ к электронным базам данных, содержащим персональные данные акционеров, двухуровневой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли должны устанавливаться администратором баз данных и администратором сети соответственно и сообщаться индивидуально сотрудникам, имеющим доступ к персональным данным, при этом их следует как можно чаще (например, ежемесячно) менять;

• ведение журнала учета работы с персональными данными. В целях соблюдения конфиденциального режима работы с персональными данными целесообразно вести журнал учета выдачи персональных данных другим лицам, организациям и государственным органам.

В нем следует регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дате передачи персональных данных или факте уведомления об отказе в их предоставлении, а также отмечать, какая именно информация была передана.

Передача персональных данных третьим лицам

Поводов для передачи персональных данных третьим лицам может быть масса – заключение договоров дополнительного медицинского страхования, получение «зарплатных» банковских карт и т. д.

Если организация большая – несколько тысяч работников, то получение с каждого из них согласия на обработку персональных данных может занять много времени. Да и сами работники от этого будут не в восторге.

Таким образом, возникает вопрос: можно ли заранее решить эту проблему, включив данный пункт в трудовой договор?

По своему опыту скажу, что собирать со всех согласие на передачу данных в любом случае придется. В трудовой договор, конечно, можно включить соответствующий пункт, но все равно необходимо будет выполнить требование о получении согласия работника. Причем проще будет оформить это согласие отдельно.

Сделайте коллективный договор с работниками и перечислите там всех тех третьих лиц, которым будут передаваться персональные данные, указав их наименование, адрес, цель передачи им данных, включив перечень их возможных действий с персональными данными и обозначив срок, в течение которого они будут обрабатывать эти данные. Все работники распишутся – и дело будет закрыто.

Какие контрольные органы вправе затребовать персональные данные

Суды и другие правоохранительные органы могут беспрепятственно получать от компаний персональные данные сотрудников, клиентов или контрагентов без согласия последних. Но ответ на вопрос о том, имеют ли аналогичные права другие контролирующие структуры и какие именно, приходится искать не только в законах, но и в судебной практике.

Источник: https://www.audit-it.ru/articles/personnel/a112/766303.html

Что такое согласие на передачу персональных данных третьим лицам?

Порядок передачи персональных данных третьим лицам

При взаимодействии с разными организациями граждане подписывают согласие на обработку своих персональных данных. Одним из пунктов такого документа является согласие на передачу своих персональных данных оператором третьим лицам (третьей стороне).

Зачем передавать персональные данные третьим лицам?

Третьими лицами могут быть организации или сотрудники оператора обработки персональных данных, которые участвуют в правоотношениях гражданина (субъекта данных) и оказывающей услуги организации.

Третьи лица могут выполнять непосредственные обязанности по договору (например, по трудовому договору), а также оказывать дополнительные услуги, сопутствующие или дополнительно возникающие при реализации условий договора.

Многие организации гордятся своими дополнительными трудовыми условиями под названием “социальный пакет”.

В социальный пакет может входить дополнительное медицинское обслуживание, спортивный отдых, обеспечение досуга сотрудников и многое другое, что является дополнительным и может обеспечиваться сторонними организациями, которым потребуются персональные данные сотрудников. Организация, в которой сотрудники работают, может передать их персональные данные на основании разрешения о передаче этих данных третьим лицам.

Передача данных третьим лицам в трудовых отношениях может быть осуществлена при использовании работодателем услуг кадрового или бухгалтерского аутсорсинга, проведении исследований эффективности менеджмента сторонними специалистами и другое.

Третьим лицам не нужно получать разрешение на обработку персональных данных у сотрудника организации, передавшей его данные в связи с какой-нибудь целью.

Особенности оформления согласия на передачу персональных данных третьим лицам

О чем не нужно волноваться?

Иногда субъект персональных данных опасается того, что выдавая разрешение на передачу персональных данных третьим лицам организация сразу начнёт их распространять, вплоть до продажи разным организациям – это ошибочное мнение.

В Федеральном законе “О персональных данных” закреплён принцип целевой обработки данных – это означает, что при получении согласия на обработку персональных данных оператором должны быть обозначены цели, в соответствии с которыми возможна обработка.

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.статья 5 Федерального закона от 27.07.2006 №152-ФЗ.

Оператор обработки персональных данных не может передавать персональные данные граждан любым третьим лицам по любому запросу, а может осуществлять только передачу данных для целевых обработок, обозначенных при заключении договора и получении согласия субъекта на обработку персональных данных.

Условия передачи персональных данных третьим лицам должны быть указаны конкретно и полно в тексте письменного согласия. В таком согласии должно быть указано каким организациям и в каких целях будет передаваться персональная информация. Любая передача данных, являющаяся дополнительной для осуществления правоотношений (трудовых, гражданских), должна быть сформулирована в тексте согласия.

Если в тексте согласия указано просто “передача данных третьим лицам”, то это неполная формулировка условий обработки данных, которая может подразумевать передачу персональных данных только для выполнения существенных условий договора (трудового или гражданского).

Существенными условиями являются такие условия, без которых невозможна реализация правоотношений по заключённому договору.

Для получения организацией данных о сотруднике или клиенте другой организации (проверка данных) или передаче персональных данных по запросу другим организациям нужно письменное согласие этого сотрудника или клиента, позволяющее установить факт информированности субъекта о целях и объеме передачи его персональных данных.

Дополнительные материалы по теме этой статьи:

  • Можно ли уволить работника за отзыв согласия на обработку персональных данных?
  • Что нужно знать об управлении согласием на обработку персональных данных?

5 марта 2020 года (редакция текста 28 июня 2020 года).

юрист Демешин Сергей Владимирович.

Участвуйте в обсуждении, пройдите опрос об интересных темах будущих публикаций (ссылка опроса в описании канала, также в описании указаны правила комментирования публикаций).

Источник: https://zen.yandex.ru/media/info_law_society/chto-takoe-soglasie-na-peredachu-personalnyh-dannyh-tretim-licam-5e60e78397b4e60aa6191588

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.