Новое в законодательстве о персональных данных (С. Шнайдер, "Кадровик.ру", N 1, январь 2012 г.)

Новое в законодательстве о персональных данных

Персональные данные - относительно новое понятие в Российской Федерации. Еще несколько лет назад граждане России и не подозревали, что день рождения или имя супруга - это личная информация и разглашаться она может только с согласия того лица, к которому имеет отношение. В 2006 г. новые понятия и принципы защиты персональных данных были закреплены законодательством. После этого в течение пяти лет операторы персональных данных (юридические и физические лица, которые оперировали персональными данными других граждан) разрабатывали и вводили в действие способы их защиты и системы хранения.

С 25.07.2011 начали действовать изменения в Федеральном законе от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ). Обновления коснулись способов работы с такого рода информацией, а все основные понятия были сформулированы заново.

Определение персональных данных содержится в ст. 3 Закона N 152-ФЗ, и с июля 2011 г. к ним относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Если ранее это были сведения, относящиеся к физическому лицу только прямо, то теперь даже косвенное упоминание гражданина либо какой-то информации о нем является обработкой персональных данных, в частности - их разглашением. Вот примерный перечень персональных данных, с которыми приходится иметь дело работодателю:

- все биографические сведения о работнике;

- образование, копии документов об образовании;

- специальность;

- занимаемая должность;

- наличие судимости;

- адрес места жительства;

- домашний телефон;

- состав семьи;

- место работы или учебы членов семьи и родственников;

- характер взаимоотношений в семье;

- размер заработной платы;

- содержание трудового договора;

- состав декларируемых сведений о наличии материальных ценностей;

- содержание декларации, подаваемой в налоговую инспекцию;

- подлинники и копии приказов по личному составу;

- личные дела, личные карточки (форма N Т-2) и трудовые книжки работников;

- основания к приказам по личному составу;

- дела, содержащие материалы по повышению квалификации и переподготовке работников, их аттестации, служебным расследованиям;

- копии отчетов, направляемые в органы статистики;

- анкета;

- результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;

- фотографии (в соответствии со ст. 152.1 Гражданского кодекса Российской Федерации их обнародование и дальнейшее использование допускаются только с согласия работника) и др.

Перечень документов, содержащих персональные данные, законодательно не закреплен. Его можно составить на основании практики применения. К подобным документам могут быть отнесены:

- комплексы документов, необходимые для оформления трудовых отношений при приеме на работу, переводе, увольнении;

- комплекс материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;

- подлинники и копии приказов (распоряжений) по кадрам;

- личные дела и трудовые книжки;

- дела, содержащие основания к приказу по личному составу;

- дела, содержащие материалы аттестации работников;

- дела, содержащие материалы внутренних расследований;

- справочно-информационный банк данных по персоналу (картотеки, журналы);

- подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству работодателя, руководителям структурных подразделений;

- копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.

Законодатель закрепил новое понятие - обработка персональных данных с помощью средств вычислительной техники (ст. 3 Закона N 152-ФЗ). Прежде обработка персональных данных в компьютерной (информационной) системе не приравнивалась к обработке сведений с помощью средств автоматизации (п. 2 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 N 687). В настоящее время вся обработка персональных данных с использованием вычислительной техники считается автоматизированной, и к ней применяются требования Постановления Правительства РФ от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных". Соответственно, каждый оператор персональных данных обязан привести в соответствие с этими требованиями систему защиты персональных данных, хранящихся и обрабатываемых в электронных информационных системах.

В ст. 3 Закона N 152-ФЗ содержатся такие понятия, как распространение персональных данных, блокирование персональных данных, информационная система персональных данных. Все они также были расширены. Исключено понятие "общедоступные персональные данные" - в настоящее время общедоступных данных не существует, а вся информация, относящаяся к конкретному физическому лицу, защищается на государственном уровне. Поэтому даже несколько случайных слов, сказанных о знакомом или незнакомом человеке, можно классифицировать как обработку персональных данных. А если этот человек был против такой обработки, то она автоматически становится незаконной.

В ст. 6 Закона N 152-ФЗ определены новые условия обработки персональных данных в случае, если оператор (например, работодатель) поручает такие обязанности другому лицу. Лицо, которое по поручению оператора персональных данных осуществляет их обработку (например, ООО "Ромашка"), не обязано запрашивать согласие субъекта персональных данных, т.е. работника. Кроме того, ответственность перед субъектом персональных данных (работником) за действия указанного лица несет оператор (работодатель). Впоследствии при предъявлении претензий от проверяющих органов за незаконную обработку персональных данных субъекта отвечать будет в первую очередь сам оператор. А лицо, занимающееся обработкой (ООО "Ромашка"), будет нести ответственность перед оператором только потом. Исходя из общей практики, если условие о такой ответственности не будет включено в договор между оператором (работодателем) и лицом, непосредственно обрабатывающим персональные данные (ООО "Ромашка", то привлечь последнее к ответственности ООО "Ромашка" и его вину работодатель будет доказывать только в судебном порядке. Поэтому, если работодатель собирается поручить обработку персональных данных сторонней компании (аутсорсинг бухгалтерского учета и т.п.), в договоре с ней необходимо предусмотреть все условия, при которых ответственность, например штрафные санкции проверяющих органов, за незаконную, неправильную обработку персональных данных будет компенсироваться этой компанией.

В соответствии с новой редакцией ст. 9 Закона N 152-ФЗ субъект персональных данных или его представитель может дать согласие на обработку персональных данных в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Фактически достаточно согласия в устной форме, но на практике доказать его наличие будет достаточно проблематично. Поэтому для защиты интересов оператора целесообразнее получить согласие субъекта в письменном виде. Кроме того, доказывать наличие такого согласия обязан именно оператор, т.е. работодатель. Как правило, форму согласия и перечень действий с персональными данными разрабатывает оператор, а не субъект. При этом необходимо максимально точно и широко предусмотреть все действия, которые оператор будет совершать с персональными данными. На любое иное действие придется получать у субъекта новое согласие. Чтобы ничего не упустить, следует провести анализ всех процедур, существующих у оператора. Если оператором является работодатель, то первым согласием на обработку персональных данных будет согласие соискателя на вакантную позицию. Существует ряд обязательных процедур, которые необходимо соблюсти до приема на работу. Например, в соответствии со ст. 32.11 Кодекса Российской Федерации об административных правонарушениях при заключении договора (контракта) с некоторыми лицами уполномоченный заключить договор (контракт) обязан запросить информацию о наличии дисквалификации физического лица в органе, ведущем реестр таких лиц. Запрашивать подобную информацию работодатель обязан при приеме на работу граждан, выполняющих организационно-распорядительные или административно-хозяйственные функции в органе юридического лица, члена совета директоров (наблюдательного совета), осуществляющих предпринимательскую деятельность без образования юридического лица, а также занимающихся частной практикой.

Таким образом, потенциальному работодателю необходимо направить в соответствующий орган письменный запрос, в котором следует указать персональные данные соискателя. Это могут быть фамилия, имя, отчество, число, месяц и год рождения, место рождения соискателя (п. 16 Приложения N 2 к Приказу МВД России от 22.11.2006 N 957). Соответственно, если работодатель обратится с таким запросом без получения согласия соискателя, то впоследствии он может быть привлечен к ответственности за незаконную обработку персональных данных. В то же время работодатель не имеет права не проверить кандидата - данная обязанность установлена Кодексом Российской Федерации об административных правонарушениях. В этом случае придется либо получить согласие потенциального работника, либо отказать ему в приеме.

Следующим этапом является ознакомление сотрудника с локальным актом, направленным на защиту персональных данных. Согласно ч. 3 ст. 68 Трудового кодекса Российской Федерации, до заключения трудового договора работодатель обязан под роспись ознакомить работника с локальными актами организации. Форму и содержание локального акта работодатель разрабатывает самостоятельно с учетом мнения представительного органа работников. При утверждении локального акта необходимо предусмотреть всех лиц, которые будут иметь доступ к персональным данным, и составить перечень таких данных, указав способы и сроки их обработки и хранения (ст. 18.1 Закон N 152-ФЗ).

Внутри организации к разряду потребителей персональных данных относятся работники функциональных структурных подразделений, которым эти сведения необходимы для выполнения должностных обязанностей. В табл. 1-9 приведены примерные перечни персональных данных, необходимые различным подразделениям. Каждый работодатель выбирает именно те персональные данные, которые чаще всего использует в процессе деятельности, и закрепляет их в локальном нормативном акте.

Таблица 1

Персональные данные, необходимые департаменту по работе с персоналом

Вид персональных данных	Цель сбора и обработки	Способ обработки и хранения	Период обработки и хранения
Ф.И.О., дата рождения	Передача третьим лицам для оформления полиса добровольного медицинского страхования	Автоматизированная обработка; на бумажном носителе	Период работы сотрудника у работодателя и установленный работодателем либо законодательством срок хранения документов, на которых зафиксирована информация
Ф.И.О.; серия, номер, дата выдачи паспорта, сведения о выдавшем органе; дата рождения; место прописки; должность	Предоставление в медицинские учреждения при прохождении работниками медицинских осмотров	На бумажном носителе	Период работы сотрудника у работодателя и установленный работодателем либо законодательством срок хранения документов, на которых зафиксирована информация
Информация о детях	Поздравление с праздниками, подарки к праздникам	Автоматизированная обработка; на бумажном носителе; публично	Период работы сотрудника у работодателя
Ф.И.О., дата рождения, паспортные данные	Передача третьим лицам при направлении работников на обучение	Автоматизированная обработка; на бумажном носителе	Период работы сотрудника у работодателя и установленный работодателем либо законодательством срок хранения документов, на которых зафиксирована информация

Таблица 2

Персональные данные, необходимые центральной бухгалтерии

Вид персональных данных	Цель сбора и обработки	Способ обработки и хранения	Период обработки и хранения
Ф.И.О.; серия, номер, дата выдачи паспорта, сведения о выдавшем органе; дата рождения; место прописки; должность; дата приема на работу	Предоставление в банк для оформления банковских карточек	На бумажном носителе	Период работы сотрудника у работодателя

Таблица 3

Персональные данные, необходимые руководителю структурного подразделения*

Вид персональных данных	Цель сбора и обработки	Способ обработки и хранения	Период обработки и хранения
Ф.И.О.; должность; серия, номер, дата выдачи паспорта, сведения о выдавшем органе	Передача клиентам и партнерам работодателя для представления его интересов	Автоматизированная обработка; на бумажном носителе	Период работы сотрудника у работодателя, а также срок хранения документов в структурном подразделении
Все персональные данные работников	Для установления мотивационных и компенсационных выплат; для решений, касающихся карьерного роста; для возможности связаться с работником в случае его отсутствия по невыясненным причинам	Автоматизированная обработка; на бумажном носителе	Период работы сотрудника у работодателя, а также срок хранения документов в структурном подразделении
* Имеется в виду как структурное подразделение, в котором сотрудник работает, так и подразделение, в которое он может быть переведен.

Таблица 4

Персональные данные, необходимые управлению материально-технического обеспечения

Вид персональных данных	Цель сбора и обработки	Способ обработки и хранения	Период обработки и хранения
Ф.И.О., должность, структурное подразделение	Прием, передача товарно-материальных ценностей, необходимых для выполнения должностных обязанностей (компьютеры, телефоны и т.д.)	Автоматизированная обработка; на бумажном носителе	Период работы сотрудника у работодателя

Таблица 5

Персональные данные, необходимые департаменту по обеспечению безопасности

Вид персональных данных	Цель сбора и обработки	Способ обработки и хранения	Период обработки и хранения
Все персональные данные	Для проверки подлинности информации, предоставленной работником	Автоматизированная обработка; на бумажном носителе	Период работы сотрудника у работодателя и дальнейшего возможного взаимодействия

Таблица 6

Персональные данные, необходимые всем работникам

Вид персональных данных	Цель сбора и обработки	Способ обработки и хранения	Период обработки и хранения
Ф.И.О.	Публичное обращение к работнику		Период работы сотрудника у работодателя и дальнейшего возможного взаимодействия
Ф.И.О.	Внутренний справочник работников организации	В электронном виде на внутреннем информационном ресурсе работодателя; на бумажном носителе	Период работы сотрудника у работодателя
Ф.И.О.	Табличка на двери кабинета работника	На пластиковом (алюминиевом или ином) носителе	Период работы сотрудника у работодателя
Ф.И.О.; дата рождения	Поздравление с днем рождения	Посредством электронной почты; публично; на бумажном носителе	Период работы сотрудника у работодателя
Ф.И.О.; причины премирования, награждения	Премирование, награждение	Публичное оглашение	Период работы сотрудника у работодателя
Ф.И.О.; заслуги перед работодателем	Поощрение (заслуги перед работодателем)	Доска почета	Период работы сотрудника у работодателя
Ф.И.О.	Ознакомление с локальными нормативными актами работодателя	На бумажном носителе	Период работы сотрудника у работодателя и срок хранения документа, в котором содержатся персональные данные работника

Таблица 7

Персональные данные, необходимые секретарю

Вид персональных данных	Цель сбора и обработки	Способ обработки и хранения	Период обработки и хранения
Ф.И.О.; серия, номер, дата выдачи паспорта, сведения о выдавшем органе	Заказ и бронирование билетов на самолет, поезд и т.д.	Автоматизированная обработка; на бумажном носителе	Период работы сотрудника у работодателя
Ф.И.О.; серия, номер, дата выдачи паспорта, сведения о выдавшем органе	Бронирование гостиницы	Автоматизированная обработка; на бумажном носителе	Период работы сотрудника у работодателя
Ф.И.О., должность	Передача третьим лицам и оформление приглашений либо пропусков при проведении корпоративных мероприятий	Автоматизированная обработка; на бумажном носителе	Период работы сотрудника у работодателя
Ф.И.О.; серия, номер, дата выдачи паспорта, сведения о выдавшем органе; дата рождения; должность	Оформление абонемента в фитнес-клуб	Автоматизированная обработка; на бумажном носителе	Период работы сотрудника у работодателя
Ф.И.О.; серия, номер, дата выдачи паспорта, сведения о выдавшем органе; дата рождения; место прописки; должность; оплата труда	Оформление визы для выезда заграницу	Автоматизированная обработка; на бумажном носителе	Период работы сотрудника у работодателя
Персональные данные, содержащиеся в документах, поступающих на подпись генеральному директору	Упорядочивание документооборота	Автоматизированная обработка; на бумажном носителе	Период работы сотрудника у работодателя
Ф.И.О.	Оформление визиток	Автоматизированная обработка; на бумажном носителе	Период работы сотрудника у работодателя

Таблица 8

Персональные данные, необходимые подразделению информационных технологий

Вид персональных данных	Цель сбора и обработки	Способ обработки и хранения	Период обработки и хранения
Все персональные данные, хранящиеся в информационных базах данных	Создание информационных баз данных и поддержание их в рабочем состоянии	Автоматизированная обработка	Период работы сотрудника у работодателя и срок хранения информации в информационных базах
Ф.И.О., должность, опыт работы	Размещение в общедоступных источниках информации (пресса, интернет-сайты)	Автоматизированная обработка	Период работы сотрудника у работодателя

Таблица 9

Персональные данные, необходимые юридическому подразделению

Вид персональных данных	Цель сбора и обработки	Способ обработки и хранения	Период обработки и хранения
Ф.И.О.; серия, номер, дата выдачи паспорта, сведения о выдавшем органе; дата рождения; место прописки; должность	Оформление доверенности	Автоматизированная обработка; на бумажном носителе	Период работы сотрудника у работодателя

В локальном акте также необходимо указать все способы и средства защиты персональных данных, в том числе обрабатываемых с помощью средств автоматизации. Федеральная служба безопасности РФ и Федеральная служба по техническому и экспортному контролю вправе проверить, являются ли эти способы и средства достаточными (данное условие содержится в п. 18 Постановления Правительства РФ от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных").

Также рекомендуется указать в локальном акте, каким образом работники могут получить доступ к своим персональным данным, как реализуется их право, установленное частью 7 ст. 14 Закона N 152-ФЗ, на получение информации, касающейся обработки их персональных данных и каким образом работник в соответствии с ч. 2 ст. 9 Закона N 152-ФЗ может отозвать свое согласие.

Статьей 18.1 Закона N 152-ФЗ предусмотрена обязанность оператора персональных данных назначить ответственного за организацию обработки данной информации. Таким образом, если оператором персональных данных является юридическое лицо, то у него должен быть ответственный работник, основной или одной из основных функций которого является реализация мер, направленных на защиту персональных данных. Исходя из положений Закона N 152-ФЗ, такой сотрудник как минимум должен владеть навыками работы с кадровой и бухгалтерской документацией, а также разбираться в IT-технологиях. Он обязан постоянно контролировать обеспечение безопасности персональных данных, предусмотренный в ч. 2 ст. 19 Закона N 152-ФЗ, - например, выявлять факты несанкционированного доступа к такой информации и принимать соответствующие меры.

Введены и новые требования к уведомлению оператора уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществить их обработку. Так, в ст. 22 Закона N 152-ФЗ появились новые условия, о которых необходимо сообщать в уполномоченный орган: описание мер по обеспечению безопасности персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их телефонов, почтовые адреса и адреса электронной почты; сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки и др.

Можно сделать вывод, что практически всем операторам необходимо обратить на защиту персональных данных особое внимание, решить, каким сотрудникам поручить такие обязанности, и заложить в бюджет 2012 г. дополнительную статью на соответствующие расходы.

С. Шнайдер,

Москва

"Кадровик.ру", N 1, январь 2012 г.