Путеводитель по кадровому делу: Коммерческая тайна, персональные данные. Требования при обработке персональных данных (подготовлен экспертами компании "Гарант")

Путеводитель по кадровому делу:
Коммерческая тайна, персональные данные. Требования при обработке персональных данных

Оглавление Путеводителя по кадровому делу

Нормативное регулирование

1. Конституция РФ:

- Статья 23

- Статья 24

2. Трудовой кодекс РФ:

- Статья 85 ТК РФ Понятие персональных данных работника. Обработка персональных данных работника

- Статья 86 ТК РФ. Общие требования при обработке персональных данных работника и гарантии их защиты

3. Федеральный закон "О персональных данных":

- Статья 5. Принципы обработки персональных данных

- Статья 6. Условия обработки персональных данных

- Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом

- Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

- Статья 22. Уведомление об обработке персональных данных

- Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях

4. Статья 42 Федерального закона "О государственной гражданской службе Российской Федерации". Персональные данные гражданского служащего и ведение личного дела гражданского служащего

5. Требования к защите персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 1 ноября 2012 г. N 1119)

6. Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687)

7. Приказ Министерства связи и массовых коммуникаций РФ от 14 ноября 2011 г. N 312 "Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных"

Формы документов

1. Примерная форма правил обработки персональных данных в информационных системах персональных данных (подготовлено экспертами компании "Гарант")

2. Примерная форма политики обработки персональных данных и реализуемых требований к защите персональных данных (подготовлено экспертами компании "Гарант")

3. Примерная форма перечня персональных данных, обрабатываемых оператором в процессе осуществления своей деятельности в связи с реализацией трудовых отношений (подготовлено экспертами компании "Гарант")

4. Примерная форма инструкции по проведению мониторинга информационной безопасности и антивирусного контроля при обработке персональных данных (подготовлено экспертами компании "Гарант")

5. Примерная форма положения о защите, хранении, обработке и передаче персональных данных работников (подготовлено экспертами компании "Гарант")

6. Примерная форма уведомления об обработке персональных данных (подготовлено экспертами компании "Гарант")

7. Примерная форма заявления о согласии работника на обработку персональных данных (подготовлено экспертами компании "Гарант")

8. Образец приказа о назначении ответственного за организацию обработки персональных данных ("Бухгалтерия и банки")

9. Приказ об утверждении должностей, уполномоченных на обработку персональных данных ("Кадровик. Кадровое делопроизводство")

Разъяснения

Письмо Федеральной нотариальной палаты от 23 декабря 2011 г. N 2515/07-17 (о применении положений Федерального закона "О персональных данных")

Комментарии

1. Комментарий к Федеральному закону от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (книга Кухаренко Т.А., Захаровой Н.А.)

2. Проверки работодателя (книга Михайлова Ю.М.)

3. Кадровое делопроизводство: как избежать ошибок (книга Васильева М.В.)

4. Комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" (книга Амелина Р.В., Богатыревой Н.В., Волкова Ю.В., Марченко Ю.А., Федосина А.С.)

5. Какие персональные данные можно обрабатывать? (журнал "Руководитель бюджетной организации", N 3, март 2016 г.)

6. Обрабатываем персональные данные работников (журнал "Оплата труда в государственном (муниципальном) учреждении: бухгалтерский учет и налогообложение", N 9, сентябрь 2015 г.)

7. Обработка и хранение персональных данных (журнал "Делопроизводство", N 3, июль-сентябрь 2015 г.)

8. Персональные данные работника (журнал "Учреждения физической культуры и спорта: бухгалтерский учет и налогообложение", N 6, июнь 2015 г.)

9. Поговорим о защите персональных данных работников ("Пищевая промышленность: бухгалтерский учет и налогообложение", N 3, март 2015 г.)

10. Персональные данные работников ("Учреждения культуры и искусства: бухгалтерский учет и налогообложение", N 9, сентябрь 2014 г.)

11. Обработка персональных данных работников ("Учреждения физической культуры и спорта: бухгалтерский учет и налогообложение", N 5, май 2013 г.)

12. Защита персональных данных работников ("Юрисконсульт в строительстве", N 2, февраль 2013 г.)

13. Персональные данные: необходимые документы ("Практический бухгалтерский учет", N 3, март 2012 г.)

14. Как организовать работу с персональными данными в кадровых подразделениях ("Кадровая служба и управление персоналом предприятия", N 3, март 2012 г.)

15. Проверка охраны персональных данных ("Отдел кадров коммерческой организации", N 2, февраль 2012 г.)

16. Обработка, порядок хранения и передвижения персональных данных ("Кадровик. Кадровое делопроизводство", N 1, январь 2012 г.)

Решения практических ситуаций

Ситуация 1: Бизнес-центр предполагает введение пропускного режима и выдачу персональных магнитных карт-пропусков для арендаторов и их сотрудников. При оформлении пропусков будут обрабатываться Ф.И.О. и паспортные данные. Необходимо ли в данном случае подавать уведомление в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций о начале обработки персональных данных? Можно ли обязать арендаторов при предоставлении собственнику здания персональных данных своих сотрудников гарантировать предварительное получение согласия от своих сотрудников? (служба Правового консалтинга ГАРАНТ, март 2016 г.)

Ситуация 2: АО не отправляет уведомление в Роскомнадзор, не размещает политику в отношении обработки данных на сайте общества, так как завод осуществляет обработку персональных данных своих сотрудников только в связи с их трудовой деятельностью. Ежеквартально отправляет индивидуальные сведения своих сотрудников в Пенсионный фонд. Необходимо ли уведомлять Роскомнадзор? Какая ответственность предусмотрена за невыполнение данного требования? (служба Правового консалтинга ГАРАНТ, июнь 2015 г.)

Ситуация 3: Обязана ли организация снимать копии с документов для личного дела для их дальнейшего хранения (паспорт, СНИЛС, ИНН) при приеме сотрудника на работу? (служба Правового консалтинга ГАРАНТ, октябрь 2014 г.)

Ситуация 4: Согласно постановлению Правительства РФ от 31.07.2014 N 758 организация должна передавать интернет-провайдеру данные о конечных пользователях Интернетом. Нужно ли получать у сотрудника согласие на передачу этих данных? Какова ответственность за непредоставление этих данных? (служба Правового консалтинга ГАРАНТ, сентябрь 2014 г.)

Ситуация 5: Планируется реорганизация юридического лица. Представители компании, к которой в перспективе присоединится реорганизуемое юридическое лицо, требуют представить им документы на работников с персональными данными (личные карточки, приказы и прочие кадровые документы). Вправе ли отдел кадров реорганизуемого юридического лица не представлять эти документы третьим лицам и какие санкции предусмотрены законодательством за такое представление? (служба Правового консалтинга ГАРАНТ, апрель 2014 г.)

Ситуация 6: Организация планирует осуществлять кадровый аутсорсинг - ведение кадровой документации юридического лица сторонней организацией, в частности, заполнение, хранение трудовых книжек. Каким образом организация должна осуществлять хранение трудовых книжек сотрудников сторонних организаций? Существуют ли законодательные требования или ограничения на осуществление такой деятельности по договору аутсорсинга, в частности, в связи с хранением трудовых книжек по месту нахождения организации - исполнителя услуг? (служба Правового консалтинга ГАРАНТ, январь 2014 г.)

Ситуация 7: Обязан ли отдел кадров ОАО формировать личное дело работника? Если нет, то в каком виде нужно хранить сведения о работнике (трудовой договор, копии об образовании и т.п.)? Что делать со сведениями, содержащими персональные данные о работнике ОАО (о составе семьи, национальности и т.п.), которые получены давно (сотрудник принят 20 лет назад) и отражены в карточке формы N Т-2, личном листке, автобиографии? (служба Правового консалтинга ГАРАНТ, июль 2013 г.)

Ситуация 8: В организацию пришел запрос из Федеральной службы по труду и занятости на предоставление документов и информации за последние 5 лет (учредительные документы, правила внутреннего трудового распорядка, штатное расписание, трудовые договора, приказы о переводе, карточки Т-2 на всех сотрудников, приказы на отпуска, табеля учета рабочего времени). Правомерно ли данное требование? Не будет ли предоставление данных документов и информации нарушением Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и не требуется ли письменное согласие работников на передачу персональных данных? (служба Правового консалтинга ГАРАНТ, июнь 2013 г.)

Ситуация 9: В соответствии с законом оператор не обязан уведомлять Роскомнадзор о своем намерении осуществлять обработку персональных данных, если они обрабатываются в соответствии с трудовым законодательством. Существует точка зрения, что "в соответствии с трудовым законодательством" означает "не выходя за рамки ст. 65 ТК РФ". То есть необходимо уведомлять: о возрасте детей работников; фотографий работников, содержащихся в личном деле; сведений о местах учебы и прежних местах работы; сведений о ближайших родственниках и т.п. Так ли это, или уведомлять Роскомнадзор нет необходимости? Нужно ли получать письменное согласие работников на обработку этих данных? (служба Правового консалтинга ГАРАНТ, июнь 2013 г.)

Ситуация 10: Инвестиционно-строительная организация обрабатывает персональные данные своих работников, в том числе пересылает данные третьих лиц банку (при оформлении зарплатной карты), страховой компании, типографии и т.д. Кроме того, организацией в территориальное Управление Росреестра для целей регистрации договоров купли-продажи жилой недвижимости, договоров долевого участия в строительстве передаются персональные данные клиентов. Также организация формирует базы данных персональных данных соискателей (лиц, устраивающихся на работу). Должна ли организация в каком-либо из данных случаев уведомить Роскомнадзор о начале обработки персональных данных? (служба Правового консалтинга ГАРАНТ, декабрь 2012 г.)

Ситуация 11: В п. 3 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 01.11.2012 N 1119, говорится о необходимости заключения договора между оператором и лицом, которому оператор поручил обработку персональных данных в информационной системе. Должен ли в этой связи работодатель (оператор персональных данных) заключать со своими сотрудниками отдельный договор для дачи им поручения по обработке персональных данных в рамках выполнения их трудовых функций, предусмотренных трудовыми договорами? (служба Правового консалтинга ГАРАНТ, декабрь 2012 г.)

Ситуация 12: У организации нет локальных нормативных актов о персональных данных. Она продает базу данных своих работников, содержащую их персональные данные, расчетно-кассовому центру, осуществляющему сбор платежей за коммунальные услуги. Имеет ли организация право на это? (служба Правового консалтинга ГАРАНТ, ноябрь 2012 г.)

Ситуация 13: При приеме на работу обязательно ли заполнять согласие на обработку персональных данных, если у нас есть Положение о персональных данных, и все там расписываются? (информационный портал Роструда "Онлайнинспекция.РФ", май 2016 г.)

Ситуация 14: С окончанием трудовых отношений считается, что работодатель (оператор) достиг цели обработки персональных данных. Согласно п. 4 ст. 21 N 152-ФЗ "...обязан прекратить обработку персональных данных, и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных...". Какие конкретно документы обязан уничтожить работодатель? Если они потребуются потом по запросу каких-нибудь органов или по запросу самого сотрудника, то ссылаться на данный закон? (информационный портал Роструда "Онлайнинспекция.РФ", сентябрь 2015 г.)

Ситуация 15: Принимая во внимание Пояснительную записку к Закону N 242-ФЗ, где говорится, что целью такового является совершенствование института обработки персональных данных граждан РФ в информационно-телекоммуникационных сетях, необходимо уточнить, относятся ли требования Закона ко всем лицам, отвечающим понятию "оператор" по смыслу ст. 3 ФЗ РФ N 152-ФЗ от 27.07.2006 г., или только к операторам, чьим основным видом деятельности может быть признана обработка персональных данных с использованием информационно-телекоммуникационных сетей? (ответ Министерства связи и массовых коммуникаций)

Ситуация 16: Распространяются ли требования 242-ФЗ на зарубежные филиалы российских организаций? Отмечаю, что такие зарубежные филиалы российских организаций работают в иностранных юрисдикциях, их деятельность подчиняется иностранному праву, в том числе иностранному законодательству об обработке персональных данных, которое противоречит требованиям 242-ФЗ и не позволяет передавать полученные зарубежным филиалом персональные данные клиентов-граждан РФ в РФ (ответ Министерства связи и массовых коммуникаций)

Судебная практика

Определение Высшего Арбитражного Суда РФ от 20 июня 2011 г. N ВАС-7194/11 "Об отказе в передаче дела в Президиум Высшего Арбитражного Суда Российской Федерации" (ключевые темы: признание недействительными ненормативных правовых актов - предписание - результаты проверки - плановая проверка - обработка персональных данных)