Передача третьим лицам

С претензиями о нарушении законодательства в сфере защиты персональных данных сталкиваются компании, которые работают с клиентами-физлицами. Кроме того, любая компания обязана охранять сведения о своих сотрудниках. Юристу-судебнику может потребоваться отстаивать интересы организации в рамках такого административного спора. Рассмотрим, какую ответственность несут за незаконную передачу данных и каких позиций придерживаются суды.

Содержание

Какие правила о передаче персональных данных третьим лицам нужно знать операторам

Помимо Конституции РФ, главным документом в сфере защиты персональных данных является Федеральный закон от 27.07.2006 № 152-ФЗ. Еще один важный документ — Указ Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера». Именно в законе № 152 содержится определение термина «персональные данные». Так называют информацию, по которой можно идентифицировать конкретного человека (ст. 3 закона № 152). Перечень таких данных открытый.

Каждый день появляется все больше ресурсов (в том числе в сети «Интернет»), позволяющих соотнести пользователя таких ресурсов с конкретным человеком. Как следствие, растет и количество операторов персональных данных, которые работают с этой информацией, в том числе осуществляют передачу ее третьим лицам. Передача персональных данных третьим лицам — это вид обработки, в результате которой к информации получает доступ третья сторона.

Одни операторы получают сведения законно, от самих субъектов данных. Другие могут получить информацию с нарушением закона.

Предоставление паспортных и других личных данных третьим лицам не допускают без согласия субъекта

В России запрещена передача персональных данных третьим лицам без согласия субъектов данных, о чем прямо сказано в статье 7 закона № 152. В этой же статье содержится условие, соблюдение которого позволяет передавать такие данные. Этим условием является согласие субъекта.

Согласие на обработку данных должно быть дано в определенной законом форме (ст. 6 закона № 152). Согласие получают путем заключения договора между субъектом и оператором данных. На практике договор чаще всего заключается путем присоединения. Субъект совершает действие, явно свидетельствующее о его намерении заключать договор. Таким действием, например, может быть проставление галочки в соответствующей графе.

Незаконной считают передачу сведений третьим лицам, если субъект персональных данных прямо не указал на такой способ обработки

Передача информации о человеке является законной, если он дал согласие в установленной законом форме. Важно, чтобы разрешение распространялось на все необходимые оператору виды обработки, в том числе на передачу.

Если согласие было получено, но в договоре отсутствует такой вид обработки как «передача третьим лицам», то оператор не вправе передавать персональные данные субъекта. Также оператор не вправе передавать данные, если:

  • субъект отозвал ранее данное согласие;
  • истек срок хранения данных, который стороны указали в договоре.

Какую ответственность несет компания за незаконную передачу данных

Контролирующим органом в сфере защиты персональных данных является Роскомнадзор. Данный орган может провести проверку оператора: например, на предмет исполнения ранее выданного предписания. Проверка может быть как плановой, так и внеплановой. Если оператор осуществляет передачу третьим лицам личных данных субъекта без его разрешения, согласно соответствующим статьям виновное лицо можно привлечь:

  • к гражданской ответственности,
  • к дисциплинарной,
  • к административной,
  • к уголовной.

К гражданской ответственности за передачу личной информации третьим лицам привлекают по нормам главы 8 ГК РФ

Статьи 150-152.2 ГК РФ предусматривает гражданскую ответственность за нарушение законодательства о персональных данных. Гражданин, чьи права нарушили, подает иск. Если суд примет его доводы, ответчика обяжут компенсировать моральный вред и устранить нарушение. Более того, истец может потребовать опубликования судебного акта в открытых источниках.

Чем грозит сотруднику компании передача чужих паспортных данных третьим лицам

Статьи 192 и 81 ТК РФ позволяют применить дисциплинарные меры к ответственным за обработку персональных данных. В зависимости от обстоятельств за допущенное нарушение компания вправе даже уволить с работы. Более того, работник будет вынужден возместить ущерб, который нанес разглашением охраняемой законом тайны. Впрочем, работодатель может ограничиться и простым замечанием.

По закону о персональных данных компании несут административную ответственность за передачу сведений третьим лицам

Если Роскомназдор выявил незаконную передачу персональных данных третьим лицам, к компании-нарушителю применят административные санкции. В 2019 году административный штраф колеблется в пределах от 15 000 до 75 000 руб. за одно нарушение (ст. 13.11 КоАП РФ).

Когда применяют уголовную ответственность

Уголовная ответственность грозит нарушителю, который незаконно передал сведения о частной жизни субъекта, составляющие его личную или семейную тайну. Данный вид ответственности установлен статьей 137 УК РФ и предусматривает от штрафа в размере до 200 000 руб. до лишения свободы на срок до 5 лет.

Каких позиций придерживаются суды

Судебная практика сводится в основном к тому, что ответчики доказывают наличие согласия субъекта на обработку его данных. Если такое согласие было дано в надлежащей форме, не отозвано и является действующим, суд не считает оператора виновным в нарушении.

Например, 26 ноября 2018 года Колпинский районный суд Санкт-Петербурга в своем решении по делу № 2-2109/2018 отказал истцу в удовлетворении требований об обязании не разглашать персональные данные третьим лицам, прекратить обработку и передачу персональных данных, взыскании компенсации морального вреда. Суд установил, что истец дал согласие на такую обработку.

Если согласия нет, суд поддержит истца.

Так, Осинниковский городской суд Кемеровской области в своем решении от 8 июня 2018 года по делу № 2-427/2018, оставленному Кемеровский областным судом без изменений, удовлетворил требования истца. Суд принял такое решение ввиду того обстоятельства, что ответчик не доказал наличия согласия от субъекта персональных данных на их обработку, в том числе, передачу третьим лицам.

Таким образом, правильно оформленное согласие субъекта позволит доказать оператору свою правоту и избежать ответственности.

➤ Когда получать согласие на обработку персональных данных: новая информация из Роскомнадзора

Скачайте документы по теме:

Журнал учета передачи личной информацииОбразец от экспертаСогласие на обработку персональных данныхОбразец от экспертаОтзыв сотрудником своего согласия на обработку персональных данныхОбразец от экспертаПоложение о работе с персональными даннымОбразец от эксперта

Как передавать персональные данные

Передавать персональные данные можно только на основании запроса третьих лиц. Такой запрос позволяет работодателю получить от сотрудника письменное разрешение на использование данных конфиденциального характера.

После получения запроса на предоставление персональных данных третьим лицам от работника получают письменное согласие на обработку персональных данных. Документ составляют в произвольной форме, унифицированный бланк не разработан, в нем указывают:

  1. ФИО работника
  2. Паспортные данные
  3. Перечень конфиденциальной информации, которая будет передана
  4. Цель ее предоставления
  5. Полное наименование лица, которому передают персданные

Согласие субъекта персональных данных на обработку его персональных данных

Согласие сотрудника на обработку персональных данныхИспользуйте в работе

Вопрос-ответ от эксперта «Системы Кадры»

Может ли организация передать персональные данные бывшего сотрудника его новому работодателю?

Нина Ковязина, заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России

Организация вправе предоставить персональные данные бывшего сотрудника по запросу нового работодателя только при наличии письменного согласия сотрудника. При этом новый работодатель может…

В каких случаях можно передавать персональные данные третьим лицам без согласия сотрудника

Третьи лица могут получить информацию конфиденциального характера без предварительного согласия сотрудника. Это возможно, если:

  • обработка персданных нужна для исполнения заключенного с сотрудником договора;
  • для достижения соответствующих целей, предусмотренных законом с целью осуществления и выполнения возложенных законодательством РФ на оператора функций, определенных полномочий или обязанностей (ст. 6 Закона от 27.07.2006 №152-ФЗ).

Шпаргалка. Когда согласие работника необязательно

Посмотреть шпаргалку

Передача и обработка персональных данных третьими лицами проводится при предоставлении сведений конфиденциального характера в следующие организации:

  1. В Пенсионный фонд (ст. 9 Федерального закона 01.04.1996 № 27-ФЗ).
  2. В налоговые органы (ст. 24 НК РФ).
  3. В военные комиссариаты (ст.4 Федерального закона от 28.03.1998 № 53-ФЗ).
  4. В иные органы, если обязанность передачи таких сведений, относящихся к информации конфиденциального характера, закреплена за работодателем соответствующими законами или же необходима для достижения установленных законами целей (например, в суды, в прокуратуру и так далее).

Важно! Получать согласие уволенного сотрудника на обработку его персональных данных для целей налогового и бухгалтерского учета не нужно.

Ситуации, в которых персональные данные могут быть переданы третьим лицам без полученного письменного разрешения:

  • если обязанность по обработке уже предусмотрена законодательством;
  • персданные субъекта были размещены в сети Интернет
  • при необходимости оформить алименты, социальные выплаты, допуск к государственной тайне;
  • если нужно произвести обработку сведений, касающихся здоровья сотрудника, чтобы выяснить возможность выполнять трудовую функцию, возложенную на определенного специалиста;
  • для установления пропускного режима на территории помещений, служебных зданий (п. 1-5 Разъяснений Роскомнадзора от 14.12.2012).

Все возможные случаи, когда не потребуется получать разрешение на обработку персональных данных, приведены в пунктах 2–11 части первой статьи шестой, части второй статьи 10 и части второй статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ.

Читайте подробнее в журнале «Кадровое дело»

  • За какие нарушения в работе с персданными вас будут штрафовать: Роскомнадзор обновил список претензий
  • Роскомнадзор по-новому проверяет, как кадровики работают с персональными данными

Можно ли при трудоустройстве сразу получить согласие на предоставление персональных данных третьим лицам

Работодатель передает персональные данные третьим лицам на основании полученного запроса и письменного согласия сотрудника. При заключении трудового договора получить такой документ сразу нельзя. Без письменного разрешения сотрудника информацию конфиденциального характера можно передавать третьим лицам только в случаях, предусмотренных федеральными законами, а также, если жизни и здоровью субъекта что-то угрожает. Об этом сказано в части первой статьи 88 ТК РФ.

Трудовой кодекс РФ не содержит требований к содержанию письменного согласия на передачу персданных. При этом пунктом первым статьи девятой Закона от 27.07.2006 №152-ФЗ установлено, что такой документ должен быть конкретным, информированным, выданным сознательно.

Из этого можно сделать вывод, что организация обязана запрашивать его у сотрудника для каждого случая передачи информации конфиденциального характера третьему лицу. Только при таких условиях требование о конкретности, о сознательности выданного согласия может считаться выполненным.

Вывод

Передача персональных данных может осуществляться на основании запроса третьих лиц. Такой запрос позволяет работодателю получить от сотрудника письменное разрешение на использование данных конфиденциального характера. Персональные данные переданы третьим лицам могут быть без полученного согласия, если обязанность по обработке уже предусмотрена законодательством.

Положение об обработке персональных данных ПАО КБ «Центр-инвест»

г. Ростов-на-Дону

2017 г.

Термины и определения

1.1. Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных/субъекту).

1.2. Оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках данного положения оператором является ПАО КБ «Центр-инвест» (далее — Банк).

1.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.4. Конфиденциальность персональных данных — обязательное для соблюдения оператором или иными лицами, получившими доступ к персональным данным, требование не раскрывать их третьим лицам и не допускать их распространения без согласия субъекта или иного законного основания.

1.5. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.6. Использование персональных данных — действия (операции) с персональными данными, совершаемые работником Банка в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов либо иным образом затрагивающих их права и свободы или права и свободы других лиц.

1.7. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

1.8. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.9. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.10. Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

1.11. Информация — сведения (сообщения, данные) независимо от формы их представления.

1.12. Информационная система персональных данных Банка — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Общие положения

2.1. Настоящее Положение об обработке персональных данных (далее — Положение) разработано в соответствии Федеральным законом «О персональных данных» № 152-ФЗ от 27 июля 2006 г. (далее — ФЗ «О персональных данных»), а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных.

2.2. Цель разработки Положения — определение порядка обработки персональных данных всех субъектов персональных данных, данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, установление ответственности оператора по их охране и защите.

2.3. Порядок ввода в действие и изменения Положения.

2.3.1. Настоящее Положение вступает в силу с момента его утверждения Председателем Правления ПАО КБ «Центр-инвест» и действует бессрочно, до его отмены или замены его новым Положением.

2.3.2. Изменения в Положение утверждаются Председателем Правления ПАО КБ «Центр-инвест».

2.4. Состав персональных данных, цели и сроки их обработки в Банке представлены в «Перечне персональных данных, обрабатываемых в ОАО КБ «Центр-инвест».

Сбор, создание и обработка персональных данных

3.1. Порядок получения (сбора) персональных данных:

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.

3.1.2. Письменное согласие субъекта на обработку его персональных данных должно включать:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено ФЗ «О персональных данных»;

9) подпись субъекта персональных данных.

3.1.3. Согласие субъекта на обработку его персональных данных действует на период до истечения сроков хранения соответствующей информации или документов, содержащих указанную информацию, определяемых в соответствии с законом РФ.

3.1.4.1 В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

3.1.4.2. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

3.1.4.3. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, прямо указанных в ФЗ «О персональных данных», или оснований, предусмотренных действующим законодательством.

3.1.4.4. Если персональные данные субъекта возможно получить только у третьей стороны до начала обработки таких персональных данных оператор обязан предоставить субъекту персональных данных следующую информацию:

1) наименование и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) права субъекта персональных данных;

5) источник получения персональных данных.

3.1.4.5. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные п. 3.1.4.4 Положения, в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2) персональные данные получены оператором на основании ФЗ «О персональных данных» или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

5) предоставление субъекту персональных данных сведений, предусмотренных п. 3.1.4.4 Положения, нарушает права и законные интересы третьих лиц.

3.1.4.6. Третье лицо, предоставляющее персональные данные субъекта, должно обладать согласием субъекта на передачу его персональных данных Банку. Банк обязан при взаимодействии с третьими лицами заключить с ними соглашение о конфиденциальности информации, касающейся персональных данных субъектов.

3.1.5. Обработка персональных данных осуществляется:

3.1.5.1. С согласия субъекта персональных данных на обработку его персональных данных.

3.1.5.2. В случаях, когда обработка персональных данных необходима для осуществления и выполнения Банком возложенных законодательством РФ функций, полномочий и обязанностей.

3.1.5.3. В случаях, когда осуществляется обработка общедоступных персональных данных.

3.1.5.4. В иных случаях, предусмотренных ФЗ «О персональных данных».

3.1.6. Банк не имеет права получать и обрабатывать персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

3.2. Порядок обработки персональных данных:

3.2.1. Субъект персональных данных предоставляет работнику Банка, ответственному за осуществление банковских операций и сделок, а также иных операций, предусмотренных уставной и хозяйственной деятельностью Банка достоверные сведения о себе.

3.2.2. На основании полученной информации сотрудник Банка проверяет наличие данных субъекта в информационной системе персональных данных. Если субъект отсутствует в информационной системе персональных данных, то сотрудник заносит полную информацию о субъекте, после получения согласия последнего. В случае наличия информации о субъекте в информационной системе — сверяет данные с ранее предоставленными (при необходимости вносит соответствующие изменения).

3.2.3. Обработка персональных данных субъекта может осуществляться исключительно в целях обеспечения предусмотренной уставом деятельности в рамках заключенных с клиентами договоров, осуществления трудовых и гражданско-правовых отношений на условиях соблюдения законодательства и иных нормативных правовых актов.

3.2.4. При определении объема и содержания, обрабатываемых персональных данных Банк должен руководствоваться требованиями Центрального Банка Российской Федерации, ФСБ России, ФСТЭК России и иных контролирующих органов, уполномоченных на осуществление этих функций в соответствии с законодательством РФ, Конституцией Российской Федерации, ФЗ «О персональных данных», Трудовым кодексом Российской Федерации и иными федеральными законами;

Обезличивание персональных данных

4.1. Операция обезличивания персональных данных субъекта необратима.

4.2. При работе со сторонними разработчиками программного обеспечения Банк обязан обеспечить конфиденциальность в отношении персональных данных при необходимости проведения испытаний информационных систем как на территории разработчика, так и на территории Банка (очно или удаленно) и произвести обезличивание копий персональных данных в информационных системах, доступ к которым предоставляется разработчику.

Уничтожение персональных данных

5.1. При уничтожении персональных данных субъекта работники Банка не могут получить доступ к персональным данным субъекта в информационных системах.

5.2. Бумажные носители документов при уничтожении персональных данных уничтожаются, персональные данные в информационных системах обезличиваются. Персональные данные восстановлению не подлежат.

5.3. Операция уничтожения персональных данных необратима.

5.4. Уничтожение персональных данных производится по достижении целей обработки или в случае утраты необходимости в их достижении

5.5. Срок, после которого производится операция уничтожения персональных данных субъекта, определяется окончанием срока указанным в пункте 6.3 настоящего Положения, если иное не определено соглашением с субъектом персональных данных или требованиями действующего законодательства.

Передача и хранение персональных данных

6.1. Передача персональных данных:

6.1.1. Под передачей персональных данных субъекта понимается распространение информации по каналам связи и/или на материальных носителях.

6.1.2. При передаче персональных данных работники Банка должны соблюдать следующие требования:

6.1.2.1. Не сообщать персональные данные субъекта в коммерческих целях третьим лицам и организациям. Обработка персональных данных субъектов в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи не допускается, если иное не предусмотрено соглашением с клиентом.

6.1.2.2. Осуществлять передачу персональных данных субъектов в пределах Банка в соответствии с настоящим Положением, нормативно-технологической документацией и должностными инструкциями.

6.1.2.3. Передавать персональные данные субъекта его представителям в порядке, установленном законодательством и нормативно-технологической документацией и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функции.

6.1.2.4. Осуществлять передачу персональных данных для обработки третьему лицу только при наличии разрешения субъекта, при этом договор, на основании которого осуществляется передача, должен включать в себя обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

6.1.2.5. Осуществлять передачу персональных данных для обработки третьему лицу без получения разрешения субъекта только на основании федеральных законов, устанавливающих цель, условия передачи персональных данных и круг субъектов, персональные данные которых подлежат передаче.

6.2. Хранение персональных данных:

6.2.1. Под хранением персональных данных понимается обеспечение в неизменном виде на протяжении срока хранения записей в информационных системах и на материальных носителях, информации на бумажных носителях.

6.2.2. Персональные данные субъектов обрабатываются и хранятся в информационных системах, на отчуждаемых носителях, а также на бумажных носителях в Банке.

6.2.3. Хранение персональных данных на отчуждаемых носителях или бумажных носителях может осуществляться при условии, что носители персональных данных хранятся в местах с ограниченным доступом, доступ в которые могут получить лишь сотрудники Банка, в чьи должностные обязанности входит обработка персональных данных.

6.2.4. Хранение персональных данных субъекта осуществляется в форме, позволяющей определить субъекта персональных данных и может осуществляться не дольше, чем этого требуют цели обработки, если иное не предусмотрено федеральными законами или соглашением с субъектом персональных данных и в соответствии с п. 5.5 подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

6.3. Сроки хранения персональных данных, обрабатываемых в Банке, оговорены в «Перечне персональных данных, обрабатываемых в ОАО КБ «Центр-инвест».

6.4. В течение срока хранения персональные данные не могут быть обезличены или уничтожены. В случае необходимости могут создаваться обезличенные копии персональных данных.

Доступ к персональным данным

7.1. Субъект персональных данных имеет право на получение сведений, указанных в п. 9.2. Положения, в порядке, установленном разделом 9 Положения и ФЗ «О персональных данных». Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.2. Доступ к персональным данным может быть предоставлен работникам Банка или иным уполномоченным лицам.

7.3. Доступ предоставляется с учетом возложенных на работника обязанностей в порядке, предусмотренном Инструкцией по предоставлении доступа к ресурсам информационной системы Банка.

7.4. Перед получением доступа работник Банка или иное уполномоченное Банком лицо должны быть ознакомлены с настоящим Положением, с правилами по обеспечению безопасности обработки персональных данных, а также иными законодательными и локальными актами, регулирующими порядок обработки персональных данных.

7.5. Лица, получившие доступ к персональным данным субъекта, обязаны использовать их лишь в целях, для которых сообщены персональные данные и обязаны соблюдать режим конфиденциальности обработки и использования полученной информации (персональных данных субъектов).

7.6. Порядок доступа работников Банка или иных лиц в помещения, в которых ведется обработка персональных данных, осуществляется на основании должностных обязанностей в рамках правил внутреннего распорядка и распоряжений о доступе в конкретные помещения Банка.

7.7. Доступ к персональным данным в виде отчетных форм и твердых копий может также предоставляться сотрудникам правоохранительных, налоговых органов, Банка России, Агентства по страхованию вкладов и других организаций, уполномоченных осуществлять контрольные и аудиторские функции в отношении Банка в соответствии с законодательством Российской Федерации, а также в иных случаях предусмотренных действующим законодательством. Доступ к персональным данным указанным выше сотрудникам контролирующих органов предоставляется только на основании письменных документов, подписанных уполномоченным лицом контролирующего органа, исключающих возможность несанкционированного доступа к персональным данным.

Права и обязанности оператора персональных данных и права субъекта персональных данных

8.1.Банк вправе:

8.1.1. Отстаивать свои интересы в суде.

8.1.2. Предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством или соглашением, заключенным с субъектом персональных данных.

8.1.3. Отказать в предоставлении персональных данных в случаях, предусмотренных законом.

8.1.4. Использовать персональные данные субъекта без его согласия, в случаях предусмотренных законом.

8.2. Банк обязан:

8.2.1. При сборе персональных данных предоставить информацию об обработке персональных данных (по запросу).

8.2.2. В случаях, если персональные данные были получены не от субъекта персональных данных, уведомить субъекта.

8.2.3. При отказе в предоставлении персональных данных субъекту разъяснять последствия такого отказа.

8.2.4. Опубликовать или иным образом обеспечить неограниченный доступ к настоящему Положению.

8.2.5. Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8.2.6. Давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных в порядке и сроки, предусмотренные законом.

8.3. Субъект персональных данных вправе:

8.3.1. Иметь доступ к его персональным данным и сведениям, а также обращаться к Банку в порядке, установленном разделом 9 Положения и ФЗ «О персональных данных».

8.3.2. Обжаловать действия или бездействия Банка.

Порядок работы с обращениями субъектов персональных данных и регуляторов

9.1. Обращения от субъектов персональных данных (или их законных представителей) по вопросам обработки их персональных данных принимаются Банком в письменном виде или в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.

9.2 Субъект персональных данных имеет право на получение при обращении в Банк информации, касающейся обработки его персональных данных в т.ч.:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании ФЗ «О персональных данных»;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен ФЗ «О персональных данных»;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ «О персональных данных»;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.

9.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ФЗ «О персональных данных», в том числе если:

1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

9.4. Субъект персональных данных вправе обратиться повторно к оператору в целях получения сведений, указанных в п.9.2. Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока обработки персональных данных, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п.9.1. Положения, должен содержать обоснование направления повторного запроса.

9.5. Банк обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию, предусмотренную действующим законодательством, в течение тридцати дней с даты получения такого запроса.

Защита персональных данных

10.1. Под защитой персональных данных субъекта понимается комплекс мер (организационно-распорядительных, технических, юридических), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий.

10.2. Защита персональных данных субъекта осуществляется за счёт Банка в порядке, установленном ФЗ «О персональных данных», стандартом и рекомендациями Банка России.

10.3. Ответственность за разработку и контроль мер по обеспечению безопасности персональных данных несет Управление мониторинга и контроля рисков.

10.4. Ответственность за разработку и реализацию мер по обеспечению безопасности персональных данных, а также за уведомление уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных, о внесении изменений в сведения об операторе в реестре операторов, осуществляющих обработку персональных данных, о прекращении обработки персональных данных, несет Управление развития информационных технологий.

10.5. Банк при защите персональных данных субъектов принимает все необходимые организационно-распорядительные, юридические и технические меры, в том числе:

10.5.1. Антивирусная защита.

10.5.2. Анализ защищённости.

10.5.3. Обнаружение и предотвращение вторжений и несанкционированного доступа к персональным данным

10.5.4. Управление доступом.

10.5.5. Обеспечение целостности.

10.5.6. Шифровальные (криптографические) средства (при передаче данных за пределами контролируемого периметра).

10.5.7. Организация нормативно-методических локальных актов, регулирующих защиту персональных данных, в том числе и при обработке в Банке персональных данных на бумажных носителях.

10.5.8. При обработке в Банке персональных данных на бумажных носителях, в частности, при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных работники Банка исполняют требования, установленные «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным Постановлением Правительства РФ от 15 сентября 2008 г. N 687.

10.5.9. Размещение информационной системы, специального оборудования, в которых ведется обработка персональных данных в помещениях, исключающих возможность несанкционированного проникновения, а также имеющих ограниченный доступ.

10.5.10. Ограничение доступа в помещения, в которых установлены серверы.

10.5.11. Обеспечение сохранности съемных носителей в сейфах.

10.5.12. Регистрация запросов пользователей на получение персональных данных, а также фактов предоставления персональных данных по этим запросам в электронных журналах, позволяющих осуществлять контроль за соответствием доступа полномочиям.

10.5.13. Восстановление модифицированных или уничтоженных в следствие несанкционированного доступа данных.

10.5.14. Установление обязательства лиц, имеющих доступ к персональным данным, по неразглашению этих данных.

10.5.15. Обучение работников Банка, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, настоящему Положению, локальным актам по вопросам обработки персональных данных.

10.5.16. Осуществление внутреннего контроля и аудита.

Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

Работники Банка, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с внутрибанковскими нормативными документами и законодательством Российской Федерации.

У некоторых работодателей возникают вопросы, возможна ли передача персональных данных без согласия работников, которыми располагает работодатель (трудовых книжек, трудовых договоров, расчетных листков, тарификационных списков и др.), выборным органам первичных профсоюзных организаций, правовым и техническим инспекторам труда Профсоюза, необходимых для осуществления профсоюзного контроля за соблюдением норм трудового законодательства в учреждениях здравоохранения, в т.ч. при согласовании локальных нормативных актов.

При этом работодатели, считая, что действующее законодательство ограничивает работодателя в возможности передачи персональных данных работника третьим лицам, в том числе и представителям работников, к которым, в соответствии со ст. 29 ТК РФ, относятся в т.ч. первичные профсоюзные организации, препятствуют проведению профсоюзного контроля.

Однако, Профсоюз считает, что действующее законодательство предоставляет право представителям работников (выборным органам первичных профсоюзных организаций, правовым и техническим инспекторам труда Профсоюза), при проведении контроля за соблюдением работодателями трудового законодательства, на получение доступа к персональным данным работников, обрабатываемых работодателем.

За разъяснением применения норм Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 22.02.2017) «О персональных данных» Центральный комитет Профсоюза обратился в адрес Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.

В обосновании своей позиции о возможности передачи персональных данных работников представителям работников (выборным органам первичных профсоюзных организаций, правовым и техническим инспекторам труда Профсоюза) Профсоюз сослался на следующие нормы действующего законодательства.

В соответствии с частью 1 статьи 11 Федерального закона от 12 января 1996 года № 10-ФЗ «О профессиональных союзах, их правах и гарантиях деятельности» профсоюзы, их объединения (ассоциации), первичные профсоюзные организации и их органы представляют и защищают права и интересы членов профсоюзов по вопросам индивидуальных трудовых и связанных с трудом отношений.

Согласно части 3 статьи 13 названного Закона первичные профсоюзные организации вправе осуществлять профсоюзный контроль за выполнением коллективных договоров, соглашений.

В соответствии со ст.41 ТК РФ, сведения о заработной плате, времени труда и отдыха и др. относятся к вопросам, регулируемым коллективным договором, контроль за которыми на соответствие трудовому законодательству также входит в полномочия Профсоюза.

Кроме того, особенности обработки персональных данных работников и, в частности, возможности их передачи работодателями в адрес представителей работников (профкомов) при осуществлении ими профсоюзного контроля, регулируются также и Трудовым кодексом РФ.

Так, абзац 8 ст.88 ТК РФ устанавливает требования к передаче персональных данных работников представителям работников, при которых работодатель должен: передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Также Трудовым кодексом урегулирован и порядок передачи данных (абз. 7 ст. 37 ТК РФ): стороны должны передавать информацию друг другу не позднее двух недель с момента получения запроса.

В запросе ЦК Профсоюза была сделана ссылка на действующее федеральное законодательство: статьи 29, 53, 88, 370 ТК РФ, Федеральный закон от 12.01.1996 г. № 10-ФЗ «О профессиональных союзах, их правах и гарантиях деятельности», п.2 части 1 ст.6 Федерального закона «О персональных данных», в совокупности регулирующих право представителей работников, к которым относится Профсоюз, на бесплатное и беспрепятственное получение от работодателей информации по социально-трудовым вопросам в объеме, необходимом для выполнения представителями работников их функций.

    Профсоюз просил разъяснить:

  • ограничивает ли Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» право выборных органов первичных организаций Профсоюза и профсоюзных инспекторов труда на получение у работодателей необходимых документов, содержащих сведения о персональных данных, необходимых при осуществлении профсоюзного контроля за соблюдением работодателями законодательства о труде;
  • является ли первичная организация Профсоюза оператором персональных данных, обязательно ли ее включение в реестр операторов;
  • требуется ли получение работодателем специального согласия работников на передачу персональных данных Профсоюзу в том случае, если у работодателя работают члены данного Профсоюза, а информация запрашивается Профсоюзом в соответствии с трудовым законодательством, для целей осуществления профсоюзного контроля за соблюдением законодательства о труде, соблюдения положений коллективных договоров и соглашений;
  • может ли выборный орган первичных организаций Профсоюза, правовые и технические инспектора труда Профсоюза при осуществлении профсоюзного контроля осуществлять обработку персональных данных работников без уведомления уполномоченного органа (Роскомнадзора) (п.1 части 2 статьи 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных») о своем намерении осуществлять обработку персональных данных в соответствии с трудовым законодательством.

Из полученного от Роскомнадзора разъяснения следует, что в случае осуществления профсоюзами, их первичными организациями и выборными органами вида деятельности по обработке персональных данных, подпадающих под исключения, установленные ч.2 ст. 22 Федерального закона «О персональных данных», указанные операторы вправе не представлять в адрес уполномоченного органа уведомления о намерении осуществлять обработку персональных данных.

Кроме того, как указал Роскомнадзор, работодатель, применительно к осуществляемой им деятельности, является оператором, осуществляющим обработку персональных данных своих сотрудников, и, руководствуясь ст.7 Федерального закона «О персональных данных», обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При этом при наличии правовых оснований и полномочий, установленных федеральным законом, третьи лица, в том числе профсоюзы, могут получить доступ к персональным данным, обрабатываемым оператором.

Аналогичный подход Роскомнадзора Профсоюзом был получен в 2011 г., из которого следовало, что действия представителей работников профсоюза в части, касающейся запроса и получения от работодателя документов, содержащих персональные данные работников, необходимых для осуществления профессионального контроля за соблюдением трудового законодательства, …. «не требует согласия указанных лиц на обработку их персональных данных».

Обращаем внимание, что представители Профсоюза, получившие документы, содержащие персональные данные работника, обязаны соблюдать требования конфиденциальности и безопасности при их обработке, а также обеспечить их использование только в целях, для достижения которых они были предоставлены.