1 июля персональные данные. Федеральный закон о персональных данных

На портале правовой информации размещен подписанный Президентом РФ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», устанавливающий новые размеры штрафов за нарушение законодательства Российской Федерации в области персональных данных, которые вступят в силу с 1 июля 2017 года .

Положения Федерального закона уточняют основания для применения мер административной ответственности за нарушение законодательства Российской Федерации в области персональных данных с учётом изменений, внесённых в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Изменения вносятся в основном в статью 13.11, а также в статьи 28.3 и 28.4 КоАП РФ.

Итак, что же изменится в области персональных данных с 1 июля 2017 года. Новая редакция статьи 13.11 содержит теперь семь конкретных составов правонарушений и предусматривает соответствующие им штрафы с самым высоким из них – 75 тысяч рублей (для юридических лиц). В отличие от прошлой редакции ст.13.11, новая редакция статьи четко устанавливает случаи, за которые оператор ПДн может понести наказание. Например, по ст.13.11 можно было наказать за нарушение ФЗ №242, с новой редакцией сделать это будет невозможно, так же как и сложно будет наказать за отсутствие уведомления Роскомнадзора.

Тексты статьи 13.11 коротко представлены на рисунке ниже. Более развернутое описание — можно скачать в виде таблицы . А постатейный разбор приведен в статье.

Напомним, что изменения в ст.13.11 готовились еще с декабря 2014 года, но работа над ними была надолго заморожена законодателями. Самым существенным моментом ранней версии этого законопроекта был относительно большой (до 300 000 рублей) штраф за неправомерную обработку персональных данных специальных категорий, но в принятой версии этот текст был убран:

Обработка специальных категорий персональных данных , касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости в случаях, не предусмотренных законодательством Российской Федерации о персональных данных,
— влечет наложение административного штрафа на граждан от трех тысяч до пяти тысяч рублей; на должностных лиц — от десяти тысяч до двадцати пяти тысяч рублей; на индивидуальных предпринимателей — от пятидесяти тысяч до ста тысяч рублей; на юридических лиц — от ста пятидесяти тысяч до трехсот тысяч рублей .

Какие основные последствия принятия поправок? Их несколько:

1. В связи с тем, что формулировка ст.13.11 стала более конкретна, многие эксперты выражают обеспокоенность ( , ), что схема назначения взыскания может измениться принципиально. Если по текущей редакции наказание могло быть одно за «нарушение установленного законом порядка…» , по совокупности, сколько бы нарушений найдено не было, то новая формулировка ст.13.11 поменялась и она просто перечисляет семь составов правонарушений, за которые возможно составление отдельного протокола и назначение отдельного штрафа. Видимо, стоит ожидать увеличения общей суммы штрафа при проверке.
2. Протоколы об административных правонарушениях, квалифицируемых по новой редакции статьи 13.11, будут после 1 июля составлять должностные лица Роскомнадзора и его территориальных управлений, а не прокуроры, как сейчас. Срок привлечения к ответственности остается как и раньше – 3 месяца, но процедура привлечения к ответственности существенно упростилась: цепочка «территориальное управление Роскомнадзора» — «Прокуратура» — «Суд» сократилась, материалы будут двигаться быстрее и штрафов, скорее всего, станет больше.
3. Не за все ранее квалифицируемые по ст.13.11 нарушения могут быть привлечены операторы в соответствии с новой редакцией: данная статья не предусматривает, например, ответственности за невыполнение ФЗ № 242 о локализации баз персональных данных.

Не спешите закрывать статью. Вы наверняка мысленно задались вопросом — «А при чем здесь я?» — отвечаю, данный закон может коснуться и вас в том числе, а вы даже можете этого и не подозревать. Давайте по порядку.

Вступление

7 февраля 2017 года были внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Вступят в силу эти поправки уже скоро — 1 июля 2017 года.

Что такое персональные данные?

Под персональными данными можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу (субъекту персональных данных) – пункт 1 статьи 3 Федерального закона от 27 июля 2006 № 152-ФЗ. Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д.

Что изменится 1 июля 2017 года?

Новый Федеральный закон от 07.02. 2017 № 13-ФЗ значительно расширил перечень оснований для привлечения лиц к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов.

Что интересно, выписывать протоколы о правонарушении в этой области будет не прокуратура, как раньше, а Роскомнадзор. А это значит, что дела пойдут гораздо быстрее и штрафы будут рассылаться пачками, если не упаковками.

Причем тут мы

Наверное большая часть моих читателей все еще не понимает, как все это относится к ним. Но грань тут очень тонкая, как понять, являетесь ли вы оператором персональных данных?

Если с помощью вашего блога, сайта, портала, интернет-магазина вы получаете какие-либо персональные данные от пользователя (какие именно, смотреть выше) — то вы автоматически попадаете под этот закон. Элементарно, на вашем сайте можно зарегистрироваться, вводя свое имя, эл.почту, адрес? Поздравляю, вы уже попали под закон.

Это вас касается если:

Ваш сайт позволяет производить регистрацию пользователей (даже с минимальным набором данных «имя + e-mail»). Примеры:

• форумы;
• социальные сети;
• многие новостные сайты;
• интернет-магазины;
• блоги;
• сайты с частными объявлениями;
• и так далее.

Ваш сайт позволяет вносить в формы персональные данные пользователей , которые впоследствии публикуются на сайте или отправляются по e-mail. Например, если на сайте есть функция «перезвонить мне», возможность отправить быстрый заказ или подписаться на рассылку и тому подобное.

Ваш сайт просто уже содержит реальные персональные данные граждан.

Ваша компания (юридическое лицо или индивидуальный предприниматель) на постоянной основе занимаются обработкой персональных данных граждан. Это справедливо для:

• большинства юридических фирм;
• абсолютно всех регистраторов (в смысле компаний, занимающиеся регистрацией юрлиц и ИП, изменениями, ликвидацией и так далее);
• реестродержателей;
• бухгалтерских компаний, оказывающих услуги по аутсорсингу бухгалтерии и кадрового делопроизводства;
• банков, МФО и других компаний финансового сектора, работающих с данными граждан;
• медицинских учреждений;
• магазинов, салонов красоты и других подобных организаций с персональными клубными картами (это особенно популярно у сетевых магазинов косметики);
• образовательных организаций и учреждений (в том числе проводящих краткосрочные курсы или разовые тренинги);
• ТСЖ и управляющих компаний в сфере ЖКХ;
• турагентств;
• третейских судов;
• и так далее.

Ваша компания активно работает с внештатными сотрудниками (по гражданско-правовому договору).

Ваша компания использует CRM или аналогичные системы .

Что делать?

Нужно уметь правильно работать с персональными данными.

Как минимум нужно:

• получить письменное согласие с каждого пользователя, клиента или подписчика на обработку, хранение и распространение персональных данных;
• публиковать в открытом доступе информацию обо всём, что касается персональных данных пользователя;
• запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
• использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
• сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
• удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
• хранить базы данных в надежном месте, защищать их от взлома и утечки;
• научить сотрудников работать с персональными данными;

Исключения

Вас это не касается в следующих случаях, так как на них ФЗ «О персональных данных» не распространяется:

1. Обработка персональных данных производится физическими лицами исключительно для личных и семейных нужд, но если при этом не нарушаются права субъектов персональных данных;
2. Обработка персональных данных производится при работе с документами Архивного фонда Российской Федерации и аналогичных документов;
3. Персональные данные, отнесены к сведениям, составляющим государственную тайну;
4. Персональные данные относятся к публичной информации о деятельности судов в РФ.

К сожалению, я не юрист в этой области и я не смогу дать вам точных ответов что именно нужно сделать чтобы обезопасить себя на 100%. Что уж там, даже сами профи не могут дать однозначных ответов, так как существует очень много нюансов и неточностей, не говоря уже про то, что закон не вступил в силу. В любом случае, цель моего поста была именно предупредить Вас о том, что такая «хрень» существует. Ну а дальше, как говорится, предупрежден — значит вооружен

С 01.07.2017 г. действуют изменения в ст. 13.11 КоАП РФ об административной ответственности за нарушение законодательства о персональных данных физлиц. Поскольку поправки касаются всех, кто использует персональные данные, рассмотрим эти новшества в нашей статье.

Обработка персональных данных – 2017

Персональные данные – это любая информация, прямо или косвенно относящаяся к конкретному физлицу (имя, адрес проживания, дата рождения, паспортные данные, номер телефона, фото, адрес электронной почты, и т.д.). Организация, госорган или физлицо, собирающее и обрабатывающее персональные данные, именуется оператором (Закон о персональных данных от 27.07.2006 № 152-ФЗ). К таковым относятся работодатели, а также все, кто получает личные данные от граждан – медучреждения, учебные заведения, интернет-магазины и т.д.

Для работодателя такие данные необходимы в связи с трудовыми отношениями. Получить их можно только лично от самого работника, а от третьих лиц - с его письменного согласия. Физлицо дает письменное согласие на обработку персональных данных. Бланк законодательством не утвержден, составить его можно самостоятельно, с учетом требований п. 4 ст. 9 закона № 152-ФЗ(п. 3 ч. 1 ст. 86 ТК РФ, п. 1 ст. 9 закона 152-ФЗ).

Согласие на обработку персональных данных (образец)

Недопустимо собирать и обрабатывать персональные данные работника, не относящиеся к его трудовой деятельности, например, об участии в общественных объединениях, вероисповедании, личной жизни и т.п. Это же касается и прочих операторов, которые запрашивают данные, не имеющие отношения к цели их обработки (например, указание паспортных данных в анкете об оценке работы сайта). Полученные данные не должны раскрываться третьим лицам или распространяться без согласия физлица (ст. 7 закона № 152-ФЗ).

Оператор обязан обеспечить данным надлежащую защиту, для чего закрепляет порядок их получения, обработки и хранения в Положении о персональных данных или ином внутреннем нормативном акте. В документе определяются необходимые меры, а также назначается ответственный за обработку. Доступ к таким данным должен разрешаться только уполномоченным на то лицам, причем они вправе получать только сведения, необходимые для осуществления конкретных функций (ст. 88 ТК РФ, ст. 18.1 закона № 152-ФЗ).

Положение о персональных данных либо иной документ о политике их обработки, находятся в открытом доступе и предъявляются по запросам уполномоченных органов - это касается и работодателей, и прочих операторов (ч. 2 и 4 ст. 18.1 закона № 152-ФЗ).

Персональные данные – 2017: новое в административной ответственности

Законом от 07.02.2017 № 13-ФЗ была принята новая редакция статьи 13.11 КоАП РФ. Если ранее статья содержала один единственный состав – нарушение ФЗ о персональных данных, теперь это целый перечень из семи оснований административной ответственности и, соответственно, разные штрафы. Вероятно, что при обнаружении нескольких нарушений у одного оператора, ему грозит несколько штрафов, а не один.

Также претерпели изменения статьи 28.3 и 28.4 КоАП РФ, упростив процесс привлечения операторов к ответственности: с 01.07.2017 г. протоколы о нарушениях закона 152-ФЗ о персональных данных составляют сотрудники Роскомнадзора, а не прокурор, как раньше. Срок для привлечения к ответственности остался прежним – 3 месяца.

За что теперь штрафуют

Итак, вот по каким основаниям теперь могут привлекаться к административной ответственности предприниматели и организации, обрабатывающие персональные данные:

• Данные обрабатываются в случаях, не предусмотренных ФЗ о персональных данных либо их обработка несовместима с целями сбора (ч. 1 ст. 13.11 КоАП РФ) . Незаконное использование личных данных, если оно не влечет уголовной ответственности, грозит предупреждением, или штрафом: физлицам в 1000-3000 руб., должностным лицам – 5000-10 000 руб., организациям – 30 000-50 000 руб.
• Обработка данных без письменного согласия, необходимого по закону (п. 2 ст. 13.11 КоАП РФ). Согласие на обработку должно содержать информацию, указанную в ч. 4 ст. 9 закона 152-ФЗ о персональных данных. Изменения 2017 г. предусматривают с 1 июля штраф за его отсутствие в следующем размере: для нарушителей физлиц – 3000-5000 руб., для должностных лиц – 10 000-20 000 руб., для организаций – 15 000-75 000 руб.
• Отсутствие неограниченного доступа к политике оператора в области обработки персональных данных (п. 3 ст. 13.11 КоАП РФ). Обязанность обеспечения доступа установлена п. 2 ст. 18.1 закона 152-ФЗ о персональных данных. Невозможность ознакомиться с таким документом на бумаге либо на сайте, если данные собираются через интернет, обойдется операторам: в 700-1500 руб. - физлицам, 3000-6000 руб. – должностным лицам, 5000-10 000 руб. – ИП, 15 000-30 000 руб. – организациям, а в лучшем случае все обойдется предупреждением.
• Непредоставление лицу информации, касающейся обработки его персональных данных (п. 4 ст. 13.11 КоАП РФ). Порядок запроса такой информации прописан в статье 14 закона 152-ФЗ. Изменения с 01.07.2017 следующие: за нарушение полагается предупреждение, либо штраф 1000-2000 руб. – физлицам, 4000-6000 руб. - должностным лицам, 10 000-15 000 руб. – ИП, 20000-40000 руб. – организациям.
• Невыполнение в установленные сроки требования о блокировании, изменении или уничтожении персональных данных (п. 5 ст. 13.11 КоАП РФ) . Физлицо или его представитель могут заявить такие требования, если данные неполные, неточные, получены с нарушением закона, либо устарели, это установлено статьей 21 закона о персональных данных № 152-ФЗ. Нарушителей ждет предупреждение, или штраф: 1000-2000 руб. физлицам, 4000-10 000 руб. должностным лицам, 10 000-20 000 руб. – ИП, 25 000-45 000 руб. организациям.
• Несоблюдение условий, обеспечивающих сохранность персональных данных при неавтоматизированной обработке (п. 6 ст. 13.11 КоАП РФ). Это касается «бумажных» данных, несанкционированный доступ к которым стал причиной их уничтожения, повреждения, незаконного распространения и т.п. Не обеспеченная защита персональных данных в 2017 г. влечет штраф 700-2000 руб. для граждан, 4000-10 000 руб. для должностных лиц, 10 000-20 000 руб. для ИП и 25 000-50 000 руб. для организаций.

Таковы изменения в защите персональных данных 2017 г., заработавшие с 1 июля. Как видим, составы правонарушений стали более конкретными, а штрафы для операторов заметно ужесточились.

Здравствуйте, дорогой коллега!

Если у вас есть сайт, то с 1-го июля вы можете попасть на штрафы до 300000 руб. просто за то, что не разметили нужную информацию.

В феврале 2017 года были внесены поправки в Федеральный закон 152 по поводу нарушений закона о персональных данных.

Поправки вступают в силу 1 июля 2017 года и коснутся всех, кто обрабатывает и хранит на сайте любые персональные данные.

Являетесь ли вы оператором персональных данных?

Являетесь, если используете следующие инструменты:

• обратная связь (форма обратной связи, заказ обратного звонка, форма любой заявки),
• пользователи (регистрация, авторизация, данные соц.сетей),
• продажи (данные для доставки и связи с клиентом),
• е-маил маркетинг (подписка на новости, рассылку, на лидмагнит).

Персональные данные - это любая информация о пользователе, по которой его можно идентифицировать.

Например, по имени и логину понять что за человек нельзя. А вот по логину и е-маилу уже можно. Также можно определить пользователя по установленному пикселю ретаргетинга на сайте.

Поэтому вы являетесь оператором персональных данных, если пользователи на вашем сайте оставляют в любом сочетании следующие данные:

• е-маил
• телефон
• адрес
• образование, семейное положение, уровень доходов,
• cookie
• данные об IP адресе и местоположении

Что делать с сайтом?

1. Хостинг и база данных должны располагаться на территории России
   По хранению персональных данных в ФЗ 152 не все прозрачно и понятно, поэтому, чтобы не было проблем лучше руководствоваться требованием ФЗ-242 и хранить данные на территории РФ.
2. Согласие на обработку персональных данных
   Под каждой формой разместить текст "Нажимая на кнопку, вы даете согласие на обработку своих персональных данных" и ссылка на документ.
3. Разместить в футере ссылку на политику работы с персональными данными
   Необходимо подготовить документы по работе с персональными данными (по закону эти документы можно объединить в один).
4. Зарегистрироваться в Роскомнадзоре
   Ссылка на регистрацию http://pd.rkn.gov.ru/operators-registry/notification/form/ .
5. Разместить на сайте всплывающую информацию о сборе cookies.

Кроме этого нужно:

1. Сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали
2. Удалять по первому требованию данные, которые используются для рассылки
3. Подписать с сотрудниками обязательства о неразглашении персональных данных
4. Защищать сайт и базу данных от взлома и утечки

Зачем нужна регистрация в Роскомнадзоре?

По закону операторы персональных данных должны уведомить Роскомнадзор, причем сделать это нужно до начала обработки данных или хотя бы до 1 июля 2017 г.

Уведомление можно не подавать если:

1. Обрабатываются только данные сотрудников.
2. Персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более распространяться.
3. Человек сам опубликовал эти данные в общем доступе.
4. У вас есть только ФИО клиента.

Штрафы

Штраф не зависит от вида нарушения. Для ИП или директора 1000 руб., для юр.лица - 10000 руб.

Выпиской штрафов занимается прокуратура. Процедура длительная, сумма не высокая, поэтому на этот счет не было особых переживаний.

7 видов нарушений, общий штраф до 295000 руб.

• Нет политики конфиденциальности - штраф 10 тыс.руб. для ИП, 30 тыс.руб. для юр.лица.
• Нет согласия на обработку персональных данных клиента магазина или подписчика на информационный курс - штраф 20 тыс.руб. для ИП, 75 тыс.руб. для юр.лица.
• В форме обратной связи нет ссылки на обработку персональных данных, то штраф для юр.лица 50 тыс.руб.
• За отказ в уточнении или удалении персональных данных штраф 20 тыс.руб. для ИП и 45 тыс.руб. для юр.лица.

Выпиской штрафов занимается Роскомнадзор, решение принимается быстро.

Перед наложением штрафа Роскомнадзор присылает уведомление о нарушении и требование предоставить документы.

Будут ли штрафовать на самом деле?

Как говорится, время покажет. Но на данный момент в Тамбовоской области и в Астрахани прокуратура идет просто по списку сайтов и штрафует за формы обратной связи.

Может быть им делать больше нечего, может нагнетают страха перед введением закона. Но так или иначе, лучше подготовиться.

Татьяна Гежа,
главный эксперт-консультант ООО «ТЛС-ПРАВО»

С 01.07.2017 существенно повысилась ответственность за нарушения при обработке персональных данных. Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» внес изменения в статью 13.11 КоАП РФ. Новая редакция содержит дифференцированную шкалу штрафных санкций, вводится семь новых составов правонарушений. К ответственности будут привлекаться не только организации, но и должностные лица. Помимо тех организаций, которые обрабатывают персональные данные физических лиц - клиентов, данные изменения безусловно касаются и всех работодателей, которые обрабатывают персональные данные своих работников. Мы рассмотрим некоторые ситуации из практики, за которые работодателя могут привлечь к ответственности.

Персональные данные работников

В соответствии со ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), т. е. это любая информация о человеке, по которой его можно идентифицировать. В том числе: Ф.И.О., год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, доходы и другая информация.
Для того чтобы идентифицировать человека, порой достаточно иметь фамилию, имя и отчество и какую-нибудь дополнительную информацию, например, Ф.И.О. и номер телефона. В этом случае возможно идентифицировать личность.
Если же, например, имеется только электронный адрес и телефон, то идентифицировать личность вряд ли получится.
Чаще всего персональные данные, с которыми имеют дело кадровики, бухгалтеры, - это фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, номер телефона, семейное положение, образование, профессия.

Нужно ли брать согласие на обработку персональных данных при приеме на работу?

При заключении трудового договора в соответствии со ст. 65 ТК РФ работодатель получает от работника большой перечень персональных данных. К ним, в частности, относятся: данные документа, удостоверяющего личность, СНИЛС, трудовая книжка, данные об образовании, документы воинского учета и т. д. Все это персональные данные работника.
Так как работник выступает стороной трудового договора, получать согласие на обработку его персональных данных при заключении трудового договора не нужно (п. 5 ст. 6 Закона от 27.07.2006 № 152-ФЗ «О персональных данных».) Также на это указывает Роскомнадзор в своих Разъяснениях «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

Имеет ли право работодатель, получив персональные данные работника при заключении трудового договора, хранить в личном деле копии паспортов, военных билетов, дипломов и т. д.?

Если кадровая служба хранит в личных делах сотрудников копии паспорта, военного билета, Роскомнадзор при проведении проверки, может привлечь работодателя к ответственности в соответствии с ч. 1 ст. 13.11 КоАП РФ за обработку избыточных персональных данных работника в случаях, не предусмотренных законодательством РФ в области персональных данных.
За это на юридическое лицо может быть возложен штраф в размере от 30 000 до 50 000 руб., а на должностное лицо - от 5 000 до 10 000 руб.
Данный вывод подтверждается судебной практикой (см. Постановление ФАС Северо-Кавказского округа от 21.04.2014 по делу № А53-13327/2013).
В данном Постановлении, в частности указано: «…суд апелляционной инстанции сделал правильный вывод о том, что для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом документа, удостоверяющего личность, в котором содержатся все необходимые сведения.
Хранение копий паспорта, страниц военного билета, свидетельства о заключении брака, свидетельства о рождении ребенка на рабочем месте превышает объем обрабатываемых персональных данных работника и действующим законодательством не предусмотрено, это нарушает права и свободы гражданина, снижает уровень прав и гарантий работника,
противоречит федеральному законодательству.
При проведении проверки… сделан правильный вывод о том, что «организация <…> производит обработку избыточных персональных данных, по сравнению с теми, которые определены к заявленным целям их обработки, что является нарушением ч. 5 ст. 5 Закона № 152-ФЗ».

Обязана ли организация, арендующая офис в здании, в котором действует пропускной режим, направляя сторонней организации персональные данные работников в целях выдачи им пропусков на проход в здание, получать от них разрешение на передачу таких данных третьим лицам?

В соответствии со ст. 88 ТК РФ работодатель не должен сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами.
В своем Письме от 13.05.2011 № 1302-6-1 Роструд разъясняет, что, если обработкой персональных данных работников занимается организация, не являющаяся стороной трудовых отношений, передача персональных данных работников данной организации для последующей обработки должна осуществляться с соблюдением ограничений, установленных ст. 88 ТК РФ.
Это означает, что для оформления пропусков организация обязана получать от работников разрешение на передачу их персональных данных третьему лицу - сторонней организации.
В противном случае к организации могут применить ч. 2 ст. 13.11 КоАП РФ: обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных <…> влечет наложение административного штрафа <…> на должностных лиц - от 10 000 до 20 000 руб.; на юридических лиц - от 15 000 до 75 000 руб.

Оформление личной карточки работника

При приеме на работу работодатель обязан оформить на работника личную карточку по форме Т-2. Необходимо ли для ее оформления брать согласие с родственников работника на обработку их персональных данных?
В соответствии с Разъяснениями Роскомнадзора обработка персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой № Т-2, утвержденной Постановлением Госкомстата РФ от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», либо в случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) не требуется.
В иных случаях получение согласия близких родственников работника является обязательным условием обработки их персональных данных, иначе также возможно привлечение к ответственности в соответствии с ч. 2 ст. 13.11 КоАП РФ.

Кадровый и бухгалтерский учет осуществляется сторонней организацией. Нужно ли брать согласие от работников на обработку их персональных данных?

В соответствии с Разъяснениями Роскомнадзора при привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Федерального закона «О персональных данных», в том числе получить согласие работников на передачу их персональных данных. В противном случае возможно привлечение к ответственности работодателя в соответствии с ч. 2 ст. 13.11 КоАП РФ.

Что необходимо указать в согласии на обработку персональных данных?

В соответствии с ч. 2 ст. 13.11 КоАП РФ работодателя могут привлечь к ответственности за обработку персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных.
Согласие сотрудника на обработку персональных данных должно быть оформлено письменно. Работодателю имеет смысл разработать и утвердить в качестве приложения к положению о персональных работников бланк согласия работника на обработку и передачу его персональных данных.
Требования к содержанию письменного согласия установлены ч. 4 ст. 9 Закона № 152-ФЗ «О персональных данных».

В согласии нужно указать:
Ф.И.О., адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе;
при получении согласия от представителя работника - его Ф.И.О., адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя;
наименование или Ф.И.О. и адрес работодателя;
цель обработки персональных данных;
перечень персональных данных, которые подлежат обработке;
Ф.И.О. и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации;
перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки;
срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия;
подпись работника.

Нужно ли разрабатывать положение о персональных данных работников?

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов.
Работодатель должен определить политику организации в отношении обработки персональных данных, а также издать локальный акт, в котором будет установлен порядок обработки, хранения и защиты персональных данных работников (пп. 2 п. 1 ст. 18 Закона № 152-ФЗ «О персональных данных»).
Это означает, что работодатель должен издать локальный нормативный акт, в котором он пропишет весь порядок, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты.
С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под роспись.
Необходимость утверждения подобного документа подтверждается судебной практикой (см., например, Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06).

Примерная структура положения может быть такой:

1) «Общие положения» - в данном разделе следует указать, с какой целью принимается данное Положение и какие вопросы оно регулирует;
2) «Основные понятия. Состав персональных данных работников» - здесь следует указать, какие документы в организации содержат персональные данные;
3) «Обработка персональных данных» - в этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника;
4) «Передача персональных данных» - здесь следует прописать порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам;
5) «Доступ к персональным данным» - в данном разделе должна содержаться информация о порядке доступа к персональным данным работников. Доступ делится на внутренний (предоставление персональных данных отдельным работникам организации) и внешний (передача персональных данных представителям других организаций и государственных органов);
6) «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных» - в данном разделе нужно указать, кто в организации несет ответственность за нарушение правил хранения и использования персональных данных.
Отсутствие разработанного в организации порядка хранения и использования персональных данных работников расценивается как нарушение требований ст. 87 ТК РФ и, соответственно, образует состав административного правонарушения, предусмотренного ст. 5.27 КоАП РФ. (см., например, Решение Верховного суда Республики Карелия от 11.04.2014 по делу № 21-153/2014).