Рейтинг: 4.2/5.0 (1893 проголосовавших)Категория: Бланки/Образцы
(см. текст в предыдущей редакции )
1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.
(в ред. Федерального закона от 04.06.2014 N 142-ФЗ)
(см. текст в предыдущей редакции )
Вопрос: Организация хочет собрать базу данных отпечатков пальцев у работников для установки терминалов, считывающих эти отпечатки и отмечающих прибытие сотрудника. Законно ли это? Ранее добавили пункт в трудовой договор на согласие сотрудников на обработку биометрических данных.
Отвечает заместитель Курчатовского межрайонного прокурора Воротынцева Н.М. В соответствии с ч. 1 ст. 11 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ) к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Исходя из определения, установленного Федеральным законом N 152-ФЗ, к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта.
Принимая во внимание, что целью обработки указанных сведений в системах биометрической идентификации является установление личности конкретного лица, а также тот факт, что данная информация, содержащаяся в шаблоне, характеризует физиологические и биологические особенности человека - субъекта персональных данных, то она относится к биометрическим персональным данным, обработка которых должна осуществляться в соответствии со ст. 11 Федерального закона N 152-ФЗ, а также Федеральным законом от 25.07.1998 N 128-ФЗ "О государственной дактилоскопической регистрации в Российской Федерации".
Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации (ч. 2 ст. 11 Федерального закона N 152-ФЗ).
Ввиду изложенного, во всех случаях, не подпадающих под указанные в ч. 2 ст. 11 Федерального закона N 152-ФЗ, для использования дактилоскопической информации в системах идентификации, контроля и управления доступом необходимо получение от субъекта или его представителя согласия в письменной форме на обработку его биометрических персональных данных по правилам, установленным ч. 4 ст. 9 Федерального закона N 152-ФЗ.
Таким образом, работодатель вправе обрабатывать биометрические данные работника исключительно с его письменного согласия, за исключением случаев, когда на деятельность работодателя распространяется действие специальных федеральных законов в сфере безопасности, противодействия терроризму и иных законов.
Необходимо отметить, что при введении терминалов, считывающих дактилоскопические данные работников, согласно ст. 74 Трудового кодекса РФ, сотрудники должны быть уведомлены об изменении условий трудового договора под роспись по причинам, связанным с изменением организационных или технологических условий труда.
Здание прокуратуры Курской области 305000, г. Курск, ул. Ленина, 21
схема проезда
В соответствии с ч. 1 ст. 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных » к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций разъясняет вопросы отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки.
Соответственно, в контексте Федерального закона «О персональных данных» отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица, если иное не предусмотрено федеральными законами и принятыми на их основе нормативными правовыми актами.
Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 11 Федерального закона «О персональных данных, предусматривающей исключения, связанные с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Исходя из определения, установленного Федеральным законом «О персональных данных» к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта.
По существу обработки фото- или видеоизображения субъекта персональных данных и распространения на указанную деятельность положений ст. 11 Федерального закона «О персональных данных» необходимо отметить следующее.В соответствии со ст. 152.1 Гражданского кодекса Российской Федерации обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия его законных представителей (супруги, дети, родители). Такое согласие не требуется в случаях, когда:
Исходя из смысла указанной статьи, опубликование, в том числе редакцией СМИ, фотографического изображения в случаях, предусмотренных ст. 152.1 Гражданского кодекса Российской Федерации, а также полученного из общедоступных источников не требует соблюдения условий, связанных с получением письменного согласия субъекта персональных данных.
Существуют положения нормативных правовых актов, прямо относящих фотографическое изображение к биометрическим персональным данным.Согласно пункту 6 Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию, утвержденного постановлением Правительства Российской Федерации 4 марта 2010 г. № 125, цветное цифровое фотографическое изображение лица владельца документа является биометрическими персональными данными владельца документа.
В тоже время, необходимо принимать во внимание цель, которую преследует оператор при осуществлении действий, связанных с обработкой персональных данных, в том числе фотографического изображения, содержащихся в паспорте. В случае, если они используются оператором для установления личности субъекта персональных данных (в том числе в случае проведения такой процедуры представителями операторов, имеющими полномочия на установление личности владельца паспорта), то данная обработка должна осуществляться в строгом соответствии со ст. 11 Федерального закона «О персональных данных».
Аналогичная ситуация с фотографическими изображениями сотрудников, посетителей государственных и муниципальных органов, предприятий (организации), содержащимися в системе контроля управления доступа (СКУД), которые являются биометрическими персональными данными, поскольку характеризуют физиологические и биологические особенности человека, позволяющие установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД, и эти данные используются оператором для установления личности субъекта персональных данных в случае сомнения в том, что пропуск предъявляется его действительным владельцем.
Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным. В соответствии с ч. 1 ст. 11 Федерального закона «О персональных данных» обработка биометрических персональных данных в подобных случаях может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.
В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных». Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность.
Также не является биометрическими персональными данными фотографическое изображение, содержащиеся в личном деле работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы. Все они не могут рассматриваться как биометрические персональные данные, поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора.
Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека, и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами - органами следствия и дознания в целях установления личности конкретного лица.
Аналогичная позиция и с материалами видеосъемки в публичных местах и на охраняемой территории. До передачи их для установления личности снятого человека они не являются биометрическим персональными данными, обработка которых регулируется общими положениями Федерального закона «О персональных данных», поскольку не используются оператором (владельцем видеокамеры или лицом, организовавшим ее эксплуатацию) для установления личности. Однако, указанные материалы, используемые органами, осуществляющими оперативно-розыскную деятельность, дознание и следствие в рамках проводимых мероприятий, являются биометрическими персональными данными, в случае, если целью их обработки является установление личности конкретного физического лица.
Необходимо отметить, что при ведении видеонаблюдения в рабочих помещениях оператора с целью фиксации возможных действий противоправного характера согласно ст. 74 Трудового кодекса Российской Федерации работники должны быть уведомлены об изменении условий трудового договора по причинам, связанным с изменением организационных или технологических условий труда (введением видеонаблюдения), под роспись.
Вместе с тем, посетители указанных публичных мест должны заранее предупреждаться их администрацией о возможной фото-, видеосъемке, соответствующими текстовыми и/или графическими предупреждениями. При соблюдении указанных условий согласие субъектов на проведение указанных мероприятии не требуется.
Видеонаблюдение может осуществляться только для конкретных и заранее определенных целей. Эти цели должны быть обусловлены соответствующими нормативными правовыми актами, устанавливающими правовые основания видеонаблюдения (видеосъемки).
Кроме того, необходимо отдельно отметить случаи открытого наблюдения, которое ведется в целях обеспечения прав пациентов, клиентов, потребителей при осуществлении тех или иных услуг населению (например, медицинских или по производству продуктов питания), путем установления видеокамер направленных на рабочие места сотрудников с целью осуществления контроля качества предоставляемых услуг.
В целях установления дополнительных гарантий соблюдения прав как потребителей (пациентов, клиентов), а также самих работников и сотрудников должны быть приняты внутренние документы, которыми должны быть предусмотрены порядок и сроки хранения видеозаписей, а также ответственные лица, имеющие доступ к системе видеонаблюдения. Также необходимо предусмотреть возможность информирования о системе видеонаблюдения путем размещения информационных табличек в зонах видимости камер.
Вместе с тем, если в результате опубликования фотографий или видеозаписи, возникает реальная угроза жизни и здоровью гражданина, либо ему наносятся моральные страдания, то на основании его мотивированного обращения распространение (демонстрация) данной информации должно быть прекращено.
Наличие согласия на обработку персональных данных либо иных законных оснований (договор) также необходимо в случае использования изображения гражданина в рекламных целях.
Соблюдение указанных условий должно осуществляться средствами массовой информации на этапе предоставления заказчиком соответствующих материалов.
По существу отнесения к биометрическим персональным данным дактилоскопической информации, а также их обработки в биометрических системах идентификации, построенных на использовании в качестве идентификаторов информации об особенностях строения папиллярных узоров пальцев рук человека (дактилоскопической информации), необходимо учитывать следующее.
Обработка дактилоскопической информации в системе биометрической идентификации осуществляется путем преобразования изображения папиллярных узоров на промежуточной поверхности в цифровую форму и размещения полученных данных в базе данных в виде биометрического информационного шаблона.
Принимая во внимание, что целью обработки указанных сведений в системах биометрической идентификации является установление личности конкретного лица, а также тот факт, что данная информация, содержащаяся в шаблоне, характеризует физиологические и биологические особенности человека – субъекта персональных данных, то она относится к биометрическим персональным данным, обработка которых должна осуществляться в соответствии со ст. 11 Федерального закона «О персональных данных», а также Федеральным законом от 25.07.1998 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации».
Ввиду изложенного, во всех случаях, не подпадающих под указанные в ч. 2 ст. 11 Федерального закона «О персональных данных», для использования дактилоскопической информации в системах идентификации, контроля и управления доступом необходимо получение от субъекта или его представителя согласия в письменной форме на обработку его биометрических персональных данных по правилам, установленным ч. 4 ст. 9 Федерального закона «О персональных данных».
Оставьте свой отзыв:
Продукты и услуги Информационно-правовое обеспечение ПРАЙМ Документы ленты ПРАЙМ Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 августа 2013 г. "Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки"
Обзор документа
4 сентября 2013
В соответствии с ч. 1 ст. 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Соответственно, в контексте Федерального закона «О персональных данных» отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица, если иное не предусмотрено федеральными законами и принятыми на их основе нормативными правовыми актами.
Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 11 Федерального закона «О персональных данных, предусматривающей исключения, связанные с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Исходя из определения, установленного Федеральным законом «О персональных данных» к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта.
По существу обработки фото- или видеоизображения субъекта персональных данных и распространения на указанную деятельность положений ст. 11 Федерального закона «О персональных данных» необходимо отметить следующее.
В соответствии со ст. 152.1 Гражданского кодекса Российской Федерации обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия его законных представителей (супруги, дети, родители). Такое согласие не требуется в случаях, когда:
1) использование изображения осуществляется в государственных, общественных или иных публичных интересах.
(Согласно п. 25 постановления Пленума Верховного Суда Российской Федерации от 15 июня 2010 г. №16 к общественным интересам следует относить не любой интерес, проявляемый аудиторией, а, например, потребность общества в обнаружении и раскрытии угрозы демократическому правовому государству и гражданскому обществу, общественной безопасности, окружающей среде.
К таким интересам, к примеру, относится информация, связанная с исполнением своих функций должностными лицами и общественными деятелями. Соответственно, сообщение подробностей частной жизни лица, не занимающегося какой-либо публичной деятельностью, под данное исключение не подпадает).
2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;
3) гражданин позировал за плату.
Исходя из смысла указанной статьи, опубликование, в том числе редакцией СМИ, фотографического изображения в случаях, предусмотренных ст. 152.1 Гражданского кодекса Российской Федерации, а также полученного из общедоступных источников не требует соблюдения условий, связанных с получением письменного согласия субъекта персональных данных.
Существуют положения нормативных правовых актов, прямо относящих фотографическое изображение к биометрическим персональным данным.
Согласно пункту 6 Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию, утвержденного постановлением Правительства Российской Федерации 4 марта 2010 г. № 125, цветное цифровое фотографическое изображение лица владельца документа является биометрическими персональными данными владельца документа.
В тоже время, необходимо принимать во внимание цель, которую преследует оператор при осуществлении действий, связанных с обработкой персональных данных, в том числе фотографического изображения, содержащихся в паспорте.
В случае, если они используются оператором для установления личности субъекта персональных данных (в том числе в случае проведения такой процедуры представителями операторов, имеющими полномочия на установление личности владельца паспорта), то данная обработка должна осуществляться в строгом соответствии со ст. 11 Федерального закона «О персональных данных».
Аналогичная ситуация с фотографическими изображениями сотрудников, посетителей государственных и муниципальных органов, предприятий (организации), содержащимися в системе контроля управления доступа (СКУД), которые являются биометрическими персональными данными, поскольку характеризуют физиологические и биологические особенности человека, позволяющие установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД, и эти данные используются оператором для установления личности субъекта персональных данных в случае сомнения в том, что пропуск предъявляется его действительным владельцем.
Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.
В соответствии с ч. 1 ст. 11 Федерального закона «О персональных данных» обработка биометрических персональных данных в подобных случаях может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.
В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных».
Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность.
Также не является биометрическими персональными данными фотографическое изображение, содержащиеся в личном деле работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы. Все они не могут рассматриваться как биометрические персональные данные, поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора.
Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека, и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами - органами следствия и дознания в целях установления личности конкретного лица.
Аналогичная позиция и с материалами видеосъемки в публичных местах и на охраняемой территории. До передачи их для установления личности снятого человека они не являются биометрическим персональными данными, обработка которых регулируется общими положениями Федерального закона «О персональных данных», поскольку не используются оператором (владельцем видеокамеры или лицом, организовавшим ее эксплуатацию) для установления личности. Однако, указанные материалы, используемые органами, осуществляющими оперативно-розыскную деятельность, дознание и следствие в рамках проводимых мероприятий, являются биометрическими персональными данными, в случае, если целью их обработки является установление личности конкретного физического лица.
Необходимо отметить, что при ведении видеонаблюдения в рабочих помещениях оператора с целью фиксации возможных действий противоправного характера согласно ст. 74 Трудового кодекса Российской Федерации работники должны быть уведомлены об изменении условий трудового договора по причинам, связанным с изменением организационных или технологических условий труда (введением видеонаблюдения), под роспись.
Вместе с тем, посетители указанных публичных мест должны заранее предупреждаться их администрацией о возможной фото-, видеосъемке, соответствующими текстовыми и/или графическими предупреждениями. При соблюдении указанных условий согласие субъектов на проведение указанных мероприятии не требуется.
Видеонаблюдение может осуществляться только для конкретных и заранее определенных целей. Эти цели должны быть обусловлены соответствующими нормативными правовыми актами, устанавливающими правовые основания видеонаблюдения (видеосъемки).
Кроме того, необходимо отдельно отметить случаи открытого наблюдения, которое ведется в целях обеспечения прав пациентов, клиентов, потребителей при осуществлении тех или иных услуг населению (например, медицинских или по производству продуктов питания), путем установления видеокамер направленных на рабочие места сотрудников с целью осуществления контроля качества предоставляемых услуг.
В целях установления дополнительных гарантий соблюдения прав как потребителей (пациентов, клиентов), а также самих работников и сотрудников должны быть приняты внутренние документы, которыми должны быть предусмотрены порядок и сроки хранения видеозаписей, а также ответственные лица, имеющие доступ к системе видеонаблюдения. Также необходимо предусмотреть возможность информирования о системе видеонаблюдения путем размещения информационных табличек в зонах видимости камер.
Вместе с тем, если в результате опубликования фотографий или видеозаписи, возникает реальная угроза жизни и здоровью гражданина, либо ему наносятся моральные страдания, то на основании его мотивированного обращения распространение (демонстрация) данной информации должно быть прекращено.
Наличие согласия на обработку персональных данных либо иных законных оснований (договор) также необходимо в случае использования изображения гражданина в рекламных целях.
Соблюдение указанных условий должно осуществляться средствами массовой информации на этапе предоставления заказчиком соответствующих материалов.
По существу отнесения к биометрическим персональным данным дактилоскопической информации, а также их обработки в биометрических системах идентификации, построенных на использовании в качестве идентификаторов информации об особенностях строения папиллярных узоров пальцев рук человека (дактилоскопической информации), необходимо учитывать следующее.
Обработка дактилоскопической информации в системе биометрической идентификации осуществляется путем преобразования изображения папиллярных узоров на промежуточной поверхности в цифровую форму и размещения полученных данных в базе данных в виде биометрического информационного шаблона.
Принимая во внимание, что целью обработки указанных сведений в системах биометрической идентификации является установление личности конкретного лица, а также тот факт, что данная информация, содержащаяся в шаблоне, характеризует физиологические и биологические особенности человека - субъекта персональных данных, то она относится к биометрическим персональным данным, обработка которых должна осуществляться в соответствии со ст. 11 Федерального закона «О персональных данных», а также Федеральным законом от 25.07.1998 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации».
Ввиду изложенного, во всех случаях, не подпадающих под указанные в ч. 2 ст. 11 Федерального закона «О персональных данных», для использования дактилоскопической информации в системах идентификации, контроля и управления доступом необходимо получение от субъекта или его представителя согласия в письменной форме на обработку его биометрических персональных данных по правилам, установленным ч. 4 ст. 9 Федерального закона «О персональных данных».
Обзор документаБиометрические персональные данные граждан обрабатываются с их согласия (за исключением некоторых случаев, связанных, в частности, с реадмиссией, осуществлением правосудия, госслужбой, транспортной безопасностью, ОРД).
К таким данным относятся физиологические и биологические характеристики человека, которые используются оператором, чтобы установить его личность. В частности, это могут быть отпечатки пальцев, радужная оболочка глаз, анализы ДНК, рост, вес, изображение человека (фотография и видеозапись).
Изображение гражданина может использоваться без его согласия в государственных, общественных или иных публичных интересах. Причем это не любой интерес, проявляемый аудиторией, а, например, потребность общества в обнаружении и раскрытии угрозы демократическому правовому государству и гражданскому обществу, общественной безопасности, окружающей среде. В частности, речь может идти об информации, связанной с исполнением должностными лицами и общественными деятелями своих функций. Соответственно, сообщать подробности частной жизни лица, не занимающегося какой-либо публичной деятельностью, запрещено без его согласия.
Последнее не требуется, если изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях. Исключение - такое изображение является основным объектом использования. Согласия также не спросят, если лицо позировало за плату.
Таким образом, для опубликования, в т. ч. редакцией СМИ, фотографии гражданина в вышеуказанных случаях, а также если изображение получено из общедоступных источников, согласие лица не нужно.
Если опубликование фотографий (видеозаписи) реально угрожает жизни и здоровью гражданина либо наносит ему моральные страдания, то на основании его мотивированного обращения распространение (демонстрация) данной информации должно быть прекращено.
К биометрическим персональным данным относятся фотоизображение и иные сведения, используемые для обеспечения прохода на охраняемую территорию и установления личности гражданина. В то же время ими не являются фотография из личного дела работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным, и почерк, в т. ч. анализируемый в рамках почерковедческой экспертизы.
Не могут считаться обработкой биометрических персональных данных ксерокопирование и сканирование паспорта для подтверждения совершения определенных действий конкретным лицом (например, заключение договора на оказание услуг) без проведения процедур идентификации (установления личности).
О видеонаблюдении в рабочих помещениях сотрудники должны предупреждаться под роспись.
Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:
По состоянию на: 07.02.2012
Журнал: Справочник кадровика
Год: 2012
Автор: Станскова У. М.
Тема: Документы кадровой службы, Необходимые сведения, Оформление приема на работу
Рубрика: Кадровая практика
В июле 2011 г. были внесены очередные изменения в Закон о персональных данных - появились новые определения основных используемых понятий, в том числе и самого понятия «персональные данные». В этом номере мы решили остановиться на тех определенных законом мерах, которые следует принимать в целях обеспечения безопасности персональных данных работников. Как показала практика, далеко не все работодатели с должным вниманием отнеслись к произошедшим изменениям. А зря.
25 июля 2011 г. был принят Федеральный закон № 261-ФЗ «О внесении изменений в Федеральный закон "О персональных данных"» далее - Закон о персональных данных), который вступил в силу с 27 июля 2011 г. (со дня официального опубликования). При этом действие положений Закона о персональных данных в редакции Федерального закона № 261-ФЗ распространяется на отношения, возникшие с 1 июля 2011 г.
ПОНЯТИЕ И КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В новой редакции Закона о персональных данных изменилось само понятие «персональные данные». Теперь персональные данные - это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (п. 1 ст. 3 Закона о персональных данных). Как видим, в определении понятия не перечисляются сведения, которые составляют персональные данные.
В понятии персональных данных в настоящее время отсутствует указание на сведения, составляющие персональные данные
В трудовых отношениях субъектом персональных данных является работник. Поэтому его персональные данные - это любые сведения, которые относятся к нему прямо или косвенно (п. 1 ст. 3 Закона о персональных данных) и которые необходимы работодателю в связи с трудовыми отношениями (ст. 85 ТК РФ). Однако это не означает, что работодатель теперь вправе получить от работника любые персональные данные. Объем получаемых и обрабатываемых работодателем сведений ограничен:
1. Целями обработки персональных данных работника - они названы в п. 1 ст. 86 ТК РФ.
2. Необходимостью обработки персональных данных в связи с трудовыми отношениями:
3. Связанностью с деловыми качествами работника.
Словарь кадровикаДеловые качества - это способности физического лица выполнять определенную трудовую функцию с учетом имеющихся у него профессионально-квалификационных качеств (наличие определенной профессии, специальности, квалификации) и личностных (состояние здоровья, уровня образования, опыт работы по данной специальности, в данной отрасли)
Понятие деловых качеств содержится в п. 10 постановления Пленума Верховного Суда РФ от 17.03.2004 г. № 2 «О применении судами Российской Федерации Трудового кодекса Российской Федерации».
Таким образом, персональные данные работника включают в себя:
1) фамилию, имя, отчество; дату рождения; место рождения; возраст; адрес места жительства и регистрации;
2) паспортные данные, сведения ИНН, страхового свидетельства обязательного пенсионного страхования, медицинских полисов и других документов;
3) сведения об актах гражданского состояния: брак, рождение или усыновление детей;
4) сведения о профессии, специальности, квалификации, образовании, опыте работы; стаже; переквалификации;
5) сведения о местах работы, продолжительности работы, о переводах и других изменениях трудового договора и причинах прекращения трудовых отношений;
6) сведения о признании недееспособным, ограниченно дееспособным, о судимости, о наличии административных и иных наказаний, о привлечении к ответственности;
7) сведения о доходах, об имуществе работника и членов его семьи, о долговых обязательствах, о размере заработной платы и других выплат, о наличии акций, об учреждении юридических лиц и т. п.;
8) сведения о состоянии здоровья работника, фактах обращения за медицинской помощью и прохождения медицинских обследований, проводимом лечении, о диагнозе заболевания, о пластических и других операциях, об инвалидности, временной нетрудоспособности;
9) сведения о политических взглядах, религиозных и философских убеждениях, о членстве в общественных организациях и профсоюзах;
10) сведения об интимной жизни работника, его любовных связях, смене пола;
11) сведения о вредных и других привычках работника, его образе жизни;
12) биографические и анкетные данные работника, результаты тестирований, прохождения конкурсов, сдачи экзаменов;
13) сведения о членах его семьи, об их состоянии здоровья, возрасте, месте жительства, регистрации, доходах и т. д.
14) другие сведения.
Классификация персональных данных является решающим фактором для определения тех персональных данных, которые может обрабатывать работодатель.
Специальные категории персональных данных
Как и прежде, специальные категории персональных данных работника составляют сведения:
1) о расовой и национальной принадлежности;
2) о политических взглядах, религиозных или философских убеждениях;
3) о состоянии здоровья и интимной жизни;
В пунктах 4 и 5 ст. 86 ТК РФ предусмотрены специальные требования к получению и обработке персональных данных о политических, религиозных и иных убеждениях работника, а также сведений о его частной жизни; членстве в общественных объединениях или профсоюзной деятельности.
Относятся ли сведения о членстве в общественных объединениях и профсоюзной организации к специальным категориям персональных данных?
ТК РФ к специальным категориям персональных данных сведения о членстве в общественных объединениях или профсоюзной организации не относит. Такие сведения, на наш взгляд, также должны быть отнесены к специальным категориям, однако в Законе о персональных данных этого не сделано.
Обработка персональных данных должна вестись ссоблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта);
4) обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27.07.2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Часть 1 ст. 6 Закона о персональных данных
Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные сделаны общедоступными субъектом персональных данных;
2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25.01.2002 года № 8-ФЗ «О Всероссийской переписи населения»;
2.3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан.
Часть 2 ст. 10 Закона о персональных данных
Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Часть 2 ст. 11 Закона о персональных данных
Словарь кадровикаБиометрические персональные данные - это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных
Указанная классификация персональных данных имеет значение и при проведении классификации информационных систем в соответствии с Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» (далее - Порядок). Порядком определены следующие категории персональных данных:
Категория 1. Специальные категории персональных данных.
Категория 2. Персональные данные, позволяющие получить о субъекте персональных данных дополнительную информацию, за исключением специальных категорий персональных данных.
Категория 3. Персональные данные, позволяющие идентифицировать субъекта персональных данных.
Категория 4. Обезличенные или общедоступные персональные данные.
Биометрические персональные данные
Как и прежде, в новой редакции Закона о персональных данных не определен перечень биометрических персональных данных.
К биометрическим персональным данным работника могут быть отнесены: отпечатки пальцев, ладони, особенности сетчатки глаза, строения тела; почерк, подпись, ДНК и т. п.
В трудовых отношениях биометрические персональные данные работника используются при пропускной системе на территорию работодателя, при использовании электронно-цифровой подписи,); для использования фотографий работника, записи голоса и т. д.
СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА
В настоящее время необходимо получить согласие на обработку персональных данных в трудовых отношениях
В прежней редакции ст. 6 Закона о персональных данных не требовалось согласия на обработку персональных данных для исполнения договора, одной из сторон которого является субъект персональных данных (в частности, при обработке персональных данных работника по трудовому договору). Сегодня в ч. 1 ст. 6 этого закона обозначены случаи, когда возможно осуществлять обработку персональных данных, а в ст. 9 определены требования к согласию субъекта. При этом в ст. 9 нет перечня исключений, как это было сделано до внесения изменений в Закон о персональных данных. Поэтому в настоящее время для обработки персональных данных требуется согласие работника (приложение).
ОСОБЕННОСТИ ОБРАБОТКИ ОТДЕЛЬНЫХ ВИДОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
По общему правилу обработка специальных категорий персональных данных не допускается. Исключение сделано для обработки персональных данных в соответствии с трудовым законодательством или при наличии согласия работника.
Анализ п. 4 ст. 86 ТК РФ и новой редакции ст. 10 Закона о персональных данных свидетельствует о необходимости получения письменного согласия работника на обработку специальных категорий его персональных данных (сведений о его политических, религиозных и иных убеждениях и частной жизни).
Обработка биометрических персональных данных, как и прежде, возможна с письменного согласия работника, кроме случаев, указанных в ч. 2 ст. 11 Закона о персональных данных.
У нас фотографии лучших работников, которым была присуждена эта номинация по итогам ежегодного конкурса, вывешиваются на Доске почета. Необходимо ли для этого письменное согласие сотрудников?
Согласно ч. 1 ст. 11 Закона о персональных данных фотографии работников относятся к биометрическим персональным данным, которые, в свою очередь, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.
Таким образом, для размещения фотографий работников на Доске почета необходимо получить у них письменное согласие на это.
В определенных Законом о персональных данных случаях работодатель вправе продолжить обработку персональных данных работника, даже в случае отзыва его согласия на такую обработку
Обработка персональных данных, подлежащих трансграничной передаче на территории иностранных государств, осуществляется по требованиям ст. 12 Закона о персональных данных.
Работодатель должен определить, обеспечивает ли адекватную защиту персональных данных то иностранное государство, на территорию которого он предполагает передачу персональных данных.
Если иностранное государство не обеспечивает надлежащей защиты персональных данных, то трансграничная передача персональных данных возможна:
1) при наличии письменного согласия работника на трансграничную передачу его персональных данных;
2) в случаях, предусмотренных международными договорами РФ;
3) в случаях, предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя РФ, обеспечения обороны страны, безопасности государства, а также обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
4) для исполнения трудового договора с работником;
5) для защиты жизни, здоровья, иных жизненно важных интересов работника или других лиц при невозможности получения письменного согласия работника.
ОТЗЫВ СОГЛАСИЯ РАБОТНИКА НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Изменился и порядок отзыва согласия работника на обработку его персональных данных - работник может сделать это в любой момент. Однако работодатель вправе продолжить обработку персональных данных такого работника в случаях, названных в пп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных.
УВЕДОМЛЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Изменился и порядок отзыва согласия работника на обработку его персональных данных - работник может сделать это в любой момент. Однако работодатель вправе продолжить обработку персональных данных такого работника в случаях, названных в пп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных.
Согласно Закону о персональных данных не требуется уведомлять территориальные органы Роскомнадзора об обработке персональных данных, если такая обработка осуществляется в соответствии с трудовым законодательством. Относится ли данное исключение только к работникам организации или об обработке персональных данных кандидатов на вакантные должности также можно не уведомлять Роскомнадзор?
Взаимоотношения будущего работодателя и кандидата на вакантную должность не являются еще трудовыми правоотношениями, поэтому в данной ситуации следует руководствоваться ч. 2 ст. 22 Закона о персональных данных и определить необходимость уведомления. Если перечисленные исключения не подходят, то следует направить уведомление об обработке персональных данных.
Новую форму уведомления об обработке персональных данных см. на портале HR-Portal
Следует обратить внимание на новую форму уведомления, предусмотренную приказом Роскомнадзора от 19.08.2011 № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных».
В частности, в новую форму включена графа, в которой указываются меры, принимаемые оператором для обеспечения безопасности персональных данных, в том числе криптографических, с учетом положений ст. 18.1 и 19 Закона о персональных данных.
Также в уведомлении надлежит указать юридическое лицо, ответственное за организацию обработки персональных данных, контактные телефоны, адреса.
В новой форме уведомления предусмотрена необходимость указать сведения о трансграничной передаче персональных данных и перечень иностранных государств, на территорию которых передаются персональные данные.
Отдельной строкой следует обозначить сведения об обеспечении безопасности персональных данных.
МЕРЫ, НАПРАВЛЕННЫЕ НА ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ТРУДОВЫХ И ИНЫХ НЕПОСРЕДСТВЕННО СВЯЗАННЫХ С НИМИ ОТНОШЕНИЯХ
В Законе о персональных данных появилась ст. 18.1, где определены меры, направленные на обеспечение безопасности персональных данных.
В силу ст. 19 Закона о персональных данных такие меры классифицируются на три группы.
Группа 1. Правовые меры.
Группа 2. Организационные меры.
Группа 3. Технические меры.
Требования статьи 18.1 Закона о персональных данных обращены только к оператору - юридическому лицу. Означает ли это, что для работодателей - физических лиц, являющихся операторами персональных данных, такие требования носят рекомендательный характер?
В силу того, что ответственность за обеспечение безопасности персональных данных предусмотрена для любых операторов, полагаем, что работодателю - физическому лицу также следует руководствоваться ст. 18.1 Закона о персональных данных.
Остановимся на новых требованиях подробнее.
Требование 1. Работодатель как оператор должен назначить лицо, ответственное за обработку персональных данных, и оформить назначение приказом. Возложение соответствующих обязанностей на ответственного работника также должно быть подкреплено соответствующим трудовым договором и должностной инструкцией.
Обратите внимание: если выполнение таких обязанностей выходит за пределы трудовой функции того работника, на которого работодатель собирается возложить эти обязанности, то такое поручение возможно только с согласия работника.
Так, поручение дополнительной работы должно быть оформлено путем совмещения профессий (должностей). В некоторых ситуациях потребуется оформить перевод на другую работу.
Требование 2. Издание документов, определяющих политику в отношении обработки персональных данных, и локальных актов.
В Законе о персональных данных определено два вида локальных актов в области персональных данных.
Вид 1. Локальные акты по вопросам обработки персональных данных.
Вид 2. Локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
Занимаемся в настоящее время разработкой политики в отношении обработки персональных данных. Как правильно назвать данный документ? Что он должен содержать?
Документы, определяющие политику оператора в отношении персональных данных, как правило, именуются «Политика конфиденциальности» и могут содержать следующие разделы:
Согласно ч. 2 ст. 18 Закона о персональных данных работодатель обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Работодатель, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Ряд компаний уже опубликовали свою политику конфиденциальности персональных данных в сети Интернет. Например, Яндекс (company. yandex. ru/legal/confidential).
Требование 3. Работодатель должен применить организационные, правовые и технические меры защиты персональных данных работника.
Меры по обеспечению конфиденциальности персональных данных определены в ст. 19 Закона о персональных данных. Однако конкретизация названных мер в ней отсутствует, так как в ч. 1 ст. 18.1 Закона о персональных данных ^ указано, что оператор сам определяет состав и перечень необходимых мер. Определены только средства, с помощью которых может быть достигнута безопасность персональных данных (ч. 2 ст. 19 Закона о персональных данных).
В частности, обеспечению безопасности способствует установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
Требование 4. Работодатель должен осуществлять внутренний контроль (аудит) соответствия обработки персональных данных требованиям нормативных правовых актов в этой области, а также принятой работодателем политике обработки персональных данных и локальным нормативным актам работодателя.
Полномочия по осуществлению такого контроля могут быть возложены на ответственного работника. Также может быть создана комиссия для проведения соответствующего контроля.
Требование 5. Работодатель должен оценить вред, который может быть причинен при нарушении требований по обеспечению безопасности персональных данных, и соотнести его с принятыми мерами защиты.
Требование 6. Работодатель должен ознакомить работников, получающих доступ к персональным данным, с требованиями законодательства, политики организации и локальными нормативными актами об обеспечении безопасности персональных данных.
В этих целях может быть проведено обучение работников работе с персональными данными и обеспечению их безопасности.
В связи с изменением законодательства в области защиты персональных данных мы обновили локальные нормативные акты, посвященные этим вопросам. Как должно быть оформлено ознакомление работников с новыми требованиями о персональных данных?
Ознакомление работников с установленными требованиями о персональных данных может быть оформлено несколькими способами. Приведем наиболее распространенные из них.
Способ 1. Приложить к политике организации и локальным нормативным актам об обеспечении безопасности персональных данных листы ознакомления, на которых работник будет проставлять визы ознакомления, включающие личную подпись, дату ознакомления и расшифровку личной подписи.
Способ 2. Оформить специальный журнал ознакомления работников с политикой организации и локальным нормативным актом об обеспечении безопасности персональных данных.
Способ 3. Составить перечень документов об обеспечении безопасности персональных данных, с которыми должен быть ознакомлен работник, довести до сведения работника каждый документ, оформить визы ознакомления с каждым из них. В дальнейшем приложить оформленный перечень к трудовому договору, заключенному с работником, указав (от руки) дату и номер договора.
ПОРУЧЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Работодатель обязан назначить лицо, ответственное за организацию обработки персональных данных
В Законе о персональных данных появилась ст. 22.1, где предусмотрена обязанность оператора персональных данных назначить лицо, ответственное за организацию обработки персональных данных.
Такое поручение может быть дано и сторонней организации. Отдельно в статье оговорено, что такое ответственное лицо получает указания от исполнительного органа организации (т. е. руководителя организации) и подотчетно ему.
Если таким ответственным лицом является работник организации, то в его трудовом договоре (должностной инструкции) следует предусмотреть следующие обязанности:
1) осуществлять внутренний контроль соблюдения законодательства о персональных данных у работодателя - оператора персональных данных, в том числе действий других работников;
2) доводить до сведения других работников требования законодательства и локальных нормативных актов об обработке и защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных (их представителей) по вопросам обработки и защиты персональных данных.
ПРАВА РАБОТНИКА КАК СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Работник как субъект персональных данных может сделать запрос об обработке своих персональных данных.
В соответствии с новой редакцией ст. 14 Закона о персональных данных работник имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.
ОБЯЗАННОСТИ РАБОТОДАТЕЛЯ ПРИ СБОРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В новой редакции ст. 18 Закона о персональных данных определена обязанность оператора персональных данных уведомить субъекта о получении его персональных данных от третьих лиц.
Вместе с этим определены случаи, когда оператор освобожден от такой обязанности, в частности, если персональные данные получены в связи с исполнением договора, стороной которого является субъект. В силу же п. 3 ст. 86 ТК РФ при получении персональных данных работника от третьих лиц его следует уведомить об этом заранее и указать цели, предполагаемые источники и способы получения персональных данных, сообщить о характере получаемых данных и последствиях отказа. Поэтому, несмотря на исключения, предусмотренные в ч. 4 ст. 18 Закона о персональных данных, работодатель должен уведомить работника о получении его персональных данных от других лиц и получить от него письменное согласие.
Примерная форма согласия работника на обработку персональных данных
