Единый центр защиты персональных данных требует предоставить персональные данные

Вопрос

Пришло письмо от организации Единый центр защиты персональных данных. Они требуют предоставить им данные наших сотрудников. Правомерно ли это?

Ответ

Рассмотрев Ваш вопрос, сообщаем, что согласно действующему законодательству работодатель не имеет право сообщать  персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами (ст.88 ТК РФ).

Не требуется согласие работника на передачу персональных данных, например в ФСС, налоговые органы, прокуратура, полиция, ФСБ.

Предоставление в Единый центр защиты персональных данных, персональных данных работников, без их согласия,  законодательством не предусмотрено.

Обоснование

1.При передаче персональных данных работника работодатель должен соблюдать следующие требования:

не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;
ст. 88, «Трудовой кодекс Российской Федерации» от 30.12.2001 N 197-ФЗ (ред. от 22.11.2021) {КонсультантПлюс}

 

2.Не требуется согласие работника на передачу персональных данных:

— третьим лицам в целях предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ, абз. 1 п. 4 Разъяснений Роскомнадзора);

— в ФСС РФ, ПФР в объеме, предусмотренном законом (абз. 15 ч. 2 ст. 22 ТК РФ, п. 2 ст. 12 Федерального закона от 16.07.1999 N 165-ФЗ, ч. 2 ст. 15 Федерального закона от 01.04.1996 N 27-ФЗ, п. 2 ст. 14 Федерального закона от 15.12.2001 N 167-ФЗ, абз. 3 п. 4 Разъяснений Роскомнадзора);

— в налоговые органы (пп. 1, 2, 4 п. 3 ст. 24 НК РФ, п. 2 ст. 12 Закона об основах обязательного соцстрахования, абз. 5 п. 4 Разъяснений Роскомнадзора);

— в военные комиссариаты (абз. 4 п. 1 ст. 4 Федерального закона от 28.03.1998 N 53-ФЗ, пп. «г» п. 30, пп. «а»«в», «д», «е» п. 32 Положения о воинском учете, утвержденного Постановлением Правительства РФ от 27.11.2006 N 719, абз. 5 п. 4 Разъяснений Роскомнадзора);

— по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем (абз. 5 ч. 6 ст. 370 ТК РФ, п. 1 ст. 17, п. 1 ст. 19 Федерального закона от 12.01.1996 N 10-ФЗ, абз. 5 п. 4 Разъяснений Роскомнадзора);

— по мотивированному запросу органов прокуратуры (п. 1 ст. 22 Федерального закона от 17.01.1992 N 2202-1, абз. 7 п. 4 Разъяснений Роскомнадзора);

— по мотивированному требованию правоохранительных органов и органов безопасности (ст. 6 Федерального закона от 29.07.2004 N 98-ФЗ, п. 4 ч. 1 ст. 13 Федерального закона от 07.02.2011 N 3-ФЗ, п. «м» ч. 1 ст. 13 Федерального закона от 03.04.1995 N 40-ФЗ, абз. 7 п. 4 Разъяснений Роскомнадзора);

— по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности (абз. 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений Роскомнадзора);

— по запросу суда. Это следует из анализа ч. 47 ст. 66 АПК РФ, ч. 1, 2 ст. 57 ГПК РФ;

— в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом (абз. 5 ст. 228 ТК РФ). Перечень оповещаемых органов и сроки направления извещений о несчастном случае установлены ст. 228.1 ТК РФ;

— в случаях, связанных с исполнением работником должностных обязанностей (например, при направлении в командировку). Это следует из совокупного анализа ч. 55.2 ст. 11 Федерального закона от 09.02.2007 N 16-ФЗ, п. 13 Правил предоставления гостиничных услуг, утвержденных Постановлением Правительства РФ от 18.11.2020 N 1853, абз. 4 п. 4 Разъяснений;

— для предоставления сведений в кредитную организацию, обслуживающую платежные карты работников, если в договоре о выпуске карт (коллективном договоре, локальном нормативном акте организации) предусмотрено право работодателя передавать персональные данные работников либо работодатель действует на основании доверенности на представление интересов работников (абз. 10 п. 4 Разъяснений).
Путеводитель по кадровым вопросам. Персональные данные работников {КонсультантПлюс}

3.Органы Роскомнадзора контролируют соблюдение требований в сфере персональных данных в рамках контрольных (надзорных) мероприятий в соответствии с Законом N 248-ФЗ. Они проводятся с взаимодействием с контролируемым лицом.

Для органов Роскомнадзора не имеет значения, подавали вы уведомление о начале обработки персональных данных или нет. Они могут контролировать соблюдение вами требований в любом случае. Ни Закон о персональных данных, ни Положение о госконтроле (надзоре) за обработкой персональных данных прямо об этом не говорят. В этих документах речь идет об операторах персональных данных. Таковыми признаются любые лица, организующие и (или) осуществляющие обработку данных, а также определяющие цели и содержание такой обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными. Роскомнадзор подчеркивает, что лицо признается оператором персональных данных вне зависимости от того, включено оно или нет в реестр операторов, который ведет Роскомнадзор (п. 2 ст. 3 Закона о персональных данных, Информация Роскомнадзора).
Готовое решение: Как Роскомнадзор контролирует соблюдение требований в сфере персональных данных (КонсультантПлюс, 2021) {КонсультантПлюс}

4.Какие меры по защите персональных данных физлиц нужно принимать при обработке этих данных

 

При обработке персональных данных физлиц, к примеру ваших клиентов, партнеров, вы должны принять меры, чтобы не допустить любые противоправные действия в отношении этих данных, в частности их копирование, распространение.

Для этого вам нужно создать определенный пакет документов, включая положение об обработке персональных данных и приказы о назначении ответственных, а также принять ряд организационных и технических мер, в том числе ограничить доступ в помещения, установить пароли.

Сложнее всего организовать защиту данных, которые вы храните в электронном виде. Для этого вам придется предварительно определить тип угрозы и подобрать нужный уровень защищенности данных.

 

  1. Какие требования предъявляются к защите персональных данных

Если вы обрабатываете персональные данные (являетесь оператором), то вы должны принять меры для их защиты. Вы сами решаете, какие именно меры и в каком составе будете принимать, кроме случаев, когда закон обязывает вас принять конкретные меры, например назначить ответственное лицо (ч. 1 ст. 22.1 Закона об обработке персональных данных).

Учтите, что эти меры должны быть достаточными, чтобы обеспечить выполнение ваших обязанностей и не допустить неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, копирование, распространение, а также иные неправомерные действия с ними (ч. 1 ст. 18.1, ч. 1 ст. 19 Закона о персональных данных). В противном случае вас могут привлечь к ответственности за нарушение законодательства о персональных данных.

Вы должны принять меры нескольких видов:

  • правовые. Это создание комплекта документов, необходимых для защиты персональных данных;
  • технические и организационные. Это действия, которые вы должны совершить, чтобы обеспечить безопасность. Например, установить шифрование, обучить сотрудников.

Специальные требования по защите персональных данных предусмотрены для отдельных категорий операторов. Например, существует специальный Перечень мер для операторов-госорганов. А компании, которые подпадают под действие Европейского регламента о персональных данных (GDPR) (к примеру, если они продают товары гражданам Евросоюза), должны учитывать также требования этого регламента.

 

  1. Какие действия нужно совершить, чтобы обеспечить защиту персональных данных при их обработке

Чтобы обеспечить защиту персональных данных физлиц при их обработке, вам нужно принять ряд организационных и технических мер.

В основном эти меры совпадают с мерами по защите персональных данных работников, поскольку Закон о персональных данных не проводит различий между персональными данными работников и прочих физлиц.

Конкретный перечень этих мер зависит от того, как вы храните данные — в электронном виде или на бумажном носителе. В отношении данных на бумажных носителях достаточно ограничить и контролировать физический доступ к ним (например, хранить их в сейфе).

Сложнее организовать защиту электронных данных. Для этого вам потребуется определить, какой у вас тип угрозы безопасности персональных данных и исходя из этого подобрать один из четырех уровней защищенности (п. п. 712 Требований к защите персональных данных при их обработке в информационных системах). От уровня защищенности будет зависеть конкретный комплекс мер, которые вы должны принять (п. п. 1316 указанных Требований).

  1. Какие документы нужно создать для защиты персональных данных при их обработке

Четкий перечень этих документов законом не установлен. Рекомендуем подробно отразить в документах весь процесс обработки персональных данных. Это позволит вам, в частности, избежать претензий со стороны контролирующих органов в случае проверки.

Создайте следующий комплект основных документов:

  • политика в отношении обработки персональных данных или иной локальный нормативный акт (п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Это самый главный документ, который устанавливает категории, цели, способы обработки персональных данных, порядок их хранения и использования. Желательно, чтобы данный документ учитывал Рекомендации Роскомнадзора по его составлению.

Если у вас уже есть подобный локальный акт по персональным данным работников, вы можете в нем же предусмотреть положения о защите прав иных физлиц (например, добавить специальный пункт по физлицам).

Если у вас есть интернет-сайт, через который вы получаете персональные данные, разместите на нем политику в отношении обработки персональных данных (или иной аналогичный акт) так, чтобы посетители сайта имели доступ к ней (ч. 2 ст. 18.1 Закона о персональных данных);

  • приказ о назначении лица, ответственного за организацию обработки персональных данных физлиц. Вы обязаны назначить такое лицо (ч. 1 ст. 22.1 Закона о персональных данных). Им может стать любой ваш работник, например руководитель отдела по работе с клиентами. Если у вас уже назначен ответственный за персональные данные работников, вы можете назначить его же ответственным за данные прочих физлиц. Это удобно, поскольку обязанности ответственного лица не зависят от того, чьи данные вы обрабатываете — работников или, например, клиентов;
  • приказ об утверждении перечня работников, имеющих доступ к персональным данным физлиц. Такой приказ может служить доказательством того, что конкретное лицо имело доступ к персональным данным. Это важно, в случае если произошло разглашение данных и нужно установить виновных;
  • соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным. В этом соглашении работники, которые сталкиваются с персональными данными ваших клиентов или партнеров, обязуются не разглашать их.

Вы можете включить в этот комплект и другие необходимые для вас документы. Например, это могут быть журналы учета и движения персональных данных или подробные регламенты по работе с персональными данными.
Готовое решение: Какие меры по защите персональных данных физлиц нужно принимать при обработке этих данных (КонсультантПлюс, 2021) {КонсультантПлюс}

Ответ подготовлен  26.11.2021 г.

Cтатус предоставленных  документов  актуален  на  момент  формирования  ответа.

Ответ подготовлен  в соответствии с регламентом Линии консультаций, можно заранее ознакомиться с услугой на сайте www.fkit.ru.

Эксперты Центра клиентской поддержки не могут взять на себя ответственность за возможное различное толкование норм законодательства различными органами и лицами. Решение о принятии или непринятии той или иной точки зрения и о последующих действиях осуществляется Вами самостоятельно.

Мы уже готовы ответить на ваш вопрос

Все недельные новости за 3 минуты.

Специально для Вас, мы соберем самые свежие и интересные новости за неделю. Подписывайтесь и ждите нашей вечерки.

Без спама, рекламы и новостей про покемонов.