Вы здесь: Коды организаций и ИП

РОССИЙСКАЯ ФЕДЕРАЦИЯ

О ПЕРСОНАЛЬНЫХ ДАННЫХ

Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

4) распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

5) использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

6) блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

7) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

8) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

9) информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

10) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

11) трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

12) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Статья 4. Законодательство Российской Федерации в области персональных данных

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных.

Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

Глава 2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 5. Принципы обработки персональных данн ых

1. Обработка персональных данных должна осуществляться на основе принципов:

1) законности целей и способов обработки персональных данных и добросовестности;

2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Статья 7. Конфиденциальность персональных данных

1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обеспечение конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Статья 8. Общедоступные источники персональных данных

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные являются общедоступными;

3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

6) обработка персональных данных необходима в связи с осуществлением правосудия;

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

Статья 11. Биометрические персональные данные

1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Статья 12. Трансграничная передача персональных данных

1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

1) наличия согласия в письменной форме субъекта персональных данных;

2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;

3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;

4) исполнения договора, стороной которого является субъект персональных данных;

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

Глава 3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 14. Право субъекта персональных данных на доступ к своим персональным данным

1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

2) способы обработки персональных данных, применяемые оператором;

3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

4) перечень обрабатываемых персональных данных и источник их получения;

5) сроки обработки персональных данных, в том числе сроки их хранения;

6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:

1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) предоставление персональных данных нарушает конституционные права и свободы других лиц.

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

Статья 17. Право на обжалование действий или бездействия оператора

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Глава 4. ОБЯЗАННОСТИ ОПЕРАТОРА

Статья 18. Обязанности оператора при сборе персональных данных

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.

2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных

1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.

2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.

3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных

1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.

3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

Статья 22. Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных.

4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.

Глава 5. КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ
ДАННЫХ. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ
НАСТОЯЩЕГО ФЕДЕРАЛЬНОГО ЗАКОНА

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:

1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;

6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

5. Уполномоченный орган по защите прав субъектов персональных данных обязан:

1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;

2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;

3) вести реестр операторов;

4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;

5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;

6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;

7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.

6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.

7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.

8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.

9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.

Статья 24. Ответственность за нарушение требований настоящего Федерального закона

Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Статья 25. Заключительные положения

1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.

2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.

3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

Президент
Российской Федерации
В.ПУТИН

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

Материал подготовлен с использованием справочно-правовой системы

ПЕРСОНАЛЬНЫЕ ДАННЫЕ РАБОТНИКОВ

Персональные данные

Получение персональных данных

Обработка персональных данных

Хранение и использование персональных данных

Передача персональных данных

Ответственность за нарушение норм, регулирующих защиту персональных данных

ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Понятие персональных данных

Понятие персональных данных

Персональные данные объективно присущи любому человеку, они подчеркивают правовой статус человека и гражданина. Персональные данные содержат необходимый объем информации о человеке, который участвует в соответствующих правоотношениях. Персональные данные принадлежат непосредственно человеку, и он в их несанкционированном распространении, как правило, не заинтересован, в этой связи неслучайно, что персональные данные охраняются различными правовыми средствами. Исходя из этого вполне логично, что доступ к персональным данным имеет весьма ограниченный круг лиц, работодатель, сотрудники кадровых служб и др. В этой связи значение персональных данных трудно переоценить. В настоящее время правовое регулирование персональных данных привлекает внимание ученых и специалистов-практиков.

В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и т.д. Согласно ст. 85 ТК РФ под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. В Трудовом кодексе РФ не уточняется, какая именно информация о работнике требуется работодателю. Исходя из этого можно сделать вывод, что работодатель имеет право затребовать от работника только ту информацию, которая характеризует последнего именно как сторону трудового договора, а не как личность. Следовательно, работодатель не может требовать от работника предоставления персональных сведений, которые не связаны с осуществлением его трудовой деятельности в конкретной организации.

Однако, исходя из определения персональных данных, которое приведено в Законе о персональных данных, можно сделать вывод, что персональные данные — это любая информация, которая позволяет идентифицировать конкретного человека.

Таким образом, для определения состава персональных данных, необходимых работодателю в рамках трудовых отношений, рекомендуется руководствоваться формулировкой, приведенной в Трудовом кодексе РФ.

Персональные данные могут содержать следующую информацию:

— фамилия, имя, отчество;

— пол, возраст;

— физиологические особенности человека;

Образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;

— состояние здоровья и сексуальная ориентация;

— принадлежность лица к конкретной нации, этнической группе, расе;

— место жительства;

— привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);

— семейное положение, наличие детей, родственные связи;

— факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

— религиозные и политические убеждения (принадлежность к религиозной конфессии, членство в политической партии, участие в общественных объединениях, в т.ч. в профсоюзе, и др.);

— финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);

— деловые и иные личные качества, которые носят оценочный характер;

— прочие сведения, которые могут идентифицировать человека.

Из указанного списка работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора. Подробнее об этом см. п. 2 настоящего материала.

Вопрос: Относится ли фотография работника к персональным данным?

В действующем законодательстве прямо не установлено, что фотография относится к персональным данным. Однако работодатель не может использовать фотографию работника без его согласия.

Исходя из определения персональных данных, которое дано в Законе о персональных данных, нельзя однозначно сказать, является ли фотография сама по себе персональными данными. В этом Законе фотография прямо не указана как объект, на основании которого можно идентифицировать человека (п. 1 ст. 3 Закона о персональных данных). Как следует из смысла Закона, под персональными данными понимается информация, содержащая сведения о фамилии, имени, отчестве, годе, месяце, дате и месте рождения, адресе, семейном, социальном, имущественном положении, образовании, профессии, доходах и т.д. Следовательно, если фотография не предполагает отображения таких сведений, то отнести ее к персональным данным, вероятнее всего, нельзя.

Тем не менее согласно ст. 152.1 ГК РФ обнародование и дальнейшее использование изображения гражданина допускаются только с его согласия. Соответственно, использование фотографии человека (в т.ч. работника) без его согласия не допускается.

Документы, содержащие персональные данные

В процессе трудовой деятельности работника работодатель копит и хранит документы, содержащие персональные данные работника. Исходя из определения персональных данных, которое дано в Законе о персональных данных, такие сведения могут содержаться в следующих документах:

— анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу. В этих документах содержатся анкетные и биографические данные работника;

— копия документа, удостоверяющего личность работника. Здесь указываются фамилия, имя, отчество, дата рождения, адрес регистрации, семейное положение, состав семьи работника, а также реквизиты этого документа;

— личная карточка N Т-2. В ней указываются фамилия, имя, отчество работника, место рождения, состав семьи, образование, а также данные документа, удостоверяющего личность, и пр.;

— трудовая книжка или ее копия со сведениями о трудовом стаже, предыдущих местах работы;

— копии свидетельств о заключении брака, рождении детей. Такие документы содержат сведения о составе семьи, которые могут понадобиться работодателю для предоставления работнику определенных льгот, предусмотренных трудовым и налоговым законодательством;

— документы воинского учета с информацией об отношении работника к воинской обязанности и необходимы работодателю для осуществления в организации воинского учета работников;

— справка о доходах с предыдущего места работы. Нужна работодателю для предоставления работнику определенных льгот и компенсаций в соответствии с налоговым законодательством;

— документы об образовании с квалификацией работника;

— документы обязательного пенсионного страхования работника;

— трудовой договор со сведениями о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника;

— подлинники и копии приказов по личному составу. В них содержится информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника;

— при необходимости — иные документы, содержащие персональные данные работников.

Кроме того, работодатель в процессе своей деятельности собирает информацию о соискателях, необходимую для принятия решения о вступлении с ними в трудовые отношения. Если эта информация содержит персональные данные соискателей, к ней в полной мере относятся установленные законом требования о сборе, обработке, хранении, защите персональных данных.

Право работников на защиту своих персональных данных

В соответствии с ч. 1 ст. 89 ТК РФ работники имеют право на полную информацию об их персональных данных и обработке этих данных. Соответственно, работодатель обязан ознакомить их с такой информацией.

Согласно п. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Следовательно, конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах, определяющих порядок обработки и защиты персональных данных работника. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным. Подробнее об этом см. раздел «Хранение и использование персональных данных» настоящего материала.

Работники, согласно ст. 89 ТК РФ, имеют право на свободный бесплатный доступ к своим персональным данным, в т.ч. на получение копии любой записи, содержащей такие данные.

Учитывая требования ст. 62 ТК РФ, по письменному заявлению работника работодатель обязан не позднее трех рабочих дней со дня получения от работника заявления выдать ему копии документов, связанных с работой (приказа о приеме на работу, приказов о переводах на другую работу, приказа об увольнении с работы, выписки из трудовой книжки, справок о заработной плате, о начисленных и фактически уплаченных пенсионных взносах, о периоде работы у данного работодателя и др.). Данные копии заверяются надлежащим образом и предоставляются работнику безвозмездно.

Работник также может определить представителя для защиты своих персональных данных. Традиционно представителями работников являются профсоюзы, однако для указанных целей работник может определить иное лицо (физическое либо юридическое), а также защищать права самостоятельно.

Также работникам предоставляется право доступа к персональным данным, относящимся к медицинским данным, с помощью медицинского специалиста по их выбору.

Работники имеют право требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями требований Трудового кодекса РФ или иного федерального закона. В случае отказа работодателя исключить или исправить персональные данные работника последний имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения (ст. 89 ТК РФ).

В соответствии со ст. 89 ТК РФ по требованию работника работодатель обязан известить всех лиц, которым ранее были сообщены неверные или неполные персональные данные этого работника, обо всех произведенных в них исключениях, исправлениях или дополнениях. Работники имеют право обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.

Важно! В соответствии с п. 4 ст. 86 ТК РФ работодатель не имеет права получать и обрабатывать данные работника о его политических, религиозных и иных убеждениях и частной жизни без его письменного согласия, если это не связано с трудовыми отношениями. Неприкосновенность частной жизни гарантирована ст. 23 Конституции РФ, и согласно ст. 24 Конституции сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Получение персональных данных работника от третьих лиц. Согласие работника на предоставление таких данных третьим лицам

Получение персональных данных от работника

В соответствии с п. 3 ст. 86 ТК РФ все персональные данные работника следует получать у него лично. Если такие данные возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению данных и последствиях отказа работника дать письменное согласие на их получение.

Данная норма исключает сбор сведений о работнике без его ведома. В соответствии с п. 1 ст. 9 Закона о персональных данных субъект персональных данных принимает решение о предоставлении своих данных и дает согласие на их обработку своей волей и в своем интересе. Указанный Закон также возлагает на работодателя обязанность представить доказательство получения согласия на обработку персональных данных, а в случае обработки общедоступных данных — обязанность доказать, что эти данные являлись общедоступными (п. 1 ст. 9 Закона о персональных данных). Однако следует учитывать, что в силу п. 2 ч. 2 ст. 6 Закона о персональных данных согласия субъекта персональных данных не требуется, когда обработка таких данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. Поскольку работник является стороной трудового договора, то письменное согласие на получение его персональных данных не нужно.

Получение персональных данных работника от третьих лиц. Согласие работника на предоставление таких данных третьими лицами

Согласно п. 3 ст. 86 ТК РФ если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере таких данных и последствиях отказа работника дать письменное согласие на их получение. При отказе работника от ознакомления с уведомлением о предполагаемом получении его персональных данных у иного лица составляется акт, который должен быть подписан лицами, предъявившими работнику соответствующее уведомление.

В уведомлении необходимо указать цели получения персональных данных работника у иного лица, предполагаемые источники информации (лица, у которых будут запрашиваться данные), способы получения данных, их характер, а также те последствия, которые наступят, если работник откажет работодателю в получении персональных данных у иного лица.

Целями получения персональных данных работника у третьего лица в соответствии с п. 1 ст. 86 ТК РФ являются исключительно соблюдение законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение их личной безопасности, контроля количества и качества выполняемой работы и сохранности имущества. Следовательно, запрашивать иную информацию, не имеющую отношения к вышеназванным целям, от третьих лиц работодатель не вправе даже с согласия работника.

См. образец заполнения уведомления.

Вопрос: Может ли работодатель передавать персональные данные своих бывших работников новым работодателям по их запросам?

Такие действия можно совершать только при наличии письменного согласия работника.

Из содержания п. 3 ст. 86 ТК РФ следует, что запрашивать информацию у третьей стороны, в том числе и у предыдущего работодателя, нынешний работодатель может только с согласия работника и только если данную информацию нельзя получить у самого работника. Иными словами, потенциальный работодатель вправе запросить информацию при наличии согласия работника, а прежний работодатель вправе ее передать с тем же условием.

ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

Требования к обработке персональных данных

В соответствии со ст. 3 Закона о персональных данных обработка персональных данных — это действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передачу), обезличивание, блокирование, уничтожение персональных данных.

Согласно ст. 5 Закона о персональных данных персональные данные должны обрабатываться на основе принципов:

1) законности целей и способов обработки и добросовестности;

2) соответствия целей обработки целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых данных, способов обработки целям их обработки;

4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, лишних по отношению к целям, заявленным при сборе данных;

Следует также учитывать положения ст. 86 ТК РФ, в соответствии с которой обработка персональных данных работника может осуществляться исключительно в целях соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения их личной безопасности, контроля количества и качества выполняемой работы и сохранности имущества.

Условия обработки персональных данных

В соответствии со ст. 6 Закона о персональных данных персональные данные должны обрабатываться с согласия субъектов персональных данных. Однако в силу п. 2 ч. 2 указанной статьи такого согласия не требуется, если обработка этих данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. Исходя из упомянутой нормы обработка персональных данных работников, отношения с которыми оформлены трудовыми договорами, может происходить без согласия работников и требовать от них согласия на такую обработку необязательно.

Поскольку соискатели работы не состоят с потенциальным работодателем в договорных отношениях, персональные данные этих лиц должны обрабатываться с их согласия.

В соответствии со п. 4 ст. 9 Закона о персональных данных письменное согласие субъекта персональных данных на обработку своих данных должно содержать:

2) фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки;

4) перечень данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

Для обработки персональных данных соискателя, содержащихся в письменном согласии лица на такую обработку, дополнительного согласия не требуется.

При недееспособности субъекта персональных данных письменное согласие на обработку его данных дает его законный представитель. В случае смерти субъекта персональных данных такое согласие оформляют его наследники, если оно не было получено от самого субъекта при жизни.

См. образец заполнения согласия.

См. образец заполнения отзыва согласия.

Обработка персональных данных без использования средств автоматизации

Согласно п. 3 ст. 4 Закона о персональных данных порядок обработки персональных данных, осуществляемой без использования средств автоматизации, может устанавливаться федеральными законами и иными нормативными правовыми актами РФ.

В настоящее время действует Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15.09.2008 N 687 (далее — Положение). Согласно данному Положению обработкой персональных данных без применения средств автоматизации считаются использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, которые осуществляются при непосредственном участии человека (п. 1 Положения, утв. Постановлением Правительства РФ от 15.09.2008 N 687). Соответственно, если персональные данные работников обрабатываются в компьютерной (информационной) системе, это не означает, что данная обработка производится с помощью средств автоматизации (п. 2 Положения). Таким образом, к обработке персональных данных работников в организации должны применяться правила, предусмотренные для обработки данных без использования средств автоматизации.

Персональные данные при такой обработке должны быть обособлены от иной информации, в частности путем фиксации их на отдельных материальных носителях.

Согласно п. 6 Положения лица, осуществляющие обработку персональных данных без использования средств автоматизации (в т.ч. сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте такой обработки, категориях обрабатываемых данных, а также об особенностях и правилах такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии).

Пункт 7 Положения содержит условия, которые необходимо соблюдать при использовании типовых форм документов, предполагающих или допускающих включение в них персональных данных, например унифицированных форм первичной учетной документации по учету труда и его оплаты, утвержденных Постановлением Госкомстата РФ от 05.01.2004 N 1.

Согласно пп. «а» п. 7 Положения типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать: сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации; фамилию, имя, отчество и адрес оператора; фамилию, имя, отчество и адрес субъекта персональных данных; источник получения данных; сроки их обработки; перечень действий с персональными данными, которые будут совершаться в процессе их обработки; общее описание используемых оператором способов обработки персональных данных.

Типовая форма должна содержать поле, в котором субъект персональных данных может проставить отметку о согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения такого согласия (пп. «б» п. 7 Положения).

При этом форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов иных субъектов персональных данных (пп. «в» п. 7 Положения). Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы (пп. «г» п. 7 Положения).

Обработка персональных данных с использованием средств автоматизации

Исходя из содержания п. 1 Положения под автоматизированной обработкой персональных данных понимаются действия, которые выполняются без участия человека, т.е. полностью автоматически. Согласно п. 2 Положения обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержались в информационной системе персональных данных либо были извлечены из нее.

Персональные данные работников обрабатывает уполномоченный на это представитель работодателя. Следовательно, он должен руководствоваться правилами, предусмотренными для обработки персональных данных без использования средств автоматизации. Подробнее об этом см. п. 3 настоящего материала.

ХРАНЕНИЕ И ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1.1. Оформление журналов учета персональных данных

1.2. Требования к помещению, где хранятся персональные данные

1.3. Защита персональных данных

1.3.1. Организация программной защиты персональных данных, содержащихся в информационной системе работодателя

4.1. Оформление Положения о персональных данных

4.2. Введение в действие Положения о персональных данных

4.3. Ознакомление с Положением о персональных данных

4.4. Изменение и дополнение персональных данных

4.5. Срок хранения персональных данных

Организация учета и хранения персональных данных

Согласно п. 7 ст. 86 ТК РФ защиту персональных данных работника от неправомерного их использования или утраты работодатель должен обеспечивать за счет своих средств. В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Из данных норм следует, что работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под роспись.

Пунктом 10 ст. 86 ТК РФ предусмотрено, что работодатели и их представители должны совместно вырабатывать меры защиты персональных данных работников. Подробнее об этом см. п. 4 настоящего материала.

1.1. Оформление журналов учета персональных данных

Поскольку на работодателя возложена обязанность соблюдать режим конфиденциальности персональных данных, то целесообразно вести журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам.

В журнале учета внутреннего доступа к персональным данным (доступа работников организации к персональным данным других работников) следует указывать такие сведения, как дата выдачи и возврата документов (личных дел), срок пользования, цели выдачи, наименование выдаваемых документов (личных дел). Лицо, которое возвращает документ (дело), должно обязательно присутствовать при проверке наличия всех имеющихся документов по описи, если выданные документы составлены более чем на одном листе.

Лицо, которое получает личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Помимо этого, также следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Система учета персональных данных также может предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи необходимо ведение журнала проверок наличия документов, содержащих персональные данные работника.

1.2. Требования к помещению, где хранятся персональные данные

Исходя из требований п. 7 ст. 86 и ст. 87 ТК РФ на работодателя возложена обязанность по защите персональных данных работников. Защита персональных данных включает в себя установление особого режима доступа в те помещения, где хранятся такие данные, направленного на защиту последних от несанкционированных доступа, изменений или распространения.

Действующим законодательством не предусмотрено конкретных требований к оборудованию помещения, где должны храниться персональные данные. Однако исходя из требований Трудового кодекса РФ во избежание несанкционированного доступа к персональным данным работников следует оборудовать помещение, где хранятся такие данные, запирающимися шкафами для хранения информации на бумажных носителях. Работодатель должен установить в локальном нормативном акте требования к помещению, где хранятся персональные данные работников, и условия их хранения. Следует также учитывать, что персональные данные работника хранятся в документированной форме, характер которой определяется работодателем.

Перечень документов по учету труда и его оплаты установлен Постановлением Госкомстата РФ от 05.01.2004 N 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты». Работодатель должен обеспечивать сохранность такой документации в соответствии со сроками ее хранения (см. Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения (утв. Росархивом 06.10.2000)).

1.3. Защита персональных данных

Защита персональных данных представляет собой регламентированный технологический процесс, предупреждающий нарушение установленного порядка доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивающий безопасность информации в процессе управленческой и производственной деятельности компании.

Для обеспечения внешней защиты персональных данных работников работодатель должен принять следующие меры:

— установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;

— установить особый порядок выдачи пропусков и удостоверений работников;

— использовать технические средства охраны;

— использовать программно-технический комплекс защиты информации на электронных носителях и пр.

Для обеспечения внутренней защиты персональных данных работников работодатель должен предпринять следующее:

— ограничить и регламентировать состав работников, функциональные обязанности которых требуют доступа к персональным данным других работников;

— избирательно и обоснованно распределить документы и информацию, содержащую персональные данные, между лицами, уполномоченными на работу с такими данными;

— рационально размещать рабочие места для исключения бесконтрольного использования защищаемой информации;

— регулярно проверять знание работниками, имеющими отношение к работе с персональными данными, требований нормативно-методических документов по защите таких данных;

— создавать необходимые условия для работы с документами и базами данных, содержащими персональные данные работников;

— определять состав работников, имеющих право доступа (входа) в помещения, в которых хранятся персональные данные;

— организовать порядок уничтожения информации;

— своевременно выявлять и устранять нарушения установленных требований по защите персональных данных работников;

— проводить профилактическую работу с должностными лицами, имеющими доступ к персональным данным работников, по предупреждению разглашения таких сведений.

Большинство организаций используют электронные системы хранения и обработки персональных данных. Однако при этом следует учитывать требования действующего законодательства по обеспечению безопасности персональных данных при их электронной обработке и хранении. Постановлением Правительства РФ от 17.11.2007 N 781 утверждено Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (далее — Положение).

Указанное Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих обрабатывать такие данные с использованием средств автоматизации. В соответствии с данным Положением работодателю необходимо соблюсти ряд требований при использовании такой системы обработки персональных данных.

Согласно ч. 2 п. 2 Положения безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в т.ч. шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.

Соответственно, такие информационные системы должны предусматривать возможность ограничения доступа к информации (установление паролей и т.д.). В соответствии с п. 14 Положения лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующей информации на основании списка, утвержденного оператором или уполномоченным лицом. Исходя из содержания данного пункта работодателю необходимо издать приказ о допуске конкретных лиц к информационной системе, в которой происходит обработка персональных данных работников.

Организация доступа работников к персональным данным других работников

В соответствии со ст. 88 ТК РФ работодатель обязан не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью последнего, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами.

Однако возникают случаи, когда отдельным работникам нужно получить информацию о персональных данных других работников, которые они намереваются использовать при выполнении трудовых обязанностей. Например, бухгалтеру могут понадобиться данные о работнике для начисления ему заработной платы или уплаты соответствующих взносов, при направлении работников в командировку секретарю (или иному лицу) понадобятся паспортные данные последних для покупки билетов, юрисконсульту организации данные работников могут понадобиться для оформления доверенностей и т.д. В соответствии со ст. 88 ТК РФ работодатель может разрешить доступ к персональным данным работников только специально уполномоченным лицам, при этом указанным лицам будут доступны только те данные, которые необходимы для выполнения конкретных функций. Например, доступ к персональным данным работников обычно устанавливается для руководителя организации, руководителей структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения), руководителю нового подразделения — при переводе сотрудника из одного структурного подразделения в другое, работникам бухгалтерии и отдела кадров. Конкретный перечень работников, которые имеют доступ к персональным данным других работников, должен быть установлен локальным нормативным актом организации и приказом организации. Подробнее об этом см. п. 4 настоящего материала.

См. образец заполнения приказа.

Оформление обязательства о неразглашении персональных данных работниками, имеющими доступ к этим данным

В соответствии с п. 7 ст. 86 ТК РФ на работодателя возложена обязанность по защите персональных данных работника от неправомерного их использования или утраты. Следовательно, работники, которые имеют доступ к персональным данным других работников, обязаны не разглашать эти данные, которые стали им известны в связи с выполнением ими трудовых обязанностей. При этом привлечь к ответственности работников, которые разгласили такую информацию, можно, только если она стала известна им в связи с исполнением трудовых обязанностей и они обязались не разглашать такие сведения (п. 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 N 2). Следовательно, работодатель должен оформить с работниками, которые в силу своих должностных обязанностей имеют доступ к персональным данным других работников, обязательство об их неразглашении.

См. образец заполнения обязательства.

Положение о персональных данных

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с учетом требований Трудового кодекса РФ и иных федеральных законов. Данная норма обязывает работодателя принять локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников. Согласно п. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных, а также их права и обязанности в этой области.

Вопрос: Является ли Положение о персональных данных обязательным документом?

Положение о персональных данных относится к тем локальным актам, которые обязательно должны быть в организации.

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с учетом требований Трудового кодекса РФ и иных федеральных законов. Данная норма подразумевает регулирование порядка обработки персональных данных на локальном уровне. Следовательно, работодатель должен локальным нормативным актом (Положением о персональных данных) определить порядок хранения, обработки и использования персональных данных. Поэтому данный документ является обязательным и его отсутствие может быть квалифицировано государственной инспекцией труда как нарушение трудового законодательства. Такой вывод также подтверждается судебной практикой (см. Постановл. ФАС Московского округа от 26.10.2006 N КА-А40/10220-06 по делу N А40-20745/06-148-194).

4.1. Оформление Положения о персональных данных

В соответствии со ст. 68 ТК РФ при приеме на работу (до подписания трудового договора) работодатель обязан ознакомить работника под роспись с правилами внутреннего трудового распорядка, иными локальными нормативными актами, непосредственно связанными с трудовой деятельностью. Поскольку из содержания п. 1 ст. 86 ТК РФ следует, что персональные данные работников обрабатываются исключительно в связи с трудовой деятельностью, то локальные нормативные акты, регламентирующие обработку персональных данных, являются документами, связанными также с их трудовой деятельностью. Следовательно, со всеми локальными нормативными актами, регламентирующими обработку персональных данных, работник должен быть ознакомлен до подписания трудового договора. Структура Положения о персональных данных может быть следующей:

1) «Общие положения». В данном разделе следует указать, с какой целью принимается данное Положение и какие вопросы оно регулирует;

2) «Основные понятия. Состав персональных данных работников». Здесь следует указать, какие документы в организации содержат персональные данные;

3) «Обработка персональных данных». В этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника;

4) «Передача персональных данных». Здесь следует прописать порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам;

5) «Доступ к персональным данным». В данном разделе должна содержаться информация о порядке доступа к персональным данным работников. Доступ делится на внутренний (предоставление персональных данных отдельным работникам организации) и внешний (передача персональных данных представителям других организаций и государственных органов);

6) «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных». В данном разделе нужно указать, кто в организации несет ответственность за нарушение правил хранения и использования персональных данных.

См. образец заполнения Положения.

4.2. Введение в действие Положения о персональных данных

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается работодателем путем издания приказа, который подписывает руководитель организации или иное уполномоченное на это лицо. При наличии в организации представительного органа работников Положение о персональных данных должно приниматься с учетом требований ст. 372 ТК РФ. Согласно данной статье перед принятием решения об издании локального нормативного акта работодатель направляет его проект и обоснование его издания в выборный орган первичной профсоюзной организации, представляющий интересы всех или большинства работников. Данный орган не позднее пяти рабочих дней со дня получения проекта указанного локального нормативного акта направляет работодателю мотивированное мнение о проекте, составленное в письменной форме. В случае если это мнение выражает несогласие с проектом либо содержит предложения по его совершенствованию, работодатель может согласиться с мнением профсоюзного органа либо в течение трех дней после его получения провести дополнительные консультации с указанным органом в целях достижения решения, устраивающего обе стороны. Если согласие не достигнуто, возникшие разногласия оформляются протоколом, после чего работодатель имеет право своим решением принять локальный нормативный акт. В свою очередь профсоюзный орган может обжаловать это решение в соответствующую государственную инспекцию труда или в суд. Также согласно ч. 4 ст. 372 ТК РФ указанный орган может начать коллективный трудовой спор в соответствии с нормами Трудового кодекса РФ.

Вопрос: Возможно ли применение к организации каких-либо санкций, если на момент приема работников отсутствовало Положение о персональных данных?

Если на момент проверки организации государственной инспекцией труда Положение о персональных данных было принято и работники ознакомлены с ним под роспись, то оснований для применения санкций нет.

Поскольку исходя из содержания ст. 87 ТК РФ Положение о персональных данных является обязательным документом, в случае проверки организации проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно ст. 5.27 КоАП РФ. Тот факт, что на момент приема работников в организацию Положения о персональных данных не было, не будет иметь значения, если работодателем не были допущены нарушения правил хранения, использования и обработки персональных данных.

4.3. Ознакомление с Положением о персональных данных

Исходя из требований ст. ст. 68, 86 ТК РФ работники и их представители должны быть под роспись ознакомлены с Положением о персональных данных. Факт ознакомления с указанным Положением может фиксироваться как в тексте самого трудового договора (путем перечисления локальных нормативных актов, с которыми работник ознакомлен до подписания договора), так и в отдельном документе (в самом Положении на листе ознакомления с ним). Работодатель может также предусмотреть в организации журнал ознакомления работников с локальными нормативными актами, где работники будут расписываться в подтверждение того, что они ознакомлены с соответствующими актами (в т.ч. с Положением о персональных данных).

См. образец заполнения листа ознакомления с Положением о персональных данных.

См. образец заполнения листа ознакомления с локальными нормативными актами.

Вопрос: Можно ли ознакомить с Положением о персональных данных путем рассылки текста данного документа на служебные электронные адреса работников?

Такой способ ознакомления с локальным нормативным актом не соответствует требованиям действующего законодательства.

Согласно п. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Рассылка документа по электронной почте не будет считаться ознакомлением под роспись. При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

4.4. Изменение и дополнение персональных данных

Законом не предусмотрена обязанность работника своевременно уведомлять работодателя об изменении своих персональных данных.

Однако несвоевременное предоставление работником измененных данных может повлиять на исполнение работодателем своих обязанностей. Так, например, работодатель не сможет принять от работника листок временной нетрудоспособности, если в нем будет указана другая фамилия, поскольку Фонд социального страхования в таком случае не возместит работодателю выплаченную сумму.

Аналогичные ситуации могут возникнуть и с заработной платой, если она перечисляется работнику на зарплатную карточку через банк. Помимо этого, работодатель должен уведомить Пенсионный фонд об изменении данных конкретного работника (п. 4 ст. 7 Федерального закона от 01.04.1996 N 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»).

При изменении данных руководителя организации следует сообщить прежде всего в налоговый орган в течение трех дней (п. 5 ст. 5 Федерального закона от 08.08.2001 N 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»). Для того чтобы выполнить данное требование, нужно воспользоваться формой N Р14001. Посредством заполнения данной формы в налоговый орган сообщаются сведения об изменениях в Едином государственном реестре юридических лиц, не связанных с изменениями в учредительных документах.

В связи с тем что своевременное предоставление изменившихся персональных данных избавит работодателя от многих проблем, следует прописать в Положении о персональных данных обязанность работника ставить работодателя в известность о таких изменениях в конкретный срок.

Исходя из того что персональные данные работника могут содержаться во многих документах работодателя, изменения вносятся следующим образом:

— в личную карточку работника (форма N Т-2). В соответствии с п. 1 Указаний, утвержденных Постановлением Госкомстата РФ от 05.01.2004 N 1, при изменении сведений о работнике в его личную карточку вносятся новые данные, которые заверяются подписью работника кадровой службы. Следовательно, прежние сведения необходимо зачеркнуть одной чертой и сверху или рядом с соответствующей графой поместить новые данные и заверить подписью работника кадровой службы;

— в трудовую книжку. В соответствии с п. 2.3 Инструкции по заполнению трудовых книжек (утв. Постановлением Минтруда России от 10.10.2003 N 69) изменения записей в трудовых книжках о фамилии, имени, отчестве и дате рождения производятся на основании паспорта, свидетельств о рождении, о браке, о расторжении брака, об изменении фамилии, имени, отчества и других документов и со ссылкой на их реквизиты. Указанные изменения вносятся на первую страницу (титульный лист) трудовой книжки. Одной чертой зачеркиваются прежние фамилия, имя, отчество или дата рождения и записываются новые данные. Ссылки на соответствующие документы проставляются на внутренней стороне обложки трудовой книжки и заверяются подписью работодателя или специально уполномоченного им лица и печатью организации (или кадровой службы). Следует также учитывать, что согласно п. 26 Постановления Правительства РФ от 16.04.2003 N 225 «О трудовых книжках» изменение записей о фамилии, имени, отчестве и дате рождения, а также об образовании, профессии и специальности работника производится работодателем по последнему месту работы на основании паспорта, свидетельств о рождении, о браке, о расторжении брака, об изменении фамилии, имени, отчества и других документов;

— в трудовой договор. Несмотря на то что законом это условие не установлено, внести изменения в трудовой договор необходимо во избежание затруднений и дальнейших ошибок у кадровых работников. Например, при составлении соглашения о переводе работника на другую должность в трудовом договоре будет указана прежняя фамилия работника, а в дополнительном соглашении — новая. Чтобы исключить возможность ошибок и недоразумений, следует такие изменения также отражать в дополнительном соглашении к трудовому договору.

См. образец заполнения личной карточки.

См. образец заполнения трудовой книжки.

См. образец заполнения дополнительного соглашения.

Для внесения изменений в другие документы, содержащие персональные данные работника (например, книгу учета движения трудовых книжек и т.д.), необходимо в произвольной форме составить приказ об изменении персональных данных конкретного работника. На основании данного приказа будут вноситься изменения во все остальные соответствующие документы. Внесенные изменения необходимо заверить подписью ответственного работника и печатью организации.

См. образец заполнения приказа.

Исходя из содержания п. п. 23, 24 Инструкции о порядке ведения индивидуального (персонифицированного) учета (утв. Постановлением Правительства РФ от 15.03.1997 N 318), работодатель в связи с переменой работником имени должен подать в территориальный орган Пенсионного фонда заявление об обмене страхового свидетельства в связи с изменением персональных данных, подписанное работником, и опись документов (формы N АДВ-2 и N АДВ-6, утвержденные Постановлением Правления ПФР от 31.07.2006 N 192п). После получения работодателем нового свидетельства его следует выдать в течение недели работнику, который должен расписаться в подтверждение выдачи в сопроводительной ведомости (п. 11 Инструкции).

В соответствии с п. 14 данной Инструкции страхователь в месячный срок после получения в территориальном органе страховых свидетельств, запросов об уточнении сведений и решений об отказе в регистрации возвращает в территориальный орган сопроводительную ведомость, листки исправлений, заполненные запросы об уточнении сведений и заявления о выдаче дубликата страхового свидетельства, а также страховые свидетельства, которые не были выданы застрахованным лицам по причине невостребованности или наличия в них ошибок.

Ставить в известность остальные фонды (социального страхования, обязательного медицинского страхования) о смене работником фамилии, имени, отчества не нужно.

4.5. Срок хранения персональных данных

Исходя из положений Перечня типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения (утв. Росархивом 06.10.2000) данные документы относятся к документам долговременного хранения и сроки их хранения различны — 50, 75 лет или постоянно. Согласно данному Перечню личные дела руководителя организации, членов руководящих, исполнительных, контрольных органов, работников, имеющих государственные и иные звания, премии, награды, ученые степени и звания, хранятся постоянно, а иных работников — в течение 75 лет. Трудовые договоры, соглашения, не вошедшие в состав личных дел, должны храниться 75 лет. Также 75 лет хранятся личные карточки. Невостребованные трудовые книжки хранятся 50 лет. Документы (справки, докладные, объяснительные записки, копии приказов, выписки из приказов, заявления, командировочные удостоверения и др.), не вошедшие в состав личных дел, хранятся 5 лет.

ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

1.1. Лица и органы, которым могут передаваться персональные данные без согласия работников

Ситуации, когда необходима передача персональных данных

В соответствии со ст. 88 ТК РФ работодатель не должен сообщать персональные данные работника третьей стороне без письменного согласия данного работника, за исключением случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в других ситуациях, предусмотренных Трудовым кодексом РФ или иными федеральными законами. Также работодатель не имеет права сообщать персональные данные работника без его письменного согласия в коммерческих целях.

Информация о персональных данных работника может предоставляться при соблюдении вышеуказанных условий как работникам организации, так и должностным лицам государственных органов и другим организациям. Работодатель обязан отказать в предоставлении персональных данных, если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение такой информации или же отсутствует письменное согласие работника на предоставление сведений о нем лицу, обратившемуся с запросом. В таком случае выдается письменное уведомление об отказе в предоставлении персональных данных.

Обязанность работодателя обеспечивать защиту персональных данных работника подтверждается судебной практикой. Так, суд указал, что работодатель правомерно не представил акционерам общества копию трудового договора с генеральным директором, поскольку ст. 88 ТК РФ установлен запрет на передачу персональных данных работника третьей стороне, а в соответствии со ст. 90 ТК РФ лица, виновные в нарушении норм, регулирующих защиту персональных данных, несут административную, гражданско-правовую или уголовную ответственность (см. Постановление ФАС Московского округа от 14.01.2010 N КА-А40/14463-09 по делу N А40-38438/09-17-269).

1.1. Лица и органы, которым могут передаваться персональные данные без согласия работников

При несчастном случае с работником работодатель обязан проинформировать соответствующие органы и организации, а при тяжелом несчастном случае (или смерти) — также его родственников. В данной ситуации согласия работника на передачу его персональных данных не требуется (ст. 228 ТК РФ). Перечень оповещаемых органов и сроки направления извещений о несчастном случае установлены ст. 228.1 ТК РФ.

Работодатель также обязан предоставить персональные данные работников государственным инспекторам труда при осуществлении ими надзорно-контрольной деятельности (ст. 357 ТК РФ). В соответствии со ст. 9 Федерального закона от 01.04.1996 N 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» работодатель обязан представить указанные данные в Пенсионный фонд РФ в следующих случаях:

— при начальной регистрации застрахованных лиц для индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования;

— при приеме на работу не имевших до этого страхового стажа и страхового свидетельства обязательного пенсионного страхования граждан или при заключении с ними договоров гражданско-правового характера, на вознаграждения по которым в соответствии с законодательством РФ начисляются страховые взносы;

— при ликвидации, реорганизации юридического лица, прекращении физическим лицом деятельности в качестве индивидуального предпринимателя, снятии с регистрационного учета в качестве страхователя-работодателя адвоката, нотариуса, занимающегося частной практикой;

— при утрате работающим у него застрахованным лицом страхового свидетельства обязательного пенсионного страхования;

— при изменении передаваемых сведений о работающих у него застрахованных лицах.

Согласно п. 2 ст. 11 указанного Закона страхователь представляет в Пенсионный фонд РФ один раз в год, но не позднее 1 марта о каждом работающем у него застрахованном лице сведения, в которых указывает:

1) страховой номер индивидуального лицевого счета;

2) фамилию, имя и отчество;

3) дату приема на работу (для застрахованного лица, принятого на работу в течение отчетного периода) или дату заключения договора гражданско-правового характера, на вознаграждение по которому в соответствии с законодательством РФ начисляются страховые взносы;

4) дату увольнения (для застрахованного лица, уволенного в течение отчетного периода) или дату прекращения договора гражданско-правового характера, на вознаграждение по которому в соответствии с законодательством РФ начисляются страховые взносы;

5) периоды деятельности, которые входят в стаж работ с особыми условиями труда, в районах Крайнего Севера и приравненных к ним местностях;

6) сумму заработка (дохода), на который начислялись пенсионные взносы;

7) сумму начисленных пенсионных взносов;

8) другие сведения, необходимые для правильного начисления трудовой пенсии;

9) суммы страховых взносов, уплаченных за застрахованное лицо, которое является субъектом профессиональной пенсионной системы;

10) периоды трудовой деятельности, включаемые в профессиональный стаж застрахованного лица, которое является субъектом профессиональной пенсионной системы.

В соответствии со ст. 61 Основ законодательства об охране здоровья граждан от 22.07.1993 (утв. ВС РФ 22.07.1993 N 5487-1) передача работодателю сведений, составляющих врачебную тайну, допускается с согласия гражданина или его законного представителя. Исключением являются случаи, когда информация о состоянии здоровья работника передается работодателю при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений или при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий.

Федеральными законами могут быть предусмотрены иные случаи передачи персональных данных без согласия работника.

Оформление согласия работника на передачу его персональных данных

В соответствии со ст. 88 ТК РФ передача персональных данных работника третьей стороне без письменного согласия указанного работника не разрешается, за исключением предусмотренных законом случаев. Также данной статьей предусмотрено, что без согласия работника персональные данные не могут передаваться в коммерческих целях. Соответственно, для передачи персональных данных необходимо письменное согласие работника. Из указанного документа должно быть понятно, кому будут передаваться персональные данные работника и с какой целью. Следует также учитывать, что в соответствии со ст. 88 ТК РФ работодатель обязан предупредить лиц, получающих персональные данные, о том, что данные сведения могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

См. образец заполнения согласия.

См. образец заполнения письма.

См. образец заполнения ответа.

Последствия передачи персональных данных работника без его согласия в случае, когда такое согласие обязательно

В соответствии со ст. 90 ТК РФ лица, которые виновны в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, могут быть привлечены к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности. Следовательно, передача персональных данных без согласия работника в случае, когда такое согласие обязательно, расценивается как нарушение законодательства о персональных данных. Работник может обратиться за защитой своих прав в государственные органы, к компетенции которых эти вопросы относятся. Необходимо иметь в виду, что за нарушение законодательства о персональных данных ответственность будут нести то лицо, которое допустило нарушение (единоличный исполнительный орган), и организация в целом. Подробнее об этом см. раздел «Ответственность за нарушение норм, регулирующих защиту персональных данных» настоящего материала.

ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ

ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Ответственность работодателя

2.1. Административная ответственность работника, имеющего доступ к персональным данным других работников

2.2. Дисциплинарная ответственность работника, имеющего доступ к персональным данным других работников

2.3.Уголовная ответственность работника, имеющего доступ к персональным данным других работников

2.4.Материальная ответственность работника, имеющего доступ к персональным данным других работников

2.5. Гражданско-правовая ответственность работника, имеющего доступ к персональным данным других работников

Ответственность работодателя

В соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:

— на граждан — от 300 до 500 руб.;

— на должностных лиц — от 500 до 1000 руб.;

— на юридических лиц — от 5000 до 10 000 руб.

Из текста данной нормы можно сделать вывод, что работодатель как юридическое лицо может быть привлечен к административной ответственности за нарушение порядка сбора, хранения, использования или распространения персональных данных.

Помимо организации, ответственность за нарушение несет ее руководитель как должностное лицо. Это вытекает из смысла ст. 2.4 КоАП РФ, где указано, что под должностным лицом понимается лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции. Как указал Верховный Суд РФ в Постановлении от 10.02.2000 N 6 «О судебной практике по делам о взяточничестве и коммерческом подкупе», организационно-распорядительные функции включают в себя руководство коллективом, расстановку и подбор кадров, организацию труда или службы подчиненных, поддержание дисциплины, применение мер поощрения и наложение дисциплинарных взысканий.

Ответственность работника, имеющего доступ к персональным данным других работников

Исходя из смысла ст. 90 ТК РФ работник, по вине которого было допущено нарушение норм, регулирующих получение, обработку и защиту персональных данных других работников, может быть привлечен к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности.

2.1. Административная ответственность работника, имеющего доступ к персональным данным других работников

На основании ст. ст. 2, 3, 5, 6 Закона о персональных данных персональные данные относятся к информации, доступ к которой ограничен. В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

— на граждан — от 500 до 1000 руб.;

— на должностных лиц — от 4000 до 5000 руб.

Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа.

2.2. Дисциплинарная ответственность работника, имеющего доступ к персональным данным других работников

Персональные данные относятся к сведениям, которые охраняются федеральным законом. Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Согласно пп. «в» п. 6 ч. 1 ст. 81 ТК РФ трудовой договор с работником может быть расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе по причине разглашения персональных данных другого работника. Поскольку такое увольнение относится к увольнениям за нарушение трудовой дисциплины, то работника, разгласившего персональные данные, необходимо уволить с соблюдением процедуры, предусмотренной ст. 193 ТК РФ.

2.3. Уголовная ответственность работника, имеющего доступ к персональным данным других работников

В соответствии со ст. 137 УК РФ незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказываются штрафом в сумме до 200 тыс. руб. или в размере заработной платы либо иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.

Часть 2 указанной статьи предусматривает, что те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы либо иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.

Следовательно, если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, то он может быть привлечен к уголовной ответственности.

2.4. Материальная ответственность работника, имеющего доступ к персональным данным других работников

Статьей 90 ТК РФ предусмотрена материальная ответственность за виновное нарушение норм, регулирующих получение, обработку и защиту персональных данных работников. Так, в результате незаконного распространения информации о персональных данных работника последнему может быть причинен моральный вред, подлежащий возмещению работодателем. В соответствии со ст. 238 ТК РФ работник обязан возместить работодателю причиненный последнему прямой действительный ущерб. Согласно ч. 2 указанной статьи под прямым действительным ущербом также понимается необходимость возмещения ущерба третьим лицам. Следовательно, если вред работнику был допущен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнее к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с п. 7 ч. 1 ст. 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

2.5. Гражданско-правовая ответственность работника, имеющего доступ к персональным данным других работников

В соответствии со ст. 151 ГК РФ, если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в иных случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда. Согласно ч. 2 ст. 1099 ГК РФ моральный вред, причиненный действиями (бездействием), нарушающими имущественные права гражданина, подлежит компенсации в случаях, предусмотренных законом. На основании ст. 152 ГК РФ гражданин вправе требовать по суду опровержения порочащих его честь, достоинство или деловую репутацию сведений, если распространивший такие сведения не докажет, что они соответствуют действительности. Следовательно, если в результате нарушения норм, регулирующих хранение, обработку и использование персональных данных работника, допущенного лицом, ответственным за осуществление вышеперечисленных действий с персональными данными, работнику причинен имущественный ущерб или моральный вред, то он подлежит возмещению в денежной форме в соответствии со статьями Гражданского кодекса РФ.

Ответственность по вопросам защиты

персональных данных работников

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут ответственность в соответствии с федеральными законами: дисциплинарную, административную, гражданско-правовую и уголовную.

Наказание	Нормы законодательства
Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия
Штраф в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательные работы на срок от 120 до 180 часов, либо исправительные работы на срок до одного года, либо арест на срок до четырех месяцев	Пункт 1 ст. 137 УК РФ
Те же деяния, совершенные лицом с использованием своего служебного положения
Штраф в размере от 100 000 до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арест на срок от четырех до шести месяцев	Пункт 2 ст. 137 УК РФ
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Предупреждение или наложение административного штрафа: — на граждан в размере от 300 до 500 руб.; — на должностных лиц — от 500 до 1000 руб.; — на юридических лиц — от 5000 до 10 000 руб.	Статья 13.11 КоАП РФ
Совершение дисциплинарного проступка, то есть неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей
Работодатель имеет право применить следующие дисциплинарные взыскания: 1) замечание; 2) выговор; 3) увольнение по соответствующим основаниям. Федеральными законами, уставами и положениями о дисциплине для отдельных категорий работников могут быть предусмотрены также и другие дисциплинарные взыскания	Статья 192 ТК РФ

Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года

Глава 1. Общие положения

Статья 1. Сфера действия настоящего Федерального закона

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

Статья 2. Цель настоящего Федерального закона

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

Статья 4. Законодательство Российской Федерации в области персональных данных

Глава 2. Принципы и условия обработки персональных данных

Статья 5. Принципы обработки персональных данн ых

1. Обработка персональных данных должна осуществляться на основе принципов:

1) законности целей и способов обработки персональных данных и добросовестности;

Статья 6. Условия обработки персональных данных

Статья 7. Конфиденциальность персональных данных

2. Обеспечение конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Статья 8. Общедоступные источники персональных данных

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

Статья 10. Специальные категории персональных данных

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные являются общедоступными;

6) обработка персональных данных необходима в связи с осуществлением правосудия;

Статья 11. Биометрические персональные данные

Статья 12. Трансграничная передача персональных данных

1) наличия согласия в письменной форме субъекта персональных данных;

4) исполнения договора, стороной которого является субъект персональных данных;

Глава 3. Права субъекта персональных данных

Статья 14. Право субъекта персональных данных на доступ к своим персональным данным

1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

2) способы обработки персональных данных, применяемые оператором;

4) перечень обрабатываемых персональных данных и источник их получения;

5) сроки обработки персональных данных, в том числе сроки их хранения;

5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:

3) предоставление персональных данных нарушает конституционные права и свободы других лиц.

Статья 17. Право на обжалование действий или бездействия оператора

Глава 4. Обязанности оператора

Статья 18. Обязанности оператора при сборе персональных данных

1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

Статья 22. Уведомление об обработке персональных данных

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

5) правовое основание обработки персональных данных;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных.

Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:

9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

5. Уполномоченный орган по защите прав субъектов персональных данных обязан:

3) вести реестр операторов;

4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;

7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.

Статья 24. Ответственность за нарушение требований настоящего Федерального закона

Глава 6. Заключительные положения

Статья 25. Заключительные положения

Президент
Российской Федерации
В. Путин

Статья 3

1. Настоящий Федеральный закон вступает в силу с 1 сентября 2013 года, за исключением пункта 22 статьи 1 настоящего Федерального закона.

3. Положения Гражданского кодекса Российской Федерации (в редакции настоящего Федерального закона) применяются к правоотношениям, возникшим после дня вступления в силу настоящего Федерального закона. По правоотношениям, возникшим до дня вступления в силу настоящего Федерального закона, положения Гражданского кодекса Российской Федерации (в редакции настоящего Федерального закона) применяются к тем правам и обязанностям, которые возникнут после дня вступления в силу настоящего Федерального закона.

4. Впредь до приведения законодательных и иных нормативных правовых актов, действующих на территории Российской Федерации, в соответствие с положениями Гражданского кодекса Российской Федерации (в редакции настоящего Федерального закона) законодательные и иные нормативные правовые акты Российской Федерации, а также акты законодательства Союза ССР, действующие на территории Российской Федерации в пределах и в порядке, которые предусмотрены законодательством Российской Федерации, применяются постольку, поскольку они не противоречат положениям Гражданского кодекса Российской Федерации (в редакции настоящего Федерального закона).

5. Правила статьи 157.1 Гражданского кодекса Российской Федерации (в редакции настоящего Федерального закона) применяются к случаям дачи необходимого в силу закона согласия на совершение сделок после дня вступления в силу настоящего Федерального закона.

6. Нормы Гражданского кодекса Российской Федерации (в редакции настоящего Федерального закона) об основаниях и о последствиях недействительности сделок (статьи 166 - 176, 178 - 181) применяются к сделкам, совершенным после дня вступления в силу настоящего Федерального закона.

7. Срок исковой давности, установленный пунктом 4 статьи 165 Гражданского кодекса Российской Федерации (в редакции настоящего Федерального закона), применяется к требованиям, основания для которых возникли после дня вступления в силу настоящего Федерального закона.

8. Правила главы 9.1 Гражданского кодекса Российской Федерации (в редакции настоящего Федерального закона) подлежат применению к решениям собраний, принятым после дня вступления в силу настоящего Федерального закона.

9. Установленные положениями Гражданского кодекса Российской Федерации (в редакции настоящего Федерального закона) сроки исковой давности и правила их исчисления применяются к требованиям, сроки предъявления которых были предусмотрены ранее действовавшим законодательством и не истекли до 1 сентября 2013 года. Десятилетние сроки, предусмотренные пунктом 1 статьи 181, пунктом 2 статьи 196 и пунктом 2 статьи 200 Гражданского кодекса Российской Федерации (в редакции настоящего Федерального закона), начинают течь не ранее 1 сентября 2013 года.

Президент

Российской Федерации

Москва, Кремль

Выбор редакции

Меню для кафе (варианты оформления и образец)

Меню - основа ресторанного бизнеса. Это не просто список блюд, которые подают в заведении, а способ предложить посетителю то, что ему...

Великие об успехе. Отступать — всегда рано! Подборка мотивирующих цитат для достижения успеха и своих целей

Вы всё ещё сомневаетесь в своих силах? Отставить все сомнения, пришло время вооружиться уверенностью в себе и двигаться к собственному...

Цитаты о бизнесе и успехе великих людей: курс на процветание

Фирменный бланк ООО и ИП — скачать образцы и как сделать самостоятельно

Как должен выглядеть фирменный бланк организации и как его создать? Об этом читайте в нашей статье. Из статьи вы узнаете: В каких...

Христофор колумб решил что приплыл

ХРИСТОФОР КОЛУМБ Загадка происхождения Всемирно известный мореплаватель Христофор Колумб родился в небогатой генуэзской семье в Италии...

Молитва ангела хранителя сына Ангел хранитель младенца

Детально: молитва ангелу хранителю за детей - со всех открытых источников и разных уголков мира на сайте сайт для наших уважаемых...

Зачем нужны курсы риторики и где их пройти

Умение красиво и правильно разговаривать пригодится на протяжении жизни каждому человеку. Грамотная поставленная речь указывает на то,...

Туннельные войны Корея подземная война

Солдаты, одетые в костюмы химической защиты, пробираются через туннель в Кэмп Стенли, Южная Корея. В Корее угроза «туннельной войны» со...

Сильная молитва луке крымскому перед операцией, об исцелении, выздоровлении больного и здравии Молитва луке крымскому после операции

Если Вы внезапно захворали и не можете справиться с тяжелой болезнью, обязательно прочитайте молитву Святому Луке об исцелении и...

Новое

Ст 3 фз о персональных данных. Ознакомление с Положением о персональных данных

Статья 3