Запрос на персональные данные. Понятие и виды персональных данных Можно ли исключиться из списка оператора персональных данных

Составление отказа от предоставления персональных данных необходимо в случае, когда гражданин не имеет желания давать кому-либо личную информацию.

ФАЙЛЫ

Что относится к персональным данным

Персональные данные – понятие довольно широкое. В него обязательно включаются сведения из паспорта человека: фамилия, имя, отчество, пол, дата и место рождения, адрес проживания, номера ИНН, СНИЛС.

Кроме того, в персональные данные входит информация о национальной и религиозной принадлежности, семейном положении, здоровье, воинском учете, образовании, получаемых гражданином доходах, затратах, льготах, пособиях и субсидиях.

Сюда же причисляются сведения из трудового договора, дополнительных соглашений к нему, результаты профессиональных собеседований, анкет и тестов, заявления, объяснительные и т.п. документы, касаемые деятельности человека по месту работы.

Куда требуется предоставлять персональные данные

Сегодня передача личных сведений является широко распространенным явлением. Предоставлять персональные данные нужно, например, при устройстве на работу, подаче заявлений в садик, школу, другие учебные заведения, больницы, поликлиники, банковские, кредитные учреждения и т.д.

По большому счету, согласие на предоставление персональных данных требуется только в отношении специальных и биометрических сведений. Если говорить проще, общедоступная информация, т.е. информация из паспорта, ИНН, СНИЛС, может использоваться совершенно свободно, конечно, в рамках закона и без нарушения этических и моральных норм.

А вот если кому-либо понадобились данные, касаемые религии или национальности человека, его здоровья или судимостей, взаимоотношений с работодателями (текущим и бывшими) и т.п. очень личные сведения – их можно получать только с согласия гражданина, оформленного в письменном виде.

В соответствии с законодательством РФ, любой человек имеет полное право отказаться от предоставления подобного рода информации, если считает, что она может привести к ущемлению его прав и интересов или даже вовсе без объяснения причин. Никакого наказания за такой отказ не предусмотрено.

И даже если представитель какого-либо учреждения требует предоставления таких сведений, угрожая отказом в предоставлении необходимых услуг (образовательных, медицинских и т.д.), его действия легко можно обжаловать как на уровне руководства, так и в прокуратуре или суде.

Единственное, что нужно помнить, что при обращении в различные муниципальные и бюджетные структуры, а также при трудоустройстве существует установленный законом перечень документов, а значит и персональных сведений, без которых заключение договоров (гражданско-правовых, трудовых и т.д.) будет просто-напросто невозможно.

Если есть сомнения в том, что работник той или иной организации требует документы сверх установленного законом списка, следует обратиться за разъяснениями к юристам или ознакомиться с соответствующими статьями российского законодательства.

С того момента, как персональные данные попадают во «вторые» руки, вся ответственность за их огласку возлагается на того, кто их получил.

При этом закон в отношении лиц, разгласивших чью-либо личную информацию довольно суров – он предусматривает наказание, начиная от крупного административного штрафа и вплоть до возбуждения уголовных дел.

Как написать отказ

В том случае, если перед вами встала необходимость по составлению отказа от предоставления персональных данных, а вы не знаете, как сделать это правильно и без ошибок, прочитайте расположенные ниже рекомендации и посмотрите пример – на его основе у вас без особых усилий получится сформировать собственный документ.

Прежде всего, дадим общую информацию, которая касается всех подобного рода бумаг. Сейчас единого стандарта такого отказа нет, что фактически обозначает то, что писать его разрешается в свободной форме. Также можно сделать его по типу разработанного и утвержденного внутри учреждения шаблону документа, если конечно, таковой имеет место быть.

Для отказа подойдет как обычный лист бумаги любого удобного формата (предпочтительно А5 или А4) или фирменный бланк (как правило, если такое требование устанавливается внутри компании). Отказ допустимо набирать на компьютере (с обязательным последующим распечатыванием), либо же писать собственноручно – в случае необходимости доказать его подлинность этот фактор будет иметь значение.

Отказ нужно делать в двух одинаковых экземплярах , один из которых следует передать адресату, второй – оставить у себя, предварительно заручившись на нем отметкой о вручении копии представителю учреждения.

Образец отказа от предоставления персональных данных

По своему составу отказ должен отвечать некоторым нормам делопроизводства, а по тексту содержать ряд определенных сведений. К последним можно отнести:

  • должность, ФИО руководителя;
  • наименование организации;
  • ФИО автора отказа;
  • его паспортные и контактные данные (для связи).

Это будет «шапка» документа, которая всегда расположена вверху бланка, слева или справа.

В основной части следует обозначить:

  • свое несогласие с предоставлением персональных данных;
  • обоснование отказа (здесь нужно сослаться на норму закона или Конституции РФ, которые в равной степени дают такое право);
  • если вы были ознакомлены с последствием своего отказа, об этом следует сделать соответствующую отметку;
  • также дать отметку о том, что за вами остается возможность обжаловать возможные санкции в суде.

Остальную информацию можно вносить в зависимости от потребностей и индивидуальных обстоятельств.

Бланк должен быть обязательно датирован и подписан тем, кто его составил – без его автографа он не обретет законного статуса.

Обработка персональных данных без согласия субъекта возможна только в установленных законом случаях. Использование таких сведений с нарушением порядка или без соответствующих оснований влечет привлечение виновных к гражданской, трудовой, административной и уголовной ответственности.

В каких случаях допускается передача третьим лицам и иная обработка персональных сведений о субъекте?

Закон «О персональных данных» от 27.07.2006 № 152-ФЗ установил 2 варианта, при которых обработка личных сведений гражданина (субъекта) законна:

  1. При получении его согласия на это.
  2. Без получения согласия в случаях:
    • использования информации иными людьми для личных и семейных нужд, если это не нарушает права гражданина;
    • внесения персональной информации в базу Архивного фонда России;
    • принятия решения об отнесении информации к государственной тайнеданном случае согласия субъекта не требуется для засекречивания сведений о нем);
    • необходимости использования сведений в целях осуществления Россией условий международных договоров и законов;
    • участия лица в процессе судопроизводства и в связи с таковым участием;
    • использования для исполнения судебного акта или положений документа, принятого органами исполнительного производства;
    • получения лицом муниципальных или государственных услуг;
    • признания человеком сведений о себе общедоступными;
    • заключения и исполнения договора, в котором субъект выступает стороной или выгодоприобретателем;
    • невозможности получения согласия при угрозе жизни, здоровью, важным интересам лица;
    • реализации прав, обеспечения интересов оператора (обрабатывающего информацию лица) или третьих лиц, достижения общественно значимых целей;
    • осуществления профессиональной деятельности журналистами и СМИ, творческой деятельности, когда это не нарушает права человека;
    • использования обезличенных сведений о лице в исследовательских и статистических целях, за исключением политической агитации, продвижения товаров, услуг и работ на рынке;
    • необходимости обязательного раскрытия, опубликования данных на основании указания закона (например, госслужащие обязаны раскрывать сведения о своих доходах).

Порядок обработки (хранения, распространения и т. п.) информации без получения одобрения субъекта

Общая процедура обработки операторами личных данных о гражданах без их специального разрешения выглядит следующим образом:

  1. Оператор при наличии законных оснований получает информацию. Извещать лицо о начале обработке его сведений не требуется, но в ряде случаев уведомление направляется в Роскомнадзор.
  2. Оператор осуществляет необходимые действия (собирает, записывает, передает, уточняет и т. д.). Как указано в ст. 5 закона № 152-ФЗ, действия пользователя ограничены целью обработки.
  3. После достижения целей или после прекращения необходимости использования данные уничтожаются или обезличиваются.

Дополнительным этапом может стать оспаривание физическим лицом правомерности использования информации о нем. Органом рассмотрения споров является (на выбор гражданина) суд или Роскомнадзор. В ходе разрешения конфликта оператором предъявляются доказательства наличия обстоятельств, позволяющих ему использовать данные без одобрения или вопреки запрету гражданина.

Ответственность оператора

В случае нарушения оператором процедуры и условий обработки персональной информации он может быть привлечен к различным видам ответственности:

Вид ответственности

Пример нарушения

Наказание

Правовое основание

Гражданская

Причинение морального вреда

Выплата компенсации

Ст. 24 закона № 152-ФЗ, ст. 1099 ГК

Дисциплинарная

Разглашение персональных сведений о другом трудящемся

Увольнение

Нарушение законодательства при обработке информации

Привлечение к дисциплинарной и материальной ответственности

Административная

Обработка сведений, противоречащая цели сбора данных
  • гражданам — 1000-3000 руб.;
  • должностным лицам — 5000-10 000 руб.;
  • организациям — 30 000-50 000 руб.

Ч. 1 ст. 13.11 КоАП

Уголовная

Посягательство на неприкосновенность частной жизни

Санкция альтернативная:

  • штраф до 200 000 руб.,
  • обязательные работы до 360 часов,
  • исправительные — до 1 года,
  • принудительные — до 2 лет,
  • лишение свободы до 2 лет и пр.

Ч. 1 ст. 137 УК

Отказ или обман со стороны должностного лица при предоставлении гражданину информации о нем

Штраф (200 000 руб. или доход за срок до полутора лет) либо лишение права заниматься определенной деятельностью в течение 2-5 лет

Доступ к компьютерной информации без права на это

Штраф (200 000 руб. или доход за срок до полутора лет), исправительные работы до года либо принудительные работы, ограничение или лишение свободы сроком до 2 лет

Ч. 1 ст. 272 УК

Таким образом, обработка информации без разрешения субъекта возможна, если оператору такое право предоставлено законодательно. Использование сведений при этом должно осуществляться в той мере, которая требуется для достижения целей оператора, после чего данные уничтожаются или обезличиваются. Лицо, считающее, что его персональные данные использованы незаконно, вправе обратиться в суд или Роскомнадзор.

Не знаете свои права?

Защита персональных данных сегодня актуальный вопрос не только в отношениях работник-работодатель, но и в любой сфере, в которой собираются и обрабатываются личные данные.

По действующему законодательству работодатели не только должны обеспечивать хранение и защиту персональных данных работников, но и несут ответственность за их разглашение. Недопустимость распространения информации о частной жизни лица без его согласия изначально гарантирована законодательством РФ.

Хранение личных данных - законодательное регулирование

Отношения, связанные с обработкой персональных данных, регулируются:
  • федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;
  • главой 14 Трудового кодекса РФ.
Что конкретно закон понимает под персональными данными? Это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных). А любые действия, совершаемые с персональными данными, такие как: сбор, хранение, запись, накопление, уточнение, передача (распространение), обезличивание и уничтожение называют обработкой персональных данных. Таким образом так или иначе все организации сталкиваются с обработкой персональных данных не только своих сотрудников, но и клиентов (например, оформляя бонусные или скидочные карты) - в этом случае их называют операторами.

Поскольку ни в Трудовом кодексе, ни в 152-ФЗ не установлено, какие конкретно данные относятся к персональным - то для работы в качестве основы можно использовать Перечень персональных данных федеральных государственных гражданских служащих Минюста, утвержденный Приказом Минюста России от 21.03.2013 N 36.

Обработка персональных данных и их защита

Законодательством ограничивается круг информации, которую работодатель имеет право получать и использовать в отношении своих сотрудников. Это только те сведения, которые характеризуют сотрудника как сторону трудового договора.

Обязательность применения мер безопасности по защите персональных данных возлагается на сторону, которая занимается их обработкой.

Важно! Исходя из норм, установленных ч.1 ст.89 ТК РФ, работодатель обязан знакомить своих сотрудников с информацией об их персональных данных и их обработке. Кроме этого работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области. То есть конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным.

Получение персональных данных

Работодателю следует помнить, что все персональные данные работника следует получать у него самого (п. 3 ст. 86 ТК РФ).

В некоторых случаях согласие на обработку персональных данных работника (соискателя) не требуется, если эта информация получена:

  1. из документов, предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья;
  3. в объеме, предусмотренном личной карточкой N Т-2, в т.ч. персональные данные близких родственников;
  4. от кадрового агентства, действующего от имени соискателя;
  5. из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.
Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие.

В уведомлении необходимо указать:

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники данных (у кого будет запрашиваться информация);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении информации у третьего лица.
Если цели сбора информации отличаются от тех, что перечислены в п. 1 ст. 86 ТК РФ - работодатель не имеет права ее запрашивать у третьих лиц даже с согласия работника.

Меры защиты персональных данных

Для обеспечения внешней защиты персональных данных работников работодатель должен принять следующие меры:
  • установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;
  • установить особый порядок выдачи пропусков и удостоверений работников;
  • использовать технические средства охраны;
  • использовать программно-технический комплекс защиты информации на электронных носителях.
Мы уже говорили о том, что законодательство требует, чтобы обработка персональных данных осуществлялась с согласия работника. В случае возникновения спора, чтобы иметь возможность предоставить доказательства - целесообразно оформить такое согласие письменно.

Если работник является недееспособным, письменное согласие на обработку его данных следует получить у его законного представителя. В случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни.

Не следует забывать о том, что работник в любое время имеет право отозвать свое согласие на обработку персональных данных.

В процессе разработки локального акта, который будет определять порядок обработки, хранения и использования персональных данных, можно руководствоваться Постановлением Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Следующее - обязательно обеспечьте раздельное хранение персональных данных, обработка которых осуществляется в различных целях. При хранении материальных носителей оператор должен принимать меры безопасности для исключения несанкционированного доступа к ним и обеспечить их сохранность. Перечень мер для обеспечения таких условий, порядок их принятия, а также список лиц, ответственных за реализацию указанных мер, устанавливаются также работодателем.

Передача персональных данных

В процессе трудовой деятельности зачастую возникает необходимость передавать персональные данные работника как внутри организации, так и третьим лицам. А это означает, что работодатель должен вести их строгий учет. Рекомендуется применять журналы учета, в которых указываются:
  • даты выдачи и возврата документа,
  • наименование документа,
  • срок пользования,
  • цель выдачи,
  • Ф.И.О. и должность лица, получившего документ с персональными данными работника.
Доступ к персональным данным работников должен осуществляться только специально уполномоченными лицами. При этом они имеют право получать только те данные, которые необходимы для выполнения конкретных функций.

Ситуация: если документы, содержащие персональные данные, составлены более чем на одном листе - при их возврате лицо, которое получало документы, должно присутствовать лично при проверке наличия всех имеющихся документов по описи. При этом сотрудник, получающий личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Работодателю следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Для повышения уровня защиты персональной информации в систему учета можно ввести обязательное проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи следует разработать и вести журнал проверок наличия документов, содержащих персональные данные работника.

Размер ответственности за нарушения

В соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа: Помимо организации ответственность за нарушение несет ее руководитель как должностное лицо.

В соответствии со ст. 13.14 КоАП РФ разглашение персональной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

  • на граждан - от 500 до 1000 руб.;
  • на должностных лиц - от 4000 до 5000 руб.
Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других сотрудников, то его могут привлечь к административной ответственности в виде штрафа.

Персональные данные относятся к сведениям, которые охраняются федеральным законом. Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения к дисциплинарной ответственности (ст. 90 ТК РФ).

Статья 137 Уголовного кодекса за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрируемом произведении или средствах массовой информации предусматривает:

  • или штраф в сумме до 200 тыс. руб.,
  • или штраф в размере заработной платы либо иного дохода осужденного за период до 18 месяцев,
  • или обязательные работы на срок от 120 до 180 часов,
  • или исправительные работы на срок до одного года,
  • или арест на срок до четырех месяцев.
А часть 2 указанной статьи предусматривает, что те же деяния, совершенные лицом с использованием своего служебного положения, наказываются
  • или штрафом в сумме от 100 тыс. до 300 тыс. руб.,
  • или штрафом в размере заработной платы либо иного дохода осужденного за период от одного года до двух лет,
  • или лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет,
или арестом на срок от четырех до шести месяцев.

Комментарий к статье 88

1. По общему правилу персональные данные работника не могут быть переданы третьей стороне. Исключением из данного правила являются: 1) выдача работником письменного согласия на передачу персональных данных третьей стороне; 2) передача персональных данных работника в целях предупреждения угрозы жизни и здоровью самого работника; 3) случаи, установленные федеральным законом.

2. При определении допустимости выдачи работником работодателю письменного согласия на передачу персональных данных третьей стороне следует руководствоваться установленным Конституцией РФ и п. 9 ст. 86 ТК запретом на отказ со стороны работника от своего права на неприкосновенность частной жизни, личную и семейную тайну. О содержании такого согласия см. п. 3 комментария к ст. 86.

3. Получателями персональных данных работника на законном основании являются:

Фонд социального страхования Российской Федерации;

Пенсионный фонд Российской Федерации;

Налоговые органы;

Федеральная инспекция труда;

Иные органы государственного надзора и контроля за соблюдением законодательства о труде;

Органы исполнительной власти, профессиональные союзы, участвующие в расследовании несчастных случаев на производстве.

В соответствии со ст. 5 Федерального закона от 24 июля 1998 г. N 125-ФЗ "Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний" физические лица, выполняющие работу на основании трудового договора, подлежат обязательному социальному страхованию от несчастных случаев на производстве и профессиональных заболеваний. Пункт 7 ст. 17 данного Закона обязывает работодателя собирать и представлять за свой счет страховщику в установленные страховщиком сроки документы, являющиеся основанием для начисления и уплаты страховых взносов, назначения обеспечения по страхованию, и иные сведения, необходимые для осуществления обязательного социального страхования от несчастных случаев на производстве и профессиональных заболеваний.

Работодатель обязан предоставить в соответствующий орган Пенсионного фонда РФ сведения обо всех лицах, работающих у него по трудовому договору. Эти сведения могут предоставляться как в виде документов в письменной форме, так и в электронной форме (на магнитных носителях или по каналам связи) при наличии гарантий их достоверности и защиты от несанкционированного доступа и искажений. Вопрос о возможности предоставления информации в электронной форме решается Пенсионным фондом РФ совместно с конкретными работодателями (ст. 8 Федерального закона от 1 апреля 1996 г. N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования").

Выступая в качестве налогового агента работников, исчисляющего, удерживающего из средств, выплачиваемых работникам, и перечисляющего в бюджет соответствующие налоги, работодатель обязан представлять в налоговый орган по месту своего учета документы, необходимые для осуществления контроля за правильностью исчисления, удержания и перечисления налогов (ст. 24 Налогового кодекса РФ).

В соответствии со ст. 357 ТК государственные инспекторы труда при осуществлении надзорно-контрольной деятельности имеют право запрашивать у работодателей и безвозмездно получать от них документы и информацию, необходимую для выполнения надзорных и контрольных функций, включая персональные данные работников.

Информация о групповом несчастном случае на производстве, тяжелом несчастном случае на производстве, несчастном случае на производстве со смертельным исходом должна быть направлена работодателем в организации, поименованные в ст. 228.1 ТК.

В соответствии с ч. 5 ст. 20 Федерального закона от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации" сведения о доходах, имуществе и обязательствах имущественного характера федеральных гражданских служащих, назначение на должность и освобождение от должности которых осуществляются Президентом РФ или Правительством РФ, предоставляются для опубликования общероссийским средствам массовой информации по их обращениям с одновременным информированием об этом указанных гражданских служащих, а сведения о доходах, имуществе и обязательствах имущественного характера соответствующих гражданских служащих субъекта РФ предоставляются для опубликования общероссийским и региональным средствам массовой информации по их обращениям с одновременным информированием об этом указанных гражданских служащих.

4. В современных условиях работодатель зачастую предоставляет своим потенциальным или действительным контрагентам информацию о занятых у него работниках с целью заключения нового или продления действия уже заключенного договора. Комментируемая статья допускает передачу персональных данных работника в коммерческих интересах работодателя, но ограничивает такую передачу исключительно теми случаями, когда работник дает письменное согласие на сообщение персональных данных конкретному третьему лицу в письменной форме. Выдача согласия на передачу персональных данных работника неопределенному кругу третьих лиц или без ограничения сроков такой передачи не порождает правовых последствий и не может служить основанием для передачи персональных данных работника.

5. Поскольку персональные данные относятся к категории конфиденциальной информации, любые лица, обладающие данной информацией, обязаны соблюдать специальный режим использования и защиты персональных данных работников. Так, лица, получившие персональные данные работника на законном основании, обязаны использовать их исключительно в целях, которые заявлялись при запросе соответствующей информации, а также не разглашать такую информацию. Исключения из данного правила определяются только федеральными законами. Необходимость дальнейшей передачи персональных данных работников может, в частности, вытекать из законодательства об административных правонарушениях, уголовного процессуального законодательства. Например, протокол об административном правонарушении, в котором могут содержаться персональные данные работника, в том случае, когда лицо, его составившее, не имеет права рассматривать дело об административном правонарушении, передается соответствующему лицу, в течение суток с момента составления протокола (ст. 28.8 КоАП РФ).

Работодатель, передающий персональные данные работника третьим лицам, вправе потребовать от этих лиц строго целевого использования этих данных и представления доказательств соблюдения данного правила. Форма такого требования определяется работодателем самостоятельно, а форма представления доказательств исполнения третьим лицом своей обязанности по сохранению конфиденциальности персональных данных - по соглашению сторон.

6. В деятельности любого работодателя неизбежно возникает необходимость периодической передачи персональных данных работника от одного структурного подразделения (работника) к другому. Так, информация о новом работнике или об изменении персональных данных передается кадровой службой в бухгалтерию или в службу безопасности. Такая передача осуществляется в порядке, установленном локальным нормативным актом. Установление обязанности ознакомить работника с таким актом под роспись способствует прозрачности работы по обработке персональных данных и способствует более полной реализации права человека на охрану неприкосновенности его личной жизни.

О локальных нормативных актах см. подробнее ст. 8 ТК и комментарий к ней.

7. Доступ к персональным данным работников в процессе их обработки ограничивается кругом лиц, для которых обработка соответствующих данных является одной из должностных обязанностей (сотрудники кадровых, бухгалтерских и иных служб). Право доступа к персональным данным работников предоставлено также лицам, осуществляющим функции надзора и контроля за соблюдением работодателями законодательства о труде, а также лицам, контролирующим правильность исполнения работодателем обязанностей как налогового агента работника или страхователя в системе обязательного государственного страхования. Подробнее о лицах, осуществляющих функции надзора и контроля за соблюдением работодателями законодательства о труде, см. ст. ст. 357, 366 - 369 ТК и комментарий к ним.

Следует отметить, что установленное комментируемой статьей правило о получении данными лицами только тех персональных данных, которые им необходимы для выполнения конкретных функций, трудно реализуемы на практике. Персональные данные работника собираются в его личном деле, не подлежат дроблению и в принципе доступны для ознакомления лицом, осуществляющим надзорно-контрольные функции в полном объеме. Исполнить требования закона возможно при четкой работе с лицами, осуществляющими функции надзора и контроля за соблюдением законодательства о труде, теми работниками, занятыми у конкретного работодателя, трудовой функцией которых является работа с персональными данными.

При передаче персональных данных внутри организации в соответствующее структурное подразделение (работнику) должна передаваться часть персональных данных, необходимая конкретному структурному подразделению (работнику) для исполнения своих функций.

8. Информация о состоянии здоровья гражданина составляет врачебную тайну. В соответствии со ст. 61 Основ законодательства об охране здоровья граждан от 22 июля 1993 г. передача сведений, составляющих врачебную тайну, работодателю допускается с согласия гражданина или его законного представителя. Исключение составляют случаи, когда информация о состоянии здоровья работника передается работодателю при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений или при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий. Информация о состоянии психического здоровья гражданина может передаваться работодателю лишь в случаях, установленных федеральными законами (ст. 8 Закона РФ от 2 июля 1992 г. N 3185-1 "О психиатрической помощи и гарантиях прав граждан при ее оказании").

По общему правилу операторы персональных данных перед обработкой этих данных обязаны направить уведомление в Роскомнадзор. При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не нужно.

Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). С 1 июля 2017 года введены повышенные административные штрафы за несоблюдение требований Федерального закона № 152-ФЗ.

Отправить сообщение в Роскомнадзор можно по интернету на официальном сайте ведомства . В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.

При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях:

  • При сборе и обработке персональных данных без использования средств автоматизации. Если обработка осуществляется без компьютера и электронных баз данных, уведомлять Роскомнадзор не требуется. При этом оператор данных должен соблюдать требования Постановления Правительства РФ от 15.09.2008 № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Если компания использует компьютеры, это не значит, что обработка данных осуществляется с использованием средств автоматизации. Неавтоматизированной обработкой персданных считается использование, уточнение, распространение, уничтожение персональных данных, которые осуществляются при непосредственном участии человека.
  • При сборе личных сведений сотрудников в рамках трудовых отношений. Это касается только тех данных, которые необходимо предоставить работодателю при оформлении трудового и коллективного договора. О сборе и обработке сведений, которые не касаются трудовых отношений нужно уведомлять Роскомнадзор. Также уведомлять нужно, если работодатель собирается обрабатывать данные уволенных сотрудников (п. 1 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При оформлении компанией договора с физическим лицом. В этом случае уведомлять Роскомнадзор не нужно, если исполнитель/продавец/поставщик не собирается передавать персональные данные третьим лицам (п. 2 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены.
  • При сборе сведений общественным объединением или религиозной организацией. Обработка сведений членов таких организаций осуществляется без уведомления, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При сборе и обработке сведений, которые само физическое лицо сделало общедоступными (п. 4 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При сборе персональных данных, которые включают только имя, отчество и фамилию физического лица (п. 5 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При получении сведений для однократного пропуска физического лица на территорию оператора данных (п. 6 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При обработке данных, включенных в информационные системы персональных данных, имеющих статус государственных автоматизированных информационных систем (п. 7 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
  • При сборе сведений транспортными компаниями для обеспечения безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса.

Во всех других случаях уведомлять об обработке данных нужно обязательно. Чтобы уточнить, обязана ли ваша организация подавать уведомление, можно обратиться в Роскомнадзор.

О том, как обезопасить свой бизнес от штрафов по Закону №152-ФЗ, читайте в статье