Что такое передача персональных данных третьим лицам
Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что такое персональные данные и что к ним относят
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).
К персональным данным, согласно данному закону, относят:
Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.
Также существует классификация персональных данных. Их подразделяют на:
Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.
Немного подробнее по каждой категории.
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.
К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,
информация о принадлежности к определенной социальной группе,
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!
Передача персональных данных третьим лицам
Защита персональных данных
с помощью DLP-системы
Н е все твердо знают, разрешает ли отечественное законодательство передачу персональных данных третьим лицам и в каких ситуациях это возможно. Есть строго установленный перечень случаев, когда это возможно с точки зрения закона. Если конкретная ситуация не попадает в этот перечень, она будет нарушать права владельцев сведений.
Трудовое право и вопрос передачи данных
Работодатель обязан хранить сведения, предоставленные работником. Трудовой кодекс РФ в ст. 88 предусматривает ситуацию, в которой персональные данные работника могли бы быть переданы третьим лицам. Применяются следующие правила, при которых этот тип правоотношений становится возможным:
Следующая по порядку статья кодекса, ст. 89 ТК РФ, определяет права работников-субъектов персональных данных в целях защиты их персональных данных. Она говорит о праве назначить представителя для защиты информации, в любой момент получить все сведения о месте хранения данных, о том, кто может их изучить или распространить, и дает право требовать исключить или уничтожить недостоверные сведения.
Передача информации для обработки
Закон предусматривает ситуации передачи данных для их обработки. Законодательство под термином «обработка» подразумевает любые действия с информацией, в том числе ее копирование, использование, распространение, передачу доступа к ней третьим лицам. При этом оператор обязан получить разрешение обладателей этих сведений. Процедура обязательно основывается на заключении отдельного договора поручения, четко описывающего все особенности правоотношений, или она может происходить в рамках заключенного государственного или муниципального контракта.
Передача сведений оператором третьим лицам должна иметь под собой определенные цели, понятные субъекту персональных данных. Примером может быть предоставление доступа к информационному массиву для статистической обработки или в случае, когда оператор не может самостоятельно обеспечить надлежащую защиту персональных данных.
Может такая передача происходить и на основании определенного акта органа государственной власти. Все лица, которые получают право на обработку персональных данных на основании такого соглашения или акта, обязаны в полной мере выполнять все нормы, установленные законодательством о защите персональных данных, ответствовать его принципам и духу. Поручение, содержащееся в отдельном договоре, должно включать в себя обязательные пункты:
При соблюдении этих условий действия оператора будут полностью соответствовать федеральному закону. При оформлении письменного согласия его рекомендованную форму можно найти на сайте Роскомнадзора. Подписывая согласие, лицо должно быть информировано, в каких именно целях осуществляется обработка данных и какие именно действия с ними предполагается совершать. Согласие должно отвечать трем критериям – оно должно быть сознательным, конкретным и информированным. В противном случае оно может быть признано недействительным. Форма согласия может быть любой, но если оно оформляется от имени субъекта его представителем, Роскомнадзор вправе проверить, действительно ли такое согласие было дано.
Иные случаи передачи данных
Кроме передачи информационных массивов для обработки законодательство предусматривает и некоторые другие случаи, в которых передача сведений третьим лицам станет допустимой. Так, статья 6 закона указывает на ситуации, при которых:
Количество случаев законной передачи данных строго ограничено. Часто возникает необходимость передачи информации при заключении контрактов на площадках электронных торгов. Если у субъекта есть усиленная электронная подпись, необходимая для участия в торгах, оформление согласия производится простым подтверждением – нажатием кнопки на сайте.
Любая ситуация, выходящая за рамки перечисленных, дает возможность гражданину направить обращение в Роскомнадзор с целью проведения проверки и принятия надлежащих мер реагирования.
Передача персональных данных по нормам ст. 88 ТК РФ
Ст. 88 ТК РФ: официальный текст
Что относится к персональным данным?
Представление о персональных данных человека и основные правила работы с ними содержатся в законе РФ «О персональных данных» от 27.07.2006 № 152-ФЗ. Любые сведения, относящиеся к конкретному лицу, являются его персональными данными, на получение и использование которых необходимо получить согласие этого лица.
Чаще всего персональные данные оказываются нужны работодателю, и обычно при трудоустройстве берутся у работника сведения, подтверждаемые:
Можно ли хранить копию паспорта в личном деле работника? Ответ на этот вопрос есть в КонсультантПлюс. Получите пробный демо-доступ к системе К+ и бесплатно переходите в материал.
Получивший персональную информацию работодатель не только собирает и обрабатывает ее в пределах своего подразделения (службы персонала), но и передает в другие подразделения (бухгалтерию, юридическую службу), а также третьим лицам (ПФР, ФСС, ИФНС, банкам, органам внутренних дел, судам).
Какие требования содержатся в ст. 88 ТК РФ?
Ст. 88 ТК РФ, констатируя необходимость передачи персональных данных третьим лицам, устанавливает правила, с соблюдением которых она должна осуществляться работодателем:
ВНИМАНИЕ! Согласие на обработку сведений, разрешенных для распространения, нужно оформлять отдельно от других подобных документов.
Как и когда оформить согласие работника на работу с его данными?
Подавляющее большинство действий, осуществляемых работодателем с персональными сведениями о человеке, требует наличия письменного согласия работника (п. 1 ст. 9 закона РФ от 27.07.2006 № 152-ФЗ). Такое согласие обычно берут уже в момент оформления на работу, учитывая, что сбор персональных данных начинается непосредственно с момента трудоустройства. Оно считается добровольным и допускает возможность отзыва его работником.
Установленной формы у этого документа нет, но есть перечень обязательной информации, установленной Роскомнадзором в приказе от 24.02.2021 № 18 (действует с 01.09.2021). Согласие должно содержать следующую информацию:
Что нужно знать о биометрических персональных данных, см. здесь.
Полный перечень сведений о работниках, являющихся персональными данными, вы найдете в КонсультантПлюс. Это важно знать, поскольку к персональной информации относятся не только сведения о работнике, но и его фото например. Есть и другие интересные моменты. А ведь за нарушения в работе с персональными данными установлены довольно существенные штрафы. Получите бесплатный доступ к системе К+ и переходите в Путеводитель. Это убережет вас от ошибок и позволит избежать ответственности.
Скачать бланк и образец согласия на обработку персональных данных с 01.09.2021 года можно бесплатно, кликнув по картинке ниже:
Когда работник является несовершеннолетним, соответствующее согласие оформляется лицом, имеющим право на законное представление его интересов (родителем, опекуном, усыновителем). Обязательная для этого документа информация при этом пополняется сведениями о законном представителе несовершеннолетнего (Ф.И.О., данные паспорта) и пояснениями о том, как эти 2 лица взаимосвязаны.
Подробнее об оформлении этих документов читайте в материалах:
Когда не требуется согласовывать с работником передачу данных о нем?
Существуют ситуации, когда персональные сведения о работнике передаются третьим лицам вне зависимости от того, есть его согласие на это или нет. Это делается по запросам:
На какие сведения медицинского характера запрет не распространяется?
Несмотря на прямой запрет о сборе сведений медицинского характера, ст. 88 ТК РФ делает оговорку в отношении тех данных, которые значимы с точки зрения отбора кандидатов на конкретную должность или работу в определенных условиях. Это относится:
Поскольку человек может скрыть нежелательную для него информацию о наличии медицинских противопоказаний, препятствующих трудоустройству на соответствующую работу (должность), работодателю предоставляется возможность получить такие сведения из других источников.
Распространенные вопросы
Может ли работодатель передавать персональные данные своих бывших работников новым работодателям по их запросам?
Потенциальный работодатель вправе запросить информацию о персональных данных сотрудника при соблюдении следующих условий:
Прежний работодатель вправе передать такие сведеня новому работодателю при наличии согласия сотрудника. Если работник отозвал согласие на передачу персональных данных третьим лицам, прежний работодатель может получить штраф.
Относятся ли сведения полиграфа к персональным данным?
Законодательство не запрещает работодателям использовать детектор лжи для проверки кандидатов и действующих работников с целью получения в ходе такой проверки ответов на вопросы, касающиеся лояльности работника к работодателю, а также деловых и профессиональных качеств работника. Применять полиграф работодатель вправе только при наличии письменного согласия работника. В таком согласии должны быть указаны следующие данные:
Какие риски возможны при нарушении требований к обработке персональных данных работников организации?
2. уголовная ответственность:
Что такое передача персональных данных третьим лицам
1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Введено новое понятие «персональные данные, разрешенные для распространения». Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – «общедоступные персональные данные». Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив персональные данные, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор персданных) будет подразумеваться лицо, которое обрабатывает персональные данные. Под субъектом персональных данных (далее – субъект персданных, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.
Рассмотрим новые правила работы с персданными подробнее.
Для распространения данных нужно получить новое согласие
Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение). Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.
Если физлицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще (п. 4 ст. 10.1 Закона № 152-ФЗ). Это не касается передачи персональных данных государственным структурам, то есть военкомату, ФНС, ФСС, полиции, следственным органам и т. д. Персональные данные физического лица можно передавать им без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).
Молчание или бездействие субъекта персданных ни при каких обстоятельствах не может считаться согласием на распространение его персональных данных (п. 8 ст. 10.1 Закона № 152-ФЗ).
Согласие на распространение может быть предоставлено оператору персональных данных (п. 6 ст. 10.1 Закона № 152-ФЗ):
Уведомлять Роскомнадзор о намерении начать обработку персональных данных, разрешенных для распространения, не нужно (пп. 4 п. 2 ст. 22 Закона № 152-ФЗ).
Содержание согласия на распространение персональных данных
Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (п. 9 ст. 9 Закона № 152-ФЗ). На данный момент документ еще не утвержден, он находится на этапе общественного обсуждения, а текст проекта доступен на портале проектов нормативных актов.
Из текста проекта следует, что новое согласие на распространение персданных должно содержать:
Субъект персональных данных наделен правом самостоятельно выбирать, какие именно персональные данные и на каких условиях может распространять оператор, получивший к ним доступ. Это правило закреплено в п. 9 ст. 10.1 Закона № 152-ФЗ. Например, он может разрешить опубликовать только его фото и Ф. И. О., а дату рождения запретить публиковать. Либо он может разрешить передачу персональных данных третьим лицам, но только при условии, что они являются сотрудниками той же компании, в которой работает он сам.
Установленные субъектом персональных данных запреты и условия их обработки не действуют, когда их обработка осуществляется в государственных, общественных или иных публичных интересах (п. 11 ст. 10.1 Закона № 152-ФЗ). Например, несмотря на запрет, оператор может передать персональные данные в налоговую, ПФР, военкомат, полицию, следственный комитет и т. д.
Если в согласии прямо не указано, что субъект персональных данных не установил запреты и условия обработки персданных, их не следует передавать неограниченному кругу лиц (ч. 5 ст. 10.1 Закона № 152-ФЗ).
Нельзя распространять общедоступные персональные данные без согласия
Если субъект персональных данных самостоятельно разместил в общедоступном месте (например, в соцсетях) свои персональные данные, взять их оттуда для дальнейшей обработки и распространения не получится. Дело в том, что теперь это прямо запрещено законом. Каждое лицо, обрабатывающее или распространяющее размещенные самим субъектом персональные данные, должно доказать законность их обработки. Таким образом, даже в этом случае понадобится письменное согласие субъекта персданных на обработку и/или распространение его персональных данных (п. 2 ст. 10.1 Закона № 152-ФЗ). Раньше такие персональные данные считались общедоступными, не нужно было получать дополнительное согласие на их распространение.
Третьи лица должны быть оповещены о запретах и условиях обработки персональных данных
Получив согласие на распространение персональных данных, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах. Сделать это необходимо в течение трех рабочих дней (п. 10 ст. 10.1 Закона № 152-ФЗ). Где именно должна быть опубликована такая информация, в законе не уточняется, однако логично предположить, что она должна быть доступна в том же месте, где опубликованы персональные данные (например, на той же веб-странице, на которой размещены фото и Ф. И. О. гражданина).
Субъект может отозвать согласие на распространение персональных данных
Оператор персональных данных обязан прекратить распространение (передачу, предоставление, доступ) персональных данных по требованию субъекта персданных. Для этого гражданин должен написать заявление об отзыве согласия на их распространение. В таком заявлении должны быть указаны (п. 12 ст. 10.1 Закона № 152-ФЗ):
Прекратить распространение нужно в течение трех рабочих дней с момента получения заявления. В противном случае субъект персональных данных вправе обратиться в суд с этим же требованием (п. 14 ст. 10.1 Закона № 152-ФЗ).
Работодателям придется соблюдать новые правила в полном объеме
Все перечисленные выше новые правила обработки персональных данных полностью распространяются на процесс обработки персональных данных работников работодателями. Это означает, что для распространения персональных данных работников (например, для размещения их на сайте работодателя) при приеме на работу или после заключения трудового договора придется брать с работника дополнительное согласие на распространение его персональных данных. В противном случае персональные данные работника можно будет передать только при наличии условий, когда согласие работника на их передачу не требуется. Подробнее об этом читайте здесь.
Что касается передачи персональных данных работника в банк с целью оформления зарплатной карты, полагаем, что передавать такие сведения в банк без согласия работника можно только в исключительных случаях, а именно:
Нужно ли переоформлять согласие на обработку персональных данных, полученное до 1 марта 2021 года?
В законе нет норм, которые обязывали бы операторов персданных переоформлять полученные ранее согласия на обработку их персональных данных, оформленных по старым правилам. Но рекомендуется это сделать во избежание возможных претензий со стороны контролирующих органов. Если нужно передать персональные данные другим лицам или опубликовать их в открытом доступе, целесообразно оформить согласие на их распространение с учетом перечисленных выше правил. Сделать это следует еще и потому, что с 27 марта 2021 года вдвое увеличены штрафы за нарушение законодательства о защите персональных данных. Подробнее об этом читайте здесь.
Согласие на передачу персональных данных работников: для чего нужно и как оформить
Передавать персональные данные работников третьим лицам работодатель вправе только с их предварительного письменного согласия. Исключениями являются случаи, прямо оговоренные в ТК РФ, законе «О персданных» от 27.07.2006 № 152-ФЗ и некоторых других НПА. Например, передать персданные сотрудника без согласия можно:
Если передача данных произошла в ситуации, которая законом не предусмотрена, а согласие не оформлялось, работодатель и его ответственные сотрудники могут понести дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность.
Чтобы этого избежать, на каждый случай передачи персданных от работника нужно получать письменное согласие. Например, такое согласие необходимо, чтобы передать сведения о работнике по запросу банка.
Специальная форма согласия на передачу персональных данных третьим лицам не утверждена, но есть общие требования: документ должен указывать, какие сведения, кому и с какой целью работник разрешает передать.
Образец такого согласия подготовили эксперты «КонсультантПлюс». Скачать его можно бесплатно, получив пробный доступ к системе.
Обращаем внимание, что с 01.03.2021 законом от 30.12.2020 № 519-ФЗ введено такое понятие, как персональные данные, разрешенные субъектом персональных данных для распространения. Это данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи специального согласия на обработку таких персданных. Требования к содержанию такого согласия утверждены приказом Роскомнадзора от 24.02.2021 № 18 и вступят в силу с 01.09.2021.