В каком случае оператор обязан в течение 30 рабочих дней уничтожить персональные данные

Обновлено: 05.05.2024

1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ). Введено новое понятие "персональные данные, разрешенные для распространения". Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – "общедоступные персональные данные". Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив персональные данные, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор персданных) будет подразумеваться лицо, которое обрабатывает персональные данные. Под субъектом персональных данных (далее – субъект персданных, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.

Рассмотрим новые правила работы с персданными подробнее.

Для распространения данных нужно получить новое согласие

Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение). Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.

Если физлицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще (п. 4 ст. 10.1 Закона № 152-ФЗ). Это не касается передачи персональных данных государственным структурам, то есть военкомату, ФНС, ФСС, полиции, следственным органам и т. д. Персональные данные физического лица можно передавать им без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).

Молчание или бездействие субъекта персданных ни при каких обстоятельствах не может считаться согласием на распространение его персональных данных (п. 8 ст. 10.1 Закона № 152-ФЗ).

Согласие на распространение может быть предоставлено оператору персональных данных (п. 6 ст. 10.1 Закона № 152-ФЗ):

• например, непосредственно на бумаге с личной подписью (это можно сделать уже сейчас);
• через информационную систему Роскомнадзора (эта возможность будет реализована только с 1 июля 2021 года).

Уведомлять Роскомнадзор о намерении начать обработку персональных данных, разрешенных для распространения, не нужно (пп. 4 п. 2 ст. 22 Закона № 152-ФЗ).

Содержание согласия на распространение персональных данных

Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (п. 9 ст. 9 Закона № 152-ФЗ). На данный момент документ еще не утвержден, он находится на этапе общественного обсуждения, а текст проекта доступен на портале проектов нормативных актов.

Из текста проекта следует, что новое согласие на распространение персданных должно содержать:

• Ф. И. О. субъекта персональных данных;
• контактную информацию субъекта персональных данных (телефон, электронная почта или почтовый адрес);
• наименование или Ф. И. О. и адрес оператора, получающего согласие;
• цель обработки персональных данных;
• категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена;
• условия разрешения и запрета обработки персональных данных;
• срок, в течение которого действует согласие;
• сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта).

Субъект персональных данных наделен правом самостоятельно выбирать, какие именно персональные данные и на каких условиях может распространять оператор, получивший к ним доступ. Это правило закреплено в п. 9 ст. 10.1 Закона № 152-ФЗ. Например, он может разрешить опубликовать только его фото и Ф. И. О., а дату рождения запретить публиковать. Либо он может разрешить передачу персональных данных третьим лицам, но только при условии, что они являются сотрудниками той же компании, в которой работает он сам.

Установленные субъектом персональных данных запреты и условия их обработки не действуют, когда их обработка осуществляется в государственных, общественных или иных публичных интересах (п. 11 ст. 10.1 Закона № 152-ФЗ). Например, несмотря на запрет, оператор может передать персональные данные в налоговую, ПФР, военкомат, полицию, следственный комитет и т. д.

Если в согласии прямо не указано, что субъект персональных данных не установил запреты и условия обработки персданных, их не следует передавать неограниченному кругу лиц (ч. 5 ст. 10.1 Закона № 152-ФЗ).

Нельзя распространять общедоступные персональные данные без согласия

Если субъект персональных данных самостоятельно разместил в общедоступном месте (например, в соцсетях) свои персональные данные, взять их оттуда для дальнейшей обработки и распространения не получится. Дело в том, что теперь это прямо запрещено законом. Каждое лицо, обрабатывающее или распространяющее размещенные самим субъектом персональные данные, должно доказать законность их обработки. Таким образом, даже в этом случае понадобится письменное согласие субъекта персданных на обработку и/или распространение его персональных данных (п. 2 ст. 10.1 Закона № 152-ФЗ). Раньше такие персональные данные считались общедоступными, не нужно было получать дополнительное согласие на их распространение.

Третьи лица должны быть оповещены о запретах и условиях обработки персональных данных

Получив согласие на распространение персональных данных, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах. Сделать это необходимо в течение трех рабочих дней (п. 10 ст. 10.1 Закона № 152-ФЗ). Где именно должна быть опубликована такая информация, в законе не уточняется, однако логично предположить, что она должна быть доступна в том же месте, где опубликованы персональные данные (например, на той же веб-странице, на которой размещены фото и Ф. И. О. гражданина).

Субъект может отозвать согласие на распространение персональных данных

Оператор персональных данных обязан прекратить распространение (передачу, предоставление, доступ) персональных данных по требованию субъекта персданных. Для этого гражданин должен написать заявление об отзыве согласия на их распространение. В таком заявлении должны быть указаны (п. 12 ст. 10.1 Закона № 152-ФЗ):

• Ф. И. О.;
• контакты (номер телефона, адрес электронной почты или почтовый адрес);
• перечень персональных данных, обработка которых должна быть прекращена.

Прекратить распространение нужно в течение трех рабочих дней с момента получения заявления. В противном случае субъект персональных данных вправе обратиться в суд с этим же требованием (п. 14 ст. 10.1 Закона № 152-ФЗ).

Работодателям придется соблюдать новые правила в полном объеме

Все перечисленные выше новые правила обработки персональных данных полностью распространяются на процесс обработки персональных данных работников работодателями. Это означает, что для распространения персональных данных работников (например, для размещения их на сайте работодателя) при приеме на работу или после заключения трудового договора придется брать с работника дополнительное согласие на распространение его персональных данных. В противном случае персональные данные работника можно будет передать только при наличии условий, когда согласие работника на их передачу не требуется. Подробнее об этом читайте здесь.

Что касается передачи персональных данных работника в банк с целью оформления зарплатной карты, полагаем, что передавать такие сведения в банк без согласия работника можно только в исключительных случаях, а именно:

• когда договор заключается непосредственно между банком и работником;
• когда у работодателя есть доверенность на представление интересов работника в банке;
• когда выплата зарплат на банковскую карту работника предусмотрена коллективным договором.

Нужно ли переоформлять согласие на обработку персональных данных, полученное до 1 марта 2021 года?

В законе нет норм, которые обязывали бы операторов персданных переоформлять полученные ранее согласия на обработку их персональных данных, оформленных по старым правилам. Но рекомендуется это сделать во избежание возможных претензий со стороны контролирующих органов. Если нужно передать персональные данные другим лицам или опубликовать их в открытом доступе, целесообразно оформить согласие на их распространение с учетом перечисленных выше правил. Сделать это следует еще и потому, что с 27 марта 2021 года вдвое увеличены штрафы за нарушение законодательства о защите персональных данных. Подробнее об этом читайте здесь.

Персональные данные – это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.
Управляющая организация, ТСЖ, ЖК или ЖСК являются оператором персональных данных.
Любое действие, которое совершается с персональными данными, – это их обработка ( ч. 3 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ ): сбор, хранение, накопление, систематизация, использование, передача и т.д.

• уведомлять Роскомнадзор о намерении обрабатывать персональные данные;
• соблюдать принципы обработки данных;
• обрабатывать данные, только когда это допускает закон;
• получать согласие на обработку данных;
• опубликовать политику в отношении обработки;
• предоставить доступ к персональным данным их владельцам;
• уточнять, блокировать или уничтожить данные по требованию владельца;
• обеспечить безопасность данных при обработке;
• обрабатывать данные на российских серверах;
• назначить ответственных лиц;
• уведомлять, что ведётся видеосъемка.

Оператор обязан разместить на своём сайте документ, который определяет политику организации в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите данных. Доступ к этим документам не должен быть ограничен ( ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ ).

УО должна получить согласие собственников в любой форме, которая позволяет подтвердить получение. Роскомнадзор рекомендует оформлять согласие письменно отдельным документом.

Возможно разместить пункты об обработке персональных данных в договоре управления и оказания коммунальных услуг.

Если УО привлекает представителя для осуществления расчётов с собственниками и нанимателями жилых помещений и взимания платы за жилое помещение и коммунальные услуги, согласие субъектов персональных данных на передачу данных таким представителям не требуется ( ч. 16 ст. 155 ЖК РФ ).

При этом необходимо закрепить в договоре между УО/РСО и представителем положения о конфиденциальности ПДн ( ч. 10 ст. 3, ч. 4 ст. 6, ч. 1 ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ ).

Персональные данные, которые должны быть размещены в ГИС ЖКХ, попадают в закрытую часть системы, если иное не предусмотрено федеральным законом ( п. 12 Приказа Минстроя от 29.02.2016 № 74/114/пр ).

• ФИО представителя собственников помещений в МКД, подписавшего акт о приёмке выполненных работ (оказанных услуг) по капитальному ремонту ОИ в МКД (в случае подписания акта представителем собственников);
• ФИО лица, являющегося стороной договора о предоставлении в пользование части ОИ собственников помещений в МКД;
• протоколы общего собрания членов ТСЖ/ЖСК;
• сведения, позволяющие идентифицировать председателя, члена правления, члена ревизионной комиссии ТСЖ/ЖСК;
• адрес, номер контактного телефона и сведения, позволяющие идентифицировать члена ТСЖ/ЖСК;
• протоколы общего собрания собственников помещений в МКД;
• информация о лицевых счетах, присвоенных собственникам и пользователям помещений в МКД для внесения платы на ЖКУ;
• протоколы ЖСК;
• ФИО председателя и членов правления ЖСК;
• ФИО председателя и членов ревизионной комиссии ЖСК;
• ФИО, номер телефона и адрес электронной почты (при наличии) членов ЖСК;
• адрес помещения, в отношении которого внесена плата, а также ФИО потребителя (для физического лица, не являющегося ИП), ИНН (для ИП и для юридического лица) и период оплаты (при указании лицом, которым внесена плата, периода оплаты);
• ФИО, СНИЛС, документ удостоверяющий личность, адрес электронной почты, место постоянного проживания администратора ОССП в МКД;
• ФИО, СНИЛС, документ удостоверяющий личность собственника или представителя собственника, сделавшего предложения по повестке дня ОССП в МКД;
• ФИО, СНИЛС, документ удостоверяющий личность собственника или представителя собственника, проголосовавшего на ОССП в МКД;
• ФИО, СНИЛС, номер контактного телефона, адрес электронной почты председателя и членов совета МКД;
• протокол ОССП в МКД об избрании совета МКД.

Уничтожение персональных данных

• в течение 7 дней с момента поступления информации от субъекта данных или его представителя о том, что данные были получены незаконно или данные не являются необходимыми для заявленных целей обработки ( ч. 1 ст. 14 и ч. 3 ст. 20 Федерального закона № 152-ФЗ );
• в течение 10 дней с момента, когда оператор сам обнаружил, что обрабатывает информацию неправомерно ( ч. 3 ст. 21 Федерального закона от27.07.2006 № 152-ФЗ);
• в течение 30 дней с момента достижения цели обработки персональных данных ( ч. 4 статьи 21 Федерального закона от27.07.2006 № 152-ФЗ);
• в течение 30 дней с момента отзыва согласия на обработку субъектом персональных данных.

Чтобы уничтожить данные, необходимо создать комиссию по уничтожению и утвердить акт об уничтожении персональных данных.

Меры по защите персональных данных

• установить тип угрозы,
• установить уровень защищенности,
• принять организационно-технические меры, которые предусмотрены для своего уровня защищенности.

При неавтоматизированной обработке также нужно соблюдать ряд требований ( ПП РФ от 15.09.2008 № 687 ).

• определить места хранения данных (материальных носителей);
• установить перечень лиц, которые обрабатывают данные либо имеют к ним доступ.

Хранить материальные носители необходимо с соблюдением условий, которые обеспечивают сохранность персональных данных и исключают несанкционированный к ним доступ.

УО сама может определить перечень мер, которые необходимы для обеспечения таких условий, порядок их принятия и перечень лиц, которые несут ответственность за реализацию указанных мер.

Внести в Федеральный закон от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; 2010, N 31, ст. 4173, 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, 4243; 2016, N 27, ст. 4164; 2017, N 27, ст. 3945; N 31, ст. 4772; 2018, N 1, ст. 82; 2019, N 52, ст. 7798; 2020, N 17, ст. 2701) следующие изменения:

1) статью 3 дополнить пунктом 1 1 следующего содержания:

"1 1 ) персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;";

2) пункт 10 части 1 статьи 6 признать утратившим силу;

3) статью 9 дополнить частью 9 следующего содержания:

"9. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.";

4) пункт 2 части 2 статьи 10 изложить в следующей редакции:

"2) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10 1 настоящего Федерального закона;";

5) дополнить статьей 10 1 следующего содержания:

"Статья 10 1 . Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

4. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

5. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

7. Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

8. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

9. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

10. Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

11. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

12. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

13. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в части 12 настоящей статьи.

14. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

15. Требования настоящей статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.";

6) пункт 3 части 4 статьи 18 изложить в следующей редакции:

"3) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10 1 настоящего Федерального закона;";

7) пункт 4 части 2 статьи 22 изложить в следующей редакции:

"4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10 1 настоящего Федерального закона;".

Статья 2

1. Настоящий Федеральный закон вступает в силу с 1 марта 2021 года, за исключением абзаца десятого пункта 5 статьи 1 настоящего Федерального закона.

2. Абзац десятый пункта 5 статьи 1 настоящего Федерального закона вступает в силу с 1 июля 2021 года.

Ст. 88 ТК РФ устанавливает те ограничения, которых должен придерживаться работодатель в отношении операций с персональными данными о работнике. Рассмотрим возникающие по этой статье вопросы.

Ст. 88 ТК РФ: официальный текст

Что относится к персональным данным?

Чаще всего персональные данные оказываются нужны работодателю, и обычно при трудоустройстве берутся у работника сведения, подтверждаемые:

Можно ли хранить копию паспорта в личном деле работника? Ответ на этот вопрос есть в КонсультантПлюс. Получите пробный демо-доступ к системе К+ и бесплатно переходите в материал.

• трудовой книжкой;
• свидетельством ПФР;
• документами об обучении;
• документами воинского учета;
• дополнительными справками, удостоверяющими какие-либо необходимые для трудоустройства обстоятельства.

Получивший персональную информацию работодатель не только собирает и обрабатывает ее в пределах своего подразделения (службы персонала), но и передает в другие подразделения (бухгалтерию, юридическую службу), а также третьим лицам (ПФР, ФСС, ИФНС, банкам, органам внутренних дел, судам).

Какие требования содержатся в ст. 88 ТК РФ?

Ст. 88 ТК РФ, констатируя необходимость передачи персональных данных третьим лицам, устанавливает правила, с соблюдением которых она должна осуществляться работодателем:

• такая передача возможна при наличии письменного согласия работника, если только ситуация не требует такой информации в связи с угрозой его жизни или здоровью или если иное не предусмотрено законодательно;
• запрещается сбор информации о состоянии здоровья работника, за исключением той, которая необходима для оценки пригодности работника к выполнению его должностных обязанностей;
• доступ к персональным сведениям о человеке может иметь ограниченное число сотрудников работодателя, при этом каждый из них должен использовать только те сведения, которые ему необходимы для работы;
• правила обмена информацией между подразделениями работодателя следует закрепить во внутреннем нормативном акте, ознакомив с ними всех работников под расписку;

• при всех процедурах, связанных с персональной информацией, должен соблюдаться режим максимальной конфиденциальности, независимо от того, на каком этапе это происходит: при сборе данных, передаче подразделениям работодателя или третьим лицам;
• представителям работников персональная информация предоставляется в минимально необходимом для обозначенных целей объеме;
• передав сведения третьему лицу, работодатель обязан предупредить его об ограниченном применении этих сведений (только в тех целях, для которых они переданы) и проконтролировать соблюдение этого условия.

ВНИМАНИЕ! Согласие на обработку сведений, разрешенных для распространения, нужно оформлять отдельно от других подобных документов.

Как и когда оформить согласие работника на работу с его данными?

Подавляющее большинство действий, осуществляемых работодателем с персональными сведениями о человеке, требует наличия письменного согласия работника (п. 1 ст. 9 закона РФ от 27.07.2006 № 152-ФЗ). Такое согласие обычно берут уже в момент оформления на работу, учитывая, что сбор персональных данных начинается непосредственно с момента трудоустройства. Оно считается добровольным и допускает возможность отзыва его работником.

Установленной формы у этого документа нет, но есть перечень обязательной информации, установленной Роскомнадзором в приказе от 24.02.2021 № 18 (действует с 01.09.2021). Согласие должно содержать следующую информацию:

Что нужно знать о биометрических персональных данных, см. здесь.

• категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов;
• условия, при которых полученные персональные данные могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных;
• срок действия согласия.

Полный перечень сведений о работниках, являющихся персональными данными, вы найдете в КонсультантПлюс. Это важно знать, поскольку к персональной информации относятся не только сведения о работнике, но и его фото например. Есть и другие интересные моменты. А ведь за нарушения в работе с персональными данными установлены довольно существенные штрафы. Получите бесплатный доступ к системе К+ и переходите в Путеводитель. Это убережет вас от ошибок и позволит избежать ответственности.

Когда работник является несовершеннолетним, соответствующее согласие оформляется лицом, имеющим право на законное представление его интересов (родителем, опекуном, усыновителем). Обязательная для этого документа информация при этом пополняется сведениями о законном представителе несовершеннолетнего (Ф.И.О., данные паспорта) и пояснениями о том, как эти 2 лица взаимосвязаны.

Подробнее об оформлении этих документов читайте в материалах:

Когда не требуется согласовывать с работником передачу данных о нем?

Существуют ситуации, когда персональные сведения о работнике передаются третьим лицам вне зависимости от того, есть его согласие на это или нет. Это делается по запросам:

На какие сведения медицинского характера запрет не распространяется?

Несмотря на прямой запрет о сборе сведений медицинского характера, ст. 88 ТК РФ делает оговорку в отношении тех данных, которые значимы с точки зрения отбора кандидатов на конкретную должность или работу в определенных условиях. Это относится:

Поскольку человек может скрыть нежелательную для него информацию о наличии медицинских противопоказаний, препятствующих трудоустройству на соответствующую работу (должность), работодателю предоставляется возможность получить такие сведения из других источников.

Распространенные вопросы

Может ли работодатель передавать персональные данные своих бывших работников новым работодателям по их запросам?

Потенциальный работодатель вправе запросить информацию о персональных данных сотрудника при соблюдении следующих условий:

• если данную информацию нельзя получить у самого работника;
• при наличии согласия работника.

Прежний работодатель вправе передать такие сведеня новому работодателю при наличии согласия сотрудника. Если работник отозвал согласие на передачу персональных данных третьим лицам, прежний работодатель может получить штраф.

Относятся ли сведения полиграфа к персональным данным?

• разъяснение о праве выбора гражданина дать согласие на экспертизу или отказаться от нее;
• перечень вопросов, по которым будет проводиться психофизиологическая экспертиза;
• разъяснение о праве гражданина в любой момент отказаться от экспертизы;
• обязательство работодателя использовать результаты экспертизы только для целей рассмотрения возможности приема кандидата на работу или соответствия работника занимаемой должности.

Информация, полученная в результате проверки на полиграфе, относится к персональным данным гражданина (п. 1 ст. 3 Закона от 27.07.2006 № 152-ФЗ).

Какие риски возможны при нарушении требований к обработке персональных данных работников организации?

1. административная ответственность:

• по ч. 1, 2 ст. 5.27 КоАП РФ - за несоблюдение требований к обработке персональных данных работников, которые установлены ТК РФ.
• по ст. 13.11 КоАП РФ - за нарушение требований к обработке персональных данных, которые установлены Законом о персональных данных.

2. уголовная ответственность:

• по ч. 2 ст. 137 УК РФ - если работник, ответственный за обработку персональных данных других работников, злоупотреблял своими служебными полномочиями, собирал и распространял сведения о частной жизни работника без его согласия.

Более полную информацию по теме вы можете найти в КонсультантПлюс.
Пробный бесплатный доступ к системе на 2 дня.

Читайте также:

  
• Остаток с материнского капитала как снять
  
• Положены ли выходные после прививки от ковид в калуге
  
• Пельгеровская аномалия сегментирования ядер лейкоцитов наследуется как
  
• Как считается мрот во франции
  
• Как написать объяснительную записку в школу