Не для передачи третьим лицам

Что это такое?

Персональными данными называют любые сведения, которые относятся к соответствующему или определяемому на основании этих сведений физлицу. Передача персональных данных регламентируется ст.88 ТК РФ.

Об особенностях трансграничной передачи персональных данных читайте .

Официальные получатели личных сведений

Официально являющиеся получатели персональных сведений гражданина (кому можно передавать без согласия) считаются следующие учреждения:

  1. ФСС РФ (Фонд соцстрахования): на основании ФЗ № 125 «Об обязательном соцстраховании от несчастных случаев на производстве и профзаболеваний».
  2. Пенсионный фонд России: регламентируется ФЗ № 27 «О персонифицированном учете в системе обязательного пенсионного страхования».
  3. Налоговые службы: согласно закону № 146 ч.1 НК РФ.
  4. Службы занятости: в соответствии с ФЗ № 1032-1 «О занятости населения в России».
  5. Органы министерства внутренних дел: ФЗ №3 «О полиции», ФЗ № 40 «О федеральной службе безопасности», ФЗ №144 «Об оперативно-розыскной деятельности».
  6. Военные комиссариаты: регламентируются ФЗ № 53 «О воинской обязанности и военной службе», Постановление Правительства РФ № 719 «Положение о воинском учете», Указ Президента России № 1132 «Об утверждении Положения о военных комиссариатах».
  7. Иные службы государственного контроля и надзора за соблюдением законодательства о труде.

Разглашение постороннему субъекту

ФЗ «О защите прав потребителей» включает в себя обработку с последующей передачей своих личных данных, если есть согласие сотрудника. При этом составляется в письменной форме документ, который хранится у работодателя. При возникшем споре бумага становится доказательством наличия согласия на передачу личных сведений сотрудника постороннему субъекту.

Каждая компания может столкнуться с необходимостью периодической отправки личных данных служащего из 1 структурного подразделения в другое. Эти сведения отправляются кадровой службой в бухгалтерию или службу безопасности. В этом случае учреждение должно ознакомить сотрудника с актом с получением подписи, подтверждающей его согласие.

Каким организациям позволяется получать личные сведения работника при его согласии? К примеру, такими учреждениями может стать банк для оформления безналичного счета, куда Наниматель будет перечислять зарплату и другие доходы сотрудника. Или кредитные организации, куда гражданин обращался за оформлением кредита или ссуд.

Предназначение бумаги

Главное предназначение бумаги – получение письменного согласия сотрудника, позволяющего сообщать личные сведения работника третьей стороне.

В положении указывается порядок обращения с персональными данными работника.

Статья 9 Закона о персональных данных гласит, что он содержит в себе следующие пункты:

  • Ф. И. О. с адресом сотрудника.
  • Номер с датой выдачи и наименованием органа, выдавшего документ, который удостоверяет личность служащего.
  • Наименование с юридическим адресом нанимателя, получающего согласие в письменной форме.
  • Соответствующая цель отправки персональных сведений третьей стороне.
  • Конкретный список конфиденциальных сведений, на передачу которых сотруднику требуется дать согласие.
  • Период, на протяжении которого данный документ имеет силу.
  • Порядок отзыва согласия служащего.

Пошаговая инструкция по составлению документа с примерами

Для оформления бумаги по передаче персональных сведений рекомендуем воспользоваться нижеописанной инструкцией. Особых требований к составлению документа в законодательстве не сказано, однако выполнять его следует в письменном виде.

Пошаговые действия:

  1. Шапка.

    В начале документа указывается наименование учреждения с должностью руководителя, на чье имя пишется бумага, индексом и юридическим адресом компании. К примеру:

    Генеральному директору

    ООО «Фотопечать»

    И. Ф. Максимову

    450348, г. Москва, Ленинский проспект, д.3/1

    Ниже следует обозначить от кого согласие: указывается Ф. И. О. работника полностью в родительном падеже. К примеру, Андреева Вячеслава Геннадьевича.

  2. Тело текста.

    В этом пункте работник дает свое согласие на передачу своих личных сведений.

    Здесь указывается Ф. И. О. сотрудника со сведениями документа, удостоверяющего его личность, и местом проживания.

    К примеру:

    Андреев Вячеслав Геннадьевич

    паспорт серия 3564 № 121227

    выдан УВД «Гагарино» г. Москва, Ленинский проспект, 58-23

    проживающий по адресу 454343, г. Москва, Ленинский проспект,3/1

  3. Текст документа, где работник дает свое согласие.

    Я принимаю решение о предоставлении моих персональных данных и даю согласие на их обработку свободно, в своей воле и своем интересе в соответствии с ФЗ № 152.

  4. Список личных сведений, которые в последующем позволяется обрабатывать.
  5. Конкретные организации, которым разрешается передавать личные данные.

    К примеру:

    Банк «Москва» для оформления безналичного счета, на который Работодателем будет перечисляться зарплата и иные доходы сотрудника.

  6. Список действий с персональными сведениями с общим описанием способов обработки, которые будут применены.

    Например: смешанная обработка (сбор, систематизация, накопление, хранение, уточнение, в т. ч. передача), обезличивание, блокирование, уничтожение персональных данных.

  7. Срок, на протяжении которого документ имеет силу.

    К примеру, срок действия согласия – 5 лет.

  8. Порядок отзыва согласия сотрудника.
  9. Заключение.В этом пункте субъект личных сведений подписывается, указывая расшифровку, и ставит дату составления согласия.

Перечень информации о человеке, которая передается после его разрешения

  1. Ф. И. О.
  2. Число с местом рождения.
  3. Адрес проживания с номером телефона.
  4. Семейное положение.
  5. Социальное положение.
  6. Имущественное положение.
  7. Образование.
  8. Профессия.
  9. Доходы и размер заработной платы.
  10. Иные сведения.

К другой информации относятся данные паспорта сотрудника, трудовой стаж, номер пенсионного свидетельства, сведения о военной службе и воинском учете и др.

Согласие на обработку персональных данных широко применяется в различных учреждениях, начиная с муниципальных организаций и заканчивая частными компаниями. Документ позволяет законно передавать личные сведения работника третьей стороне и служит доказательством при возникшем споре.

Защита прав субъектов персональных данных

Основным нормативно-правовым актом, регулирующим отношения, связанные с обработкой персональных данных, является Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

В соответствии с ч. 1 ст. 23 Федерального закона от 27 июля 2006г. № 152-ФЗ «О персональных данных» (далее — Закон «О персональных данных»), Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденным постановлением Правительства РФ от 16.03.2009 № 228, уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

На территории Тверской области, в соответствии с Положением об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по тверской области, утвержденным Приказом Роскомнадзора от 25.01.2016 № 71, полномочия по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных возложены на Управление Роскомнадзора по Тверской области.

Закон «О персональных данных» установил следующие основные понятия:

— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

— оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данных;

— обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

— информационная система персональных данных — совокупность содержащихся в базе данных персональных данных обеспечивающих их обработку информационных технологий и технических средств.

Также Федеральный закон № 152-ФЗ установил принципы обработки персональных данных, условия и порядок обработки персональных данных, права субъектов персональных данных, обязанности оператора, права и обязанности уполномоченного органа в ходе осуществлениям им своей деятельности, а также ответственность за нарушение требований данного Федерального закона.

Основными законодательными и нормативно-правовыми актами в области обработки персональных данных являются:

Конституция Российской Федерации от 12.12.1993;

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера»;

Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

Постановление Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

Приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения

Уполномоченный орган по защите прав субъектов персональных данных имеет право:

запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах своих полномочий;

требовать от оператора уточнения, блокирования или уточнения недостоверных или полученных незаконным путем персональных данных;

принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;

направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

направлять в органы прокуратуры, правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

привлекать к административной ответственности лиц, виновных в нарушении Закона «О персональных данных».

Права субъектов персональных данных

Субъект персональных данных (физическое лицо, гражданин Российской Федерации) имеет право на обеспечение защиты его прав и свобод при обработке его персональных данных, защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Данное право человека и гражданина установлено статьей 23 Конституции Российской Федерации.

Глава 3 Закона «О персональных данных» устанавливает следующие права субъектов персональных данных:

1. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения, должны быть представлены субъекту персональных данных оператором в доступной форме.

3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных оператором;

правовые основания и цели обработки персональных данных;

цели и применяемые оператором способы обработки персональных данных;

наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Федерального закона;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;

сроки обработки персональных данных, в том числе сроки их хранения;

информацию об осуществленной или о предполагаемой трансграничной передаче данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена таковому лицу;

иные сведения, предусмотренные настоящим Федеральным законом или другими Федеральными законами.

4. Субъект персональных данных вправе обжаловать действия (бездействия) оператора, осуществляющего обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушающего его права и свободы, в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Уведомление оператора об обработке персональных данных

В соответствии с ч. 1 ст. 22 Закона «О персональных данных» операторы обязаны до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Уведомление, предусмотренное ч. 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных;

10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;

11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

В случае представления оператором уведомления, содержащего неполные или недостоверные сведения, Управление вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

В соответствии с ч. 7 ст. 22 Закона «О персональных данных в случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Уведомление об изменении сведений представляется Оператором в территориальное управление Службы на бланке оператора в виде информационного письма с указанием основания изменения сведений в письменной форме, подписанное уполномоченным лицом, с указанием сведений в соответствии с ч. 3 ст. 22 Закона «О персональных данных».

Статьей 24 Закона «О персональных данных» установлено, что лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.

Административная ответственность за невыполнение требований законодательства в области обработки персональных данных установлена статьями:

Статьей 13.11 Кодекса Российской Федерации об административных правонарушениях за нарушение законодательства Российской Федерации в области персональных данных предусмотрена ответственность.

Дела об административных правонарушениях, предусмотренных статьей 13.11 КоАП РФ, возбуждаются уполномоченным органом и рассматриваются судом.

Кроме того, статья 19.7 Кодекса Российской Федерации об административных правонарушениях устанавливает ответственность за непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление таких сведений в неполном объеме или искаженном виде.

Дела об административных правонарушениях, предусмотренных статьей 19.7 КоАП РФ возбуждаются уполномоченным органом и рассматриваются судом.

По состоянию на 31 декабря 2019 г. количество операторов, осуществляющих обработку персональных данных на территории Тверской области и внесенных в реестр операторов, осуществляющих обработку персональных данных, составляет 5851.

Время публикации: 03.10.2009
Последнее изменение: 16.01.2020 09:43

Ответственность за нарушение законодательства

Согласно ч. 1 ст. 6 закона № 152 для обработки личных сведений необходимо получить согласие лица, которому они принадлежат. Использование персональных данных без согласия по общему правилу является нарушением закона и влечет за собой привлечение ответственного за их обработку к дисциплинарной, административной и даже уголовной ответственности (ч. 1 ст. 24 закона № 152).

Так, работодатель может объявить должностному лицу — работнику организации выговор за ненадлежащее исполнение им своих должностных обязанностей или уменьшить размер стимулирующей выплаты (премии), при условии что такой вид наказания предусмотрен действующим на предприятии коллективным договором или иным локальным документом.

Административная ответственность за обработку данных без согласия лица, которому они принадлежат, предусматривает наложение на нарушителя штрафа в размере (ч. 2 ст. 13.11 КоАП РФ):

  • 3–5 тыс. руб. — на граждан;
  • 10–20 тыс. руб. — на должностных лиц;
  • 15–75 тыс. руб. — на юридических лиц.

Уголовная ответственность наступает за незаконный сбор сведений о частной жизни человека (в том числе о личной или семейной тайне), а также за неправомерный доступ к компьютерной информации, содержащей такие сведения (ст. 137, 272 УК РФ).

Кроме того, субъект персональных данных может потребовать от нарушителя возмещения причиненного ему морального вреда (ч. 2 ст. 24 закона № 152).

За соблюдением законодательных требований в области личной информации следит Роскомнадзор.