Сделай Сам Свою Работу на 5

Раздел 2. НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ ПО ВОПРОСАМ, КАСАЮЩИМСЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Предисловие

 

 

Уважаемые коллеги!

 

В настоящем информационном бюллетене рассматриваются актуальные вопросы, связанные с защитой персональных данных работников организаций, осуществляющих образовательную деятельность.

Сборник содержит комментарии по вопросам правового регулирования сбора и обработки персональных данных работников, реализации прав профсоюзов, связанных с доступом к персональным данным работников, системы государственного контроля (надзора) в области персональных данных, а также практико-ориентированный комментарий по вопросу надлежащего оформления документов по защите персональных данных работников организаций, осуществляющих образовательную деятельность, требования к сайту образовательной организации.

Сборник рассчитан на широкий круг работников сферы образования, руководителей образовательных учреждений (организаций), правовых инспекторов труда Профсоюза, юристов территориальных организаций Профсоюза, а также на иных работников, связанных с вопросами сбора и обработки персональных данных работников организаций, осуществляющих образовательную деятельность.

Обращаем Ваше внимание, чтоРекомендации по обеспечению защиты персональных данных работников образовательных учреждений (Приложение к письму ЦС Профсоюза от 28 декабря 2010 г. № 345/295), направленные ранее для использования в практической деятельности профсоюзных организаций, а также формы документов, содержащихся в указанных Рекомендациях, следует применять с учетом новых требований, изложенных в настоящем сборнике.

Надеемся, что материалы сборника будут полезны в практической деятельности по защите социально-трудовых прав работников образовательных организаций, в том числе при проведении проверок по этим вопросам.

 

Заместитель Председателя Профсоюза М.В. Авдеенко

 

 

___________________________________________________________________Сборник подготовлен в правовом отделе аппарата Профсоюза под общей редакцией заведующего правовым отделом – главного правового инспектора труда ЦС Профсоюза С.Б. Хмелькова.



Составитель сборника: правовой инспектор труда ЦС Профсоюза И.Б. Алексеева.


СОДЕРЖАНИЕ

  Стр.
Часть I. Правовое регулирование сбора и обработки персональных данных работников образовательных организаций  
Раздел 1. Общие положения 4-7
Раздел 2. Нормативные правовые акты по вопросам, касающимся обработки персональных данных 7-8
Раздел 3. Правовое регулирование оборота персональных данных 8-12
Раздел 4. Реализация прав профсоюзов, связанных с доступом к персональным данным работников 13-16
Раздел 5. Ответственность за нарушение норм, регулирующих защиту персональных данных 16-19
Раздел 6. Система государственного контроля (надзора) в области персональных данных
Часть II. Оформление документов по защите персональных данных работников  
Раздел 1. Понятие персональных данных 20-21
Раздел 2. Документы, содержащие персональные данные 21-22
Раздел 3. Обязанности работодателя по обеспечению защиты персональных данных работников 22-25
Раздел 4. Локальные акты организации 25-28
Раздел 5. Оформление согласия работника на передачу его персональных данных 28-32
Раздел 6. Получение персональных данных у работника 32-33
Раздел 7. Получение персональных данных работника у третьих лиц. Согласие работника на получение работодателем персональных данных у третьих лиц 33-34
Раздел 8. Порядок внесения изменений в документы, содержащие персональные данные работника 34-35
Раздел 9. Права и обязанности работников, связанные с обработкой и защитой их персональных данных 35-37
Раздел 10. Требования к сайту образовательной организации 37-43

Часть I. ПРАВОВОЕ РЕГУЛИРОВАНИЕ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ ОБРАЗОВАТЕЛЬНЫХ ОРГАНИЗАЦИЙ

Раздел 1. ОБЩИЕ ПОЛОЖЕНИЯ

Защита персональных данных представляет собой комплекс правовых, организационных и технических мер, направленных на обеспечение защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

Согласно ст. 2 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»(далее - Закон о персональных данных) его целью является защита прав и свобод человека и гражданина при обработке его персональных данных, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну.

Под оператором персональных данных законодатель подразумевает государственный либо муниципальный орган, юридическое или физическое лицо, которые организуют или осуществляют обработку персональных данных, заключающуюся в их сборе, записи, систематизации, накоплении, хранении, уточнении, извлечении, использовании, передаче, обезличивании, блокировании, удалении и уничтожении. Таким образом, любая организация или государственный муниципальный орган становится оператором персональных данных с момента получения в распоряжение данных любого лица (работника, подрядчика) и обязана обеспечить их защиту в соответствии с требованиями Закона о персональных данных.

Закон о персональных данных определяет требования к сбору и обработке (хранению, актуализации, использованию, раскрытию и предоставлению) персональных данных физических лиц во всех сферах, где используются персональные данные, в том числе в сфере трудовых правоотношений, возникающих в организациях, осуществляющих образовательную деятельность, с учетом особенностей, предусмотренных ТК РФ.

В соответствии со ст. 3 Закона о персональных данных обработка персональных данных - это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Согласно ст. 5 Закона о персональных данных при обработке персональных данных должны соблюдаться следующие принципы:

1) обработка должна осуществляться на законной и справедливой основе;

2) обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных;

3) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

4) обработке подлежат только те персональные данные, которые отвечают целям обработки;

5) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не допускается обработка избыточных данных по отношению к заявленным целям обработки;

6) при обработке должны быть обеспечены точность и достаточность персональных данных, а в необходимых случаях - актуальность по отношению к целям обработки. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

7) форма хранения персональных данных должна позволять определять субъекта этих данных. Хранение не должно длиться дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

В настоящее время очень актуальным стал вопрос об обработке и хранении так называемых избыточных персональных данных[1].

Суды, при вынесении решений по подобным делам, руководствуются тем, что для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом документа, удостоверяющего личность. Сбор информации о серии и номере паспорта, годе и месте рождения, поле субъекта персональных данных, национальности и т.д. является избыточным.

Соответственно, хранение любых документов, содержащих в себе эти данные (копии паспорта, свидетельства о рождении детей, документы воинского учета, документы об образовании, фотографии[2]и т.д.) противоречит законодательству, так как таким образом превышается объем обрабатываемых персональных данных работника, установленный Конституцией РФ, Трудовым кодексом Российской Федерации и иными федеральными законами.

В соответствии с ч. 1 ст. 22 Закона о персональных данных оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 указанной статьи.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) выступает таким уполномоченным органом, который утверждает образец уведомления об обработке (о намерении осуществлять обработку) персональных данных и Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных[3].

Частью 2 статьи 22 Закона о персональных данных установлен перечень случаев, когда операторы не обязаны соблюдать обязательное требование об уведомлении Роскомнадзора о начале деятельности по обработке персональных данных:

- при обработке таких данных в соответствии с трудовым законодательством (ст. 86 ТК РФ);

- когда обрабатываемые данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются и не предоставляются третьим лицам без согласия этого субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

- когда данные относятся к членам общественного объединения или религиозной организации и обрабатываются соответствующими общественным объединением или религиозной организацией, действующими по законодательству РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

- субъект персональных данных сделал их общедоступными;

- данные включают в себя только фамилии, имена и отчества субъектов персональных данных;

- данные необходимы в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

- персональные данные включены в информационные системы, имеющие в соответствии с законодательством статус государственных автоматизированных информационных систем, а также в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;

- данные обрабатываются без использования средств автоматизации в соответствии с требованиями законодательства РФ;

- данные обрабатываются в случаях, предусмотренных транспортным законодательством, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Во всех иных случаях обработки персональных данных оператор обязан заблаговременно (до начала обработки) уведомлять Роскомнадзор о начале такой деятельности.

Таким образом, частью 2 статьи 22 Закона о персональных данных установлено, что оператор вправе осуществлять без уведомления Роскомнадзора обработку персональных данных лиц, которых связывают с оператором трудовые отношения. Следовательно, организации, осуществляющие образовательную деятельность, не должны уведомлять этот уполномоченный орган об обработке ими персональных данных работников, состоящих в трудовых отношениях с этими организациями.

Раздел 2. НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ ПО ВОПРОСАМ, КАСАЮЩИМСЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Согласно ч. 1 ст. 23 Конституции РФ (далее – Конституция РФ) каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

Общие и специальные положения о защите персональных данных работников регламентируются в соответствии с Конституцией РФследующими федеральными законами:

§ Трудовым кодексом Российской Федерации от 30 декабря 2001 г. № 197-ФЗ(далее – ТК РФ);

§ Федеральным законом 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»(далее – Закон об информации);

§ Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

В соответствии с этими федеральными законами и в их развитие приняты подзаконные нормативные правовые акты:

§ Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;

§ Постановление Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

§ Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

§ Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

§ Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14 декабря 2012 г. «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»(далее – Разъяснения Роскомнадзора).

Кроме того, непосредственно действующими на территории Российской Федерации являются акты международного права, например, модельный закон «О персональных данных», принятый постановлением от 16.10.1999 № 14-19 на 14-м пленарном заседании Межпарламентской Ассамблеи государств - участников СНГ.

С 1 сентября 2013 г. вступила в силу на территории Российской Федерации Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108) от 28 января 1981 г. (далее - Конвенция) (ратифицирована Федеральным законом от 19.12.2005 № 160-ФЗ).

Кроме того, на локальном уровне должны приниматься нормативные и иные акты в целях обеспечения защиты персональных данных работников.

 



©2015- 2017 stydopedia.ru Все материалы защищены законодательством РФ.