Изменения в законодательстве, касающиеся защиты персональных данных

2290
7 мая 2013 г. Президент РФ подписал Федеральный закон № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автомати­зированной обработке персональных данных" и Федерального закона "О персональных данных"» (далее - Федеральный закон № 99-ФЗ). Закон вступил в силу 19 мая 2013 г.

7 мая 2013 г. Президент РФ подписал Федеральный закон № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автомати­зированной обработке персональных данных" и Федерального закона "О персональных данных"» (далее - Федеральный закон № 99-ФЗ). Закон вступил в силу 19 мая 2013 г.

У этого закона интересная история. Соответствующий законопроект был внесен в Государственную Думу еще 23 сентября 2005 г., но руки до него дошли только в 2013 г.

21 марта 2013 г. правительство на своем официальном сайте разместило текст законопроекта в своей редакции и предложило внести поправки в 17 законов[1]. После обсуждения в Государственной Думе в проекте остались изменения в 14 за­конов:

  • Трудовой кодекс Российской Федерации;
  • Гражданский процессуальный кодекс Российской Феде­рации;
  • Федеральный закон «О прокуратуре»;
  • Федеральный закон «Об актах гражданского состояния»;
  • Федеральный закон «О негосударственных пенсионных фондах»;
  • Федеральный закон «О государственной дактилоскопи­ческой регистрации»;
  • Федеральный закон «О государственной социальной помощи»;
  • Федеральный закон «О государственном банке данных о детях, оставшихся без попечения родителей»;
  • Федеральный закон «О системе государственной служ­бы»;
  • Федеральный закон «О связи»;
  • Федеральный закон «О лотереях»;
  • Федеральный закон «О государственной гражданской службе»;
  • Федеральный закон «О муниципальной службе»;
  • Федеральный закон «Об образовании в Российской Федерации».

Все изменения в законодательство можно условно разде­лить на три группы:

  1. Вопросы защиты персональных данных.
  2. Обработка персональных данных сотрудников органи­зации.
  3. Получение согласия на обработку персональных данных при передаче обработки третьим лицам.

Уточнение положений законодательства в области защиты персональных данных

В первой группе изменения, вносимые в соответствующие за­конодательные акты, не очень существенные. В основном они направлены на уточнение положений законодательства в об­ласти защиты персональных данных.

Так, в п. 1 ст. 12 «Неразглашение сведений, ставших из­вестными работнику органа записи актов гражданского состо­яния в связи с государственной регистрацией акта гражданско­го состояния» Федерального закона от 15.11.1997 № 143-ФЗ «Об актах гражданского состояния» среди сведений, которые становятся известными работнику органа записи актов граж­данского состояния в связи с государственной регистрацией акта гражданского состояния, явным образом упомянуты пер­сональные данные.

В Федеральном законе от 25.07.1998 № 128-ФЗ «О госу­дарственной дактилоскопической регистрации в Российской Федерации» уточнено понятие «дактилоскопическая инфор­мация» (ст. 1): «биометрические персональные данные об особенностях строения папиллярных узоров пальцев и (или) ладоней рук человека, позволяющие установить его личность. <...> Должностные лица государственных органов <...> несут предусмотренную законодательством Российской Федерации ответственность за нарушение законодательства Российской Федерации в области персональных данных».

В Федеральном законе от 16.04.2001 № 44-ФЗ «О государ­ственном банке данных о детях, оставшихся без попечения родителей» установлено, что законодательство о государствен­ном банке данных о детях основывается и на законодательстве о персональных данных (ст. 2).

В Гражданский процессуальный кодекс Российской Фе­дерации от 14.11.2002 № 138-ФЗ в ст. 29 «Подсудность по вы­бору истца» теперь определено, что «иски о защите прав субъ­екта персональных данных, в том числе о возмещении убытков и (или) компенсации морального вреда, могут предъявляться также в суд по месту жительства истца».

Обработка персональных данных сотрудников

Значительная часть изменений, внесенных Федеральным за­коном от 07.05.2013 № 99-ФЗ, связана с уточнением законода­тельных норм, регламентирующих обработку персональных данных сотрудников.

Читайте также:

Персональные данные работников и документы, их содержащие. Правила работы с личными делами

Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника

Поскольку трудовые отношения для работодателя всегда связаны с обработкой персональных данных сотрудников и соответствующие требования содержатся не только в Феде­ральном законе от 27.07.2006 № 152-ФЗ «О персональных данных», но и в ряде других законов, то изменения затронули:

  • Трудовой кодекс Российской Федерации;
  • Федеральный закон «О прокуратуре»;
  • Федеральный закон «О государственной гражданской службе»;
  • Федеральный закон «О муниципальной службе».

В Трудовой кодекс Российской Федерации внесены изме­нения в гл. 14 «Защита персональных данных работника». В част­ности, признана утратившей силу ст. 85 «Понятие персональных данных работника. Обработка персональных данных работника». Но не все специалисты считают это изменение удачным.

Так, эксперт в области информационной безопасности и безопасности бизнеса Михаил Емельянников считает, что отмена этой статьи, «определяющей понятие персональных данных работника, представляется весьма неудачной и даже опасной. В утратившей силу статье обработка персональных данных работодателем четко ограничивалась трудовыми от­ношениями и конкретным работником, применение же рас­ширительного толкования определения из 152-ФЗ ничего, кроме головной боли, операторам не добавит»*.

* См. запись «Изменения в законодательстве о персональных данных: почему 14, а не 23 или 17?» в блоге «Рецепты безопасности от Емельянникова», 13 мая 2013 г., www.emeliyannikov.blogspot.ru. Пункт 4 ст. 86 «Общие требования при обработке персо­нальных данных работника и гарантии их защиты» Трудового кодекса Российской Федерации изложен в новой редакции:

Было: 4) работодатель не имеет права получать и об­рабатывать персональные данные работника о его полити­ческих, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Рос­сийской Федерации работодатель вправе получать и обраба­тывать данные о частной жизни работника только с его письменного согласия.

Стало: 4) работодатель не имеет права получать и об­рабатывать сведения о работнике, относящиеся в соответ­ствии с законодательством Российской Федерации в области персональных данных к специальным категориям персо­нальных данных, за исключением случаев, предусмотренных настоящим Кодексом и другими федеральными законами.

Таким образом, обработка всех специальных категорий персональных данных может осуществляться только в том случае, если это прямо предусмотрено федеральным законода­тельством. С моей точки зрения, это означает, что обработка специальных категорий персональных данных все-таки воз­можна с согласия работника, поскольку это предусмотрено в самом законе «О персональных данных».

Для справки: Статья 10. Специальные категории персо­нальных данных Федерального закона «О персональных данных» относит к специальным категориям персональных данных данные:

о расовой принадлежности; национальной принадлежности; политических взглядах; религиозных или философских убеждениях; состоянии здоровья; интимной жизни.

Судебная практика

Выездная проверка в ОАО «Тамбовские коммунальные систе­мы» Роскомнадзора в 2012 г. выявила, что в личных делах не­которых сотрудников находятся свидетельства о рождении детей, содержащие сведения о национальной принадлежности родителей. Письменного согласия на обработку специальных категорий персональных данных, касающихся национальной принадлежности работников, не имелось*.

Прокуратурой в отношении начальника отдела кадров пред­приятия было возбуждено дело об административном право­нарушении по ст. 13.11 КоАП РФ, предусматривающей адми­нистративную ответственность за нарушение установленного законом порядка сбора, хранения, использования или распро­странения информации о гражданах (персональных данных). Для рассмотрения по существу дело было направлено в миро­вой суд Октябрьского района г. Тамбова.

Кроме того, в ст. 90 «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных ра­ботника» ТК РФ уточнено, что к дисциплинарной и материаль­ной ответственности будут привлекаться лица, нарушающие «положения законодательства Российской Федерации в области персональных данных при обработке персональных данных работника». Ранее к ответственности привлекались лица, на­рушавшие нормы, «регулирующие получение, обработку и за­щиту персональных данных работника».

Статья 41.2 «Личное дело прокурорского работника» Фе­дерального закона от 17.01.1992 № 2202-1 «О прокуратуре Российской Федерации» дополнена п. 4 и 5, которые также включают в себя запрет на обработку специальных категорий персональных данных прокурорских работников.

Статья 41.2 «Личное дело прокурорского работника»

4. Обработка персональных данных, включенных в со­став личного дела прокурорского работника, реализация прав прокурорских работников как субъектов персональных дан­ных осуществляются в соответствии с положениями зако­нодательства Российской Федерации в области персональных данных.

5. Запрещается обработка, в том числе включение в со­став личного дела прокурорского работника, персональных данных прокурорского работника, отнесенных в соответствии с законодательством Российской Федерации в области пер­сональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных настоя­щим Федеральным законом и другими федеральными за­конами.

Персональные данные, внесенные в личные дела и документы учета государственных служащих, являются информацией, доступ к которой ограничен в соответствии с федеральными законами. В отношении указанных пер­сональных данных устанавливается обязанность соблюдать их конфиденциальность и обеспечивать их безопасность при обработке. В случаях, установленных федеральными законами и иными нормативными правовыми актами Рос­сийской Федерации, указанные персональные данные от­носятся к сведениям, составляющим государственную тайну.

Пункт 5 ст. 14 «Стаж (общая продолжительность) государ­ственной службы. Персональные данные государственных слу­жащих» Федерального закона от 27.05.2003 № 58-ФЗ «О систе­ме государственной службы Российской Федерации» теперь содержит следующее положение:

В статье 42 «Персональные данные гражданского служаще­го и ведение личного дела гражданского служащего» Федераль­ного закона от 27.07.2004 № 79-ФЗ «О государственной граж­данской службе Российской Федерации» уточнено, что обработка персональных данных гражданского служащего осу­ществляется в том числе и с целью соблюдения законодательства Российской Федерации в области персональных данных.

В части 2 ст. 29 «Персональные данные муниципального служащего» Федерального закона от 02.03.2007 № 25-ФЗ «О му­ниципальной службе в Российской Федерации» теперь уста­новлено, что персональные данные муниципального служаще­го подлежат обработке «в соответствии с законодательством Российской Федерации в области персональных данных с осо­бенностями, предусмотренными гл. 14 Трудового кодекса Рос­сийской Федерации».

Порядок обработки персональных данных работников. Получение согласия при передаче персональных данных третьим лицам

Вопрос о получении согласия на обработку персональных дан­ных при передаче обработки третьим лицам, с моей точки зрения, является одним из ключевых при исполнении требо­ваний законодательства в области защиты персональных дан­ных. В общем случае без получения письменного согласия субъ­екта персональных данных передача обработки этих данных третьим лицам неправомерна.

За нарушение этих требований организации регулярно привлекаются к ответственности.

Арбитражная практика

Управление Роскомнадзора по Краснодарскому краю в марте 2010 г. проверило ЗАО «СевКавТИСИЗ». В ходе про­верки было выявлено, что организация осуществляла пере­дачу персональных данных своих работников без их пись­менного согласия третьим лицам, а именно в ОАО АКБ «УРАЛСИБ-ЮГ БАНК» для зачисления заработной платы, а также в ООО «Маковецкий и Партнеры» для осуществления бухгалтерского и юридического сопровождения.

По мнению суда, передача персональных данных работ­ников в банк и предоставление личных карточек учета и трудовых книжек работников обществу «Маковецкий и Парт­неры» без согласия субъектов персональных данных, а также невключение в договоры с третьими лицами условий об обеспечении конфиденциальности и безопасности персо­нальных данных при их обработке являются грубыми на­рушениями как Федерального закона № 152-ФЗ «О персо­нальных данных», так и Конституции. Передача персональных данных третьим лицам без согласия их субъекта и необе­спечение конфиденциальности персональных данных при их обработке третьими лицами нарушают права и свободы человека и гражданина, в т. ч. право на неприкосновенность частной жизни.

Изменения, внесенные Федеральным законом № 99-ФЗ, позволят в ряде случаев при возникновении договорных от­ношений не получать согласие на обработку персональных данных от их субъектов.

Статья 15 «Конфиденциальные сведения фонда» Федераль­ного закона от 07.05.1998 № 75-ФЗ «О негосударственных пенсионных фондах» изложена теперь в следующей редакции:

Фонд в установленных законодательством Российской Федерации случаях и порядке вправе получать, обрабатывать и хранить информацию, доступ к которой ограничен в соот­ветствии с федеральными законами, в том числе осущест­влять обработку персональных данных вкладчиков - физи­ческих лиц, страхователей - физических лиц, участников, застрахованных лиц, выгодоприобретателей и правопреем­ников участников и застрахованных лиц.

К информации, указанной в части первой настоящей статьи, относится также информация, полученная:

  • при обработке сведений, содержащихся в пенсионных счетах негосударственного пенсионного обеспечения, пенсионных счетах накопительной части трудовой пенсии;
  • при осуществлении срочной пенсионной выплаты, единовременной выплаты;
  • при выплате негосударственной пенсии и накопитель­ной части трудовой пенсии, выплатах (переводе) вы­купных сумм и выплатах правопреемникам.

Фонд не обязан получать согласие вкладчиков - фи­зических лиц, страхователей - физических лиц, участников, застрахованных лиц, выгодоприобретателей на обработку в объеме, необходимом для исполнения договора, персо­нальных данных, касающихся состояния здоровья указан­ных лиц и предоставленных ими или с их согласия третьи­ми лицами.

Комментарий автора: В данном случае речь идет об одном из видов специальных категорий персональных дан­ных.

Фонд не вправе передавать информацию, в отношении которой в соответствии с федеральными законами установ­лена обязанность соблюдать ее конфиденциальность, тре­тьим лицам, за исключением случаев, предусмотренных настоящим Федеральным законом и другими федеральны­ми законами.

Указанная информация может быть передана правопре­емникам участников и застрахованных лиц, а также в уста­новленных законодательством Российской Федерации слу­чаях по требованию следственных, судебных, налоговых органов, уполномоченного федерального органа.

Фонд вправе поручить в соответствии с ч. 3 ст. 6 Феде­рального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обработку персональных данных вкладчиков - фи­зических лиц, страхователей - физических лиц, участников, застрахованных лиц, выгодоприобретателей, правопреемни­ков участников и застрахованных лиц организациям, которые в соответствии с договором осуществляют ведение пенси­онных счетов, если указание на такие организации содержит­ся в правилах фонда, а также иным организациям, если это необходимо для исполнения пенсионного договора, догово­ра об обязательном пенсионном страховании, договора о создании профессиональной пенсионной системы. В этих случаях фонд не обязан получать согласие субъектов пер­сональных данных на дачу поручения обработки персональ­ных данных третьим лицам.

Наконец-то в законе появилась грамотная и логичная с точки зрения деловой деятельности формулировка о возмож­ности передачи персональных данных на обработку третьим лицам. При этом четко оговорены условия, когда это будет правомочно:

  • в правилах фонда содержится указание на такие ор­ганизации;
  • если это необходимо для исполнения пенсионного договора, договора об обязательном пенсионном стра­ховании, договора о создании профессиональной пен­сионной системы.

Как показывает анализ судебной практики, такое положе­ние было бы полезно включить и в Трудовой кодекс Российской Федерации. Пока же, например, организации, перечисляющие зарплату своих работников на банковские карты, вынуждены заниматься сбором письменных согласий своих работников на передачу банкам их персональных данных; это при том, что работодатель в данном случае исполняет требования Трудово­го кодекса и трудового контракта с работником.

Эксперт Михаил Емельянников в опубликованной 29 апреля 2013 г. записи в своем блоге* отмечает, что «теперь никаких проблем с получением согласия практически всех лиц, чьи данные обрабатываются негосударственным пенси­онным фондом, в том числе о состоянии здоровья, а также с передачей персональных данных любым третьим лицам в рамках исполнения договора, не требуется. Я считаю это прорывом и свидетельством того, что позитивные изменения вполне реальны. Да и прецедент создан».

Аналогичным образом решен и вопрос о получении со­гласия на передачу третьим лицам персональных данных або­нентов операторов связи. В статье 53 «Базы данных об абонен­тах операторов связи» Федерального закона от 07.07.2003 № 126-ФЗ «О связи» добавлены следующие положения:

...Предоставление третьим лицам сведений об абонентах-гражданах может осуществляться только с их согласия, за исключением случаев, предусмотренных настоящим Феде­ральным законом и другими федеральными законами.

Обязанность предоставить доказательство получения согласия абонента-гражданина на предоставление сведений о нем третьим лицам возлагается на оператора связи.

Оператор связи вправе поручить в соответствии с ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О пер­сональных данных» обработку персональных данных або­нента-гражданина третьим лицам.

В случае, если оператор связи поручает обработку пер­сональных данных абонента-гражданина третьему лицу в целях заключения и (или) исполнения договора об оказании услуг связи, стороной которого является абонент-гражданин, и (или) в целях осуществления прав и законных интересов оператора связи или абонента-гражданина, согласие абонен­та-гражданина на это поручение, в т. ч. на передачу его персональных данных такому третьему лицу, обработку персональных данных таким третьим лицом в соответствии с поручением оператора связи не требуется.

Еще одним способом узаконить передачу персональных данных, особенно при их обработке государственными органа­ми, является внесение соответствующих положений в законы, регулирующие те или иные сферы деятельности.

В данном случае изменения внесены в ст. 6.4 «Федеральный регистр лиц, имеющих право на получение государственной социальной помощи» Федерального закона от 17.07.1999 № 178-ФЗ «О государственной социальной помощи», которая устанавливает порядок ведения федерального регистра лиц, имею­щих право на получение государственной социальной помощи, и предусматривает обмен данными о таких лицах между орга­нами исполнительной власти субъектов Российской Федерации и оператором реестра. Теперь в законе явным образом закреп­лено, что передаются не просто данные, а персональные данные:

4. Органы исполнительной власти субъектов Российской Федерации в порядке, установленном в соответствии с частью 3 настоящей статьи, передают персональные данные, необходимые для ведения Федерального регистра лиц, имеющих право на полу­чение государственной социальной помощи, в орган, уполномо­ченный осуществлять ведение указанного Федерального регистра.

5. Персональные данные, содержащиеся в Федеральном регистре лиц, имеющих право на получение государственной социальной помощи, органам исполнительной власти субъектов Российской Федерации безвозмездно. Органы исполнительной власти субъектов Российской Федерации обязаны соблюдать конфиденциальность полученных персональных данных и обе­спечивать безопасность персональных данных при обработке.

* См.: www.emeliyanmkov.blogspot.ru.

Некоторые положения исключены из законов как избы­точные. Часть 4 ст. 98 «Информационные системы в системе образования» Федерального закона от 29.12. 2012 № 273-ФЗ «Об образовании в Российской Федерации» изложена в но­вой редакции. Из статьи исключены следующие требования:

1. ...Органы и организации осуществляют передачу, об­работку и предоставление полученных в связи с проведением государственной итоговой аттестации обучающихся, освоив­ших основные образовательные программы основного обще­го и среднего общего образования, и приемом в образователь­ные организации для получения среднего профессионального и высшего образования персональных данных обучающихся, участников единого государственного экзамена, лиц, привле­каемых к его проведению, а также лиц, поступающих в об­разовательные организации высшего образования, в соот­ветствии с требованиями законодательства Российской Федерации о персональных данных без получения согласия этих лиц на обработку их персональных данных.

В данном случае возможность обработки персональных дан­ных при создании информационных систем в образовании преду­смотрена законодательством и нет необходимости в получении согласия субъектов персональных данных. В заключение я бы отметила, что в законодательстве о защите персональных данных пока сохраняется значительное количество «серых зон», и можно с уверенностью сказать, что данные изменения - не последние

Н.А. Храмцовская, 2013, канд. ист. наук, ведущий эксперт по управлению документацией компании «ЭОС», член РОО «Гильдия Управляющих Документацией» и ARMA International



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Мероприятия

Мероприятия

Проверь свои знания и приобрети новые

Посмотреть

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

Вебинар «Секретарь в соцсетях. Правила поведения»
Журнал «Справочник секретаря и офис-менеджера»

Рассылка




Вопрос - ответ

Отвечаем на Ваши вопросы

Какие реквизиты используются при оформлении приказов по основной деятельности?
Проекты приказов по основной деятельности готовятся по поручению руководителя организации в структурных подразделениях организации, оформляются на специальном бланке и содержат следующие реквизиты
Недавно устроилась секретарем в компанию, где передо мной встала задача наладить документооборот
Подскажите, как правильно начать формировать локальную нормативную базу и какие нормативные документы мне в этом помогут? Читайте ответ на вопрос
Задайте свой вопрос здесь>>> www.sekretariat.ru/pk

PRO Делопроизводство
Портал для руководителей служб ДОУ и секретарей всех уровней

Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции сайта. Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

E-mail: document@sekretariat.ru


  • Мы в соцсетях
Вы - делопроизводитель? Зарегистрируйтесь!

Регистрация бесплатная и займет всего 1 минуту!
После регистрации вы сможете:

  • читать любые статьи по делопроизводству на нашем сайте!
  • бесплатно подписаться на ежедневные новости по делопроизводству
  • участвовать в вебинарах
  • задавать вопросы экспертам

Оставайтесь с нами!
с заботой о Вас, портал PRO - делопроизводство

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Всего один шаг - и документ Ваш!

Только зарегистрированные пользователи могут скачивать материалы с сайта. Регистрация бесплатна и займет менее минуты. После нее Вы сможете загрузить документ, а также получите доступ к материалам и сервисам сайта.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль