Получение персональных данных третьих лиц. Вопросы обработки ПДн третьих лиц на примере "контактных" лиц заемщика: уроки практики

Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

Цели получения персональных данных работника у третьего лица;

Предполагаемые источники информации (лица, у которых будут запрашиваться данные);

Способы получения данных, их характер;

Возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Информацию, не имеющую отношения к перечисленным в п. 1 ст. 86 ТК РФ целям, работодатель не вправе запрашивать у третьих лиц даже с согласия работника.

См. образец составления уведомления.

См. образец составления согласия.

ХРАНЕНИЕ И ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Организация учета и хранения персональных данных >>>

1.1. Оформление журналов учета персональных данных >>>

1.2. Требования к помещению, где хранятся персональные данные >>>

1.3. Защита персональных данных >>>

1.3.1. Организация программной защиты персональных данных, содержащихся в информационной системе работодателя >>>

2. Организация доступа работников к персональным данным других работников >>>

3. Оформление обязательства о неразглашении персональных данных работниками, имеющими доступ к этим данным >>>

4. Положение о персональных данных >>>

4.1. Оформление Положения о персональных данных >>>

4.2. Введение в действие Положения о персональных данных >>>

4.3. Ознакомление с Положением о персональных данных >>>

4.4. Изменение и дополнение персональных данных >>>

4.4.1. Внесение изменений в трудовой договор при изменении персональных данных (смена фамилии и т.д.) >>>

4.5. Срок хранения персональных данных >>>

Организация учета и хранения персональных данных

Согласно п. 7 ст. 86 ТК РФ защиту персональных данных работника от неправомерного их использования или утраты работодатель должен обеспечивать за счет своих средств. В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Из данных норм следует, что работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под роспись.

Пунктом 10 ст. 86 ТК РФ предусмотрено, что работодатели и их представители должны совместно вырабатывать меры защиты персональных данных работников. Подробнее об этом см. п. 4 настоящего материала.

Оформление журналов учета персональных данных

Поскольку на работодателя возложена обязанность соблюдать режим конфиденциальности персональных данных, то целесообразно вести журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам.

В журнале учета внутреннего доступа к персональным данным (доступа работников организации к персональным данным других работников) следует указывать такие сведения, как дата выдачи и возврата документов (личных дел), срок пользования, цели выдачи, наименование выдаваемых документов (личных дел). Лицо, которое возвращает документ (дело), должно обязательно присутствовать при проверке наличия всех имеющихся документов по описи, если выданные документы составлены более чем на одном листе.

Лицо, которое получает личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Помимо этого, также следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Система учета персональных данных также может предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи необходимо ведение журнала проверок наличия документов, содержащих персональные данные работника.

Требования к помещению, где хранятся персональные данные

Работодатель обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных работников от неправомерного использования или утраты либо обеспечить принятие таких мер. Это следует из п. 7 ст. 86 ТК РФ, ч. 1 ст. 19 Закона о персональных данных.

В частности, работодатель может предусмотреть в локальном нормативном акте требования к помещениям, в которых находятся носители информации (например, компьютеры с базами данных, документы на бумажных носителях), содержащие персональные данные работников.

Обращаем внимание, что Закон о персональных данных и Трудовой кодекс РФ не устанавливают каких-либо требований к упомянутым помещениям. Представляется, что работодатель может определить особый режим доступа в них, требования к оборудованию, установить перечень лиц, имеющих право доступа в данные помещения. Такие выводы следуют из анализа ч. 1, 2 ст. 19 Закона о персональных данных, ч. 1 ст. 8, абз. 7 ч. 1 ст. 22, ст. 87 ТК РФ.

Исходя из п. 21 Методических рекомендаций по ведению воинского учета в организациях (утв. Генштабом Вооруженных Сил РФ 11.04.2008) документы воинского учета, содержащие персональные данные работников, рекомендуем хранить в железных шкафах в специально оборудованных помещениях.

Защита персональных данных

Защита персональных данных представляет собой регламентированный технологический процесс, предупреждающий нарушение установленного порядка доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивающий безопасность информации в процессе управленческой и производственной деятельности компании.

Для обеспечения внешней защиты персональных данных работников работодатель должен принять следующие меры:

Установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;

Установить особый порядок выдачи пропусков и удостоверений работников;

Использовать технические средства охраны;

Использовать программно-технический комплекс защиты информации на электронных носителях и пр.

Для обеспечения внутренней защиты персональных данных работников работодатель должен предпринять следующее:

Ограничить и регламентировать состав работников, функциональные обязанности которых требуют доступа к персональным данным других работников;

Избирательно и обоснованно распределить документы и информацию, содержащую персональные данные, между лицами, уполномоченными на работу с такими данными;

Рационально размещать рабочие места для исключения бесконтрольного использования защищаемой информации;

Регулярно проверять знание работниками, имеющими отношение к работе с персональными данными, требований нормативно-методических документов по защите таких данных;

Создавать необходимые условия для работы с документами и базами данных, содержащими персональные данные работников;

Определять состав работников, имеющих право доступа (входа) в помещения, в которых хранятся персональные данные;

Организовать порядок уничтожения информации;

Своевременно выявлять и устранять нарушения установленных требований по защите персональных данных работников;

Проводить профилактическую работу с должностными лицами, имеющими доступ к персональным данным работников, по предупреждению разглашения таких сведений.

Принимая на работу нового сотрудника, работодатель должен сообщить ему о целях получения персональных данных, о характере подлежащих получению персональных данных работника, а также предупредить о последствиях отказа сотрудника дать письменное согласие на получение таких сведений. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни, а также данные о членстве в общественных объединениях или его профсоюзной деятельности2. В соответствии со ст. 24 Конституции РФ в случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

Ответственность за разглашение персональных данных по 137 ук рф

Ч.1 устанавливает способы следующие совершения правонарушений:

• размещение информации о частной жизни в СМИ;
• разглашение сведений в произведении, которое демонстрируется другим лицам;
• любое иная публичная демонстрация персональных данных в ходе выступления.

Любой из указанных способов предполагает распространение сведений среди неограниченного круга лиц в нарушение закона. Фактором, необходимым для инициирования уголовного преследования, является отсутствие согласия гражданина. Нарушителю грозит штраф до 200 тыс. рублей (альтернативой будет изъятие суммы, эквивалентной полуторагодовому доходу преступника).

Другим наказанием служат обязательные работы (максимальный срок составляет 360 часов) или исправительные работы (до года) или принудительные работы (не более 2 лет).

Ответственность за разглашение персональных данных (ст. 137 ук рф)

О., реквизиты удостоверения личности, место и дату рождения, адрес, образование, семейное, имущественное положение, номер страхового свидетельства и другую подобную информацию, относящуюся исключительно к конкретному человеку. Кадровая служба работодателя в силу своих функций занимается сбором документов работников, формированием их личных дел в целях установленного порядка кадрового учета. Личное дело сотрудника содержит сведения о семейной, личной жизни, должности и сумме вознаграждения за труд, удостоверении личности и пр.
Документарный состав личных дел - это персональные данные сотрудников, и наниматель, следуя положениям законодательства, обязан обеспечить их защиту (ст. 18.1 закона № 152-ФЗ). Ст. 7 закона № 152-ФЗ закрепляет статус конфиденциальности персональных данных.

Ответственность за разглашение персональных данных. защита персональных данных

Организации, индивидуальные предприниматели, государственные и муниципальные органы, а также прочие хозяйствующие субъекты в ходе своей деятельности получают и обрабатывают большой объем такой информации в отношении как своих работников, так и других граждан. В частности, ими могут быть получены: Подписывайтесь на нашканал в Яндекс.Дзен! Подписаться на канал

• данные о личности человека (паспортные данные, сведения об образовании, трудовой деятельности, военной службе, финансовом и семейном положении, медицинские данные, биографические факты);
• данные о родственниках человека;
• прочие сведения, с помощью которых можно идентифицировать человека (переписка, сведения о полученных и отправленных сообщениях, телефонных контактах).

Получение ПД должно производиться по общему правилу с согласия субъекта ПД (за исключением некоторых случаев, перечисленных в ст.

Виды ответственности за распространение персональных данных сотрудников

• принудительные работы до 6 лет.

Инфо

Умышленное разглашение сведений о человеке наказывается по всей строгости закона. Но как следует хранить и защищать информацию, чтобы никто не смог ее достать и незаконно распространить? Обратимся к нормам ФЗ-152 «О персональных данных». Хранение и защита персональных данных Конфиденциальность персональной информации охраняется операторами.

Это профессиональные работники, обязующиеся не раскрывать третьим лицам имеющуюся информацию без согласия соответствующих субъектов. При этом сведения могут храниться в разном виде. В качестве общедоступных источников могут выступать справочники, адресные книги, электронные системы и прочие носители. С письменного согласия субъектов персональных данных в источник включаются фамилия и имя, дата и место рождения, адрес проживания, сведения о профессии, абонентский номер и прочая информация.

Разглашение персональных данных

• обязательные работы сроком до 360 часов или исправительные работы до 1 года.

Отягчающим наказанием считается сбор или распространение информации в связи со своим должностным положением. В качестве примера можно выделить разглашение персональных данных работодателем. Виновное лицо в этом случае будет подвержено воздействию довольно тяжелых санкций:

• лишение свободы до 5 лет или арест сроком до 5 месяцев;
• штраф до 300 тыс.

  
  рублей;

• принудительные работы до 4 лет (обязательные работы не предусмотрены).

Разглашение персональных данных сотрудников и клиентов — это тяжелое преступление. Однако даже за него последуют наказания не столь суровые, как за сбор и распространение информации о несовершеннолетних. За подобные действия установлены следующие типы наказаний:

• арест до полугода или лишение свободы до 6 лет;
• штраф до 350 тыс.

Ответственность за разглашение персональных данных работника

Внимание

Согласно положениям Конституции Российской Федерации, каждый гражданин страны имеет право на защиту его чести, неприкосновенность частной жизни, личную и семейную тайну. При этом оформление многих документов требует представления сведений личного характера: так, например, устраиваясь на работу, оформляя кредит или банковскую карту, гражданин должен указать свои Ф.И.О., паспортные данные, место регистрации и т.д. При этом организация, являющаяся получателем этих данных, обязуется сохранять их в тайне и не передавать третьим лицам.

Каковы санкции за нарушение конфиденциальности сведений личного характера, и какой орган занимается привлечением к ответственности лиц, допустивших разглашение такой информации? Уважаемые читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Разглашение персональных данных физическим лицом

Наказание наступает в соответствии с нормами в порядке и случаях, предусмотренных в них, а также в тех ситуациях и пределах, в каких реализация способов защиты интересов гражданина вытекает из сути нематериального права, на которое было совершено посягательство, и характера последствий деяния. Следует при этом отметить, что практика применения данной нормы малоизвестна. УК Уголовная ответственность за разглашение персональных данных определена в ст.
137. В соответствии с нормой, наказание вменяется за нарушение неприкосновенности личной жизни гражданина, выраженное в собирании либо распространении сведений, составляющих его семейную либо индивидуальную тайну, без его согласия. Ответственность за разглашение персональных данных по 137 статье наступает и в случае обнародования информации в публичном выступлении, при демонстрации произведения, а также в СМИ.

• Применение несертифицированных баз и банков хранения сведений, информационных систем, средств обеспечения защиты, если соответствующие процедуры предусмотрены законодательством. Устанавливается следующий штраф за разглашение персональных данных: для граждан – 500 — 1000 руб., для служащих – 1-2 тыс. руб., для организаций – 10-20 тыс. руб. Дополнительно у физических и юрлиц могут быть конфискованы несертифицированные средства защиты.
ТК В соответствии с 85 статьей Кодекса, персональными данными сотрудника являются сведения, которые необходимы нанимателю в связи с трудовыми отношениями, и относящиеся непосредственно к конкретному работнику.
При зачислении в штат нового служащего руководитель обязан сообщить ему о цели, для которой он запрашивает личную информацию, ее характере.

ОБРАЗЦЫ ДОКУМЕНТОВ

Формы подготовлена с использованием правовых актов по состоянию на 17.09.2010.

Уведомление работника о получении его персональных данных от третьих лиц

(образец заполнения)

ООО «Полигон-2»

Инженеру строительного отдела
О.Л. Потаповой

УВЕДОМЛЕНИЕ

О получении персональных данных от третьих лиц

Уважаемая Ольга Львовна!

Уведомляем Вас о том, что в соответствии с Вашим заявлением об утрате трудовой книжки и просьбе оказать содействие в сборе сведений о предыдущих местах работы и периодах трудовой деятельности ООО «Полигон-2» запросит эти персональные данные от третьих лиц. Данные сведения будут запрошены в целях подтверждения страхового стажа. Сведения будут запрашиваться в письменной форме при помощи средств почтовой связи. Просим Вас дать согласие на получение персональных данных от третьих лиц (п. 3 ст. 86 ТК РФ).

Начальник отдела кадров ___________________А.А. Петрова

С уведомлением ознакомлена,

инженер строительного отдела _________________ О.Л. Потапова

Согласие работника на получение работодателем персональных данных от третьих лиц

(образец заполнения)

ООО «Полигон-2»

Генеральному директору

Антонову С.Н.

от Чижова Андрея Николаевича,

паспорт серия 00 55 N 456789

СОГЛАСИЕ

на получение персональных данных от третьих лиц

Я, Чижов Андрей Николаевич, в соответствии со статьей 9 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» даю согласие Обществу с ограниченной ответственностью «Полигон-2» (ООО «Полигон-2»), расположенному по адресу: город Москва, ул. Веселая, дом 11, на получение моих персональных данных о предыдущих местах работы и периодах трудовой деятельности от третьих лиц.

Чижов А.Н.

Согласие работника

(образец заполнения)

ООО «Полигон-2»

Генеральному директору

Антонову С.Н.

от Чижова Андрея Николаевича,

зарегистрированного по адресу:

117565 г. Москва ул. Гарибальди д. 4 кв. 108,

паспорт серия 00 55 N 456789

выдан 20.04.2007 г. Черемушинский УВД г. Москвы

СОГЛАСИЕ

на обработку персональных данных

Я, Чижов Андрей Николаевич, в соответствии со статьей 9 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» даю согласие Обществу с ограниченной ответственностью «Полигон-2» (ООО «Полигон-2»), расположенному по адресу: город Москва, ул. Веселая, дом 11, на автоматизированную, а также без использования средств автоматизации обработку моих персональных данных, а именно совершение действий, предусмотренных пунктом 3 части первой статьи 3 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных», со сведениями о фактах, событиях и обстоятельствах моей жизни, представленных в ООО «Полигон-2».

Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.

Чижов А.Н.

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Отзыв работником согласия на обработку персональных данных

(образец заполнения)

ООО «Полигон-2»

Генеральному директору

Антонову С.Н.

от Чижова Андрея Николаевича,

зарегистрированного по адресу:

117565 г. Москва ул. Гарибальди д. 4 кв. 108,

паспорт серия 00 55 N 456789

выдан 20.04.2007 г. Черемушинский УВД г. Москвы

ОТЗЫВ СОГЛАСИЯ

на обработку персональных данных

Я, Чижов Андрей Николаевич, в соответствии с п. 1 ст. 9 Федерального закона «О персональных данных» N 152-ФЗ от 27.07.2006 года отзываю у Общества с ограниченной ответственностью «Полигон-2» согласие на обработку моих персональных данных.

Прошу прекратить обработку моих персональных данных в течение трех рабочих дней с момента поступления настоящего отзыва.

Чижов А.Н.

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Приказ о допуске к информационной системе

(образец заполнения)

(ООО «Полигон-2»)

04.02.2010 №4-лс Москва

Об установлении списка лиц, имеющих доступ

к информационной системе «1C» в части

обработки персональных данных работников

В соответствии с п. 14 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных от 17.11.2007 N 781

ПРИКАЗЫВАЮ:

1. Допустить к информационной системе «1С» для работы с персональным данными работников ООО «Полигон-2» следующих работников:

зам. Генерального директора по персоналу С.Л. Ефимова;

главного бухгалтера Т.В. Карасеву;

начальника отдела кадров И.А. Литвинова;

специалиста по кадрам И.А. Перова.

1. Предупредить указанных работников об ответственности за разглашение и (или) утрату информации, представляющей персональные данные работников Общества.
2. Контроль исполнения приказа возложить на зам. Генерального директора по персоналу Ефимова С.Л.

Генеральный директор _________________________ С.Н. Антонов

С приказом ознакомлены:(подписи, даты)

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Приказ об утверждении списка лиц, имеющих доступ к персональным данным работников

(образец заполнения)

Общество с ограниченной ответственностью «Полигон-2»

(ООО «Полигон-2»)

04.02.2010 №3-лс Москва

Об установлении списка лиц, имеющих доступ к персональным данным работников ООО «Полигон-2»

В соответствии со ст. 88 ТК РФ и п. 4.1 Положения о персональных данных ООО «Полигон-2»

ПРИКАЗЫВАЮ:

1. Определить следующий перечень работников Общества, имеющих доступ к персональным данным работников ООО «Полигон-2»:

Генеральный директор С.Н. Антонов;

Зам. Генерального директора по персоналу С.Л. Ефимов;

Начальник отдела кадров И.А. Литвинова;

Специалист по кадрам И.А. Перова;

Главный бухгалтер Т.В. Карасева;

Начальник юридического отдела Ю.В. Киселев;

Начальник производственного отдела А.Л. Кирилов (доступ к личным данным только работников своего подразделения);

Начальник строительного отдела Г.М. Анохин (доступ к личным данным только работников своего подразделения).

1. Контроль исполнения приказа возложить на Зам. Генерального директора по персоналу Ефимова С.Л.

С приказом ознакомлены: (подписи, даты)

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Обязательство о неразглашении персональных данных

(образец заполнения)

Обязательство

о неразглашении персональных данных

Я, Петрова Ирина Анатольевна, паспорт серии 50 06 номер 465783, выдан УВД Зюзинского района г. Москвы «16» мая 2006 года

понимаю, что получаю доступ к персональным данным работников ООО «Полигон-2». Я также понимаю, что во время исполнения своих обязанностей я занимаюсь сбором, обработкой и хранением персональных данных работников.

Я понимаю, что разглашение такого рода информации может нанести ущерб работникам организации, как прямой, так и косвенный.

В связи с этим даю обязательство при работе (сборе, обработке и хранении) с персональными данными сотрудника соблюдать все описанные в Положении о персональных данных требования.

Я подтверждаю, что не имею права разглашать сведения о (об):

— анкетных и биографических данных;

— образовании;

— трудовом и общем стаже;

— составе семьи;

— паспортных данных;

— воинском учете;

— заработной плате работника;

— социальных льготах;

— специальности;

— занимаемой должности;

— наличии судимостей;

— адресе места жительства, домашнем телефоне;

— месте работы или учебы членов семьи и родственников;

— составе декларируемых сведений о наличии материальных ценностей;

— подлинниках и копиях приказов по личному составу;

— личных делах и трудовых книжках сотрудников;

— копиях отчетов, направляемых в органы статистики.

Я предупрежден(а) о том, что в случае разглашения мной сведений, касающихся персональных данных работника, или их утраты я несу ответственность в соответствии с ст. 90 ТК РФ.

С Положением о порядке обработки персональных данных работников ООО «Полигон-2» и гарантиях их защиты ознакомлен(а).

специалист по кадрам Петрова Ирина Анатольевна

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Лист ознакомления с локальными нормативными актами

(образец заполнения)

Приложение N 1 к

трудовому договору от 01.12.2009 N 56

До подписания трудового договора работник ознакомлен со следующими локальными нормативными актами:

п/п	Наименование локального нормативного акта	дата	подпись
1.	Правила внутреннего трудового распорядка ООО «Полигон-2», в ред. от 01.01.2007	01.12.2009	Снегирева
2.	Положение об оплате труда, премировании и социальном обеспечении сотрудников ООО «Полигон-2», в ред. от 02.06.2008	01.12.2009	Снегирева
3.	Инструкция по информационной безопасности, утв. приказом от 15.06.2008 N 7-К	01.12.2009	Снегирева
4.	Положение о персональных данных, в ред. от 25.08.2008	01.12.2009	Снегирева
5.	Положение о материальной ответственности работников за ущерб, причиненный ООО «Полигон-2», в ред. от 28.08.2009	01.12.2009	Снегирева
6.	Приказ о внутреннем документообороте, утв. приказом от 01.09.2009 N 45-К	01.12.2009	Снегирева
7.	Должностная инструкция секретаря общего отдела, утв. 14.07.2009	01.12.2009	Снегирева

АДРЕСА И ПОДПИСИ СТОРОН

Работодатель Работник

ООО «Полигон-2» Снегирева Дарья Александровна

125879 г. Москва, ул. Веселая, дом 11 Адрес по регистрации: 193456

ИНН 1658795124/42698764 г. Москва ул. Фабричная д. 4 кв. 305

Паспорт: серия 06 09 N 345678

выдан ОВД Московского района г. Калининграда

Генеральный директор Работник

Антонов / С.Н. Антонов Снегирева / Снегирева Д.А.

М.П. ——————————-

Экземпляр приложения к трудовому 01.12.2009 Снегирева

договору получила дата подпись

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Дополнительное соглашение к трудовому договору. Изменение персональных данных работника

(образец заполнения)

ДОПОЛНИТЕЛЬНОЕ СОГЛАШЕНИЕ

к трудовому договору от 20.03.2009 N 11

12.02.2010 N 1 г. Москва

Общество с ограниченной ответственностью «Полигон-2» (ООО «Полигон-2»), именуемое в дальнейшем «Работодатель», в лице генерального директора Антонова Сергей Николаевича, действующего на основании Устава, с одной стороны, и инспектор по кадрам отдела кадров Лукина Лидия Михайловна, именуемая в дальнейшем «Работник», с другой стороны, совместно именуемые «Стороны», заключили настоящее Соглашение о нижеследующем:

1.1. В связи с изменением персональных данных работника считать, что трудовой договор заключен с Лукиной Лидией Михайловной в соответствии с паспортом серии 05 03 N 456575, выдан 07.02.2009 ОВД «Коньково» г. Москвы.

1.2. Изменения, вносимые в трудовой договор настоящим Соглашением, вступают в силу с 12.02.2010.

1.3. Все остальные условия трудового договора остаются прежними.

1.4. Настоящее Соглашение составлено в двух экземплярах, имеющих равную юридическую силу, по одному для каждой Стороны.

РАБОТОДАТЕЛЬ РАБОТНИК

Генеральный директор ______________С.Н. Антонов ________________ Л.М. Лукина

Экземпляр дополнительного соглашения на руки получила _______________________Л.М. Лукина

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Приказ о внесении изменений в документы, содержащие персональные данные работника

(образец заполнения)

Общество с ограниченной ответственностью «Полигон-2»

(ООО «Полигон-2»)

08.02.2010 №4-лс Москва

О внесении изменений в документы, содержащие персональные данные работника

В связи с изменением фамилии специалиста отдела контроля качества Морозовой А.Л. на Лукину

ПРИКАЗЫВАЮ:

1. Внести соответствующие изменения в документы, содержащие персональные данные работника, а именно изменить в данных документах фамилию и паспортные данные. Ответственный специалист по кадрам И.А. Перова.

Основание: свидетельство о заключении брака I-РH N 637962, паспорт серии 0503 N 456575 выдан 07.02.2009 ОВД «Коньково» г. Москвы.

1. Контроль исполнения приказа возложить на начальника отдела кадров И.А. Литвинову.

Генеральный директор______________________С.Н. Антонов

С приказом ознакомлены:

начальник отдела кадров __________________ И.А. Литвинова

специалист по кадрам __________________ И.А. Перова

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Согласие на передачу персональных данных третьим лицам

(образец заполнения)

ООО «Полигон-2»

Генеральному директору

Антонову С.Н.

от…………

СОГЛАСИЕ

на передачу персональных данных третьей стороне

Я, Чижов Андрей Николаевич даю согласие Обществу с ограниченной ответственностью «Полигон-2» (ООО «Полигон-2»), расположенному по адресу: город Москва, ул. Веселая, дом 11, на предоставление ЗАО «Коммерческий банк «Континент» следующих моих персональных данных для рассмотрения вопроса о предоставлении мне потребительского кредита:

— дата приема на работу;

— должность, по которой я выполняю трудовые обязанности в ООО «Полигон-2»;

— размер заработной платы.

Настоящее согласие действительно в течение одного месяца с момента его получения.

Чижов А.Н.

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Запрос о предоставлении персональных данных работника

(образец заполнения)

Закрытое акционерное общество «Коммерческий банк «Континент»

117129, г. Москва, ул. Севастопольская,д. 16

ООО «Полигон-2»

Генеральному директору Антонову С.Н.

116345, г. Москва, ул. Веселая, д.11

Уважаемый Сергей Николаевич!

Просим Вас предоставить следующие персональные данные Чижова Андрея Николаевича:

— дата приема на работу;

— должность, по которой Чижов А.Н. выполняет трудовые обязанности в ООО «Полигон-2»;

— размер заработной платы.

Данная информация необходима для рассмотрения вопроса о предоставлении Чижову А.Н. потребительского кредита.

Начальник отдела кредитования физических лиц ____________________ В.Н. Смирнов

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Ответ на запрос о предоставлении персональных данных

(образец заполнения)

ООО «Полигон-2»

Начальнику отдела кредитования физических лиц

ЗАО «Коммерческий банк «Континент»

———————————— Суворову В.Н.

117129 г. Москва, ул. Севастопольская д. 16

Уважаемый Виктор Николаевич!

В ответ на Ваше письмо от 01.02.2010 N 345/ИВ сообщаю, что Чижов Андрей Николаевич работает в ООО «Полигон-2» с 05.04.2009 в должности начальника отдела контроля качества (приказ о приеме на работу от 05.04.2009 N 12/П-09) с должностным окладом 50 000 (пятьдесят тысяч) рублей в месяц.

В соответствии с Положением о персональных данных работников ООО «Полигон-2», утвержденным приказом от «13» сентября 2008 г. информация, предоставленная в Ваше распоряжение, относится к персональным данным работника и поэтому является конфиденциальной.

Предупреждаю Вас, что данная информация может быть использована Вами исключительно в целях, для которых она была представлена.

В соответствии с действующим законодательством на Вас возлагается ответственность за возможное разглашение вышеупомянутой информации с даты ее предоставления в Ваше распоряжение.

В соответствии со ст. 88 ТК РФ прошу в письменной форме предоставить подтверждение об использовании данной информации только в указанных целях.

Генеральный директор ___________________ С.Н. Антонов

"Практический бухгалтерский учет", 2012, N 3

Практически любая информация, которая помогает идентифицировать человека, является персональными данными (ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", далее - Закон о персональных данных).

К персональным данным относятся:

• фамилия, имя, отчество;
• пол, возраст;
• физиологические особенности человека;
• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
• состояние здоровья;
• принадлежность лица к конкретной нации, этнической группе, расе;
• место жительства;
• привычки, в том числе и вредные;
• семейное положение (наличие или отсутствие детей, родственные связи);
• биография;
• предыдущая трудовая деятельность;
• религиозные и политические убеждения;
• финансовое положение;
• деловые и иные личные качества и т.д.

Однако согласно ТК РФ персональными данными работника является информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст. 85 ТК РФ). То есть из всего вышеперечисленного работодатель вправе потребовать от работника лишь ту информацию, которая характеризует его трудовые качества.

Примечание. Хотя фотография и не относится к персональным данным, но использовать ее без согласия работника (впрочем, как и любого другого человека) нельзя. Это прямо запрещено ст. 152.1 ГК РФ.

Получение персональных данных у третьих лиц: уведомление...

По общему правилу все персональные данные следует получать лично у работника (п. 3 ст. 86 ТК РФ). Однако как быть, например, если работник потерял трудовую книжку и просит содействия в получении информации от предыдущих работодателей? Очевидно, что сотрудник согласен на получение данных от третьих лиц, иначе бы он не просил об этом. Однако работодателю все равно следует письменно уведомить работника о получении персональных данных от третьих лиц.

Примечание. Внимание: персональные данные сотрудника могут запрашиваться у третьего лица исключительно в целях соблюдения требований закона (п. 1 ст. 86 ТК РФ). Например , для содействия в трудоустройстве, обеспечения безопасности, дальнейшего повышения квалификации, сохранности имущества и т.д.

Причем в уведомлении должны быть указаны:

• цели получения персональных данных;
• предполагаемые источники получения персональных данных;
• способы получения персональных данных;
• характер подлежащих получению данных;
• последствия отказа работника дать согласие на получение.

Приведем образец такого уведомления.

Общество с ограниченной ответственностью ООО "Правильное"

Менеджеру отдела продаж

В.П. Терехову

УВЕДОМЛЕНИЕ о получении персональных данных от третьих лиц

Уважаемый Валентин Петрович!

В соответствии с Вашим заявлением об утрате трудовой книжки и просьбе оказать содействие в сборе сведений о предыдущих местах работы и периодах трудовой деятельности ООО "Правильное" запросит эти персональные данные от третьих лиц.

Цель запроса - подтверждение страхового стажа.

Сведения будут запрашиваться в письменной форме при помощи средств почтовой связи.

Просим Вас дать согласие на получение персональных данных от третьих лиц (п. 3 ст. 86 ТК РФ).

Если персональные данные работника возможно получить только у третьей стороны, то работник должен дать письменное согласие (п. 3 ст. 86 ТК РФ). Оно может выглядеть, например, следующим образом.

Генеральному директору

ООО "Правильное"

Правильному М.А.

от менеджера отдела продаж

Терехова Валентина Петровича,

паспорт 45 06 123456, выд. УВД МО

"Отрадное" г. Москвы 11.11.2003,

зарегистрированного по адресу: 123321,

Москва, ул. Тенистая, д. 3, кв. 10

СОГЛАСИЕ на получение персональных данных от третьих лиц

Я, Терехов Валентин Петрович, в соответствии со ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" настоящим даю согласие ООО "Правильное" на получение моих персональных данных о предыдущих местах работы и периодах трудовой деятельности от третьих лиц.

Настоящее Согласие действует со дня его подписания до дня отзыва в письменной форме.

Дата, подпись

Утверждаем список лиц, имеющих доступ

Очевидно, что ряду сотрудников необходимо иметь доступ к персональным данным. К примеру, для оформления стандартных налоговых вычетов бухгалтеру могут потребоваться данные о составе семьи и детях, секретарю - паспортные данные и Ф.И.О. для приобретения билетов и бронирования гостиницы командированному и т.д.

Работодатель вправе разрешить доступ к персональным данным работников только специально уполномоченным лицам (ст. 88 ТК РФ), причем таким уполномоченным будут доступны только те данные, которые необходимы для выполнения конкретных функций.

Перечень работников, имеющих доступ к персональным данным других работников, устанавливается локальным нормативным актом организации, а также приказом по следующей примерной форме.

Общество с ограниченной

ответственностью

ООО "Правильное"

ПРИКАЗ Об установлении списка лиц, имеющих доступ к персональным данным работников ООО "Правильное" В соответствии со ст. 88 ТК РФ ПРИКАЗЫВАЮ:

1. Установить следующий перечень работников, имеющих доступ к персональным данным работников ООО "Правильное":

• генеральный директор и главный бухгалтер Правильный М.А.;
• менеджер по кадрам Ефремова Л.И.;
• юрисконсульт Валеева А.Н.;
• начальник отдела продаж Гаврилов И.П. (доступ к персональным данным сотрудников отдела продаж);
• начальник транспортного цеха Сержантов Т.И. (доступ к персональным данным сотрудников транспортного цеха).

1. Контроль за исполнением приказа оставляю за собой.

С приказом уполномоченные лица должны быть ознакомлены под роспись.

Положение о персональных данных необходимо

Положение о персональных данных работников - это тот локальный акт, который должен быть в любой организации. Объясняется это следующим.

Порядок хранения и использования персональных данных работников устанавливается работодателем с учетом требований Трудового кодекса РФ и иных федеральных законов (ст. 87 ТК РФ). Таким образом, ТК РФ предусматривает, что порядок обработки персональных данных должен быть конкретизирован на локальном уровне. То есть работодатель должен локальным нормативным актом (т.е. положением о персональных данных) определить порядок хранения, обработки и использования персональных данных.

Наконец, как показывает практика, отсутствие такого акта квалифицируется как нарушение трудового законодательства (Постановление ФАС Московского округа от 26.10.2006 N КА-А40/10220-06).

Положение о персональных данных может состоять из следующих частей:

• общие положения: цели и задачи принятия положения и вопросы, которые оно регулирует;
• состав персональных данных работников;
• обработка персональных данных;
• передача персональных данных;
• доступ к персональным данным;
• ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.

Положение может быть составлено с использованием следующего образца.

Общество с ограниченной

ответственностью

ООО "Правильное"

ПОЛОЖЕНИЕ о персональных данных 1. Общие положения

1.1. Настоящим Положением определяется порядок обращения с персональными данными работников ООО "Правильное" (далее - Работодатель).

1.2. Положение утверждено с целью обеспечить соблюдение законных прав и интересов Работодателя и его работников при получении, сборе, систематизации, хранении и передаче сведений, составляющих персональные данные.

1.3. Персональными данными работника является любая информация, относящаяся к работнику и необходимая Работодателю в связи с трудовыми отношениями.

1.4. Сведения о персональных данных работников относятся к категории конфиденциальных. Сведения перестают относиться к категории конфиденциальных:

• в случае их обезличивания, т.е. действий, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• по истечении 75 (семидесяти пяти) лет срока их хранения;
• в иных случаях, предусмотренных федеральными законами.

2. Основные понятия. Состав персональных данных работников

2.1. Для целей настоящего Положения используются следующие основные понятия:

• персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
• обработка персональных данных работника - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
• распространение персональных данных - действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц;
• предоставление персональных данных - действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц;
• блокирование персональных данных - временное прекращение обработки персональных данных работников (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персональных данных работников;
• обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику;
• информация - сведения (сообщения, данные) независимо от формы их представления;
• документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

2.2. Сведения, представляемые при поступлении на работу, должны иметь документальную форму.

2.3. При оформлении работника отделом кадров заполняется унифицированная форма Т-2 "Личная карточка работника", в которой отражаются следующие анкетные и биографические данные работника:

• общие сведения (Ф.И.О., дата рождения, место рождения, гражданство, образование, профессия, стаж работы, семейное положение, паспортные данные);
• сведения о воинском учете;
• данные о приеме на работу;
• сведения об аттестации;
• сведения о повышении квалификации;
• сведения о профессиональной переподготовке;
• сведения о наградах (поощрениях), почетных званиях;
• сведения об отпусках;
• сведения о социальных гарантиях;
• сведения о месте жительства и о контактных телефонах.

2.4. В отделе кадров Работодателя создаются и хранятся документы, содержащие персональные данные работников:

• документы, оформляющие трудовые отношения при приеме на работу, переводе, увольнении;
• документы, применяемые при анкетировании, тестировании, проведении собеседований;
• подлинники и копии приказов (распоряжений) по кадрам;
• личные дела и трудовые книжки;
• материалы - основания к приказу по личному составу;
• материалы аттестаций работников;
• материалы внутренних расследований;
• справочно-информационный банк данных по персоналу (картотеки, журналы);
• копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.

3. Обработка персональных данных работников

3.1. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные возможно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлен об этом, и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.

3.2. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

3.3. Обработка персональных данных работников работодателем возможна только с их согласия либо без их согласия в следующих случаях:

• персональные данные являются общедоступными;
• персональные данные относятся к состоянию здоровья работника, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия работника невозможно;
• по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.

3.4. Работодатель вправе обрабатывать персональные данные работников только с их письменного согласия.

3.5. Согласия работника не требуется, если обработка персональных данных:

• осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия работодателя;
• производится в целях исполнения трудового договора;
• осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
• необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.

3.7. Работник представляет в отдел кадров достоверные сведения о себе. Отдел кадров проверяет достоверность сведений.

3.8. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.9. При определении объема и содержания обрабатываемых персональных данных Работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.

3.10. При принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения.

3.11. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается Работодателем за счет его средств в порядке, установленном федеральным законом.

3.12. Работники и их представители должны быть ознакомлены под расписку с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.

3.13. Отказ работника от своих прав на сохранение и защиту тайны недействителен.

4. Передача персональных данных

4.1. При передаче персональных данных работника Работодатель обязан:

• не сообщать персональные данные работника третьей стороне без письменного согласия работника. Исключение составляют случаи, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
• не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
• предупреждать лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено;
• осуществлять передачу персональных данных работников в соответствии с настоящим Положением;
• разрешать доступ к персональным данным работников только специально уполномоченным лицам. Указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции;
• не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
• передавать персональные данные работника его законным, полномочным представителям в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.

4.2. Персональные данные работников обрабатываются и хранятся в отделе кадров.

4.3. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

4.4. При получении персональных данных не от работника (за исключением случаев, если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:

• наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
• цель обработки персональных данных и ее правовое основание;
• предполагаемые пользователи персональных данных;
• установленные федеральными законами права субъекта персональных данных.

5. Доступ к персональным данным работников

5.1. Право доступа к персональным данным работников имеют лица, указанные в перечне, утвержденном приказом Работодателя.

5.2. Работник имеет право:

5.2.1. Получать доступ к своим персональным данным, возможность ознакомиться с ними, в том числе получать безвозмездно копии любой записи, содержащей его персональные данные.

5.2.2. Требовать от Работодателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для работодателя персональных данных.

5.2.3. Получать от Работодателя сведения:

• о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
• о перечне обрабатываемых персональных данных и источниках их получения;
• о сроках обработки персональных данных и сроках их хранения;
• о правовых последствиях обработки его персональных данных.

5.2.4. Требовать извещения Работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

5.3. Копирование персональных данных работника возможно исключительно в служебных целях с письменного разрешения начальника отдела кадров.

5.4. Передача информации третьей стороне возможна исключительно с согласия работника, выраженного в письменной форме.

6. Ответственность за нарушение норм, регулирующих обработку персональных данных

6.1. Сотрудники Работодателя, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

6.2. Работодатель за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст. ст. 5.27 и 5.39 КоАП РФ. Работодатель также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом работнике.

Замечание напоследок

Отсутствие такого положения и неознакомление с ним работников могут повлечь за собой ответственность по ст. 5.27 КоАП РФ. Кстати, с положением должны быть ознакомлены не только уже работающие, но и потенциальные сотрудники.

А если мысль оформить такое положение возникла у вас лишь сейчас, а на день приема на работу сотрудника положение отсутствовало физически?

Лучший вариант - оформить это положение и под роспись ознакомить с ним всех сотрудников. Если на дату проведения проверки трудинспектор установит, что положение есть и работники с ним ознакомлены, то оснований для применения штрафных санкций не будет.

М.Дашевская

ООО "Гардарика-XXI"

Настоящая статья посвящена вопросам обработки ПДн третьих лиц, в отношении которых у оператора отсутствует правовое основание обработки, но существует необходимость, диктуемая выстроенными бизнес-процессами. Рассматриваются возможные подходы к решению данной задачи с учетом практики.

Алексей Чирков
Советник по правовым вопросам, Российский микрофинансовый центр

В настоящее время многие операторы ПДн в ходе осуществления своей деятельности сталкиваются с необходимостью обработки персональных данных третьих лиц, с которыми у оператора отсутствуют какие-либо отношения и чьи данные получены без их согласия от третьих лиц. Строго говоря, в большинстве таких случаев ни одно из оснований, указанных в ст. 6 Федерального закона от 27.07.2006 ФЗ № 152 "О персональных данных" (далее – ФЗ № 152), не является применимым, однако практика заставляет рассматривать возможные способы их законной обработки. В качестве примера практической ситуации возникновения такой потребности рассмотрим следующий пример.

Заемщик-гражданин обращается в банк или иную финансовую организацию1 с заявлением о предоставлении потребительского кредита. Наличие в таком заявлении телефонов и иных контактных данных родственников, друзей, родителей заемщика повышает (в случае возникновения просрочки) вероятность успешного взыскания долга, по разным оценкам, на 20–40%. Таким образом, в описанной ситуации возникает необходимость обработки ПДн так называемых "контактных" лиц (далее – ситуация), однако правомерность такой обработки неочевидна. Практика выработала, как минимум, три способа2 юридического оформления обработки в приведенной ситуации, которые будут рассмотрены далее.

Суть проблемы

В описанном выше примере ПДн субъекта получаются без его согласия от третьего лица. При этом в соответствии с ч. 1 ст. 6 ФЗ № 152 перечень случаев, когда ПДн могут законно обрабатываться без согласия лица, которому они принадлежат, исчерпывающе определен. И описанная ситуация в этот перечень не попадает. Во-вторых, в соответствии со ст. 18 ФЗ № 152 в случае, когда ПДн получены не от субъекта, которому они принадлежат, оператор обязан уведомить субъекта о факте обработки его ПДн и сообщить ему определенный перечень информации, что создает еще одну сложность. К тому же вполне очевидно, что реализация такой обязанности оператором в ряде случаев может повлечь законное требование субъекта о прекращении обработки его ПДн. Это создает юридические сложности в описанной выше ситуации. На практике появилось как минимум три варианта соблюдения норм ФЗ № 152 при обработке ПДн "контактных" лиц – без их согласия и уведомления.

Данные не персональные

Смысл первого варианта состоит в том, чтобы доказать, что обрабатываемые данные не являются персональными. Это представляется возможным в следующих случаях. Во-первых, объем собираемой информации должен ограничиваться контактным номером телефона и именем. В случае, если о "контактном" лице запрашивается и степень родства заемщику, и паспортные данные, и другая дополнительная информация, такой вариант вряд ли применим. Во-вторых, требуется корректное оформление анкеты. Например, исходя из правоприменительной практики, строчка в анкете "предпочитаемое обращение или псевдоним" с точки зрения отношения данных к персональным выглядит значительно лучше, нежели классическое "ФИО", поскольку предполагает возможность различного заполнения – от имени до социального статуса. В этом случае вероятность признания имени ПДн крайне низка. В-третьих, необходимо подготовить соответствующую аргументацию по вопросу неотнесения к ПДн номера телефона контактного лица. В теории номер телефон может быть классифицирован как обезличенные персональные данные, так как установить принадлежность совокупности цифр конкретному лицу возможно только при доступе к базе оператора связи. Юридически для финансовых организаций это невозможно. В судебной практике в подобных ситуациях номер телефона, как правило, не признается ПДн, поскольку расценивается не относящимся к конкретному лицу3. Таким образом, одним из вариантов обработки информации о "контактных" лицах должника является сбор данных в объеме, достаточном для взаимодействия с контактным лицом, но недостаточным для признания их персональными.

Данные заемщика, а не контактного лица

Этот вариант может быть реализован путем запроса у заемщика, к примеру, большего числа номеров, чем имеет "обычный" заемщик. К примеру, вместо привычных граф анкеты-заявления о предоставлении потребительского кредита (займа) (далее – заявление) "домашний" и "мобильный телефон" можно использовать четыре или пять обязательных для заполнения граф "номер телефона". Вероятно, 2 или 3 номера в таком заявлении будут принадлежать не самому заемщику, а третьим лицам. Однако юридически при наличии в заявлении фразы вроде "достоверность указанных сведений, а также их принадлежность лично мне подтверждаю" финансовая организация вправе законно обрабатывать все указанные данные, в том числе и номера телефонов. Помимо согласия в самом заявлении это право базируется и на принципе добросовестности, закрепленном в ГК РФ: финансовая организация вправе добросовестно полагаться на достоверность сообщаемых заемщиком сведений.

Финансовая организация как обработчик

В данном случае в подписываемом заявлении содержится поручение заемщика, который в роли оператора4 поручает финансовой организации обрабатывать ПДн субъекта (контактного лица) "в целях доведения информации о просроченной задолженности оператора до субъекта персональных данных" определенными в заявлении способами. Данная схема при корректном юридическом оформлении имеет ряд преимуществ перед двумя предыдущими: о контактном (или любом третьем лице) могут быть сообщены любые ПДн; финансовая организация, выступая применительно к ПДн контактного лица "лицом, осуществляющим обработку персональных данных по поручению оператора", не несет никакой ответственности перед самим контактным лицом, которое может обращаться с жалобами в уполномоченный орган. Ответственность за нарушения при обработке ПДн у финансовой организации в этом случае есть только перед заемщиком-оператором ПДн контактного лица. Перед самим же "контактным" лицом за все нарушения, в том числе возможно допущенные финансовой организацией, будет отвечать заемщик.

Получая таким образом ПДн, финансовая организации освобождается от обязанности предоставления информации, предусмотренной ч. 3 ст. 18 ФЗ № 152 для ситуаций, когда информация получена не от самого субъекта.

Таким образом, данная схема позволяет обрабатывать ПДн третьего лица, не получая непосредственно от него согласия.

Итог

Это основные встречающиеся на практике решения по обработке ПДн "контактных" лиц. Возможно, не все из них полностью соответствуют духу законодательства о защите персональных данных, однако ни одно из них, по имеющимся данным, не повлекло привлечения к ответственности, равно как и не вызывало вопросов прокуратуры и Роскомнадзора при проведении проверок в финансовых организациях.

В случае, если указанные данные не принадлежат заемщику, то для их удаления финансовая организация вправе потребовать личного визита третьего лица, которому принадлежат эти данные, в свой офис для предоставления документов, подтверждающих принадлежность указанных телефонов этому третьему лицу (например, абонентского договора), а не указавшему их заемщику. Данная позиция в настоящее время поддерживается как минимум двумя территориальными управлениями Роскомнадзора. Данный способ (его весьма сложно назвать некой схемой адаптации к требования законодательства) достаточно активно используется на практике; ответственность в такой ситуации может понести лишь сам заемщик, указывающий чужие ПДн.

Однако вне зависимости от того, каким образом были получены данные заемщика, представляется крайне важным проверять их достоверность, причем проверять в момент получения, а не тогда, когда возникает необходимость их использования. Несоблюдение именно этого требования часто становится причиной обращений субъектов ПДн к операторам и уполномоченному органу.

Очевидно, ничто изложенное в настоящей статье не означает одобрения или тем более прямой рекомендации по использованию описанных схем. Однако, как представляется, в определенных случаях подобный анализ практики может быть полезен при выработке собственных юридических решений подобных ситуаций. Решений, основанных на букве закона и соответствующих его духу.

___________________________________________
1 С 01.07.2014 предоставлять займы заемщикам-потребителям (то есть осуществлять профессиональную деятельность по предоставлению потребительских займов) могут исключительно следующие финансовые организации: кредитные (в том числе банки) и микрофинансовые организации, ломбарды,кредитные кооперативы.
2 В настоящей статье не рассматривается вариант, при котором заемщик действует как представитель контактного лица на основании доверенности. Во-первых, такой вариант прямо вытекает из закона, во-вторых, он вряд ли возможен в большинстве типичных сделок профессионального кредитора,поскольку оригинал доверенности с подписью контактного лица большинство заемщиков представить не могут.
3 См., например, Апелляционное определение Московского городского суда от 28.01.2014 по делу № 33-5461.
4 Оператором, в соответствии с ФЗ № 152, признается государственный муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку ПДн, а также определяющие цели их обработки, состав и действия (операции), совершаемые с ними. Таким образом, юридических препятствий, вопреки мнению отдельных экспертов, для признания физического лица оператором ПДн не существует.