По закону о защите персональных данных паспорт директор



По закону о защите персональных данных паспорт директор

3 злободневных вопроса об обработке персональных данных: ищем ответы в свежих разъяснениях регулятора и судебных делах


Анонсы 6 июля 2021 Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

16 июня 2021 Программа разработана совместно с АО «Сбербанк-АСТ».

Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

24 июля 2020 Консультант Центра информационной безопасности компании «Инфосистемы Джет» специально для ГАРАНТ.РУ Разобраться в нюансах обработки персональных данных бывает не просто даже опытным специалистам. Это связано с тем, что положения Федерального закона от 27 июля 2006 г.

№ 152-ФЗ «» (далее – Закон № 152-ФЗ) содержат общие формулировки, которые могут трактоваться по-разному. Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться, более того, встречаются судебные дела с противоположными решениями. При построении процессов обработки персональных данных руководители компаний часто не понимают, на что им ориентироваться, чтобы не допустить нарушений .

При этом вопрос защиты персональных данных год от года становится более острым. За последние два года в КоАП РФ внесены поправки об увеличении штрафов за невыполнение требований . Кроме того, сейчас готовится проект закона об увеличении штрафов за утечку персональных данных.

Ежегодно Роскомнадздор фиксирует более 50 тыс. жалоб физических лиц и выписывает организациям административные штрафы, общая сумма которых превышает 1 млн руб.

Возможные последствия для компаний не ограничиваются одними штрафами: регулятор может заблокировать сайт организации, что является неотъемлемой частью бизнеса для тех, кто предоставляет онлайн-сервисы или развивает продажи в интернете. В данной колонке я рассмотрю три важных вопроса, которые мне регулярно задают предприниматели, сравнив положения и позицию Роскомнадзора. А также поделюсь личным опытом участия в проверках службы.

  • Фотография в СКУД – биометрические персональные данные?

Использование фотографий в системах контроля управления доступом (СКУД) – распространенная практика в компаниях. Поэтому многих волнует вопрос: относится ли фотография в СКУД к биометрическим персональным данным?

Ведь в этом случае организация должна будет получить согласие субъекта персональных данных в письменной форме, указанной в . Что говорит законодательство?

дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография. Так, в говорится, что под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта данных.

Что говорит Роскомнадзор? На сайте службы опубликованы разъяснения о том, что фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными. На дне открытых дверей в январе текущего года представители регулятора пояснили, при каких условиях фотография относится к биометрическим персональным данным.

Так, если она:

  1. отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).
  2. сделана в соответствии с требованиями к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);

При данном пояснении регулятора можно сделать вывод, что обработка фотографии в системе СКУД к биометрическим персональным данным не относится.

Кроме того, на последних проверках Роскомнадзора с нашим участием компании не получали замечаний о том, что фотография в СКУД относится к биометрическим персональным данным. Однако нам встречались и примеры с противоположным решением регулятора.

Что говорит судебная практика?

Владелец фитнес-клуба в Казани пытался оспорить в суде постановление Роскомнадзора и штраф в размере 10 тыс.

руб. (решение Cоветского районного суда города Казани от 26 сентября 2020 г.

по делу № 12-1526/2019). В спортивном клубе использовали систему СКУД для идентификации посетителей по фотографии при проходе через турникет без их письменного согласия. Суд сослался на разъяснения службы о том, что фотография, используемая для идентификации личности, является биометрическими персональными данными, и оставил жалобу без удовлетворения.

Выводы ФОРМА Роскомнадзор не опровергает разъяснения на сайте, но на публичных мероприятиях его представители приводят критерии, по которым фотография в СКУД не относится к биометрическим персональным данным. Аналогичный подход все чаще встречается и в результате проверок регулятора.

При этом, как видно из приведенного выше судебного решения, совсем недавно суд придерживался другой позиции, ссылаясь на разъяснения Роскомнадзора. Таким образом, сегодня есть риски получения предписаний и штрафов в случае отсутствия согласия в письменной форме на обработку биометрических персональных данных при использовании фотографии в СКУД.

Поэтому рекомендуется получать согласие субъекта персональных данных. Согласие должно быть оформлено в соответствии с требованиями .

Еще один вариант минимизировать риск — указать во внутренних нормативных документах (например, в регламенте о пропускном и внутриобъектовом режимах), что фотографии в СКУД обрабатываются не с целью идентификации личности, а для организации пропускного режима. Однако при таком способе есть риски получить предписание в случае проверки Роскомнадзора.

  • Относится ли номер телефона к персональным данным?

Компании часто спрашивают, считаются ли номера телефонов без привязки к ФИО и другой информации пользователя персональными данными, и нужно ли в этом случае получать согласие владельца номера на обработку персональных данных.

Что говорит законодательство? Напомним, согласно , персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Что говорит Роскомнадзор? На дне открытых дверей представители службы также объяснили, что к персональным данным относится информация, которая характеризует человека. Телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи, и значит, персональными данными не является. По моей практике участия в проверках Роскомнадзора, представители службы не требуют получения согласия на обработку номера телефона без привязки к другим данным.

Что говорит судебная практика?

Житель города Белгорода обратился в суд (решение Октябрьского районного суда г. Белгорода от 12 сентября 2020 г. по делу № 12-393/2019) с жалобой на размещение его телефонного номера в Интернете компанией ООО «Яндекс Справочник». Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца.

Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца.

Суд согласился с регулятором в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека.

Между тем, суд в Москве, рассматривая подобный вопрос, вынес другое решение (решение Черемушкинского районного суда г.

Москвы от 18 июня 2020 г. по делу №12-973_2019). Гражданину поступали звонки от коллекторской компании без его согласия. При этом других данных, кроме номера телефона, у взыскателей о человеке не было.

Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением . Выводы Роскомнадзор придерживается позиции, что номер телефона без привязки к другим данным не относится к персональным данным, а значит, не нужно получать согласие его владельца на обработку данных.

Однако правоприменительная практика говорит о том, что стоит заручиться согласием субъекта на обработку таких данных.

Оно может быть оформлено в любой форме, позволяющей подтвердить факт его получения (например, галочка на сайте).

  • Нужно ли согласие субъекта персональных данных, если они обрабатываются в рамках исполнения договора?

Часто компании задаются вопросом, нужно ли отдельно получать согласие, если персональные данные обрабатываются с целью выполнения обязательств по договору, или договор сам по себе является правовым основанием для обработки.

Что говорит законодательство? В говорится, что обработка персональных данных допускается:

  1. для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект будет являться выгодоприобретателем или поручителем.
  2. для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

Что говорит Роскомнадзор? На официальном сайте Роскомнадзора размещена информация о том, что согласие не требуется, если обработка персональных данных необходима для исполнения договора.

По моему опыту участия в проверках регулятора отсутствие согласия может быть нарушением в следующих случаях:

  1. требуется согласие на обработку персональных данных в письменной форме (для специальных категорий данных, биометрических данных, трансграничной передачи персональных данных и т.п.).
  2. не указан перечень организаций, в которые передаются персональные данные;
  3. персональные данные избыточны по отношению к цели обработки или обрабатываются с целью, которая не указана в договоре. В качестве примера можно привести обработку копий паспортов, не требующихся для исполнения договора, или рассылку рекламных SMS-сообщений клиентам;

Что говорит судебная практика?

Рассмотрим два примера с противоположными решениями суда. В пятом арбитражном апелляционном суде Владивостока рассматривался случай обработки персональных данных собственников помещения ресурсоснабжающей организацией.

Судебная коллегия определила, что при наличии договора согласие субъекта на обработку данных не требуется, поскольку она необходима для исполнения договора (). В другом деле апелляционный суд Воронежа установил, что подписание договора не может считаться согласием собственника помещения многоквартирного дома на обработку персональных данных ().

Согласие должно быть выражено с соблюдением требований с обязательным указанием сроков обработки персональных данных.

Выводы В судебной практике есть пример, где наличие договора не является согласием.

Роскомнадзор тоже не требует согласия, если персональные данные обрабатываются с целью исполнения договора, но проверяет выполнение условий, приведенных выше. *** Тема обработки персональных данных всегда вызывает много вопросов из-за неоднозначности формулировок , и у каждого специалиста по персональным данным своя интерпретация правильного выполнения требований.

Встречаются ситуации, когда в судебном порядке оспариваются постановления службы. Более того, по одному вопросу можно найти противоположные решения суда.

Подход Роскомнадзора меняется со временем, появляются новые разъяснения на сайте службы и открытых мероприятиях, а также решения судебных дел. Я рекомендую при построении процессов обработки персональных данных оценивать совокупность факторов и выбирать решение, которое минимизирует риски получения предписаний и штрафов, на периодической основе проверять процессы обработки персональных данных на соответствие новым подходам Роскомнадзора.

Кроме того, стоит обратить внимание на разработку организационно-распорядительных документов, которые должны соответствовать выбранной позиции по спорным вопросам, а также отражать актуальные изменения процессов обработки персональных данных в компании.

_____________________________ С разъяснениями можно ознакомиться на официальном сайте: .

С информацией можно ознакомиться на официальном сайте: . Теги: , , , , , , , , , , , , Документы по теме: Федеральный закон от 27 июля 2006 г. № 152-ФЗ «» Читайте также: Такое исключение предусмотрено в законодательстве об обработке персональных данных.

При условии идентификации личности заявителя простой электронной подписью. Квалификационная электронная подпись используется для выполнения на сайте ФНС операций в личных кабинетах организаций и ИП. Соответствующий законопроект сегодня поступил в Госдуму.

© ООО «НПП «ГАРАНТ-СЕРВИС», 2021. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО «НПП «ГАРАНТ-СЕРВИС». Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.

ООО «НПП «ГАРАНТ-СЕРВИС», 119234, г. Москва, ул. Ленинские горы, д. 1, стр. 77, . 8-800-200-88-88 (бесплатный междугородный звонок) Редакция: +7 (495) 647-62-38 (доб.

3145), Отдел рекламы: +7 (495) 647-62-38 (доб. 3136), . Реклама на портале. Если вы заметили опечатку в тексте,выделите ее и нажмите Ctrl+Enter

Новые правила обработки персональных данных: закон и судебная практика

С 1 марта 2021 года вступили в силу изменения в ФЗ № 152 «О персональных данных».

Предлагаемые изменения назревали уже очень давно, но были приняты только сейчас.

Зачем они потребовались? Мы все хорошо знаем, что сбор персональных данных разного рода операторами происходит довольно часто. Свои данные мы указываем везде: открытие счета, получение посылки по почте, запись на прием к приставу и пр.

При этом гарантировать сохранность персональных данных после их обработки очень сложно. Безусловно, ФЗ № 152 обязывает их охранять.

Но некоторые данные могут стать публичными из-за злоупотребления полномочиями или банальной неосторожности.

Кроме того, можно предоставить свои персональные данные неограниченному кругу лиц из-за невнимательности. Например, при оформлении sim карты в салоне мобильной связи покупателю предоставляют договор, в котором уже проставлены отметки о согласии на предоставление персональной информации третьим лицам, не только в рекламных целях.

Причем на требование убрать проставленные отметки могут ответить отказом, мотивируя свое решение политикой организации и пр.

Как результат, данные клиента могут попасть совершенно в любые руки, включая недоброжелателей и злоумышленников.

Поправки в ФЗ № 152 направлены на урегулирование механизма защиты прав неограниченного круга лиц, чьи данные тем или иным способом участвуют в обороте или станут известны в будущем. До вступления поправок в силу у третьих лиц оставалась некая «лазейка» в законе. В частности, они также могли осуществлять сбор, хранение и передачу данных.
В частности, они также могли осуществлять сбор, хранение и передачу данных.

А субъекты, чьи персональные данные были переданы третьим лицам, могли требовать их удаления только при соблюдении обязательных условий: необходимо доказать, что данные получены незаконно, потеряли актуальность, являются неполными и т.п. С принятием поправок в ФЗ данное правило изменилось.

Теперь лицо может требовать ограничения пользования и удаления персональных данных у любого оператора, которому стали известные персональные данные. Причину такого решения субъект персональных данных указывать больше не обязан. Кроме того, теперь лицо само сможет решать какие из его персональных данных могут быть использованы.

Если субъект не дал прямого письменного разрешения на использование своих персональных данных, то оператор, получивший сведения, имеет право на их обработку, но не имеет права на распространение. Соблюдать положения закона обязаны все операторы, в том числе те, которые публично выкладывают персональные данные для общего доступа.

Например, таковыми признаются социальные сети. Согласие на использование персональных данных необходимо будет направить через социальную сеть или на юридический адрес компании. Впоследствии предполагается, что предоставить согласие можно будет через специальную систему, которую создаст Роскомнадзор.

Таким же способом предполагается передавать требование на прекращение использования персональных данных. С момента получения требования оператор должен прекратить использование персональных данных в течение 3 рабочих дней.

В случае, если использование персональных данных так и не было прекращено, лицо имеет право обратиться в суд.

По решению суда, вступившему в законную силу, оператор обязан прекратить передачу и использование персональных данных. Если оператор не прекратил использовать и передавать персональные данные, то для него предусмотрена ответственность, согласно ст. 13.11 действующего КоАП — от 3000 до 75 000 рублей, в зависимости от вида субъекта нарушителя.

Кроме того, с 27 марта 2021 такой вариант наказания, как предупреждение, будет полностью упразднен, а санкции статьи ужесточаются, вследствие чего штрафы для оператора увеличатся вдвое, т.е. от 6000 до 150 000 рублей. Внесение поправок в действующее законодательство имеет своей целью более корректное использование персональных данных, полученных оператором для обработки.

В первую очередь, это необходимо для того чтобы операторы понимали серьезность вверенных им данным и последствий своих действий.

Поскольку нарушения в хранении и передачи данных третьих лиц так или иначе все еще встречаются, у операторов не сложилось четкого представления о необходимости получения письменного согласия на передачу любых персональных данных. Во-вторых, увеличение размера штрафов, возможно, сократит уровень халатного отношения к полученным персональным данным. Еще больше важных моментов о защите персональных данных, которые нужно знать для работы без штрафов — .

В Москве гражданин обратился в мировой суд за защитой своих нарушенных прав. Суть истории: на его номер телефона поступали звонки от коллекторской службы. При этом письменного или устного согласия на предоставление номера телефона гражданин коллекторскому агентству не давал.

Данные находились только у банка, с которым был заключен кредитный договор. В заключенном договоре не содержалась информация о возможности передачи персональных данных третьим лицам. Иных данных, кроме номера телефона, у коллекторов не было.Кроме того, представители агентства считали, что номер телефона не относится к персональным данным.

Мировой суд посчитал такие действия со стороны коллекторской компании нарушением ФЗ № 152 «О защите персональных данных». Позже Черемушкинский районный суд г. Москвы, как апелляционная инстанция, поддержал решение мирового суда в полном объеме и согласился с выводами нижестоящего суда в части привлечения организации к административной ответственности и выплате штрафа в размере 30 000 рублей (решение Черемушкинского районного суда г.

Москвы от 18 июня 2020 г. по делу № 12-973/2019). Наконец, изменения ФЗ № 152 необходимы были самим субъектам персональных данных.

Теперь требовать удалить персональные данные можно, не изыскивая каких-либо доказательств. Одного нежелания лица теперь достаточно. Удалить данные или прекратить их передачу операторы обязаны в течение 3 дней после обращения лица.

«» : Теги:

  1. , юрист ЮК Приоритет

Предоставление персональных данных генерального директора

Вы здесь Опубликовано 2012-06-07 11:47 пользователем Valeratal «Кадровик.

ру», 2012, N 6 ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ГЕНЕРАЛЬНОГО ДИРЕКТОРА Персональные данные работника могут понадобиться работодателю в ходе трудовых отношений. Эти сведения являются конфиденциальными.

В соответствии со ст. 88 Трудового кодекса Российской Федерации работодатель не должен передавать персональные данные сотрудника третьей стороне без его письменного согласия, а также разглашать эти сведения в коммерческих целях. Однако эти требования законодательства не всегда могут быть соблюдены, когда речь идет о генеральном директоре компании.

Персональные данные генерального директора используются на практике гораздо чаще, чем данные любого другого сотрудника.

И это не удивительно, ведь генеральный директор действует от имени компании, представляет ее интересы, дает другим работникам полномочия на осуществление действий, связанных с деятельностью организации. Персональные данные генерального директора могут содержаться в доверенностях на исполнение обязанностей, договорах, распорядительных документах, анкетах.
Персональные данные генерального директора могут содержаться в доверенностях на исполнение обязанностей, договорах, распорядительных документах, анкетах.

Они могут потребоваться для получения банковских и иных кредитов и т. д. В соответствии со ст. 88 ТК РФ передача персональных данных работника третьей стороне без письменного согласия сотрудника запрещена, за исключением предусмотренных законом случаев.

В соответствии со ст. 88 ТК РФ генеральный директор считается работником, на него распространяются все положения трудового законодательства. С ним, как и с другими сотрудниками, заключается договор, издается приказ о его назначении, соответствующие записи о трудовых отношениях вносятся в трудовую книжку.

Согласие необходимо оформить в письменном виде, из него должно быть понятно, кому и с какой целью будут передаваться персональные данные.

При этом ст. 88 ТК РФ предусматривает, что без согласия работника персональные данные не могут передаваться в коммерческих целях работника. Однако ограничение на распространение персональных данных действует не на все сведения о генеральном директоре.

В Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) были внесены изменения Федеральным законом от 25.07.2011 N 261-ФЗ. В Законе N 152-ФЗ выделены три вида персональных данных: — общедоступные (ст. 8 Закона N 152-ФЗ); — специальные категории персональных данных (ст.

8 Закона N 152-ФЗ); — специальные категории персональных данных (ст. 10 Закона N 152-ФЗ); — биометрические (ст. 11 Закона N 152-ФЗ). Общедоступные персональные данные могут быть известны неограниченному кругу лиц.

Сюда относятся фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, ученых степенях и званиях и другая информация, которая предоставляется субъектом и может быть отнесена к общедоступному источнику персональных данных (ст. 8 Закона N 152-ФЗ). Источниками для таких данных будут телефонные и адресные книги, энциклопедии и т. п. Данные о генеральном директоре, ставшие общедоступными, могут свободно использоваться, и их распространение законодателем не регулируется.

Согласно ч. 1 ст. 10 Закона N 152-ФЗ к специальным категориям персональных данных относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Обработка таких данных генерального директора Законом запрещена. Оперировать персональными данными о судимости могут государственные или муниципальные органы в пределах своих полномочий.

Особая и весьма специфическая группа — биометрические персональные данные, отражающие физиологические характеристики человека. К ним относятся особенности строения частей тела, отпечатки пальцев, ладони, строение сетчатки глаза, анализ ДНК и т.

п. Распространение таких данных — редкий случай.

Чаще всего проблемы связаны с некоторыми данными генерального директора, без которых невозможно выдать доверенность, заключить договор или взять кредит в банке. Речь идет о следующих сведениях: — фамилия, имя, отчество; — дата и место рождения; — пол; — адрес; — семейное положение; — должность (профессия); — зарплата, другие доходы; — владение недвижимым имуществом, денежные вклады и др.; — образование, квалификация, профессиональная подготовка, сведения о повышении квалификации; — привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.); — факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.); — физиологические особенности, здоровье; — деловые и иные личные качества. Перечисленные данные, как правило, запрашиваются банком для заполнения анкеты и служат для проверки клиента при заключении договора кредитования.

Все эти сведения в соответствии с Законом о персональных данных являются охраняемыми. Как не нарушить закон? Лица, имеющие доступ к персональным данным генерального директора (перечень таких лиц определяется положением о защите персональных данных, утвержденным в организации), обязаны не передавать эти сведения третьим лицам и не распространять персональные данные без согласия субъекта.

Поэтому необходимо получить от генерального директора согласие на обработку персональных данных, которое должно отвечать нескольким требованиям. Во-первых, согласие необходимо оформить письменно. Во-вторых, оно должно содержать целый перечень сведений, к которым относятся следующие (ст.

9 Закона N 152-ФЗ): — фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; — фамилия, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); — наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; — цель обработки персональных данных; — перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; — наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; — перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; — срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; — подпись субъекта персональных данных. Только при наличии надлежаще оформленного согласия компания может предоставлять персональные данные генерального директора третьим лицам и обрабатывать их самостоятельно. Кроме того, следует изложить порядок раскрытия персональных данных сотрудниками и генеральным директором в отдельном локальном акте организации.

Отметим, что в Законе имеется ряд пробелов в части раскрытия информации руководителем компании. Судебные споры В случае раскрытия персональных данных, безусловно, возникает целый ряд вопросов. Может ли информация быть доступна всем заинтересованным лицам — акционерам, коллегам, контрагентами и др.?

Есть ли предел распространения таких сведений? Какие данные могут использоваться только внутри организации, а какие — за ее пределами? Проблемой является и возможность непредоставления информации о генеральном директоре.

Эти вопросы становились поводами для судебных разбирательств. Однако прежде, чем приступить к рассмотрению конкретных судебных решений, отметим, что предел раскрытия информации может быть определен в локальном акте компании и в согласии на обработку персональных данных. При этом внутренний документ не может противоречить нормам законодательства, например, в части предоставления информации акционерам.

В некоторых ситуациях генеральный директор должен раскрыть информацию о доходах акционерам на основании норм Закона от 22.04.1996 N 39-ФЗ «О рынке ценных бумаг», однако генеральный директор не хочет раскрывать данные о собственных доходах (ст. 30). В таком случае нельзя закрепить в локальном акте положение о нераспространении информации.

Предоставить документы, не раскрывая персональные данные, возможно.

Такой вывод, в частности, следует из Определения ВАС РФ от 27.02.2012 N ВАС-16803/11 по делу N А40-43149/11-121-290. В суде рассматривалась следующая ситуация.

В соответствии с п. 1 ст. 91 Закона об акционерных обществах общество обязано обеспечить доступ акционеров к документам, предусмотренным п. 1 ст. 89 данного Закона, и предоставить акционеру по его требованию копии этих документов.

К документам бухгалтерского учета и протоколам заседаний коллегиального исполнительного органа имеют право доступа акционеры (акционер), владеющие в совокупности не менее чем 25% голосующих акций общества. Для соблюдения паритета интересов генерального директора и акционеров, по мнению суда, трудовой договор мог быть предоставлен акционерам без открытия персональных данных директора общества.

Пример выдержки из трудового договора с исключением персональных данных приведен в приложении 1. Заинтересованным лицам, например контрагентам, можно предоставить решение о назначении генерального директора также без предоставления персональных данных (приложение 2).

Согласно Постановлению ФАС Московского округа от 14.01.2010 N КА-А40/14463-09 по делу N А40-38438/09-17-269 в аналогичной ситуации суд пришел к иному выводу. Он указал, что работодатель правомерно не предоставил акционерам общества копию трудового договора с генеральным директором, поскольку ст. 88 ТК РФ установлен запрет на передачу персональных данных работника третьей стороне, а в соответствии со ст.

88 ТК РФ установлен запрет на передачу персональных данных работника третьей стороне, а в соответствии со ст. 90 ТК РФ лица, виновные в нарушении норм, регулирующих защиту персональных данных, несут административную, гражданско-правовую или уголовную ответственность. Сложившаяся судебная практика позволяет сделать вывод о том, что компания может предоставлять заинтересованным лицам документы без раскрытия персональных данных директора.

Это касается обсуждения проектов договоров, передачи типовых документов контрагентам, предоставления договора с генеральным директором акционерам. Еще одно основание для судебных споров — раскрытие сведений о генеральном директоре, которые в соответствии с законом не являются персональными данными. Например, не является конфиденциальной информация о том, что гражданин не оплачивает коммунальные услуги.

Такие данные не относятся к частной жизни и не составляют тайну, которую стороннее лицо не вправе разглашать в силу своих профессиональных обязанностей (Кассационное определение Пермского краевого суда от 05.10.2010 N 33-8722). Также не может быть признана нарушением передача персональных данных в счетах физических лиц, например если данные о генеральном директоре содержатся в платежных документах. В Постановлении ФАС Восточно-Сибирского округа от 12.05.2011 по делу N А33-10809/2010 суд признал, что передача персональных данных физических лиц третьему лицу управляющими организациями является частью их деятельности.

Следовательно, нормы закона в этой части не нарушаются.

Еще одна проблема — наличие персональных данных в договоре, например при заполнении заявки на кредит.

В Постановлении ФАС Северо-Западного округа от 13.12.2010 по делу N А56-73636/2009 суд признал действия компании, предоставляющей анкеты на подбор кредитов, правомерными и не установил в действиях ответчика нарушений требований Закона N 152-ФЗ. В рассматриваемой ситуации физические лица, планировавшие получить ипотечные кредиты, заполняя анкеты-запросы в электронном виде на веб-ресурсах, последовательно отвечали на вопросы, предполагающие предоставление персональных данных.

Эти сведения требовались для получения ипотечного кредита, в анкете было указано, что кредит выделяется банком, а не ответчиком.

Затем физлица отправляли анкеты в электронном виде в ООО «К***», которое непосредственно имело доступ к административной части веб-ресурсов.

Таким образом, если генеральный директор самостоятельно заполняет заявку, анкету для заключения договора, законодательство не нарушается.

Но правовая проблема заключается в том, что не ясно, кто заполняет заявку, каким образом получено согласие и куда попали персональные данные.

Заявка является документом, разработанным банком, и может оформляться как в электронном, так и в бумажном виде.

Некоторые действия, связанные с обработкой данных, не квалифицируются как незаконные, например в случае вызова в прокуратуру. Прокуратура может запросить как паспортные данные генерального директора, так и сведения о заработной плате (если он подозревается в экономических преступлениях, связанных с «выплатой зарплаты в конвертах» и неуплатой налогов в особо крупных размерах). В качестве подтверждения можно привести Кассационное определение Санкт-Петербургского городского суда от 08.12.2010 N 33-16601.

Аналогичные выводы сделаны судом в отношении полномочий приставов-исполнителей.

В Определении ВАС РФ от 16.12.2011 N ВАС-14324/11 по делу N А12-23512/2010 Суд пришел к выводу о том, что Законы от 21.07.1997 N 118-ФЗ «О судебных приставах» и от 02.10.2007 N 229-ФЗ «Об исполнительном производстве» допускают обработку персональных данных без согласия субъекта, поскольку эти нормативные правовые акты устанавливают цель, условия получения сведений, круг субъектов, персональные данные которых подлежат обработке, и полномочия судебного пристава, который эту обработку будет осуществлять. Негативные последствия Нарушение порядка хранения, использования и раскрытия персональных данных генерального директора влечет за собой меры административной ответственности. В соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа: — на граждан — от 300 до 500 руб.; — на должностных лиц — от 500 до 1000 руб.; — на юридических лиц — от 5000 до 10 000 руб.

А на основании ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если оно влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа: — на граждан — от 500 до 1000 руб.; — на должностных лиц — от 4000 до 5000 руб. Если будет установлено, что такое нарушение совершил сотрудник, ответственный за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа.

В целом можно отметить, что штрафы за разглашение персональных данных не являются внушительными. Однако следует помнить, что в последнее время в законодательство о защите персональных данных были внесены изменения и проверки проводятся все чаще. Поэтому необходимо тщательно соблюдать порядок защиты персональных данных всех работников организации, в том числе и генерального директора.

Приложение 1 Пример выдержки из трудового договора без персональных данных Трудовой договор 11 марта 2012 г. N 331-12 Москва ЗАО «Богатый и зажиточный», именуемое в дальнейшем «Работодатель», в лице единственного учредителя Ничегонидельникова Петра Ивановича, действующего на основании устава, с одной стороны, и гражданин Российской Федерации Трудоголиков Василий Степанович, именуемый в дальнейшем «Работник» (паспорт серия 00 номер 000000, выдан ОВД района Международный г. Москвы), действующий в своих интересах и от своего имени, с другой стороны, а вместе именуемые «Стороны», заключили настоящий договор о нижеследующем.

<.> 4. Обеспечение условий труда, гарантии и компенсации. 4.1. Заработная плата Работника устанавливается в размере XXXXXX (XXXXXX тысяч) рублей в месяц.

Кроме того, ему выплачивается премия в размере XXX% от XXXXX в квартал.

Приложение 2 Пример решения о назначении генерального директора без персональных данных Решение о назначении генерального директора на должность Решение N 7 единственного участника общества г.

Москва 23.05.2011 Я, гражданин Российской Федерации Свиридов Анатолий Иванович (паспорт 1111 111111, выдан ОВД Зюзино г. Москвы 11.01.2007, зарегистрирован по адресу: 444555, г.

Москва, ул. Строителей, д. 135, кв. 211), являющийся единственным участником общества с ограниченной ответственностью «Олимп» (ОГРН 2222222222222, ИНН 1111111111, место нахождения: 222333, г. Москва, ул. Мира, 2/15), решил: Назначить на должность генерального директора общества с ограниченной ответственностью «Олимп» гражданина РФ Свиридова Анатолия Ивановича (паспорт 1111 111111, выдан ОВД Зюзино г.

Москвы 11.01.2007, зарегистрирован по адресу: 444555, г. Москва, ул. Строителей, д. 135, кв.

211) с 24.05.2011 сроком на 5 лет.

Единственный участник Свиридов А.

И. Свиридов ООО «Олимп» Е. Шестакова Москва Подписано в печать 19.06.2012 Рубрика: Ключевые слова: Оцените публикацию +1 0 -1

Копии документов сотрудников и защита персональных данных

В организации ведутся личные дела сотрудников.

При приеме на работу специалист по кадрам снимает копии с документов и вкладывает их в личное дело.

Правомерно ли это с учетом закона о защите персональных данных? Рассмотрим, как нужно поступать с документами и личной информацией сотрудников, чтобы не получить штраф от Роскомнадзора.

Содержание Работодатель обязан вести личные дела сотрудников, если это прямо предписано нормативными актами. Например, такое требование установлено для органов исполнительной власти.

У тех компаний, кто не попадает под действие таких актов, обязанности вести личные дела сотрудников нет. Однако иногда работодатели начинают их формировать по своей инициативе.

В таком случае они сами составляют перечень документов, которые нужно включить в личное дело.

Но при этом важно соблюдать закон о конфиденциальности персональных данных.

Итак, по той или иной причине в компании решено формировать личные дела работников.

Прежде всего нужно составить локальный нормативный акт, который определит важные моменты и правила. Это может быть стандарт или положение.

В нем целесообразно отразить все нормы оформления личных дели и состав документов.

Главное правило: не стоит собирать лишнюю информацию о сотруднике про запас — только то, что действительно важно. Иначе будут нарушены принципы работы с персональными данными.

О работнике можно собирать только ту информацию, которая отвечает определенным целям обработки персональных данных. Иначе организация может быть оштрафована по статье 13.11 КоАП на сумму от 30 до 50 тыс.

рублей. Должностное лицо получить штраф в размере 5-10 тыс.

рублей, а гражданин — в сумме 1-3 тыс. рублей. Как же правильно поступать с документами сотрудника?

Обратимся к статье 65 Трудового кодекса. В ней сказано, что документы предъявляются физическим лицом при приеме на работу.

Иначе говоря, документы должны быть предъявлены работодателю, после чего они возвращаются сотруднику. При этом в ТК РФ не говорится о том, что специалист работодателя вправе снимать с них копии. Итак, без согласия работника кадровый специалист может сделать лишь следующее: взять документы сотрудника и внести информацию из них .

На практике работодатели часто любят собирать разную информацию о своих сотрудниках и хранить копии их дипломов, СНИЛС, паспортов. Однако все это все эти документы содержат персональные данные работников, которые защищаются законом.

Собирать личную информацию, которая соответствует законной цели.

Причем цель должна быть вполне конкретной.

Например, нельзя хранить персональные данные сотрудника на тот случай, если вдруг их запросит прокуратура или Служба судебных приставов. Пока такого запроса нет, эта информация работодателю не нужна. Соответственно, если он заранее ее собрал и хранит, тем самым он нарушает закон о защите персональных данных.

Важно! Обработка персональных данных гражданина допустима, если это необходимо, чтобы исполнить договор, стороной которого он является. Это сказано в части 1 статьи 6 закона о персональных данных от 27 июля 2006 года № 152-ФЗ. Казалось бы, проблема решается просто — можно взять с работника документ о том, что он разрешает обработку своей информации.

Но на самом деле этого недостаточно. Даже если сотрудник согласился, это не значит, что появилась законная конкретная цель для обработки данных. Важно! Работодателям нужно запомнить простое правило: если нет цели, то нет и права хранить копии личных документов сотрудника.

В упомянутом законе определены принципы защиты персональных данных. Суть в следующем:

  • Обработке подлежат только те сведения, которые соответствуют указанным целям.
  • Нельзя собирать информацию, которая не соответствует упомянутым выше целям.
  • Содержание и объем обрабатываемых данных должен соответствовать цели обработки.
  • Должны стоять конкретные, заранее определенные цели, в соответствии с которыми собираются личные данные человека. Как только эти цели достигнуты, обработка его персональных данных должна прекращаться.

О согласии на обработку персональных данных сказано в статье 9 закона. Оно должно содержать опять же цель обработки, а также перечень действий, которые с этими данными могут быть совершены.

Вывод: хранить копии документов сотрудников в кадровом делопроизводстве можно только в том случае, если это нужно для конкретных целей. Например, личные сведения могут быть собраны для размещения на сайте работодателя (в разделе «Наши сотрудники») или для оформления полиса добровольного медицинского страхования.

Пример избыточной цели — хранение личных данных на случай поступления запроса из государственных органов. В копии паспорта есть не только имя, дата рождения и прочая информация — она может являться источником биометрических персональных данных.

В частности, на фото можно заметить особенности внешности человека. Такая информация охраняется законом. Соответственно, хранить копии паспортов работников нужно, во-первых, при наличии адекватных целей а, во-вторых, взяв с них согласие на это.

Итак, если работодатель планирует вести личные дела своих сотрудников, то просто приложить к ним копии документов неправомерно. Для этого необходимо, чтобы:

  1. было законное основание (правовой акт или внутренний документ);
  2. было письменное согласие работника на обработку его персональных данных;
  3. в согласии была указана цель обработки.
  4. была определенная, законная и адекватная цель обработки информации;

Эти выводы подтверждаются судебной практикой. В частности, постановлениями Пятнадцатого арбитражного апелляционного суда от 14.03.2014 № 15АП-22502/2013 по делу № А53-12557/2013 и ФАС Северо-Кавказского округа от 21.04.2014 по делу № А53-13327/2013.

  1. ФСС
  2. ПФР
  3. ФНС
  4. Бухгалтерская отчетность

Минтруд подготовил новый порядок расчёта размера прожиточного минимума в регионах России для разных социально-демографических групп.

СодержаниеСлучаи, при которых ИФНС направляет требование о представлении документовСлучай первый: при проведении камеральной и выездной проверкиСлучай второй: В случае, если счета фирмы заблокированы по запросу ИФНС, организация сможет выплатить своим сотрудникам заработную

Статья 10.1.

Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

(введена Федеральным от 30.12.2020 N 519-ФЗ) 1.

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.2.

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.4.

В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.5.

В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:1) непосредственно;КонсультантПлюс: примечание.П. 2 ч. 6 ст. 10.1 (в ред. ФЗ от 30.12.2020 N 519-ФЗ) в силу с 01.07.2021.2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.7.

Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.8. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.9. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.

Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.10.

Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.11. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.12. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных.

Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.13. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в настоящей статьи.14.

Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.15.