Бесплатная консультация юриста:
8 (800) 500-27-29 (доб. 553)
СПб и Лен. область:Санкт-Петербург и область:
+7 (812) 426-14-07 (доб. 318)
Москва и МО:
+7 (499) 653-60-72 (доб. 296)
Получить консультацию

Что такое положение о защите персональных данных

Положение о защите персональных данных работников — что это такое

Российское трудовое законодательство обязует каждого работодателя оформлять определенные локальные нормативные акты. В большинстве случаев, эта обязанность напрямую связана с необходимостью выполнять определенные другие требования, устанавливаемые законодателем. В отношении персональных данных ситуация является идентичной, так как именно работодатель обязан обеспечивать защиту личных сведений о трудящихся и уведомлять их о порядке обработки рассматриваемой информации.

Данный документ является полноценным локальным актом организации, однако никаких конкретных требований к нему законодательство не предъявляет, поэтому работодатели вправе самостоятельно определять сферу применения означенного документа и указываемую в нем информацию. Конечно, есть определенные рекомендации и практические советы по оформлению положения о персональных данных, но все они являются лишь логическим выводом из иных законодательных нормативов.

В целом, под личными данными подразумевается любая информация, прямо или косвенно связанная с конкретным физическим лицом. Есть несколько видов персональных данных — общими считаются те, что являются необходимыми для заключения трудового договора. Биометрические касаются непосредственно особенностей физиологии отдельного человека, его внешности, веса, роста, медицинских показаний. К особым сведениям относится информация о религиозных, политических и иных мировоззрениях. Более подробно о том, что такое персональные данные работника и как они должны обрабатываться, можно прочитать в отдельной статье. Далее же будет рассматриваться непосредственно положение о защите персональных данных и все, что может быть с ним связано.

Закон о персональных данных

Разные нормативно-правовые акты несут в себе определение персональных данных работника. Ознакомимся подробнее с соотношением их положений для того, чтобы выяснить, какие сведения являются персональными данными работников.

Правовой основой по их защите выступают нормы Конституции РФ и закона «О персональных данных».

Начнем с Конвенции Совета Европы, которая ратифицирована Россией в 2005 году – «О защите физических лиц при автоматизированной обработке персональных данных». Этот документ любую информацию касательно определенного физического лица относит к личным данным.

Такое лицо выступает субъектом персональных данных, а непосредственно к подобной информации причисляют: его ФИО, дату и место рождения, место проживания, семейный и общественный статус, данные об образовании, доходах и пр.

Согласно анализу норм Закона «Об информации» подразумевает под персональными данными информацию с ограниченным доступом. Всеобщая декларация прав человека гласит, что “подвергаться произвольному вмешательству в его личную и семейную жизнь не может никто”.

Для того чтобы избежать мошенничества со стороны распадающейся или уже распавшейся фирмы, предусмотрена специальная процедура проверки организации на банкротство.

Проверка контрагента по ИНН онлайн доступна любому желающему. О том, с помощью каких ресурсов можно проверить контрагентов читайте в этой статье.

Персональные данные гражданина призваны проводить идентификацию его личности, а персональные данные работника дают ему характеристику в качестве сотрудника в определенной организации. Таким образом, к данным работника причисляют исключительно сведения, относящиеся к его способностям касательно выполнения трудовых функций.

Указ Президента РФ 1997 года определяет конфиденциальный характер персональных сведений, что означает их недоступность для масс общественности.

Трудовой кодекс РФ дает наиболее узкое трактование – под «персональными данными работника» подразумеваются сведения, в связи с трудовыми отношениями, необходимые работодателю и которые касаются конкретного сотрудника.

Что относится к персональным данным физического лица и как они связаны с применением ККТ

<!–

h2

1,0,0,0,0–>

К персональным данным (ПД) относятся любые данные, позволяющие тем или иным способом идентифицировать физическое лицо — об этом сказано в пункте 1 статьи 3 Закона № 152-ФЗ, который регулирует порядок использования персональных данных в России (ССЫЛКА).

<!–

p, blockquote

2,0,0,0,0–>

Идентификация в данном случае может быть прямой — на основании персональных данных как таковых (например, если это ФИО и дата рождения человека), или косвенной — на основании сопоставления имеющихся персональных данных и сведений, получаемых тем или иным образом на стороне.

<!–

p, blockquote

3,0,0,0,0–>

Таким образом, спектр данных, которые правомерно классифицировать как «персональные данные», может быть в принципе каким угодно широким. Есть судебные прецеденты, в которых к персональным данным относились даже файлы Cookie на компьютере — как разновидность идентификатора физического лица.

<!–

p, blockquote

6,0,0,0,0–>

Но как связаны персональные данные и касса торгового предприятия?

<!–

p, blockquote

7,0,0,0,0–>

Дело в том, что на кассе возможно осуществление сразу нескольких типов операций с персональными данными. По закону выделяются следующие операции:

<!–

p, blockquote

8,0,0,0,0–>

  • обработка;
  • распространение;
  • корректировка;
  • целевая передача;
  • удаление.

На кассе могут быть, в принципе, осуществлены любые из них. При этом, речь может идти о следующих основных правовых механизмах применения персональных данных:

<!–

p, blockquote

9,0,0,0,0–>

  • использования персональных данных покупателя для предоставления ему электронного кассового чека — в соответствии с требованиями Закона № 54-ФЗ;
  • использования персональных данных покупателя при оформлении возврата товара.

Отдельными нюансами характеризуется использование персональных данных интернет-магазином.

<!–

p, blockquote

10,0,0,0,0–>

Рассмотрим подробнее, каким образом торговое предприятие должно по закону использовать персональные данные в указанных случаях — начнем с традиционного, офлайнового формата торговли.

<!–

p, blockquote

11,0,0,0,0–>

При отправке электронного кассового чека на E-mail или телефон покупателя по его просьбе

<!–

h3

1,0,0,0,0–>

Электронный чек онлайн-кассы может быть отправлен покупателю на e-mail или телефон, которые он сообщает до момента расчетов продавцу.

<!–

p, blockquote

12,0,0,0,0–>

Прежде всего, определимся — считать ли эти контакты персональными данными?

<!–

p, blockquote

13,0,0,0,0–>

С точки зрения рассмотрения в качестве косвенных идентификаторов — безусловно. То или иное заинтересованное лицо может, как мы уже отметили выше, использовать e-mail для поиска аккаунта человека. Номер телефона, в принципе, может быть применен в аналогичных целях. На него заинтересованное лицо может и позвонить — чтобы, представившись, условно говоря, сотрудником сотового оператора, ненавязчиво уточнить ФИО пользователя номера для «корректировки базы данных».

<!–

p, blockquote

14,0,0,0,0–>

Таким образом, покупатели осуществляют передачу «контактных» персональных данных продавцам — в целях получения электронного чека. Как следствие, у продавцов возникают обусловленные положениями Закона № 152-ФЗ обязанности по правильному использованию персональных данных. К числу ключевых обязанностей в данном направлении относятся:

<!–

p, blockquote

15,0,0,0,0–>

  • обеспечение конфиденциальности персональных данных покупателя;
  • обеспечение надежного хранения персональных данных в соответствии с законодательством.

В общем случае Оператор персональных данных — частное лицо или организация, получившие в распоряжение чьи-либо персональные данные — в общем случае обязан запрашивать у их владельца согласие на обработку данных, причем, в письменном виде. Но у этого правила есть исключение: согласие не требуется, если передача данных Оператору связана с исполнением им тех или иных требований законодательства.

<!–

p, blockquote

16,0,0,0,0–>

В данном случае речь идет об исполнении требований Закона № 54-ФЗ. Поэтому, правомерно говорить о том, что согласие продавец запрашивать не должен.

<!–

p, blockquote

17,0,0,0,0–>

Но как быть с конфиденциальностью?

<!–

p, blockquote

18,0,0,0,0–>

В контексте норм Закона № 54-ФЗ задача продавца в части выполнения рассматриваемых обязательств в определенной степени облегчается. Дело в том, что на практике функции по обеспечению конфиденциальности персональных данных (и обеспечению их надежного хранения) в случае с применением контрольно-кассовой техники по Закону № 54-ФЗ возлагаются не на продавца, а на Оператора фискальных данных — организацию, которая и осуществляет отправку электронных кассовых чеков на контактные данные покупателей.

<!–

p, blockquote

19,0,0,0,0–>

Продавец заключает с ОФД обязательный — опять же, в соответствии с Законом № 54-ФЗ, договор, и ОФД выполняет в рамках него все процедуры, связанные с трансфером электронного чека. В договоре же обычно прописываются условия использования персональных данных. Безусловно, на стороне ОФД возникают свои обязательства по обеспечению безопасности использования персональных данных покупателей, которые передаются продавцом — но это уже отдельная история. Продавцу об этом не нужно задумываться.

<!–

p, blockquote

20,0,0,0,0–>

Вместе с тем, очевидно, существует некоторый «промежуточный период» оборота персональных данных — между моментом их получения продавцом от покупателя и моментом их фактической передачи Оператору фискальных данных. Условно говоря, продавец, запросив у покупателя номер телефона в устной форме, может до того, как введет его в кассовую программу, которая передает данные в ОФД, незаметно записать их «на листочке» — чтобы затем использовать каким-либо иным образом. Разумеется, аналогичная процедура возможна и после передачи данных в ОФД.

<!–

p, blockquote

21,0,0,0,0–>

Это означает, что продавец в теории все же может допустить нарушение конфиденциальности персональных данных. Но в его силах — гарантировать недопущение такого нарушения. В этих целях торговым предприятием разрабатывается особый документ — Положение о защите персональных данных (часто именуемый Политикой конфиденциальности и иными способами — но название здесь не главное, важнее содержание документа по существу). В нем регламентируется то, каким образом сотрудники магазина осуществляют оборот имеющихся у них в распоряжении персональных данных клиентов. Положение будет обязательным для исполнения работниками и может рассматриваться как основной руководящий норматив при обращении с персональными данными.

<!–

p, blockquote

22,0,0,0,0–>

Сразу отметим — юрисдикция Положения распространится и на те правоотношения, в рамках которых будет производиться другая отмеченная нами процедура, в которой используются персональные данные — возврат товара. Специфику составления Положения для обоих случаев мы рассмотрим позже, а пока ознакомимся со спецификой применения персональных данных именно при возврате.

<!–

p, blockquote

23,0,0,0,0–>

При возврате товара

<!–

h3

2,0,0,0,0–>

Возврат товара — фискальная процедура, которая в соответствии с Законом № 54-ФЗ требует отражения в фискальной памяти ККТ (как и ранее проведенный отпуск товара с получением выручки, представленной оплатой от покупателя). Кроме того, наряду с обязательной фискализацией возврата, данная процедура должна быть задокументирована дополнительно с учетом законодательства о защите прав потребителей и иных нормативных актов, связанных с правоотношениями купли-продажи.

<!–

p, blockquote

24,0,0,0,0–>

С учетом всей совокупности норм законодательства, применяемых при возврате товара, продавец в общем случае должен:

<!–

p, blockquote

25,0,0,0,0–>

  • запросить у покупателя заявление на возврат товара;
  • согласовать с покупателем накладную по товару — как вариант, с использованием формы ТОРГ-13, или использовать аналогичный документ, на основании которого будут внесены изменения в бухгалтерские записи (если продавец имеет статус юрлица и обязан вести бухучет);
  • сформировать кассовый чек с признаком «возврат прихода» — после приема возвращаемого товара и выдачи денежных средств клиенту.

Что с персональными данными? Они будут запрошены продавцом, как минимум, в целях заполнения заявления на возврат товара. И это «классические» персональные данные на прямую идентификацию физлица — ФИО и паспортные данные. Заявление при этом заверяется персональной подписью покупателя — соответственно, достоверность персональных данных будет гарантирована самим их владельцем.

<!–

p, blockquote

26,0,0,0,0–>

Нужно ли продавцу запрашивать у покупателя в данном случае согласие на обработку персональных данных?

<!–

p, blockquote

27,0,1,0,0–>

В среде юристов распространена точка зрения, что такое согласие правомерно не запрашивать. Она базируется на том факте, что прием персональных данных продавцом в рассматриваемом сценарии обусловлен действием, прежде всего, договора — на куплю-продажу товара. В рамках этого договора и осуществляется возврат, и, соответственно, запрашиваются в установленном порядке персональные данные. И, поскольку подпунктом 5 пункта 1 статьи 6 Закона № 152-ФЗ определено, что согласие не требуется как раз в том случае, если персональные данные передаются в рамках договора — соответствующая норма принимается во внимание. При этом, в договор должен предполагать, что носитель персональных данных выступает в качестве «стороны» или «выгодополучателя».

<!–

p, blockquote

28,0,0,0,0–>

Важно, что в федеральном законе прямо не разъяснено, в какой форме должен быть заключен договор. В случае с обычной покупкой товара на кассе магазина эта форма приобретает «фискальный» характер: критериями признания договора заключенным становятся:

<!–

p, blockquote

29,0,0,0,0–>

  • выдача и оплата товара;
  • удостоверение факта его выдачи и оплаты кассовым чеком.

Таким образом, говорить об отнесении такой сделки к исключениям, при которых согласие не запрашивается — совершенно правомерно.

<!–

p, blockquote

30,0,0,0,0–>

Тем не менее, продавцу в любом случае не будет лишним запросить у покупателя — перед тем как оформлять возврат товара, письменное согласие на обработку персональных данных. Всегда есть вероятность, что у проверяющих органов возникнут вопросы к предприятию по организации порядка обработки персональных данных. Например — если выяснится, что фирма в принципе использует какие-либо персональные данные в целях, не связанных с исполнением договоров (как вариант, в рекламных рассылках). Несмотря на то, что эти рассылки не будут иметь отношения к «кассовым» процедурам, проверяющие органы могут уделить повышенное внимание установлению степени обоснованности этих рассылок — при которых, в свою очередь, согласие требуется. Как следствие — будут задавать вопросы по поводу отсутствия согласия на обработку персональных данных при возврате товара.

<!–

p, blockquote

31,0,0,0,0–>

Тем более, что эта процедура — запрос согласия, как правило, совсем не сложна.

<!–

p, blockquote

32,0,0,0,0–>

Нормативная база

Перечень законов о персональных данных:

  • Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации;
  • Указ Президента Российской Федерации от 03 апреля 1995 г. N 334;
  • Указ Президента Российской Федерации от 17 марта 2008 г. N 351;
  • Постановление Правительства РФ от 26.06.1995 О сертификации средств защиты информации N 608;
  • Постановление Правительства РФ от 15 августа 2006 г. N 504 О лицензировании деятельности по технической защите конфиденциальной информации;
  • Постановление Правительства РФ от 31 августа 2006 г. N 532 О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации;
  • Приказ ФСБ РФ от 9 февраля 2005 г. N 66 “Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)”;
  • Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 г. Москва “Об утверждении Положения об обеспечении безопасности личных данных при их обработке в информационных структурах персональных данных;
  • ГОСТы по информационной безопасности и защите информации;
  • ГОСТ Р 34.10-2001 Информационная технология. Криптографическая защита информации;
  • ГОСТ Р ИСО 7498-2-99 Информационная технология. Архитектура защиты информации;
  • ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования;
  • ГОСТ Р 50922-96 Защита информации. Основные термины и определения;
  • ГОСТ Р 52069.0-2003 Защита информации. Система стандартов. Основные положения.;
  • ГОСТ 28147-89 Системы обработки информации.

Федеральный закон “О персональных данных” можно скачать здесь:

Что такое положение

Понятие персональных данных (по тексту – ПД) закрепляется в рамках ст. 3 Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ. В соответствии с определением, данном в этой норме, ПД являют собой любые сведения, непосредственно или косвенно относящиеся к физическому лицу. В ТК РФ регулированию этого момента посвящена гл. 14. Здесь описаны порядки хранения, применения, передачи ПД и ответственность распорядителя перед законом. Законодатель к ПД относит следующие материалы:

  • паспортные записи;
  • образование;
  • семейный статус и состав;
  • контактные данные;
  • факт судимости;
  • личное дело;
  • декларации о поступлениях.

В ст. 86 ТК РФ сказано, что проведение обработки ПД должно осуществляться по правилам:

  • цель – соблюдение прав и интересов владельцев;
  • получение происходит исключительно от субъекта, который является носителем данных;
  • финансирование защиты производится за счет средств распорядителя (например, работодателя);
  • отказ сотрудника на защиту персональных сведений недопустим;
  • принятые меры защиты – результат взаимодействия сотрудника и нанимателя.

Положение о защите ПД сотрудника – документ локального нормативного характера, который регулирует все вопросы в данной сфере. Обязательство каждой организации относительно наличия утвержденного положения закреплено в ст. 87 ТК РФ. В соответствии с этой нормой производится разработка и утверждение Положения силами работодателя в самостоятельном порядке. При всем этом акт должен иметь 100% соответствие требованиям Трудового законодательства и прочих правовых документов в области защиты ПД. Цель – регулирование вопросов по их хранению и практическому применению.

В ч. 1 ст. 18.1 Федерального закона «О персональных данных» от 27.07.2006 сказано, что компании, которые ведут работу с личной информацией о сотрудниках, обязаны обеспечивать комплекс достаточных мер ее защиты. Здесь же присутствует примерный перечень мер, которые могут использоваться в процессе взаимодействия с информацией. Во 2-м пункте сказано, что в качестве одной из них принято рассматривать издание документов внутреннего характера, определяющих политику фирмы в плане работы с ПД.

Политика в пределах организации – декларативный тип документации, описывающий совокупные черты защитных мер. Положение – это правовая основа для обработки ПД. Его принятие не есть обязательное требование. Но в ч. 4 ст. 18.1 Федерального закона «О персональных данных» от 27.07.2006  отмечено, что в процессе проведения проверок за организацией сохраняется обязательство по предъявлении этого документа контролирующим органам. Поэтому практика показывает, что разработка документа послужит только во благо.