Электронные пропуска согласие на передачу песональных данных фирме их изгтоваляющихр

Несмотря на санкции наших западных соседей число российских компаний, ведущих деятельность с иностранными контрагентами растет. При этом отсутствие территориальных рамок требует единых правил работы. Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года ETS N 108 (далее – Конвенция ETS N 108) регламентирует рабочий процесс с персональными данными.

Конвенция ETS N 108 предусматривает устранение ограничений в передаче персональных данных на территорию стран, являющихся сторонами Конвенции, и обеспечение возможности их передачи между сторонами Конвенции, поскольку эти страны принимают в национальном законодательстве нормы, обеспечивающие защиту прав субъектов персональных данных.  В России был принят Федеральный закон N 152-ФЗ «О персональных данных» (далее – 152-ФЗ), который в базовых положениях повторяет, международный акт.

152-ФЗ определяет понятие трансграничная передача персональных данных, как «передачу персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу».

Помимо возможности запрета трансграничной передачи ПДн в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, никаких ограничений на передачу персональных данных странам обеспечивающим адекватную защиту прав субъектов в законе нет.

Под странами обеспечивающими адекватную защиту понимаются страны, являющиеся сторонами Конвенции, а также иностранные государства, перечень которых установил Роскомнадзор в Приказе № 274 «Об утверждении Перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных».

В отношении стран, не обеспечивающих адекватную защиту прав субъектов ПДн, согласно 152-ФЗ осуществление трансграничной передачи данных возможно в определенных случаях:

  1. наличие согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн;
  2. предусмотренных международными договорами РФ;
  3. предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
  4. исполнения договора, стороной которого является субъект ПДн;
  5. защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц при невозможности получения согласия в письменной форме субъекта ПДн. 

Таким образом, при наличии письменного согласия субъекта или договора с субъектом ПДн, закон 152-ФЗ разрешает передавать персональные данные в любую страну. 

При этом несмотря на то, что получение отдельного согласия субъекта ПДн на трансграничную передачу ПДн в страны обеспечивающие адекватную защиту прав субъектов персональных данных, не требуется, важно чтобы оператор проинформировал субъекта ПДн о трансграничной передаче его ПДн. Для этого стоит в общедоступной политике в отношении обработки ПДн указать цели трансграничной передачи ПДн, объем передаваемых данных и лиц, которым эти данные передаются.

  1. Уведомить Роскомнадзор о осуществляемой трансграничной передаче, заполнив (внеся изменения) уведомление об обработке персональных данных и указав страны, в которые будет осуществляться передача.
  2. Проинформировать субъекта ПДн до начала обработки его ПДн об осуществляемой трансграничной передаче, указав это в Политике в отношении обработки ПДн, договоре с клиентом или в другом документе с которым субъект сможет ознакомиться перед передачей своих ПДн.
  3. Отразить во внутренних нормативных документах оператора:
  • Правовое обоснование трансграничной передачи персональных данных (перечень нормативно – правовых документов, на основании которых осуществляется передача и обработка ПДн);
  • Регламент обеспечения безопасного обмена ПДн;
  • Описание мероприятий и средств обеспечения защиты передаваемых ПДн; (организационные мероприятия; технические средства защиты информации, в том числе средства криптографической защиты информации);
  1. Заключить договор с компанией, которой данные передаются, где указать
  • перечень действий, осуществляемых с персональными данными;
  • цели обработки;
  • обязанность обработчика соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке;
  • требования к защите обрабатываемых ПДн. При этом, организация, которой передаются ПДн при организации обработки будет руководствоваться законодательством страны пребывания;
  1. Защитить канал передачи данных. Для защиты ПДн от неправомерного или случайного доступа к ним, при передаче по открытым (незащищенным) каналам связи и сети Интернет необходимо применять средства шифрования. При этом является допустимым использование несертифицированных средств криптографической защиты информации, ввиду:
  • требования Конвенции ETS N 108 (статья 12.2) запрещающей создавать ограничения и ставить под специальный контроль информационные потоки ПДн, идущие на территорию иностранного государства, исходя исключительно из соображений защиты неприкосновенности личной сферы
  • наличия ограничений на вывоз средств, содержащих в своем составе средства шифрования с территории РФ
  • особенностей законодательства иностранного государства, на территорию которого осуществляется ввоз криптографического оборудования, и получение разрешение соответствующих служб иностранного государства на ввоз такого оборудования

21.07.2014 Государственной думой был принят Федеральный закон N 242-ФЗ от «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (далее – 242-ФЗ), который дополняет 152-ФЗ требованием:

«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ».

Принятие данного закона породило множество вопросов, связанных с его возможной реализацией и последствиями за нарушения требований, в том числе:

  1. Что будет с трансграничной передачей? Ведь передача невозможна без дальнейшего хранения(обработки), а при запрете хранения ПДн на территории иностранного государства получается термин трансграничная передача теряет свой смысл.
  2. Достаточно ли будет хранить на территории Российской Федерации только копию базы с ПДн россиян и продолжать обрабатывать часть данных на территории иностранных государств?
  3. Как оператору определять, что персональные данные принадлежат россиянину?
  4. Как будет уживаться 152-ФЗ в новой редакции и Конвенция ETS N 108?  Ведь ратифицировав Конвенцию Россия согласилась, что она как сторона Конвенции «не будет запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой Стороны, исходя исключительно из соображений защиты неприкосновенности личной сферы». Приняв же этот закон государство устанавливает искусственные ограничения на передачу ПДн. При этом в соответствии п.4 ст.4 152-ФЗ правила международного договора являются приоритетными в случае различия правил.
  5. Как регуляторы будут контролировать где физически хранятся ПДн россиян?
  6. Как российский закон касается иностранных компании обрабатывающих ПДн в соответствии с требованиями своих нормативных актов по защите ПДн, в том числе в соответствии с Конвенцией ETS N 108?

В принятом виде 242-ФЗ вступает в силу 01.09.2016, однако, в настоящее время в Государственную думу внесен на рассмотрение Законопроект № 596277-6 «О внесении изменения в статью 4 Федерального закона «О внесении изменений в отельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» предусматривающий перенесение даты вступления в силу 242-ФЗ на 1 января 2015 года. По мнению законодателей такое изменение будет способствовать более оперативному и эффективному обеспечению прав граждан Российской Федерации на сохранность персональных данных и соблюдение тайны переписки в информационно-телекоммуникационных сетях. Данный законопроект уже принят в двух чтениях и о вступлении в силу 242-ФЗ с 1 января можно уже говорить, как о свершившемся факте.

Однако, ускоряя вступление 242-ФЗ в силу, законодатели не предоставляют методик разъясняющих как конкретно должны храниться и обрабатываться ПДн россиян. Разработка новых методик и технических требований занимает у регулирующих органов значительное время и к 1 января 2015 года скорее всего таких документов не будет.

При этом компаниям нужно время, чтобы перестроить технические процессы так, чтобы выполнить требования закона и в то же время не допустить снижения качества предоставляемых услуг клиентам.

В данный момент трансграничная передача ПДн является удобным инструментом, который при правильном применении позволяет операторам снизить издержки при обработке ПДн на территории России, однако принятый 242-ФЗ может в корне изменить эту ситуацию. Несмотря на то, что эксперты сходятся во мнении, что данный закон предназначен в первую очередь для возможности ограничения доступа к сайтам обрабатывающих ПДн россиян (в частности социальным сетям), операторам, имеющим базы данных на территории иностранных государств и осуществляющих трансграничную передачу ПДн, стоит уже сейчас изучить свои бизнес-процессы с точки зрения возможности переноса данных на территорию России. Так как цели принятого законопроекта и дальнейшая практика его применения у нас в стране могут отличаться.

Сообщать персональные данные работника третьей стороне работодатель может только на основании письменного согласия работника. В этой статье мы рассмотрим, как правильно оформить передачу персональных данных третьему лицу.

Сообщать персональные данные работника третьей стороне работодатель может только на основании письменного согласия работника. В этой статье мы рассмотрим, как правильно оформить передачу персональных данных третьему лицу.

Положение о защите персональных данных работников

Для чего нужен документ

В Положении определяется порядок обращения (получение, хранение, комбинирование, передача и любое другое использование) с персональными данными работников.

В каком виде составляется

Унифицированной формы документа нет, составляется в свободной форме.

Что обязательно должно быть в документе

Состав персональных данных работников, порядок получения, хранения, комбинирования и передачи персональных данных.

Внимание!
Работодатель обязан ознакомить работника с Положением о защите персональных данных под роспись до заключения трудового договора.

Совет
В приложении к Положению о защите персональных данных рекомендуется указать перечень лиц, имеющих доступ к персональным данным работников.

Запрос третьего лица на предоставление персональных данных работника

Для чего нужен документ

На основании такого запроса работодатель спрашивает у работника согласие на использование его персональных данных.

В каком виде составляется

Унифицированной формы документа нет, составляется в свободной форме.

Что обязательно должно быть в документе

Наименование лица, делающего запрос, наименование адресата, перечень персональных данных работника, которые требуется предоставить, цель, с которой необходимо предоставить эти данные.

Внимание!
В запросе обязательно должна быть указана цель, в соответствии с которой необходимо предоставить персональные данные работника. Иначе вы можете отказать третьему лицу в предоставлении персональных данных работника.

Уведомление работника о необходимости получить согласие на предоставление его персональных данных

Для чего нужен документ

Работодатель ставит работника в известность о запросе и просит его дать свое согласие на предоставление персональных данных третьему лицу.

О 
согласии на обработку персональных данных читайте далее

В каком виде составляется

Унифицированной формы документа нет, составляется в свободной форме.

Что обязательно должно быть в документе

Перечень персональных данных, цель запроса, наименование лица, направившего запрос.

Совет
Рекомендуем ознакомить работника с уведомлением под роспись.

Согласие работника на предоставление его персональных данных

Для чего нужен документ

Работодатель имеет право предоставить персональные данные работника третьей стороне только на основании согласия самого работника.

В каком виде составляется

Унифицированной формы документа нет, составляется в свободной форме.

Что обязательно должно быть в документе

Фамилия, имя, отчество и паспортные данные работника, перечень персональных данных и цель их предоставления, наименование лица, которому будут переданы персональные данные.

Совет
При согласии на использование его персональных данных работнику желательно определить срок действия данного им разрешения.

Внимание!
Для обработки персональных данных, содержащихся в этом документе, дополнительного согласия не требуется.

Ответ работодателя на запрос третьего лица

Для чего нужен документ

В ответе на запрос работодатель предоставляет отправителю запроса необходимые персональные данные работника.

В каком виде составляется

Унифицированной формы документа нет, составляется в свободной форме.

Что обязательно должно быть в документе

Запрошенные персональные данные, порядок их использования.

Совет
Работодатель может потребовать от третьего лица подтверждение того, что переданная информация была использована в определенных в запросе целях.

Подтверждение об использовании переданной информации в указанных целях

Для чего нужен документ

Документ подтверждает, что в соответствии с пунктом 3 части первой статьи 88 Трудового кодекса предоставленные третьей стороне персональные данные работника использованы исключительно в целях, для которых они были истребованы.

В каком виде составляется

Унифицированной формы документа нет, составляется в свободной форме.

Что обязательно должно быть в документе

Перечень персональных данных, подтверждение того, что они были истребованы в соответствии с указанными в первоначальном запросе целями.

«Отдел кадров

бюджетного учреждения», 2010, N 5

Вопрос: В ст. 88 ТК РФ указано, что работодатель не вправе передавать третьей стороне персональные данные работника без письменного согласия последнего, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также других случаев, предусмотренных федеральными законами. В связи с этим возникли вопросы: в каких случаях не требуется письменное согласие работника на передачу персональных данных третьей стороне и в каком порядке следует получать письменное согласие работника на обработку других данных?

Ответ: В Трудовом кодексе и иных федеральных законах не закреплен точный перечень случаев, когда работодатель вправе предоставить третьим лицам персональные сведения о работнике без его согласия. Однако определенные сведения можно получить из ст. 88 ТК РФ. В ней действительно указано, что в целях предупреждения угрозы жизни и здоровью работника работодатель вправе предоставить третьим лицам персональные данные работника без его согласия. К таким случаям можно отнести несчастный случай на производстве, при котором необходимо доставить в учреждение здравоохранения пострадавшего, проинформировать его родственников, направить сообщение в органы и организации, определенные ТК РФ (ст. 228 ТК РФ). Вместе с тем следует учитывать, что, поскольку в законодательстве не закреплен перечень ситуаций, представляющих угрозу жизни или здоровью работника, работодатель в каждом конкретном случае делает самостоятельную оценку серьезности, неминуемости, степени такой угрозы.

Кроме того, нет необходимости запрашивать письменное согласие работника на передачу сведений, которой требуют федеральные законы. Например, п. 3 Инструкции по ведению страхового медицинского полиса, утвержденной Постановлением Правительства РФ от 23.01.1992 N 41 «О мерах по выполнению Закона РСФСР «О медицинском страховании граждан в РСФСР» (ред. от 11.09.1998), установлено, что в полисе указываются фамилия, имя, отчество, пол, возраст, место работы, социальное положение, адрес застрахованного. Поэтому для передачи работодателем медицинской страховой организации указанных сведений не требуется письменное согласие работника.

В остальных случаях работодатель обязан запрашивать у работника разрешение на обработку (в том числе передачу) определенных персональных данных. В ст. 9 Закона N 152-ФЗ сказано, что письменное согласие субъекта персональных данных на их обработку должно включать:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

Рекомендуем разработать в организации бланк, в котором будет указан перечень персональных данных, цели, для которых эти данные необходимы, действия, которые будут производиться с этими данными. При приеме на работу работнику необходимо представить такой бланк, в котором он может выразить согласие или несогласие с обработкой конкретных данных для определенных целей либо путем совершения определенных действий. Например, один из пунктов может содержать утверждение, что работник разрешает обработку своих персональных данных (фамилии, имени и отчества, даты рождения, паспортных данных, сведений об образовании и т. д.) с использованием средств автоматизации и без их использования для целей кадрового делопроизводства.

Если при приеме на работу в письменном соглашении об обработке (в том числе передаче третьим лицам) не были отражены какие-либо данные или цели, то при возникновении конкретной ситуации у работника необходимо запросить письменное согласие. Например, в случае, когда в отдел кадров поступил звонок из банка с запросом, работает ли определенный работник, прежде чем подтверждать или опровергать такие сведения, необходимо взять соответствующее письменное согласие у работника.

Рекомендуемый срок, в течение которого действует согласие на обработку персональных данных, — в течение действия трудового договора и 75 лет после окончания его действия. Это необходимо в связи с тем, что после увольнения работника работодатель обязан хранить документы, связанные с деятельностью работника, не менее 10 лет, после чего они передаются на хранение в архив.

Н. Н.Булыга

Редактор журнала

«Отдел кадров

Бюджетного учреждения»

Подписано в печать

10.05.2010

Согласие на передачу персональных данных третьим лицам —  документ, необходимость составления которого появляется при желании работодателя передать персональные данные работника третьим лицам для их дальнейшей обработки. Под обработкой персональных данных принято понимать их передачу, хранение, комбинированием и т.д.

Работа с персональными данными работников определена в Положении о персональных данных, утвержденном на каждом предприятии. Соответствующее согласие работника должно содержать в себе следующую информацию:

— фамилия, имя, отчество и адрес работника, номер документа, удостоверяющего его личность, дата выдачи паспорта и данные об органе его выдавшем;

  • наименование, а так же адрес работодателя, который получает согласие работника;
  • конкретная цель передачи персональных данных работника третьим лицам;
  • конкретный перечень конфиденциальной информации, на передачу которой дает согласие работник;
  • срок действия данного согласия;
  • порядок отзыва согласия работника.

Следует иметь  в виду, что согласие работника на передачу его персональных данных третьим лицам не является необходимой мерой в случае предупреждения угрозы жизни и здоровья работника, в случае, если третьи лица оказывают услуги работодателю в соответствии с заключенными трудовыми договорами, а так же в случаях, которые установлены в соответствующих статьях Федерального закона № 152-ФЗ «О персональных данных».

tinyton.ru
Электронные пропуска согласие на передачу песональных данных фирме их изгтоваляющихр
Электронные пропуска согласие на передачу песональных данных фирме их изгтоваляющихр

Понравилась статья? Поделиться с друзьями: