Закон по персональным данным

Постановление Верховного Суда РФ от 16.12.2016 N 78-АД16-38 Требование: Об отмене постановления о привлечении к ответственности по ст. 17.7 КоАП РФ за невыполнение законных требований должностного лица, осуществляющего производство по делу об административном правонарушении. Решение: Требование удовлетворено в части, поскольку требование о рассмотрении вопроса о привлечении к дисциплинарной ответственности виновных должностных лиц, допустивших нарушения требований федерального законодательства, является правом, а не обязанностью работодателя, производится в законодательно установленном порядке. Содержащееся в представлении заместителя прокурора императивное требование о рассмотрении вопроса о привлечении виновных должностных лиц к дисциплинарной ответственности противоречит нормам действующего законодательства.

В силу статьи 7 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Определение Верховного Суда РФ от 24.11.2016 N 305-КГ16-16632 по делу N А41-80929/2015 Требование: О пересмотре в кассационном порядке судебных актов по делу о признании незаконными действий. Решение: В передаче дела в Судебную коллегию по экономическим спорам ВС РФ отказано, поскольку дело не подлежало рассмотрению в арбитражном суде, в связи с чем суд округа прекратил производство по делу.

Суды первой и апелляционной инстанций, руководствуясь статьями 11, 198, 201 Арбитражного процессуального кодекса Российской Федерации, статьей 7 Федерального закона от 27.06.2006 N 152-ФЗ «О персональных данных», статьями 5, 15 Федерального закона от 22.12.2008 N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации» отказали в удовлетворении заявленных требований. Суды исходили из того, что ходатайство о проведении закрытого судебного заседания в связи с необходимостью сохранения охраняемой законом тайны в ходе рассмотрения дела предпринимателем не заявлялось, условия отнесения информации о его недвижимом имуществе к охраняемой законом тайне не обосновывалось; действующим законодательством не предусмотрено удаление копий судебных актов, размещенных в электронном виде, а также внесение в них каких-либо исправлений.

Апелляционное определение Верховного Суда РФ от 18.10.2016 N АПЛ16-409 Об оставлении без изменения решения Верховного Суда РФ от 18.07.2016 N АКПИ16-421, которым было отказано в удовлетворении заявления о признании частично недействующим приказа Минфина Российской Федерации от 23.09.2015 N 148н «О внесении изменений в приказ Министерства финансов Российской Федерации от 12.11.2013 N 107н».

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (статья 7).

Апелляционное определение Верховного Суда РФ от 21.09.2016 N 50-АПГ16-9 Об оставлении без изменения решения Омского областного суда от 12.05.2016, которым было отказано в удовлетворении заявления о признании недействующими пункта 2 статьи 5 и статьи 7 Закона Омской области от 27.11.2015 N 1824-ОЗ «Об организации регулярных перевозок пассажиров и багажа автомобильным транспортом и городским наземным электрическим транспортом в муниципальном и межмуниципальном сообщении, водным транспортом в пригородном и межмуниципальном сообщении и железнодорожным транспортом в пригородном сообщении на территории Омской области».

Союз — Некоммерческое партнерство содействия развитию качества и безопасности перевозок «Саморегулируемая организация» «Омские перевозчики» (далее — СНП «СРО «Омские перевозчики») обратилось в суд с заявлением о признании недействующими пункта 2 статьи 5 и статьи 7 Закона Омской области от 27 ноября 2015 года N 1824-ОЗ «Об организации регулярных перевозок пассажиров и багажа автомобильным транспортом и городским наземным электрическим транспортом в муниципальном и межмуниципальном сообщении, водным транспортом в пригородном и межмуниципальном сообщении и железнодорожным транспортом в пригородном сообщении на территории Омской области», ссылаясь на противоречие данных норм пункту 1 статьи 4 Федерального закона от 14 февраля 2009 года N 22-ФЗ «О навигационной деятельности», статье 37 Федерального закона от 13 июля 2015 года N 220-ФЗ «Об организации регулярных перевозок пассажиров и багажа автомобильным транспортом и городским наземным электрическим транспортом в Российской Федерации», статье 7 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» и статье 88 Трудового кодекса Российской Федерации, в нарушение требований которых, по мнению административного истца, на перевозчика возложена дополнительная обязанность, не предусмотренная федеральным законодательством по установке на транспортные средства навигационного оборудования и предоставления информации.

Определение Верховного Суда РФ от 11.10.2016 N 307-ЭС16-10608 по делу N А56-63610/2015 Требование: О пересмотре в кассационном порядке судебных актов по делу о признании незаконным отказа предоставить формы на граждан, проживающих в корпусах жилого дома. Решение: В передаче кассационной жалобы для рассмотрения в судебном заседании Судебной коллегии по экономическим спорам Верховного Суда РФ отказано, поскольку не доказаны конкурсным управляющим права и наличие оснований для получения истребуемой информации, а также обязанности директора ответчика по удовлетворению такого требования в любом случае.

Отказывая в удовлетворении требований, суды руководствовались статьями 20.3, 126, 129 Федерального закона от 26.10.2002 N 127-ФЗ «О несостоятельности (банкротстве)», статьями 137, 155, 162 Жилищного кодекса Российской Федерации, статьями 2, 3, 6, 7, 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» и исходили из недоказанности конкурсным управляющим права и наличия оснований для получения истребуемой информации, а также обязанности директора ответчика по удовлетворению такого требования в любом случае.

Определение Конституционного Суда РФ от 07.07.2016 N 1423-О «Об отказе в принятии к рассмотрению жалобы религиозной организации «Церковь евангельских христиан «Назарет» на нарушение конституционных прав и свобод подпунктом 2 пункта 4 статьи 181.2 Гражданского кодекса Российской Федерации»

Названный Федеральный закон предусматривает, что обработка персональных данных допускается, когда она, в частности, необходима для исполнения полномочий федеральных органов исполнительной власти, участвующих в предоставлении государственных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», и должна осуществляться с соблюдением определенных принципов и правил (часть 1 статьи 6): так, обработке подлежат только персональные данные, которые отвечают целям их обработки; обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (части 4 — 5 статьи 5); обработка персональных данных специальных категорий, в том числе касающихся религиозных убеждений, не допускается, за исключением ряда случаев, к каковым данный Федеральный закон относит необходимость обработки персональных данных для установления или осуществления прав субъекта таких данных или третьих лиц, а равно в связи с осуществлением правосудия (часть 1 и пункт 6 части 2 статьи 10); операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (статья 7).

Определение Конституционного Суда РФ от 26.05.2016 N 1158-О «Об отказе в принятии к рассмотрению жалобы гражданки Сазоновой Елены Александровны на нарушение ее конституционных прав статьей 7 Федерального закона «О персональных данных»

1. В своей жалобе в Конституционный Суд Российской Федерации гражданка Е.А. Сазонова оспаривает конституционность статьи 7 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных», согласно которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Постановление Верховного Суда РФ от 04.03.2016 N 307-АД15-18844 по делу N А56-14802/2015 Требование: Об отмене постановления о привлечении к ответственности по ч. 6 ст. 19.8 КоАП РФ за непредставление в федеральный антимонопольный орган документов, предусмотренных законодательством о рекламе. Решение: Требование удовлетворено, поскольку отказ оператора связи в предоставлении информации, содержащей персональные данные физического лица, в отсутствие согласия абонента на их обработку и передачу, является правомерным, ответчик не относится к органам, уполномоченным осуществлять оперативно-розыскную деятельность.

Оценив представленные доказательства в их совокупности и взаимной связи, принимая во внимание характер запрошенных антимонопольным органом у общества сведений, отнесенных статьей 53 Закона о связи к категории информации ограниченного доступа, соблюдение конфиденциальности которых является обязательным в соответствии со статьей 9 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также статьей 7 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», суды пришли к выводу о том, что отказ общества (оператора связи) в предоставлении антимонопольному органу информации, содержащей персональные данные физического лица, в отсутствие согласия абонента на их обработку и передачу, является правомерным.

Определение Конституционного Суда РФ от 28.01.2016 N 100-О «Об отказе в принятии к рассмотрению жалобы гражданина Шалбина Дмитрия Алексеевича на нарушение его конституционных прав статьей 7 Федерального закона «О персональных данных»

1. В своей жалобе в Конституционный Суд Российской Федерации гражданин Д.А. Шалбин оспаривает конституционность статьи 7 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных», в соответствии с которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Определение Конституционного Суда РФ от 22.12.2015 N 2906-О «По жалобе некоммерческой организации «Ассоциация сельских муниципальных образований и городских поселений» на нарушение конституционных прав и свобод частью 2 статьи 6 Федерального закона «О порядке рассмотрения обращений граждан Российской Федерации»

Решением суда общей юрисдикции заявителю было отказано в удовлетворении требований о признании отказа в предоставлении всех материалов, послуживших основанием для проведения проверки, незаконным в полном объеме и об обязании устранить допущенное нарушение. При этом суд руководствовался частью 2 статьи 6 Федерального закона «О порядке рассмотрения обращений граждан Российской Федерации», статьей 7 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных», а также пунктом 10 постановления Пленума Верховного Суда Российской Федерации от 24 февраля 2005 года N 3 «О судебной практике по делам о защите чести и достоинства граждан, а также деловой репутации граждан и юридических лиц», в соответствии с которым обращение гражданина в государственные органы не может рассматриваться как распространение не соответствующих действительности сведений и основание для возложения на него гражданско-правовой ответственности за распространение порочащих честь, достоинство или деловую репутацию сведений. Суд также принял во внимание, что процедура проведения внеплановой проверки и ее результаты заявителем не оспаривались.

Имеет ли право работодатель в соответствии с законодательством о защите персональных данных заполнять в личной карточке работника (по утвержденной организацией форме) данные о близких родственниках работника (муж, мать, отец, ребенок, брат, сестра и т.д.) в таблице «Состав семьи»?

4 марта 2020

В соответствии со ст. 86 ТК РФ работодателю предоставлено право обрабатывать персональные данные работника исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получения образования и продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), является его персональными данными. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Случаи допустимости обработки персональных данных перечислены в ч. 1 ст. 6, ч. 2 ст. 10, ст. 11 Закона N 152-ФЗ. По общему правилу обработка персональных данных возможна при наличии согласия работника (п. 1 ч. 1 ст. 6, п. 1 ч. 2 ст. 10, ч. 1 ст. 11 Закона N 152-ФЗ). При этом действующее законодательство не определяет объем конфиденциальной информации, которую можно обрабатывать с согласия субъекта.
Иные основания обработки персональных данных сформулированы исчерпывающим образом и расширительному толкованию не подлежат. В частности, обработка персональных данных работника будет считаться правомерной, если она осуществляется для достижения целей, предусмотренных законом, осуществления и выполнения возложенных законодательством РФ на работодателя функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона N 152-ФЗ); если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ); обработка специальных категорий персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством РФ (п. 2.3 ч. 2 ст. 10 Закона N 152-ФЗ). Кроме того, работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися, как правило, приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 ТК РФ.
Таким образом, если работодатель получает от работника и обрабатывает лишь ту информацию, которая необходима для исполнения трудового договора, трудового и иного законодательства, локальных актов работодателя, получение согласия работника на такие действия не требуется (смотрите апелляционное определение СК по гражданским делам Оренбургского областного суда от 21.06.2017 по делу N 33-4566/2017). При этом обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных, и обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (ч.ч. 2, 5 ст. 5 Закона N 152-ФЗ). Так, например, отдельные суды признают незаконным хранение работодателем копий документов работников, в частности копии паспорта, копии военного билета, копии свидетельства о рождении ребенка, копии свидетельства о браке и иного, даже при наличии согласия работника на обработку его персональных данных (смотрите, например, постановление Пятнадцатого арбитражного апелляционного суда от 14.03.2014 N 15АП-22502/13).
Если же обработка персональных данных работника выходит за рамки трудовых и иных тесно связанных с ними отношений, то для каждого случая обработки персональных данных работников необходимо получать от него отдельное письменное согласие. Такого же мнения придерживаются суды (смотрите решение Арбитражного суда г. Москвы от 26.04.2016 по делу N А40-32030/2016).
Трудовое законодательство не обязывает работодателя обрабатывать персональные данные членов семьи работника. Равным образом и на работника не возлагается обязанность по предоставлению такой информации работодателю. Однако по желанию работника такая обработка допустима в целях предоставления указанным лицам дополнительных социальных гарантий и компенсационных выплат, налоговых вычетов и т.п., но в этом случае, мы считаем, работодатель должен заручиться согласием каждого члена семьи работника*(1), персональные данные которого он получает. При отсутствии такого согласия велика вероятность возникновения претензий со стороны контролирующих органов (смотрите, например, п. 6 письма по результатам проверки управления Роскомнадзора по Саратовской области, с которым можно ознакомиться, перейдя по ссылке: https://64.rkn.gov.ru/news/news15274.htm).
В случае достижения цели обработки персональных данных работодатель обязан прекратить такую обработку и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между работодателем и работником (ч. 4 ст. 21 Закона N 152-ФЗ).
С 1 января 2013 г. формы первичных учетных документов, содержащиеся в альбомах унифицированных форм первичной учетной документации, не являются обязательными к применению. Однако и запрета на их использование действующим законодательством не установлено. Вместе с тем разъяснения Роскомнадзора РФ от 14.12.2012 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» в части, касающейся обработки персональных данных близких родственников работника (п. 2), на наш взгляд, утратили свою актуальность.
В информации Роскомнадзора «Ответы на вопросы в сфере защиты прав субъектов персональных данных» (по состоянию на 18 октября 2019 г.) на вопрос о праве физического лица представлять персональные данные своих близких родственников дан однозначный ответ, что это возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.
На этом основании мы считаем, что при заполнении раздела Состав семьи унифицированной формы N Т-2 следует получить согласие на обработку персональных данных членов семьи работника либо не заполнять этот раздел.

Рекомендуем также ознакомиться с материалом:
— Примерный перечень документов, необходимых оператору персональных данных в соответствии с требованиями законодательства в сфере защиты персональных данных (подготовлено экспертами компании ГАРАНТ).

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса

Ответ прошел контроль качества

Да, фамилия, имя, отчество и номер телефона являются персональными данными. Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу — субъекту персональных данных (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ). При обработке персональных данных компания должна получать согласие физических лиц, а также предпринимать ряд мер, в том числе иметь положение об обработке персональных данных, уведомлять Роскомнадзор и т.д.

По общему правилу при получении требования физического лица об уничтожении персональных данных компания обязана их уничтожить. Сроки уничтожения зависят от того, что конкретно потребовал клиент в письме.

Во-первых, он мог потребовать уничтожить персональные данные из-за того, что они были незаконно получены или не являются необходимыми для заявленной цели обработки (ч. 1 ст. 14 Закона № 152-ФЗ). Например, если клиент оставлял свои персональные данные только для участия в розыгрыше призов, а затем компания стала отправлять ему рассылки.

В этом случае нужно уничтожить персональные данные в течение семи рабочих дней при условии, что субъект персональных данных предоставил сведения, подтверждающие, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки (ч. 3 ст. 20 Закона № 152-ФЗ).

Во-вторых, клиент может отозвать согласие на обработку его персональных данных. В этом случае оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора). Если сохранение персональных данных более не потребуется для целей обработки персональных данных, то придется уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено договором (ч. 5 ст. 21 Закона № 152-ФЗ).

В случае отсутствия возможности уничтожения персональных данных в течение 30 дней оператор должен заблокировать персональные данные или обеспечить их блокирование, а затем обеспечить уничтожение в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами (ч. 6 ст. 21 Закона № 152-ФЗ).

Но нужно иметь в виду, что компания вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии некоторых оснований. Эти основания предусмотрены в п. 2—11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона № 152-ФЗ (ч. 2 ст. 9 Закона № 152-ФЗ). Например, если обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ). Или если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ).

Еще есть такой момент. Он касается компаний, которые должны соблюдать требования Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее — Закон № 115-ФЗ). Это, например, банки, страховые компании, организации, оказывающие посреднические услуги при осуществлении сделок купли-продажи недвижимого имущества, и т.д. (ст. 5 Закона № 115-ФЗ). В этом законе указано, что документы, содержащие некоторые сведения (а это, помимо прочего, фамилия, имя и отчество), а также сведения, необходимые для идентификации личности, подлежат хранению не менее пяти лет (п. 4 ст. 67 Закона № 115-ФЗ). Этот срок исчисляется со дня прекращения отношений с клиентом. В таком случае компания вправе не уничтожать персональные данные клиента. Это подтверждает и судебная практика. Например, в одном деле клиент не смог обязать банк удалить его персональные данные, предоставленные при подаче заявки на открытие банковского счета, который банк отказался открывать (см. Апелляционное определение Московского городского суда от 14.06.2019 по делу № 33-25479/2019).

Уничтожение персональных данных — это действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (ч. 8 ст. 3 Закона № 152-ФЗ).

Порядок уничтожения персональных данных каждая компания устанавливает самостоятельно. Как правило, операторы персональных данных предусматривают такую процедуру уничтожения: для начала руководитель издает приказ о создании специальной комиссии или о назначении конкретного лица для уничтожения персональных данных. В приказе необходимо указать состав комиссии, цели создания, срок работы.

Если персональные данные содержались на бумажном носителе, то нужно уничтожить эти бумажные носители (например, через шредер). Если персональные данные были предоставлены в электронном виде, то нужно либо уничтожить носитель, на котором были персональные данные, либо удалить их другим способом. После этого нужно составить акт об уничтожении персональных данных.

Также в Законе № 152-ФЗ указано, что нужно отвечать субъектам персональных данных по их запросам. Так, оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых действиях и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы (ч. 3 ст. 20 Закона № 152-ФЗ). Поэтому нужно направить клиенту ответ на его требование.

За невыполнение требования субъекта персональных данных предусмотрена административная ответственность. В частности, за невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. В этом случае должностным лицам грозит штраф от 4000 до 10 000 руб., для индивидуальных предпринимателей — от 10 000 до 20 000 руб., для юридических лиц — от 25 000 до 45 000 руб. (ч. 5 ст. 13.11 КоАП РФ).

Кроме того, если компания обрабатывает персональные данные без согласия клиента, то штраф для должностных лиц составит от 10 000 до 20 000 руб., для юридических лиц — от 15 000 до 75 000 руб. (ч. 2 ст. 13.11 КоАП РФ).