Персональные данные: разбираемся с правилами и обязанностями работников

Образец согласия на обработку персональных данных см. в руб­рике «Правильный документ» на с. 32 журнала.

Главное в статье:

• новый Закон № 99-З, вступивший в силу 15.11.2021, установил режим защиты личных данных граждан, предоставляемых организациям при осуществлении трудовых, гражданско-правовых или иных отношений. Работники организаций также имеют дело с персональными данными физических лиц. В статье рассматривается, возникают ли у работников организации дополнительные обязанности в связи с новым режимом защиты персональных данных.

Ситуация 1

Бывший работник запросил в организации справку о заработной плате для начисления пенсии, которую предложил переслать ему по электронной почте. Специалист по кадрам отказался пересылать такую справку по электронной почте, считая, что в ней содержатся персональные данные бывшего работника, и предложил ему лично прийти за справкой.

Ситуация 2

В организацию обратилась супруга работника с просьбой выслать почтой ксерокопию трудовой книжки мужа для оформления детского пособия на ребенка. Сотрудник отдела кадров отказалась высылать данный документ.

В обеих ситуациях работники организаций правы, поскольку ст. 1 Закона № 99-З определяет персональные данные как любую информацию, относящуюся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано. Сведения, содержащиеся в справке о заработной плате и в трудовой книжке, позволяют не только идентифицировать человека, но и содержат дополнительные сведения о нем, которые не подлежат распространению (см. табл. 1). Кроме того, из п. 76 Инструкции № 40 следует, что трудовая книжка может быть предоставлена только самому работнику, поэтому считаем, что копия трудовой книжки также заверяется при личном обращении работника.

Прежде всего разберемся, что такое персональные данные и с какими из них работают сотрудники организаций.

Состав персональных данных

Как уже сказано, персональными данными считается любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано (абзац девятый ст. 1 Закона № 99-З).

Понятие «персональные данные» более детально раскрывается в Законе № 418-З. Кроме того, Законом № 455-З определена информация, распространение и (или) предоставление которой ограничено.

В результате анализа законодательных актов к охраняемым законом персональным данным относятся следующие (см. таблицу).

Другими словами, любые сведения о физическом лице, с помощью которых можно установить, что это конкретный Петров Петр Петрович или найти о нем какую-то информацию в информационных сетях и базах, могут быть отнесены к персональной информации.

Обратите внимание!

Паспортные данные (номер, серия, кем и когда выдан) отсутствуют в приведенных выше перечнях. Статья 11 Закона № 418-З относит их к реквизитам документа, подтверждающего основные и дополнительные персональные данные, но не к самим персональным данным.

Обработка персональных данных операторами

Практически каждая организация имеет как минимум список клиентов, контрагентов, собственных работников со всеми их реквизитами, дополнительными документами, подтверждающими те или иные обстоятельства, иными данными, большинство из которых попадает в приведенные в табл. 1 перечни. Все эти сведения обычно систематизируются работниками организации и хранятся в виде таблиц, списков, картотек и т.д. как в электронном виде, так и в бумажном. Следовательно, работники организации в этом случае занимаются обработкой персональных данных, т.е. как раз той деятельностью, которую регулирует новый Закон № 99-З.

Обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных (абзац шестой ст. 1 Закона № 99-З).

Нормы Закона № 99-З охватывают любые способы обработки персональных данных: и с использованием средств автоматизации, включая все способы хранения информации в электронном виде, и без использования таковых, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.) (п. 1 ст. 2 Закона № 99-З).

Обратите внимание!

Субъектом персональных данных всегда является физическое лицо. Юридическое лицо субъектом не является, соответственно данные о юридическом лице (наименование, юридический адрес, виды деятельности, УНП и т.п.) под действие Закона № 99-З не подпадают!

Ситуация 3

В базе данных клиентов организации содержатся сведения, включающие реквизиты юридического лица, виды деятельности, состав его учредителей, их ФИО, дни рождения, места работы и должности.

В данном случае сведения, относящиеся к учредителям – физическим лицам, являются персональными данными, а их сбор и систематизация – обработкой персональных данных. Сведения о наименовании, юридическом адресе, банковских реквизитах и иная информация о юридическом лице не считаются персональными данными, следовательно, не подлежат режиму, установленному Законом № 99-З. Сведения о деятельности юридического лица могут подпадать под режим банковской и коммерческой тайны.

Является ли работник организации оператором

Работник организации, чаще всего бухгалтер или кадровик, имеющий дело с учетными данными и финансовой информацией, без­у­словно, работает с персональными данными физических лиц (как работников этой же организации, так и клиентов), личной информацией о работниках (например, сведения об алиментах, детях, инвалидности и т.п.), сведениями об их счетах, исполнительных документах, осуществляет налоговые отчисления, страховые выплаты и др. В связи с этим такие работники занимаются обработкой персональных данных.

Распространяются ли на них все обязанности оператора персональных данных? Считаем, что нет. Работник не является оператором, поскольку Закон № 99-З к операторам относит государственные организации, иные юридические лица, а также индивидуальных предпринимателей или физических лиц, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных (абзац восьмой ст. 1 Закона № 99-З).

Ситуация 4

В организации ведется учет исполнительных документов, приходящих на работников. В обязанности одного из работников бухгалтерии входит присвоение номера и даты каждому такому документу, внесение его в таблицу, проставление отметок об окончании выплат и отправке в орган принудительного исполнения.

В данном случае работник бухгалтерии занимается обработкой персональных данных, но оператором персональных данных является не он, а организация, в которой он работает.

Обязанности работника оператора

Поскольку работник организации выполняет действия по обработке персональных данных для своей организации – оператора, на него распространяется ряд обязанностей:

• обеспечение цели обработки персональных данных. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки (п. 4 ст. 4 Закона № 99-З);
• запрет требовать сведения, которые не соответствуют целям обработки персональных данных (п. 5 ст. 4 Закона № 99-З). Исключение – случаи, когда необходимость представления определенной информации установлена законодательными актами.

Ситуация 5

Родители обучающегося подали в бухгалтерию вуза заявление на предоставление рассрочки оплаты за обучение. Бухгалтерия потребовала представить дополнительно справку с места жительства и свидетельство о браке родителей. После вступления в силу Закона № 99-З такое требование является незаконным, так как сведения, подтверждаемые указанными документами, являются избыточными для целей предоставления рассрочки;

• предоставление физическому лицу информации обо всех условиях обработки запрашиваемых у него персональных данных (п. 6 ст. 4, п. 1 ст. 16 Закона № 99-З);
• обеспечение достоверности обрабатываемых персональных данных и их обновления (п. 7 ст. 4 Закона № 99-З). Данная обязанность предполагает проверку внешнего вида и реквизитов документов на наличие признаков фальсификации, а также проверку достоверности информации, изложенной в документе;
• хранение персональных данных не дольше сроков, требуемых целями обработки (п. 8 ст. 4 Закона № 99-З);
• предоставление физическому лицу отдельного документа (в письменном или электронном виде), в котором простым и ясным языком разъясняются его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия согласия или отказа в согласии на обработку персональных данных (п. 5 ст. 5 Закона № 99-З).

Ситуация 6

Сотрудник организации в телефонном разговоре с клиентом простым и ясным языком разъяснила, что в случае непредставления им паспортных данных и личного номера договор заключен быть не может, поскольку таковы правила, разработанные и утвержденные организацией.

До 15 ноября 2021 г. такое объяснение было бы достаточным. После указанной даты устного разъяснения недостаточно. Клиенту нужно представить письменный или электронный документ с правилами дачи согласия на обработку персональных данных, целью их обработки и последствиями отказа в согласии на обработку персональных данных;

• обеспечение защиты персональных данных в процессе их обработки (п. 1 ст. 16 Закона № 99-З);
• прекращение обработки и удаление персональных данных, если нет больше оснований для обработки или если физическое лицо потребовало этого (п. 1 ст. 16 Закона № 99-З).

Согласие на обработку персональных данных

Согласие физического лица на обработку данных является главным условием такой деятельности.

По общему правилу обработка персональных данных осуществляется только с ясно выраженного согласия субъекта персональных данных (п. 3 ст. 4 Закона № 99-З).

Вместе с тем ст. 6 Закона № 99-З установлены случаи, когда согласие физического лица на обработку персональных данных не требуется. Наиболее распространенными в обычной хозяйственной деятельности являются случаи:

• оформления трудовых (служебных) отношений;
• осуществления трудовой (служебной) деятельности субъекта персональных данных (физического лица) в случаях, предусмотренных законодательством;
• назначения и выплаты пенсий, пособий;
• заключения договора с субъектом персональных данных (физическим лицом) в целях совершения действий, установленных этим договором;
• указания персональных данных в документе, адресованном оператору и подписанном субъектом персональных данных (физическим лицом), в соответствии с содержанием такого документа и др.

Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.

Согласие субъекта персональных данных может быть получено:

• в письменной форме;
• виде электронного документа;
• иной электронной форме.

Получение согласия в иной электронной форме означает введение физическим лицом определенной информации или кода, полученных

CMC-сообщением или по электронной почте, а также проставление им соответствующей отметки на интернет-ресурсе, нажатие на кнопку «согласен» или применение иного способа, позволяющего установить факт получения согласия (п. 3 ст. 5 Закона № 99-З).

Важно!

Помните, что перед получением согласия необходимо в письменной либо электронной форме:

• во-первых, проинформировать физическое лицо о названии и местонахождении оператора (а также уполномоченных лицах), цели обработки, перечне персональных данных, сроке, на который дается согласие, перечне действий с персональными данными и иной необходимой информации;
• во-вторых, разъяснить его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия или отказа в даче такого согласия.

Физическое лицо имеет право в любое время без объяснения причин отозвать свое согласие на обработку данных, потребовать прекращения их обработки или их удаления (п. 1 ст. 10, п. 1 ст. 13 Закона № 99-З). Для этого он подает оператору заявление в письменной форме либо в виде электронного документа. Законодательными актами может быть предусмотрена обязательность личного присутствия субъекта персональных данных и предъявления документа, удостоверяющего личность, при подаче им заявления оператору в письменной форме.

Документы:

Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (Закон № 99-З).

Инструкция о порядке ведения трудовых книжек, утвержденная постановлением Министерства труда и социальной защиты Республики Беларусь от 16.06.2014 № 40 (Инструкция № 40).

Закон Республики Беларусь от 21.07.2008 № 418-З «О регистре населения» (Закон № 418-З).

Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации» (Закон № 455-З).