Раздел 1. ОБЩИЕ ПОЛОЖЕНИЯ

Предисловие

Уважаемые коллеги!

В настоящем информационном бюллетене рассматриваются актуальные вопросы, связанные с защитой персональных данных работников организаций, осуществляющих образовательную деятельность.

Сборник содержит комментарии по вопросам правового регулирования сбора и обработки персональных данных работников, реализации прав профсоюзов, связанных с доступом к персональным данным работников, системы государственного контроля (надзора) в области персональных данных, а также практико-ориентированный комментарий по вопросу надлежащего оформления документов по защите персональных данных работников организаций, осуществляющих образовательную деятельность, требования к сайту образовательной организации.

Сборник рассчитан на широкий круг работников сферы образования, руководителей образовательных учреждений (организаций), правовых инспекторов труда Профсоюза, юристов территориальных организаций Профсоюза, а также на иных работников, связанных с вопросами сбора и обработки персональных данных работников организаций, осуществляющих образовательную деятельность.

Обращаем Ваше внимание, чтоРекомендации по обеспечению защиты персональных данных работников образовательных учреждений (Приложение к письму ЦС Профсоюза от 28 декабря 2010 г. № 345/295), направленные ранее для использования в практической деятельности профсоюзных организаций, а также формы документов, содержащихся в указанных Рекомендациях, следует применять с учетом новых требований, изложенных в настоящем сборнике.

Надеемся, что материалы сборника будут полезны в практической деятельности по защите социально-трудовых прав работников образовательных организаций, в том числе при проведении проверок по этим вопросам.

Заместитель Председателя Профсоюза М.В. Авдеенко

___Сборник подготовлен в правовом отделе аппарата Профсоюза под общей редакцией заведующего правовым отделом – главного правового инспектора труда ЦС Профсоюза С.Б. Хмелькова.

Составитель сборника: правовой инспектор труда ЦС Профсоюза И.Б. Алексеева.

СОДЕРЖАНИЕ

Часть I. ПРАВОВОЕ РЕГУЛИРОВАНИЕ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ ОБРАЗОВАТЕЛЬНЫХ ОРГАНИЗАЦИЙ

Раздел 1. ОБЩИЕ ПОЛОЖЕНИЯ

Защита персональных данных представляет собой комплекс правовых, организационных и технических мер, направленных на обеспечение защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

Согласно ст. 2 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»(далее - Закон о персональных данных) его целью является защита прав и свобод человека и гражданина при обработке его персональных данных, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну.

Под оператором персональных данных законодатель подразумевает государственный либо муниципальный орган, юридическое или физическое лицо, которые организуют или осуществляют обработку персональных данных, заключающуюся в их сборе, записи, систематизации, накоплении, хранении, уточнении, извлечении, использовании, передаче, обезличивании, блокировании, удалении и уничтожении. Таким образом, любая организация или государственный муниципальный орган становится оператором персональных данных с момента получения в распоряжение данных любого лица (работника, подрядчика) и обязана обеспечить их защиту в соответствии с требованиями Закона о персональных данных.

Закон о персональных данных определяет требования к сбору и обработке (хранению, актуализации, использованию, раскрытию и предоставлению) персональных данных физических лиц во всех сферах, где используются персональные данные, в том числе в сфере трудовых правоотношений, возникающих в организациях, осуществляющих образовательную деятельность, с учетом особенностей, предусмотренных ТК РФ.

В соответствии со ст. 3 Закона о персональных данных обработка персональных данных - это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Согласно ст. 5 Закона о персональных данных при обработке персональных данных должны соблюдаться следующие принципы:

1) обработка должна осуществляться на законной и справедливой основе;

2) обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных;

3) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

4) обработке подлежат только те персональные данные, которые отвечают целям обработки;

5) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не допускается обработка избыточных данных по отношению к заявленным целям обработки;

6) при обработке должны быть обеспечены точность и достаточность персональных данных, а в необходимых случаях - актуальность по отношению к целям обработки. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

7) форма хранения персональных данных должна позволять определять субъекта этих данных. Хранение не должно длиться дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

В настоящее время очень актуальным стал вопрос об обработке и хранении так называемых избыточных персональных данных[1].

Суды, при вынесении решений по подобным делам, руководствуются тем, что для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом документа, удостоверяющего личность. Сбор информации о серии и номере паспорта, годе и месте рождения, поле субъекта персональных данных, национальности и т.д. является избыточным.

Соответственно, хранение любых документов, содержащих в себе эти данные (копии паспорта, свидетельства о рождении детей, документы воинского учета, документы об образовании, фотографии[2]и т.д.) противоречит законодательству, так как таким образом превышается объем обрабатываемых персональных данных работника, установленный Конституцией РФ, Трудовым кодексом Российской Федерации и иными федеральными законами.

В соответствии с ч. 1 ст. 22 Закона о персональных данных оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 указанной статьи.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) выступает таким уполномоченным органом, который утверждает образец уведомления об обработке (о намерении осуществлять обработку) персональных данных и Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных[3].

Частью 2 статьи 22 Закона о персональных данных установлен перечень случаев, когда операторы не обязаны соблюдать обязательное требование об уведомлении Роскомнадзора о начале деятельности по обработке персональных данных:

- при обработке таких данных в соответствии с трудовым законодательством (ст. 86 ТК РФ);

- когда обрабатываемые данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются и не предоставляются третьим лицам без согласия этого субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

- когда данные относятся к членам общественного объединения или религиозной организации и обрабатываются соответствующими общественным объединением или религиозной организацией, действующими по законодательству РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

- субъект персональных данных сделал их общедоступными;

- данные включают в себя только фамилии, имена и отчества субъектов персональных данных;

- данные необходимы в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

- персональные данные включены в информационные системы, имеющие в соответствии с законодательством статус государственных автоматизированных информационных систем, а также в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;

- данные обрабатываются без использования средств автоматизации в соответствии с требованиями законодательства РФ;

- данные обрабатываются в случаях, предусмотренных транспортным законодательством, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Во всех иных случаях обработки персональных данных оператор обязан заблаговременно (до начала обработки) уведомлять Роскомнадзор о начале такой деятельности.

Таким образом, частью 2 статьи 22 Закона о персональных данных установлено, что оператор вправе осуществлять без уведомления Роскомнадзора обработку персональных данных лиц, которых связывают с оператором трудовые отношения. Следовательно, организации, осуществляющие образовательную деятельность, не должны уведомлять этот уполномоченный орган об обработке ими персональных данных работников, состоящих в трудовых отношениях с этими организациями.