Договор о персональных данных

Договор N 0023/к Об обработке персональных данных

г. Ростов-на-Дону 12 октября 2008 г.

ОАО «Бегемот», именуемое в дальнейшем «Работодатель», в лице директора Немова Р.И., действующего на основании Устава, с одной стороны, и гражданка РФ Водченко Светлана Анатольевна, именуемая в дальнейшем «Работник», с другой стороны, заключили настоящий договор о нижеследующем:

Бланк согласия на обработку персональных данных

По настоящему договору Работодатель обязуется предоставить доступ к персональным данным работников общества для выполнения обусловленной в трудовом договоре трудовой функции Работника, а Работник обязуется соблюдать конфиденциальность при работе (сборе, обработке и хранении) с персональными данными работников Общества и предпринимать меры к обеспечению безопасности персональных данных, доступ к которым он имеет.

1.2. Работник, получающий доступ к персональным данным работников общества, несет единоличную ответственность за сохранность носителей и конфиденциальность информации.

1.3. Персональные данные работников Общества, к которым имеет доступ Работник:

— анкетные и биографические данные;

— паспортные данные;

— содержание трудовых договоров и занимаемая должность;

— заработная плата (оклад, премии, надбавки);

— проекты, подлинники и копии приказов по личному составу;

— личные дела, трудовые книжки работников;

— информация о воинской обязанности, образовании и специальности;

— трудовой и общий стаж;

— социальные льготы работника;

— судимости и/или наличие обязательств по исполнительному листу;

— адрес постоянного проживания и адрес прописки, контактные телефоны;

— состав семьи, места работы или учебы членов семьи и родственников;

— журнал учета движения трудовых книжек и вкладышей к ним;

— материалы по повышению квалификации и аттестации работников;

— материалы служебных расследований.

Работник при работе (сборе, обработке и хранении) с персональными данными сотрудника обязан:

1.4.1. соблюдать локальные нормативные акты Работодателя по работе с персональными данными и обеспечением безопасности работы с ними;

1.4.2. получать все персональные данные работника;

1.4.3. выполнять автоматизированную обработку и хранение персональных данных работников только после выполнения всех мероприятий по защите информации;

1.4.4. в случае возникновения ситуации нарушения безопасности персональных данных или несанкционированного доступа к данной информации немедленно сообщать Работодателю;

1.4.5. не осуществлять работу с персональными данными в присутствии лиц, не имеющих к ним доступа;

1.4.6. передавать персональные данные работника представителям работника в порядке, установленном ТК РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций;

1.4.7. предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что данное правило соблюдено.

1.5. Работник при работе (сборе, обработке и хранении) с персональными данными сотрудника имеет право:

1.5.1. на знание требований нормативно-методических документов по защите информации и сохранению тайны;

1.5.2. на получение доступа к персональным данным работников всего предприятия;

1.5.3. на обеспечение рабочего места средствами и материалами, необходимыми для осуществления работ с персональными данными и соблюдения режима конфиденциальности;

1.5.4. предлагать и участвовать при выработке мер защиты персональных данных работников;

1.6. Работодатель обязан:

1.6.1. обеспечить наличие необходимых условий в помещении и на рабочем месте Работника для обеспечения конфиденциальности, при которых исключалось бы бесконтрольное использование защищаемой информации;

1.7. Для проведения контролирующих мероприятий Работодатель имеет право:

1.7.1. Требовать от Работника исполнения обязательств, определенных настоящим договором.

1.7.2. Привлекать к дисциплинарной ответственности (замечание, выговор, увольнение) лиц, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, в соответствии с законодательством РФ;

1.8. Срок окончания договора совпадает со сроком окончания действия трудового договора.

1.9. Условия настоящего трудового договора носят конфиденциальный характер и разглашению не подлежат.

1.10. Договор составлен с учетом действующего законодательства и является обязательным документом для сторон, в том числе при решении споров между Работником и Работодателем в судебных и иных органах.

1.11. Споры между сторонами, возникающие при исполнении данного договора, рассматриваются в порядке, установленном действующим законодательством РФ.

1.12. Во всем остальном, что не предусмотрено настоящим договором, стороны руководствуются законодательством РФ, регулирующим работу с персональными данными.

1.13. Договор составлен в двух экземплярах, имеющих одинаковую юридическую силу, один из которых хранится у Работодателя, а другой — у Работника.

Работодатель: Работник: ОАО «Бегемот», Водченко Светлана Анатольевна, 344002, г. Ростов-на-Дону, паспорт: серия 60 00, N 250000, выдан ул. Серафимовича, 135, оф. 111, ОВД г. Батайска Ростовской области тел.: 200 00 00, 01.01.2000 ИНН 616000000 зарегистрирован по адресу: 346880, г.

Ростов-на-Дону, ул. Приднестровская, д. 108, ИНН 614614614313 Директор Печать Немов ООО Водченко —— Р.И. Немов «Бегемот» ——— С.А. Водченко

Источник — «Кадровая служба и управление персоналом предприятия», 2010, № 1

В блог

Шаблоны соглашений на обработку персональных данных для ваших сайтов

Недавно в Тинькофф-журнале вышла статья, которая доступно и подробно объясняет какими штрафами грозит неисполнение формальностей нового закона и как этих штрафов избежать.

Самая главная работа, которую нужно проделать на своих сайтах – добавить обязательное поле-галочку, отмечая которое, посетители соглашаются с вашими правилами обработки их данных. Соответственно, необходимо эти правила разместить.

Для облегчения жизни своим клиентам, мы подготовили два шаблона – для корпоративных сайтов, где только форма обратной связи и форма заказа звонка, и для интернет магазинов, где форм побольше. И нам не жалко поделиться ими 🙂

Обязательно прочитайте то, что будете копировать на свой сайт – можете удалить строчки про цели использования и перечень персональных данных, если какие-то из них вас не касаются.

Если у вас уже есть соглашение на сайте, добавьте в него блок про обработку данных и сделайте ссылку на это соглашение.

Для корпоративного сайта

Предоставляя свои персональные данные Пользователь даёт согласие на обработку, хранение и использование своих персональных данных на основании ФЗ № 152-ФЗ «О персональных данных» от 27.07.2006 г. в следующих целях:

  • Осуществление клиентской поддержки
  • Получения Пользователем информации о маркетинговых событиях
  • Проведения аудита и прочих внутренних исследований с целью повышения качества предоставляемых услуг.

Под персональными данными подразумевается любая информация личного характера, позволяющая установить личность Пользователя/Покупателя такая как:

  • Фамилия, Имя, Отчество
  • Дата рождения
  • Контактный телефон
  • Адрес электронной почты
  • Почтовый адрес

Персональные данные Пользователей хранятся исключительно на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства.

Компания обязуется не передавать полученные персональные данные третьим лицам, за исключением следующих случаев:

  • По запросам уполномоченных органов государственной власти РФ только по основаниям и в порядке, установленным законодательством РФ
  • Стратегическим партнерам, которые работают с Компанией для предоставления продуктов и услуг, или тем из них, которые помогают Компании реализовывать продукты и услуги потребителям.

    Согласие на обработку персональных данных: оформляем правильно

    Мы предоставляем третьим лицам минимальный объем персональных данных, необходимый только для оказания требуемой услуги или проведения необходимой транзакции.

Компания оставляет за собой право вносить изменения в одностороннем порядке в настоящие правила, при условии, что изменения не противоречат действующему законодательству РФ. Изменения условий настоящих правил вступают в силу после их публикации на Сайте.

Для интернет-магазинов

Предоставляя свои персональные данные Покупатель даёт согласие на обработку, хранение и использование своих персональных данных на основании ФЗ № 152-ФЗ «О персональных данных» от 27.07.2006 г. в следующих целях:

  • Регистрации Пользователя на сайте
  • Осуществление клиентской поддержки
  • Получения Пользователем информации о маркетинговых событиях
  • Выполнение Продавцом обязательств перед Покупателем
  • Проведения аудита и прочих внутренних исследований с целью повышения качества предоставляемых услуг.

Под персональными данными подразумевается любая информация личного характера, позволяющая установить личность Покупателя такая как:

  • Фамилия, Имя, Отчество
  • Дата рождения
  • Контактный телефон
  • Адрес электронной почты
  • Почтовый адрес

Персональные данные Покупателей хранятся исключительно на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства.

Продавец обязуется не передавать полученные персональные данные третьим лицам, за исключением следующих случаев:

  • По запросам уполномоченных органов государственной власти РФ только по основаниям и в порядке, установленным законодательством РФ
  • Стратегическим партнерам, которые работают с Продавцом для предоставления продуктов и услуг, или тем из них, которые помогают Продавцу реализовывать продукты и услуги потребителям.

    Мы предоставляем третьим лицам минимальный объем персональных данных, необходимый только для оказания требуемой услуги или проведения необходимой транзакции.

Продавец оставляет за собой право вносить изменения в одностороннем порядке в настоящие правила, при условии, что изменения не противоречат действующему законодательству РФ. Изменения условий настоящих правил вступают в силу после их публикации на Сайте.

Весь список документов по хранению персональных данных

Публикуем весь перечень документов, касающихся хранения и обработки персональных данных на сайте, с образцами и рекомендациями по их заполнению.

Продолжаем разъяснять требования законодательства о персональных данных к тем, у кого есть свой сайт.

Помимо документов для размещения на сайте вам необходимо подготовить документы, которые будут храниться непосредственно у вас. Согласно закону «О персональных данных», вы как оператор персональных данных обязаны принимать меры, необходимые и достаточные для выполнения обязанностей, предусмотренных законом. Состав и перечень этих мер определяется самостоятельно оператором (то есть вы сами определяете, что и как будете делать, для того чтобы защитить персональные данные), и к ним могут относиться (п. 1 ст.18.1 Закона «О персональных данных»):

  1. Назначение оператором-юрлицом ответственного за организацию обработки персональных данных;
  2. Издание оператором–юрлицом документов, определяющих его политику в отношении персональных данных, локальных актов по обработке персональных данных, локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений, устранение последствий нарушений;
  3. Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
  4. Осуществление внутреннего контроля и аудита соответствия обработки персональных данных закону, требованиям к защите, политике оператора и локальным актам;
  5. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона;
  6. Ознакомление работников оператора, которые осуществляют обработку персональных данных, с требованиями к защите персональных данных, документами и локальными актами.

Не все из этого может быть реализовано владельцами сайтов – физлицами (например, это касается ознакомления работников с документами), но это не значит, что доступ посторонних лиц (даже родственников и друзей) к персональным данным может быть неограничен. В этом случае они должны ознакомиться с требованиями к защите и подписать соглашение о неразглашении персональных данных.

Мы рекомендуем подготовить документы, подтверждающие, что вы принимаете необходимые правовые, организационные и технические меры для защиты персональных данных. В ст. 19 закона «О персональных данных» перечислены необходимые действия оператора.

Список мер обеспечения безопасности внушительный, и для успешного прохождения проверки Роскомнадзора нужно подготовить немало документов. Чтобы все это понять, требуется техническая подготовка. Для новичка это не так просто, но лучше обезопасить себя.

Некоторые компании и сайты оказывают услуги в их подготовке: Контур, Б-152, FreshDoc. А вот здесь можно скачать шаблоны этих документов.

В любом случае, вы должны проверить внутренние системы защиты персональных данных и подготовить документы:   

1. Перечень сведений конфиденциального характера

Это документ, в котором будет содержаться информация обо всех категориях и видах персональных данных, которые вы обрабатываете. Укажите, что Перечень разработан в соответствии с законом «О персональных данных» и Уставом организации (если вы представляете юрлицо), четко обозначьте ВСЕ виды категории персональных данных. Это можно сделать в виде таблицы. В этом же документе советуем указать цели и сроки обработки персональных данных. Пример.

2. Инструкция администратора информационной безопасности

Администратор информационной системы персональных данных назначается приказом руководителя. В Инструкции перечисляем должностные обязанности, такие, например, как «знать и выполнять требования всех регулирующих документов, которые регламентируют порядок по защите информации», «обеспечивать установку, настройку и обновление информационной системы персональных данных», «обеспечивать функционирование средств защиты системы», «обеспечивать выполнение требований по обеспечению безопасности информации» и пр. Примеры: первый, второй.

3. Приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных (для организаций).

4. Перечень персональных данных, подлежащих защите в информационных системах.Пример.
Рекомендации Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»

5. Приказ об утверждении мест хранения персональных данных.

Если вы храните персональные данные на материальных носителях, необходимо утвердить места хранения. Пример.

6. Перечень помещений, в которых ведется обработка персональных данных.

7. Инструкция пользователей информационной системы персональных данных.

Этот документ определяет должностные обязанности всех, кто работает с персональными данными (осуществляет обработку и пр.). Пример.

8. Приказ о назначении комиссии по уничтожению персональных данных.

Уничтожению персональных данных придается особое значение. После того, как цели обработки выполнены, персональные данные должны быть уничтожены. Подробнее про уничтожение персональных данных написано здесь. Пример Приказа.

9. Проект системы защиты информационной системы персональных данных.Пример.

10. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации.Пример.

11. План внутренних проверок режима защиты персональных данных.

План можно сделать в виде таблицы, там укажите, с какой периодичностью будут осуществляться проверки режима и оборудования. Пример.

12. Приказ о вводе в эксплуатацию информационной системы персональных данных, заключение о вводе в эксплуатацию информационной системы персональных данных.Пример.

13. Журнал учета носителей информации информационной системы персональных данных.

14. Журнал учета мероприятий по контролю обеспечения защиты персональных данных.

Журнал можно сделать в виде таблицы и записывать туда проводимые мероприятия. Пример.

15. План проведения внутренних проверок состояния защиты ПД.

Образец документа можно найти здесь и здесь.

16. Журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав.

Сюда запишите всех, кто обращается за информацией о своих персональных данных. Пример.

17. Правила обработки персональных данных без использования средств автоматизации. О регулировании здесь.

18. Положение о разграничении прав доступа к обрабатываемым персональным данным.Пример.

19. Акт классификации информационной системы персональных данных.

Информационная система – «совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств» (Закон РФ «Об информации, информатизации и защите информации»). Примером информационной системы может быть база данных, содержащая персональные данные, используемая в вашей организации. Даже если вы просто владелец сайта, то говорить об информационной системе мы можем тогда, когда собранные на сайте персональные данные заносятся в базу и потом обрабатываются.

В Акте укажите: кем используется система, категории персональных данных, объем обрабатываемых данных, тип информационной системы, структуру информационной системы, режим обработки персональных данных, наличие подключений к другим сетям связи, местонахождение технических средств. Про информационные системы и классификацию можно прочитать здесь. Пример и еще один.

20. Инструкция по проведения антивирусного контроля в информационной системе персональных данных.Пример.

21. Инструкция по организации парольной защиты.

22. Журнал периодического тестирования средств защиты информации.

23. Форма акта уничтожения документов, содержащих персональные данные.

Если вы владелец сайта, обязательно создайте список, в котором вы будете фиксировать уничтожение персональных данных (что было сделано и когда). Пример и ещё.

24. Журнал учета средств защиты информации(перечень технических средств).Пример.

25. Журнал проведения инструктажа по информационной безопасности (для организаций).

26. Инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций.

27. Приказ о перечне лиц, допущенных к обработке персональных данных.

28. Положение о защите персональных данных.

Цель этого документа – защитить персональные данные от несанкционированного доступа. В Положении можно прописать следующее: понятия из законодательства, цели и основания для обработки, права и обязанности оператора и субъектов персональных данных.

Опишите, как регламентируется внутренний доступ к персональным данным, кто имеет право доступа, каким образом ограничивается доступ, какие меры внутренней и внешней защиты применяются (пароли, регламентация состава работников, имеющих доступ к работе с персональными данными, обеспечение безопасности хранения персональных данных от посторонних), обязательно укажите ответственность за разглашение (для сотрудников).

Пример и ещё один.

29. Соглашение о неразглашении персональных данных.

Это соглашение подписывает каждый, кто имеет доступ к персональным данным. Перечислите все сведения, не подлежащие разглашению, объясните, почему и зачем это делается («я понимаю, что мне приходится заниматься сбором, хранением, обработкой персональных данных, обязуюсь соблюдать все требования, описанные в «Положении о защите персональных данных»»). Пример.

30. План мероприятий по обеспечению безопасности персональных данных.

В этом документе укажите мероприятия, сроки и исполнителя: установку антивирусной программы, установку паролей, внедрение доработок и обновлений и пр. Пример.

31. Модель угроз безопасности в информационной системе персональных данных.

Угрозы безопасности – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

В соответствии со статьей 19 закона «О персональных данных» персональные данные должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

Согласие на обработку персональных данных

Смысл этого документа – определить возможные угрозы безопасности системы персональных данных и описать, какие способы защиты будут использоваться при их возникновении. Пример.

32. Форма ответа на запрос субъекта персональных данных.Пример.

Не забывайте заполнять и обновлять эти документы!

Если после прочтения материала у вас остались вопросы (вы не совсем поняли, что является персональными данными, сомневаетесь, надо ли регистрироваться в реестре Роскомнадзора, не знаете, как оформить соглашение об обработке данных, и прочее, и прочее), пишите на legal4advice@gmail.com.

Согласие на обработку персональных данных образец бланк

Персональные данные в трудовом договоре

В действующий ТК РФ впервые в истории трудового законодательства включена отдельная глава (14) «Защита персональных данных работника», состоящая из шести статей (85—90). Статья 85 ТК РФ формулирует два основных для данной главы понятия: персональные данные работника; обработка персональных данных работника.

Персональные данные — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Обработка персональных данных — получение, хранение, комбинирование, передача или любое другое использование персональных данных работников.

Структурное выделение в Трудовом кодексе РФ персональных данных вызвано необходимостью упорядочения отношении по получению и использованию работодателем информации о работнике личного характера и установления правил защиты этой информации от неправомерного использования. Положения данной главы основываются на Конституции РФ, согласно ст. 23 и 24 которой каждому человеку гарантируется право на неприкосновенность частной жизни, личную и семейную тайну, при этом сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Конституция РФ, в свою очередь, восприняла положения международных актов, согласно которым право на неприкосновенность частной жизни, личную тайну относятся к числу основных прав человека: Всеобщая декларация прав человека 1948 г. (ст. 12), Конвенция о защите прав человека и основных свобод (ст. 8), Международный пакт о гражданских и политических правах 1966 г. (ст. 9), Директива Европейского сообщества № 95/46/ЕС прямо определяет персональные данные как любую информацию, относящуюся к идентифицированному лицу или к лицу, которое может быть идентифицировано. Иными словами, указывается на «информацию об идентифицируемом лице», а не на «идентифицирующую информацию», как в российском Законе1Зайцева О.Б. Персональные данные работника и их передача работодателю в связи с трудовыми отношениями // Трудовое право. 2003. № 7. С. 18..

Следует обратить внимание на то, что определенные сведения о персональных данных работодатель имеет право требовать, а работник обязан их предоставить (ст. 65 ТК РФ; Постановление Госкомстата РФ от 5 января 2004 г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», которым утверждена форма Личной карточки работника). Иные сведения можно получить только с согласия работника, что нередко важно для него самого в целях реализации прав (в том числе на льготы) и интересов; например, о членстве в профсоюзе, инвалидности, беременности. Работодатель не имеет права запрашивать информацию о состоянии здоровья работника за исключением тех сведений, которые относятся к возможности выполнения работником трудовой функции (ст. 88 ТК РФ).

Общие требования к обработке персональных данных и гарантии их защиты закреплены в ст. 86 ТК РФ. Согласно ст. 87 ТК РФ защита персональных данных от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ или иными федеральными законами.

Порядок хранения и использования персональных данных работников устанавливается самим работодателем с соблюдением требовании Трудового кодекса РФ и иных федеральных законов.

Защита персональных данных предусмотрена законом как на стадии их получения (п. 8 ст. 86 ТК РФ), так и на стадии передачи (ст. 88 ТК РФ), хранения и использования (ст. 89 ТК РФ).

Работники, которым в установленном законом порядке переданы сведения о персональных данных работника, обязаны не допускать их разглашения. В случае нарушения этого правила, когда сведения, составляющие врачебную, семейную и другую тайну, становятся достоянием других лиц, виновные несут за это ответственность.

В советском трудовом законодательстве правовой регламентации подвергались отдельные аспекты защиты персональных данных работника. «Институт защиты персональных данных работника в ТК РФ был в значительной степени рецептирован из западного законодательства. Другой причиной, вызвавшей появление в ТК РФ гл. 14 «Защита персональных данных работника», стало изменение стратегического подхода к правам человека на уровне Конституции РФ, которая провозгласила права и свободы человека высшей ценностью, а признание, соблюдение и защиту прав человека и гражданина — обязанностью государства (ст. 2). «Этому способствовало и то, что с середины 90-х гг. XX в., как уже отмечалось, начала формироваться комплексная отрасль законодательства «информационное право», одним из основных направлений которой стала защита персональной тайны»2Лушников A.M. Защита персональных данных работника: сравнительно-правовой комментарий гл. 14 Трудового кодекса РФ // Трудовое право. 2009. № 9. С. 93-101; № 10. С. 77-82..

Действующий Трудовой кодекс, как считают некоторые авторы, «с одной стороны, содержит требование уважать неприкосновенность личной сферы работника, но, с другой стороны, не содержит и запрет работодателю тотально «мониторить» работника»3Киселев А.В. Трудовой кодекс России в свете европейской Конвенции о защите прав человека и основных свобод. Подготовлен для системы «КонсультантПлюс» по состоянию на 1 ноября 2010 г..

К числу нормативных актов, входящих в правовую базу регламентации отношении по защите персональных данных работника, относятся также Федеральный закон РФ от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации», Налоговый кодекс РФ (ст. 24), Федеральный закон РФ от 27 июля 2006 г. «О персональных данных». Перечень сведений конфиденциального характера, утвержденный Указом Президента РФ от 6 марта 1997 г., и другие нормативные правовые акты, касающиеся отдельных категорий работников, например. Федеральный закон о государственной гражданской службе Российской Федерации от 27 июля 2004 г.

Между работником и работодателем складывается особое правоотношение в рамках единого трудового правоотношения по поводу информации, содержащей персональные данные работника, позволяющие идентифицировать его в качестве такового. Отсюда следует, что работодатель имеет не только обязанности, о которых говорилось выше, но и право на получение определенной информации о работнике, объем которой предусмотрен федеральным законодательством, указами Президента РФ, постановлениями Правительства РФ. Соответственно, у работника возникает обязанность представить такую информацию, которая должна быть полной и достоверной. Согласно ТК РФ (ст. 86) порядок обработки персональных данных, а также права и обязанности работников регламентируются локальными нормативными актами. Развивая эту мысль, выскажем следующие соображения.

Действительно, с развитием соответствующего законодательства отношения в сфере конфиденциальной информации все более приобретают некий обособленный, самостоятельный и, как представляется, межотраслевой характер. Имея в виду, прежде всего и главным образом, трудовое право, нельзя не заметить, что применительно к его сложному и неоднородному предмету, эти так называемые информационные отношения могут входить в состав как индивидуального трудового правоотношения (уместно вспомнить характерное название ст. 5 Закона «Об информации…»: «Информация как объект правовых отношении»), так и, очевидно, быть самостоятельным видом отношений, связанных с ним.

Информационное отношение «встроено» в трудовое как его элементарная часть, потому что между работником и работодателем существуют как отношения по персональным данным работника, так и отношения, связанные с государственной, служебной, коммерческой тайной, которые могут составлять основное содержание трудовой функции. Что касается информационных отношений как самостоятельного вида отношений, связанных с трудовыми (наряду с отношениями по трудоустройству у данного работодателя, социальному партнерству и др.), то в пользу такой идеи говорит элементарный анализ состава этого правоотношения.

На уровне Федерального закона «О персональных данных» и в целях его применения впервые в отечественной практике определены следующие основные понятия:

  • персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
  • оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
  • обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
  • распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
  • использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
  • информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
  • конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания4Богатыренко З.С.

    Договор на обработку персональных данных — образец

    Новейшие тенденции защиты персональных данных работник в российском трудовом праве // Трудовое право. 2006. № 10..

Федеральным законом «О персональных данных» регулируются отношения, связанные с их обработкой федеральными органами государственной власти, органами государственной власти субъектов РФ, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими и физическими лицами с использованием средств автоматизации или без их использования, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Права граждан в области информации защищены Федеральными законами: ст. 81 ТК РФ, 237 УК РФ, 495, 498, 726, 732, 774, 804, 840, 853, 1031, 1032 и другими ГК РФ, регламентирующими вопросы предоставления различной информации покупателю о товаре. Кроме вопросов предоставления информации, ГК РФ регулирует отношения, связанные с конфиденциальностью информации, отношения по поводу возмещения вреда, причиненного вследствие недостоверной или недостаточной информации о товаре (работе, услуге) в случаях приобретения товара (выполнения работы, оказания услуги) в потребительских целях и возмещением убытков, вызванных разглашением служебной или коммерческой тайны.

Федеральным законом от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации», как выше уже говорилось, к основным обязанностям гражданского служащего отнесено требование не разглашать сведения, составляющие государственную или иную охраняемую федеральным законом тайну, а также сведения, ставшие ему известными в связи с исполнением должностных обязанностей, в том числе сведения, касающиеся частной жизни и здоровья граждан или затрагивающие их честь и достоинство (ст. 15).

Квалификационный справочник должностей руководителей, специалистов и других служащих (КСДС), разработанный Институтом труда и утвержденный постановлением Минтруда РФ от 21 августа 1998 г. № 37 (действующий с дополнениями и изменениями в ред. от 14.03.201 1), предусматривает, во-первых, что этот нормативный акт предназначен для решения вопросов, связанных с регулированием трудовых отношений, обеспечением эффективной системы управления персоналом организаций независимо от форм собственности и организационно-правовых форм деятельности. Во-вторых, предусмотрена регламентация трудовых функций специалистов, непосредственно связанных с использованием персональных данных работников или выполнением работ на их основе. К таким должностям относятся: заместитель директора но управлению персоналом, начальник отдела кадров, менеджер по персоналу, главный специалист по защите информации и др.5Бюллетень Минтруда РФ. 1998. № 12; Квалификационный справочник должностей руководителей, специалистов и других служащих. Изд-е офиц. 4-е изд., доп. М.: Инст. Труда, 2005. Данные положения имеют значение для рассматриваемого вопроса, поскольку права и обязанности по сохранению конфиденциальной информации могут входить в содержание трудовой функции.

Обработка персональных данных должна осуществляться на основе принципов:

  • законности целей и способов обработки персональных данных и добросовестности;
  • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
  • соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
  • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
  • недопустимости объединения созданных для несовместимых между собой баз данных информации.