В состав гос. бюджетного учреждения здравоохранения (ФГБУЗ) с 01.01.13г. передан филиал другого учреждения

89

Вопрос

В состав гос. бюджетного учреждения здравоохранения (ФГБУЗ) с 01.01.13г. передан филиал другого учреждения. Работники филиала ФГБУЗ, в числе которых был бухгалтер филиала, направили коллективное обращение в Администрацию Президенту РФ, областной департамент в отношении выплаченной премии руководителю филиала за период работы в 11-12гг в другом учреждении. При этом в тексте обращения написаны конкретные суммы премии руководителя филиала и приложены приказы о премировании. Данной информацией располагает бухгалтер филиала. Другие работники, не имеющие доступ к информации о заработной плате работников, данные о премировании руководителя филиала увидели в обращении, подписывая данное обращение. Просим ответить на следующие вопросы: 1. является ли разглашением персональных данных работника другим работником, владеющим данной информацией в связи с выполнением трудовых обязанностей, если обращение направляется в органы государственной или исполнительной власти, средствам массовой информации. 2. в этом конкретном случае может ли быть привлечен в ФГБУЗ к дисциплинарной ответственности бухгалтер филиала за разглашение персональных данных по зарплате руководителя филиала, если это персональные данные за период деятельности филиала и его работников в другом учреждении, до перевода в ФГБУЗ. Если да, что является разглашением в данном случае персональных данных - написание бухгалтером совместного обращения с другими работниками, не владевшими до подписи обращения этим данными либо также и передача данных в другие организации.

Ответ

: Согласно п. 1 части первой ст. 3 Федерального закона РФ от 27.07.2006 № 152-ФЗ персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

 

Размер заработной платы является персональными данными, информацией, относящейся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Статья 7 Закона № 152-ФЗ предусматривает нераспространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Следовательно, любое распространение персональных данных без согласия субъекта является неправомерным.

В соответствии с п. 7 ст. 86 ТК РФ на работодателя возложена обязанность по защите персональных данных работника от неправомерного использования или утраты. Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной и материальной ответственности, а также такое лицо привлекается к гражданско-правовой, административной и уголовной ответственности (ст. 90 ТК РФ).

В соответствии с п. 1 ст. 9 Закона о персональных данных субъект персональных данных принимает решение о предоставлении своих данных и дает согласие на их обработку своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Таким образом, в случае, если персональные данные, полученные в связи с выполнением трудовых обязанностей, направляются в органы государственной или исполнительной власти, средствам массовой информации без согласия на их распространение руководителя, имеет место быть неправомерное разглашение персональных бухгалтером.

Согласно Постановлению Пленума Верховного Суда РФ от 24.03.2005 № 5 в случае совершения юридическим лицом административного правонарушения и выявления конкретных должностных лиц, по вине которых оно было совершено, допускается привлечение к административной ответственности по одной и той же норме как юридического лица, так и указанных должностных лиц. Следовательно, к ответственности может быть привлечено как ФГБУЗ, так и бухгалтер.

Обоснование данной позиции приведено ниже в материалах ЮСС «Система Юрист».

1. Статья: Согласие на обработку персональных данных потенциального клиента

«Федеральный закон от 27.07.06 № 152-ФЗ «О персональных данных» (далее — закон № 152-ФЗ) устанавливает особый режим работы компании с персональными данными физлиц. Персональными данными считается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (п. 1 ст. 3 закона № 152-ФЗ). Под обработкой персональных данных понимаются любые действия (операции) с ними, включая сбор, систематизацию, хранение и т. д. При этом компания может обрабатывать персональные данные физических лиц только с их письменного согласия* (п. 1 ст. 6, п. 4 ст. 9 закона № 152-ФЗ). Согласие не требуется в исключительных случаях. Например, при обработке персональных данных физического лица в целях исполнения договора с ним (п. 2 ст. 6 закона № 152-ФЗ).

Чаще всего персональные данные физлиц используют компании, работающие на рынке продажи товаров, выполнения работ и оказания услуг потребителям. Они необходимы для рекламных рассылок, маркетинговых исследований и оформления дисконтных карт. В пункте 1 статьи 15 закона № 152-ФЗ прямо предусмотрено, что обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных. Сбор, использование и распространение персональных данных без согласия физлица могут повлечь административный штраф с компании — от 5 тыс. до 10 тыс. рублей (ст. 13.11 КоАП РФ)*. Казалось бы, сумма штрафа незначительна. Но если компания собирает персональные данные в массовом порядке, то отсутствие согласия по каждому субъекту можно квалифицировать в качестве самостоятельного правонарушения. Следовательно, размер штрафа может возрасти в десятки и даже в сотни раз. Плановые и внеплановые проверки соблюдения порядка работы с персональными данными проводит Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор. Процедура проверок установлена в регламенте, утвержденном приказом Роскомнадзора от 01.12.09 № 630.

Контрольные точки при оформлении

Утвержденной формы согласия на обработку персональных данных не существует, но в пункте 4 статьи 9 закона № 152-ФЗ перечислены сведения, которые обязательно необходимо указать в данном документе. Следовательно, согласие на обработку персональных данных можно оформить как в виде документа с одноименным названием (см. образец № 1), так и, например, в виде более удобной в практическом применении анкеты, которую компания обычно просит заполнить для оформления дисконтной карты (см. образец № 2)*.

1. Пункт 4 статьи 9 закона № 152-ФЗ перечисляет следующие сведения, которые должны быть указаны в согласии на обработку персональных данных: фамилия, имя, отчество, адрес субъекта персональных данных, номер документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, наименование и адрес оператора, получающего согласие субъекта персональных данных, цель обработки, перечень персональных данных, на обработку которых дается согласие, перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных, срок, в течение которого действует согласие, а также порядок его отзыва.

2. Когда целью представления персональных данных является распространение рекламных рассылок, необходимо учитывать также требование части 1 статьи 18 Федерального закона от 13.03.06 № 38-ФЗ «О рекламе». Там указано, что распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. Следовательно, в согласии на обработку персональных данных необходима запись о том, что субъект согласен на получение информации, соответствующей понятию рекламы (ст. 3 закона № 38-ФЗ), а также указание конкретных способов, которыми клиент желает получать такую информацию.

3. Возможные действия с персональными данными, на совершение которых необходимо согласие физлица, указаны в пунктах 3 и 4статьи 3 закона № 152-ФЗ. Понятие «обработка персональных данных» включает в себя сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. При этом распространением персональных данных считаются действия, направленные на их передачу определенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц. Если рекламными рассылками в адрес потребителей будет заниматься не сама компания, а иные лица по договору с ней (например, специализирующиеся на интернет-рассылках), или персональные данные потребуется передать специализированным компаниям для проведения маркетинговых исследований, то необходимо согласие физического лица на их передачу третьим лицам.

4. Срок, в течение которого действует согласие, законодательством не ограничен. Следовательно, можно установить любой. При этом у физического лица в любом случае есть право отозвать свое согласие (п. 2 ст. 15 закона № 152-ФЗ). В документе необходимо установить конкретный порядок такого отзыва, который тоже может быть любым (подп. 6 п. 4 ст. 9 закона № 152-ФЗ).

На что еще обратить внимание

Первый момент. До начала обработки персональных данных компания обязана уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных. Эта обязанность установлена в пункте 1 статьи 22 закона № 152-ФЗ. Форма уведомления утверждена приказом Роскомнадзора от 17.07.08 № 08. Компания может не отправлять соответствующие уведомления, если обработка персональных данных будет осуществляться «вручную» — без использования средств автоматизации, а также если персональные данные включают только Ф.И.О. (подп. 8 п. 2 ст. 22 закона № 152-ФЗ). Несоблюдение обязанности по уведомлению Роскомнадзора в случаях, когда это обязательно, тоже подпадает под состав правонарушения, предусмотренного в статье 13.11 Кодекса об административных правонарушениях.

Второй момент. Компания обязана обеспечить конфиденциальность персональных данных, которые она использует (ст. 7 закона № 152-ФЗ). В этих целях необходимо принимать организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий (п. 1 ст. 19 закона № 152-ФЗ). Конкретные требования к обеспечению безопасности персональных данных при их обработке в информационных системах утверждены в постановлении Правительства РФ от 17.11.07 № 781 и приказе Федеральной службы по техническому и экспортному контролю от 05.02.10 № 58*".

2. ФЕДЕРАЛЬНЫЙ ЗАКОН ОТ 27.07.2006 № 152-ФЗ

"Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)*.

<...>

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом*. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных*".

Недвижимость: что изменилось после 1 января 2017 года

Не пропустите 14 апреля большую онлайн-конференцию для юристов. Неподражаемый Роман Бевзенко обсудит с практикующими юристами и представителями Росреестра и МФЦ «Мои документы» проблемы нового закона о регистрации недвижимости.

Это бесплатно



Академия юриста компании

Академия

Смотрите полезные юридические видеолекции

Смотреть

Cтать постоян­ным читателем журнала!

Cтать постоян­ным читателем журнала

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

Рассылка

© Актион кадры и право, Медиагруппа Актион, 2007–2016

Журнал «Юрист компании» –
первый практический журнал для юриста

Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».


  • Мы в соцсетях

Входите! Открыто!
Все материалы сайта доступны зарегистрированным пользователям. Регистрация займет 1 минуту.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×

Подпишитесь на рассылку. Это бесплатно.

В рассылках мы вовремя предупредим об акции, расскажем о новостях в работе юриста и изменениях в законодательстве.