Работа с персональными данными
Информация только для медицинских и фармацевтических специалистов

Работа с персональными данными

С ними приходится сталкиваться постоянно – и работодателю, обрабатывающему и хранящему личную информацию сотрудника, и работнику, от которого требуется согласие или несогласие на ее использование. При этом действия и первого и второго достаточно жестко регламентируются.

Особенности терминологии

Обработка персональных данных (ПД) регулируется федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон). ПД включают любую информацию, имеющую прямое или косвенное отношение к определенному или определяемому физическому лицу (ст. 3 Закона). Чаще всего обработке подлежат следующие данные: 

  • фамилия, имя, отчество

  • пол, возраст

  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации

  • место жительства

  • семейное положение, наличие детей, родственные связи

  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.)

  • финансовое положение, заработная плата

  • деловые и иные личные качества, которые носят оценочный характер

  • контактные данные (в том числе адрес электронной почты, номер телефона).

Категории ПД, которые обрабатываются реже:

  • биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности, используемые для установления личности, в том числе фотография, видеозапись и все, что связано с телом)

  • специальные категории ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни

  • иные сведения, которые могут идентифицировать личность.

Согласно п. 1 ч. 1 ст. 86 ТК РФ обработка ПД работника (субъекта ПД) может осуществляться исключительно для обеспечения соблюдения законов и иных нормативных правовых актов, личной безопасности работников, сохранности имущества, содействия работникам в трудоустройстве, получении образования и продвижении по службе, контроля количества и качества выполняемой работы.


Основные правила работы с ПД

  • Операторы и иные лица, получившие доступ к ПД, обязаны не раскрывать их третьим лицам и не распространять без согласия субъекта ПД, если иное не предусмотрено федеральным законом (ст. 7 Закона)

  • Содержание и объем ПД должны соответствовать заранее заявленным конкретным целям обработки данных, при их достижении оператор обязан прекратить обработку или обеспечить ее прекращение и уничтожить ПД в срок, не превышающий 30 дней

 Основные правила работы с ПД
Работодатель не имеет права получать и обрабатывать сведения о работнике, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также данные работника о его членстве в общественных объединениях или его профсоюзной деятельности (ст. 86 ТК РФ)
Согласие на обработку данных

Обработка ПД осуществляется с согласия работника (ст. 6, ст. 9 Закона), которое может быть дано в любой форме, позволяющей подтвердить факт его получения. В случае возникновения спора доказывать, что такое согласие существует, должен работодатель (оператор ПД), поэтому целесообразно оформлять его письменно. 


В некоторых случаях письменная форма прямо предусмотрена законом (ч. 4 ст. 9 Закона), например:

  • при получении ПД работника у третьей стороны (п. 3 ст. 86 ТК РФ)

  • при передаче ПД работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в иных предусмотренных федеральными законами случаях (абз. 2 ст. 88 ТК РФ)

  • для обработки специальных категорий ПД работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона), например, информации о состоянии здоровья в пределах тех сведений, которые относятся к вопросу о возможности выполнения трудовой функции

  • для обработки биометрических персональных данных, а именно сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (ст. 11 Закона)

  • при поручении обработки ПД работника другой организации (например, для ведения кадрового и бухгалтерского учета) (ч. 3 ст. 6 Закона)

  • обработка ПД, разрешенных субъектом для распространения (ст. 10.1 Закона).

Согласие на обработку ПД должно быть конкретным, информированным и сознательным и включать сведения, указанные в ст. 9 Закона:

  • фамилию, имя, отчество, адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе

  • при получении согласия от представителя работника (в случае смерти, нетрудоспособности) – его фамилию, имя, отчество, адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя

  • наименование предприятия или фамилию, имя, отчество и адрес работодателя

  • цель обработки ПД

  • перечень ПД, которые подлежат обработке

  • фамилию, имя, отчество и адрес лица или наименование организации, осуществляющих обработку ПД по поручению работодателя, если она поручена такому лицу или организации

  • перечень действий с ПД, на совершение которых работником дано согласие, общее описание способов их обработки

  • срок, в течение которого действует согласие работника на обработку его ПД, и способ отзыва согласия

  • подпись работника.

Все ПД работника аптеки следует получать у него самого (ст. 86 ТК РФ). Если данные может предоставить только третья сторона, субъекта ПД следует заранее уведомить об этом и заручиться его письменным согласием на предоставление таких данных (например, решение Верховного суда Республики Дагестан от 24.05.2018 № 21-607/2018)


При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на ПД, полученных исключительно в результате их автоматизированной обработки и электронно (ст. 86 ТК РФ). Получение ПД из открытых интернет-источников может быть квалифицировано как нарушение, если такой сбор данных будет производиться без согласия на обработку и уведомления уполномоченного органа об обработке таких данных (например, определение Верховного суда РФ от 29.01.2018 № 305-КГ17-21291 по делу № А40-5250/2017).


Обратите внимание!
Роструд рекомендует включить в форму согласия на обработку ПД пункт о разрешении хранения копий документов – паспорта, СНИЛС, ИНН – в личном деле
https://www.rostrud.ru/rostrud/deyatelnost/?ID=591451


Когда согласие не требуется?

Когда согласие не требуется?

Если получить согласие на обработку невозможно (например, работник не выходит на связь), а промедление может повлечь значительные неблагоприятные последствия, допускается обработка ПД без согласия сотрудника (п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона). 


Приведем некоторые ситуации, на которые распространяется эта норма:

  • обработка необходима для достижения целей, предусмотренных законодательством или международным договором РФ

  • обработка осуществляется в связи с участием в судопроизводстве либо в целях исполнения судебного акта или обязательного акта уполномоченного органа, должностного лица

  • обработка необходима для исполнения полномочий органов власти, внебюджетных фондов и функций организаций, участвующих в предоставлении госуслуг (федеральный закон от 27 июля 2010 года № 210-ФЗ)

  • обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение согласия от работника невозможно

  • обработка осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством

  • при наличии иных оснований, установленных законодательством.

Общедоступные источники персональных данных

К источникам ПД, которые доступны для широкого круга лиц, можно отнести:

  • справочники, адресные книги

  • списки работников и их телефонов на рабочих досках

  • фотографии на «досках почета»

  • данные в рассылке по корпоративной электронной почте о днях рождения сотрудников

  • публикации фото работников на сайте компании и др.

Если данные о сотруднике, размещенные работодателем, доступны неопределенному кругу лиц, оформляется письменное согласие на обработку ПД и разрешение на распространение в форме отдельного документа (ст. 10.1 Закона). Требования к содержанию согласия установлены приказом Роскомнадзора от 24.02.2021 № 18.


С 01.03.2022 можно будет получать согласие на обработку общедоступных ПД через систему Роскомнадзора. 

Организация системы защиты ПД в аптеке

Для организации в соответствии с законодательством системы защиты ПД работников в аптеке необходимо:

  • издать локальный нормативный акт (Положение или Политика о защите ПД) и ознакомить с ним работников под роспись (ст. 86, 87 ТК РФ)

  • назначить лицо, ответственное за обработку ПД (ст. 22.1 Закона)

  • закрепить права доступа к ПД только специально уполномоченным на это лицам и получить от них обязательства о неразглашении (ст. 86, 88 ТК РФ)

  • организовать хранение ПД за счет средств работодателя в порядке, установленном ТК РФ, Законом и иными федеральными законами с обеспечением защиты ПД от неправомерного их использования или утраты (ст. 86 ТК  РФ)

  • определить необходимость уведомления Роскомнадзора об обработке ПД и при необходимости направить уведомление (ст.22 Закона, Приложение 1 к Методическим рекомендациям, утвержденное приказом Роскомнадзора от 30.05.2017 № 94)

  • регулярно проверять знания работников о работе с ПД (ст. 86 ТК РФ)

  • следить за сроками хранения документов и организовать порядок уничтожения информации (ст. 22.1 федерального закона от 22.10.2004 № 125-ФЗ, Перечень типовых управленческих архивных документов (утвержден приказом Росархива от 20.12.2019 № 236)

  • обеспечить техническую защиту информационных систем (постановление правительства РФ от 01.11.2012 № 1119)

  • проводить внутренний контроль соблюдения требований законодательства о ПД.

Ответственность за нарушение законодательства о персональных данных
Ответственность за нарушение законодательства о персональных данных

Административная ответственность работодателя предусмотрена ст. 13.11 КоАП РФ, согласно которой нарушение законодательства РФ в области ПД в зависимости от состава правонарушения может повлечь наложение административного штрафа на должностных лиц от 6 000 до 800 000 руб., на юридических лиц – от 30 000 до 18 000 000 руб. Помимо организации ответственность за нарушение несет ее руководитель как должностное лицо. 


Кроме административной ответственности при доказательстве факта незаконной передачи персональных данных суд может взыскать с работодателя моральный вред в пользу работника (ст. 90, ст. 237 ТК РФ). В соответствии со ст. 151 Гражданского кодекса РФ, если гражданину причинен моральный вред, нарушитель обязан обеспечить денежную компенсацию.


Работник, по вине которого было допущено нарушение норм, регулирующих обработку и защиту ПД других работников, может быть привлечен к дисциплинарной (пп. «в» п. 6 ч. 1 ст. 81, ст. 193 ТК РФ) и материальной (ст. 238, п. 7 ч. 1 ст. 243ТК РФ), а также к гражданско-правовой (ст. 151, ст. 1099 ГК РФ), административной (ст. 13.14 КоАП РФ) и уголовной ответственности (ст.137 УК РФ).


Юлия Жижерина

Журнал "Российские аптеки" №3, 2022

Вам могут понравиться другие статьи:

Неплатежеспособные купюры для аптеки
По закону
Неплатежеспособные купюры для аптеки

Обязаны ли аптеки принимать поврежденные, ветхие или грязные купюры? В каких случаях купюра считается неплатежеспособной и как аргументировать отказ в ее приеме покупателю?

Подробнее
Рецепты на лекарственные средства, подлежащие ПКУ, от врача ИП
По закону
Рецепты на лекарственные средства, подлежащие ПКУ, от врача ИП

Может ли врач ИП выписывать рецепты на лекарственные средства, подлежащие ПКУ, на курс лечения свыше 30 дней? Может ли он иметь печать «Для рецептов»?

Подробнее
Невозможность продолжать работу из-за конфликта с покупателем
По закону
Невозможность продолжать работу из-за конфликта с покупателем

У коллеги произошел конфликт с покупателем, который оскорбил ее при других сотрудницах и посетителях. Она так расстроилась, что не могла продолжить работу некоторое время из-за ухудшения самочувств...

Подробнее
Покупатель недоволен качеством консультации фармспециалиста
По закону
Покупатель недоволен качеством консультации фармспециалиста

Покупатель, получив консультацию фармспециалиста, остался недоволен ее качеством и потребовал пригласить заведующего аптекой. Первостольник, зная, что последний в данный момент занят, отказала. В о...

Подробнее
Деление препаратов с QR-кодом по новому закону
По закону
Деление препаратов с QR-кодом по новому закону

Почему по новому закону нельзя делить препараты с кюар кодом? Все возмущены. Выслушиваем от посетителей аптек много неприятных слов. Крайние всегда первостольники.

Подробнее
Если вы фармацевт, провизор, первостольник, специалист здравоохранения или медицинский работник наш журнал «Российские аптеки» для вас.