Работа с персональными данными
Информация только для медицинских и фармацевтических специалистов

Работа с персональными данными

С ними приходится сталкиваться постоянно – и работодателю, обрабатывающему и хранящему личную информацию сотрудника, и работнику, от которого требуется согласие или несогласие на ее использование. При этом действия и первого и второго достаточно жестко регламентируются.

Особенности терминологии

Обработка персональных данных (ПД) регулируется федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон). ПД включают любую информацию, имеющую прямое или косвенное отношение к определенному или определяемому физическому лицу (ст. 3 Закона). Чаще всего обработке подлежат следующие данные: 

  • фамилия, имя, отчество

  • пол, возраст

  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации

  • место жительства

  • семейное положение, наличие детей, родственные связи

  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.)

  • финансовое положение, заработная плата

  • деловые и иные личные качества, которые носят оценочный характер

  • контактные данные (в том числе адрес электронной почты, номер телефона).

Категории ПД, которые обрабатываются реже:

  • биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности, используемые для установления личности, в том числе фотография, видеозапись и все, что связано с телом)

  • специальные категории ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни

  • иные сведения, которые могут идентифицировать личность.

Согласно п. 1 ч. 1 ст. 86 ТК РФ обработка ПД работника (субъекта ПД) может осуществляться исключительно для обеспечения соблюдения законов и иных нормативных правовых актов, личной безопасности работников, сохранности имущества, содействия работникам в трудоустройстве, получении образования и продвижении по службе, контроля количества и качества выполняемой работы.


Основные правила работы с ПД

  • Операторы и иные лица, получившие доступ к ПД, обязаны не раскрывать их третьим лицам и не распространять без согласия субъекта ПД, если иное не предусмотрено федеральным законом (ст. 7 Закона)

  • Содержание и объем ПД должны соответствовать заранее заявленным конкретным целям обработки данных, при их достижении оператор обязан прекратить обработку или обеспечить ее прекращение и уничтожить ПД в срок, не превышающий 30 дней

 Основные правила работы с ПД
Работодатель не имеет права получать и обрабатывать сведения о работнике, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также данные работника о его членстве в общественных объединениях или его профсоюзной деятельности (ст. 86 ТК РФ)
Согласие на обработку данных

Обработка ПД осуществляется с согласия работника (ст. 6, ст. 9 Закона), которое может быть дано в любой форме, позволяющей подтвердить факт его получения. В случае возникновения спора доказывать, что такое согласие существует, должен работодатель (оператор ПД), поэтому целесообразно оформлять его письменно. 


В некоторых случаях письменная форма прямо предусмотрена законом (ч. 4 ст. 9 Закона), например:

  • при получении ПД работника у третьей стороны (п. 3 ст. 86 ТК РФ)

  • при передаче ПД работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в иных предусмотренных федеральными законами случаях (абз. 2 ст. 88 ТК РФ)

  • для обработки специальных категорий ПД работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона), например, информации о состоянии здоровья в пределах тех сведений, которые относятся к вопросу о возможности выполнения трудовой функции

  • для обработки биометрических персональных данных, а именно сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (ст. 11 Закона)

  • при поручении обработки ПД работника другой организации (например, для ведения кадрового и бухгалтерского учета) (ч. 3 ст. 6 Закона)

  • обработка ПД, разрешенных субъектом для распространения (ст. 10.1 Закона).

Согласие на обработку ПД должно быть конкретным, информированным и сознательным и включать сведения, указанные в ст. 9 Закона:

  • фамилию, имя, отчество, адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе

  • при получении согласия от представителя работника (в случае смерти, нетрудоспособности) – его фамилию, имя, отчество, адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя

  • наименование предприятия или фамилию, имя, отчество и адрес работодателя

  • цель обработки ПД

  • перечень ПД, которые подлежат обработке

  • фамилию, имя, отчество и адрес лица или наименование организации, осуществляющих обработку ПД по поручению работодателя, если она поручена такому лицу или организации

  • перечень действий с ПД, на совершение которых работником дано согласие, общее описание способов их обработки

  • срок, в течение которого действует согласие работника на обработку его ПД, и способ отзыва согласия

  • подпись работника.

Все ПД работника аптеки следует получать у него самого (ст. 86 ТК РФ). Если данные может предоставить только третья сторона, субъекта ПД следует заранее уведомить об этом и заручиться его письменным согласием на предоставление таких данных (например, решение Верховного суда Республики Дагестан от 24.05.2018 № 21-607/2018)


При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на ПД, полученных исключительно в результате их автоматизированной обработки и электронно (ст. 86 ТК РФ). Получение ПД из открытых интернет-источников может быть квалифицировано как нарушение, если такой сбор данных будет производиться без согласия на обработку и уведомления уполномоченного органа об обработке таких данных (например, определение Верховного суда РФ от 29.01.2018 № 305-КГ17-21291 по делу № А40-5250/2017).


Обратите внимание!
Роструд рекомендует включить в форму согласия на обработку ПД пункт о разрешении хранения копий документов – паспорта, СНИЛС, ИНН – в личном деле
https://www.rostrud.ru/rostrud/deyatelnost/?ID=591451


Когда согласие не требуется?

Когда согласие не требуется?

Если получить согласие на обработку невозможно (например, работник не выходит на связь), а промедление может повлечь значительные неблагоприятные последствия, допускается обработка ПД без согласия сотрудника (п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона). 


Приведем некоторые ситуации, на которые распространяется эта норма:

  • обработка необходима для достижения целей, предусмотренных законодательством или международным договором РФ

  • обработка осуществляется в связи с участием в судопроизводстве либо в целях исполнения судебного акта или обязательного акта уполномоченного органа, должностного лица

  • обработка необходима для исполнения полномочий органов власти, внебюджетных фондов и функций организаций, участвующих в предоставлении госуслуг (федеральный закон от 27 июля 2010 года № 210-ФЗ)

  • обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение согласия от работника невозможно

  • обработка осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством

  • при наличии иных оснований, установленных законодательством.

Общедоступные источники персональных данных

К источникам ПД, которые доступны для широкого круга лиц, можно отнести:

  • справочники, адресные книги

  • списки работников и их телефонов на рабочих досках

  • фотографии на «досках почета»

  • данные в рассылке по корпоративной электронной почте о днях рождения сотрудников

  • публикации фото работников на сайте компании и др.

Если данные о сотруднике, размещенные работодателем, доступны неопределенному кругу лиц, оформляется письменное согласие на обработку ПД и разрешение на распространение в форме отдельного документа (ст. 10.1 Закона). Требования к содержанию согласия установлены приказом Роскомнадзора от 24.02.2021 № 18.


С 01.03.2022 можно будет получать согласие на обработку общедоступных ПД через систему Роскомнадзора. 

Организация системы защиты ПД в аптеке

Для организации в соответствии с законодательством системы защиты ПД работников в аптеке необходимо:

  • издать локальный нормативный акт (Положение или Политика о защите ПД) и ознакомить с ним работников под роспись (ст. 86, 87 ТК РФ)

  • назначить лицо, ответственное за обработку ПД (ст. 22.1 Закона)

  • закрепить права доступа к ПД только специально уполномоченным на это лицам и получить от них обязательства о неразглашении (ст. 86, 88 ТК РФ)

  • организовать хранение ПД за счет средств работодателя в порядке, установленном ТК РФ, Законом и иными федеральными законами с обеспечением защиты ПД от неправомерного их использования или утраты (ст. 86 ТК  РФ)

  • определить необходимость уведомления Роскомнадзора об обработке ПД и при необходимости направить уведомление (ст.22 Закона, Приложение 1 к Методическим рекомендациям, утвержденное приказом Роскомнадзора от 30.05.2017 № 94)

  • регулярно проверять знания работников о работе с ПД (ст. 86 ТК РФ)

  • следить за сроками хранения документов и организовать порядок уничтожения информации (ст. 22.1 федерального закона от 22.10.2004 № 125-ФЗ, Перечень типовых управленческих архивных документов (утвержден приказом Росархива от 20.12.2019 № 236)

  • обеспечить техническую защиту информационных систем (постановление правительства РФ от 01.11.2012 № 1119)

  • проводить внутренний контроль соблюдения требований законодательства о ПД.

Ответственность за нарушение законодательства о персональных данных
Ответственность за нарушение законодательства о персональных данных

Административная ответственность работодателя предусмотрена ст. 13.11 КоАП РФ, согласно которой нарушение законодательства РФ в области ПД в зависимости от состава правонарушения может повлечь наложение административного штрафа на должностных лиц от 6 000 до 800 000 руб., на юридических лиц – от 30 000 до 18 000 000 руб. Помимо организации ответственность за нарушение несет ее руководитель как должностное лицо. 


Кроме административной ответственности при доказательстве факта незаконной передачи персональных данных суд может взыскать с работодателя моральный вред в пользу работника (ст. 90, ст. 237 ТК РФ). В соответствии со ст. 151 Гражданского кодекса РФ, если гражданину причинен моральный вред, нарушитель обязан обеспечить денежную компенсацию.


Работник, по вине которого было допущено нарушение норм, регулирующих обработку и защиту ПД других работников, может быть привлечен к дисциплинарной (пп. «в» п. 6 ч. 1 ст. 81, ст. 193 ТК РФ) и материальной (ст. 238, п. 7 ч. 1 ст. 243ТК РФ), а также к гражданско-правовой (ст. 151, ст. 1099 ГК РФ), административной (ст. 13.14 КоАП РФ) и уголовной ответственности (ст.137 УК РФ).


Юлия Жижерина

Журнал "Российские аптеки" №3, 2022

Вам могут понравиться другие статьи:

Кладовщик аптеки с функцией кассира
По закону
Кладовщик аптеки с функцией кассира

Может ли кладовщик аптеки выполнять функцию кассира?

Подробнее
Открытие конкурентов рядом с аптечной организацией
По закону
Открытие конкурентов рядом с аптечной организацией

Совсем рядом с нашей аптекой, стенка в стенку, открылись конкуренты. Это законно?

Подробнее
Оформляем отпуск правильно!
По закону
Оформляем отпуск правильно!

Процедура предоставления отпусков регулируется ТК РФ, и кадровой службе аптеки следует четко ее выполнять. Мы подготовили алгоритм предоставления ежегодного отпуска, который поможет избежать ти...

Подробнее
Должностная инструкция в 4 этапа
По закону
Должностная инструкция в 4 этапа

Работодатель, не конкретизировавший обязанности сотрудника, фактически лишается возможности требовать их выполнения, поскольку они не оговорены в трудовом договоре (ст. 60 ТК РФ). Поэтому ...

Подробнее
Отпуск сразу большого количества упаковок ОТС-препарата
По закону
Отпуск сразу большого количества упаковок ОТС-препарата

Покупательница попросила отпустить ей 20 упаковок ОТС-препарата, но следующий за ней мужчина выразил претензию, отметив, что другим может не хватить нужного лекарства. Как правильно с юридической т...

Подробнее
Душно в торговом зале аптеки – улучшение условий труда в такой ситуации
По закону
Душно в торговом зале аптеки – улучшение условий труда в такой ситуации

В последнее время из-за повышения количества покупателей в торговом зале аптеки стало душно. Обязано ли руководство позаботиться об улучшении условий труда в такой ситуации – например, как-то обнов...

Подробнее
Если вы фармацевт, провизор, первостольник, специалист здравоохранения или медицинский работник наш журнал «Российские аптеки» для вас.