17 декабря 2012 г.

Согласие как продукт при полном непротивлении сторон. Роскомнадзор: разъяснения, которые ждали

В пятницу произошло не очень заметное, но, как мне кажется, очень важное событие. На сайте Роскомнадзора опубликована позиция уполномоченного и одновременно надзорного органа по вопросам обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве. Важное, потому что регулятор фактически впервые предложил создать документ по весьма модной, но на практике редко используемой схеме частно-государственного партнерства. В роли участников, представляющих негосударственную сторону, выступили специалисты, много и активно занимающиеся проблематикой персональных данных и, что здесь главное, делящиеся своими мыслями в своих блогах – Алексей Лукацкий, Алексей Волков, Александр Токаренко и ваш покорный слуга (Михаил Емельянников). Схема работы серьезно отличается от краудсорсинга, который при подготовке последних документов активно используется ФСБ и особенно ФСТЭК. Не запрос мнения по заранее подготовленному проекту, отзывы на который куда-то падают и потом неведомым образом трансформируются или не трансформируются в редакцию документа (я вовсе не отрицаю возможную продуктивность использования такой схемы, просто констатирую факт), а попытка совместного поиска решения с конкретными людьми вплоть до достижения некоего компромисса, фиксируемого документально. Компромисса, поскольку взгляды двух и более людей совпадать не могут, и они должны договориться, отстаивая принципиальное и соглашаясь с тем, что таковым не является, для достижения делаемого результата.
Надо признать, что позиция Романа Валерьевича Шередина, инициатора этого проекта, была абсолютно беспроигрышной. Критикуете, предлагаете, да еще публично? Отлично! Давайте вместе найдем решение и застолбим его, как позицию регулятора. Отказаться от такого предложения – признаться в собственном неконструктивизме. Впряглись. Появившаяся публикация должна быть первой ласточкой. Впереди еще очень много, требующего прояснения, для чего надо найти внятное и, главное, выполнимое на практике, решение – биометрия с фотографиями и их копиями разного качества, спецкатегории, оферты как формы договоров с субъектами персданных и т.д. и т.п. Надеюсь, идущие дорогу все-таки осилят.  
А теперь о том, что представляемся мне лично самым важным в обнародованной позиции. 
Согласия работника на обработку его персональных данных не нужно, но! Их объем должен соответствовать неким перечням, установленным нормативно-правовыми актами (Трудовым кодексом, Роскомстата) или иными документами, например, коллективным договором, правилами трудового распорядка (!), иными локальными актами работодателя, принятыми в порядке, установленном ст. 372 Трудового кодекса. Обратите внимание, ссылка дается не только на федеральные законы, но и на постановления Правительства, ведомственные акты (постановление Госкомстата Российской Федерации от 05.01.2004 № 1) и даже внутренние локальные акты, принятые в рамках компетенций, установленных законом. Надеюсь, теперь прекратятся бесконечные споры о необходимости получения доказываемого согласия родственников, чьи персданные отражаются в Форме Т-2.
Наконец-то закрыта тема правомерности обработки данных о состоянии здоровья работника без его согласия в рамках определения возможности выполнения им трудовой функции (ежедневный и профилактический медицинский осмотр), обязательного медицинского, социального и пенсионного страхования.
Прорыв! Не надо согласия на передачу персданных третьим лицам при направлении в командировку, бронировании гостиниц и покупке билетов. Опять-таки в объеме, установленном нормативно-правовыми актами, что очень правильно
Разъяснено, как и на какие запросы о работниках надо отвечать органам власти и профсоюзам.
Наконец-то однозначно разъяснены вопросы выпуска платежных карт для начисления заработной платы работникам и осуществления пропускного режима на предприятии. Предусмотрена возможность выражения согласия, требующегося в письменной форме, непосредственно в трудовом договоре, если содержание его соответствует части 4 ст.9 152-ФЗ. Я очень рад за своих клиентов, которым этот вариант решения проблемы я предлагаю давно, на курсах, семинарах и в конкретных проектах.
При определении сроков обработки персданных уволенных работников даны ссылки на бухгалтерское и налоговое законодательство, что очень правильно.
Ура! По-моему, впервые официально подтверждено, что обработка персданных, находящихся на архивном хранении, 152-ФЗ не регулируется. 
И, наконец, расписаны основания для обработки персданных соискателей вакантных должностей. Не все здесь мне кажется правильным, но после драки кулаками не машут. Как вынесено в заголовок поста, согласие есть продукт полного непротивления сторон. И спорить с монтером Мечниковым бесполезно. Поэтому я считаю, что однозначные и выполнимые рекомендации (а провести проверку предоставления резюме соискателем и получить согласие на включение его в кадровый резерв, безусловно, можно) гораздо лучше, чем полная неопределенность и произвольное толкование.
Завершающий аккорд. Проставление отметки в соответствующем поле web-формы рассматривается как выражение согласия. По аналогии применения права, электронный бизнес, требующий обработки персональных данных, становится легальным. И это – одно из самых важных для меня достижений совместной работы с регулятором.
Рецепт от автора поста, как положено. Пересмотрите свои локальные акты и приведите в соответствие с разъяснением. Жить станет легче. Для радикалов, не приемлющих компромисса. У вас тоже есть легальный путь. Спорьте в суде, если считаете иначе, чем написано в рассматриваемом документе. Или, по крайней мере, будьте готовы к этому.

7 комментариев:

  1. Пр галочку - это Вы зря. Теперь банки, мобоператоры и другие заинтересованные в обработке ПДн лица смогут автоматически проставлять ЗА Вас галочки в своих вебформах и это будет согласие. Вроде Вы же уже же на это же сами и натыкались. Я думаю суды будут думать иначе, особенно при наличии ЭЦП и ЭП.

    ZZubra

    ОтветитьУдалить
  2. То, о чем Вы пишите, не имеет отношения к 152-ФЗ. Это УК, ст.159.6 во всей ее новизне. А в сегодняшнем интернете иначе, как с галочкой нельзя. И хорошо, что регулятор и надзорный орган одновременно это признал. Если мошенничество - в суд. Если пользовться сервисом на сайте - галочка.

    ОтветитьУдалить
    Ответы
    1. Лукавите, что не относится ))))) Ну хорошо, пофантазирую:
      враг людей пишет программку которая от Вашего имени (берет из блогов и других источников) используя простую электронную подпись в виде галочки (пока единственный вариант обоснования по 152ФЗ) делает множественные заявки в различные органы власти и различные магазины о: госуслугах и покупках, в том числе о рождении детей, смерти, выдаче паспорта и т.п.
      Первая реакция: те кому приходится оформлять документы и покупки в таких количествах Вас начинает люто ненавидеть (комерсанты прекращают обслуживать)
      Вторая реакция: находят Вас и спрашивают: "ДОКОЛЕ???", а Вы: "ВЫ О ЧЕМ???!!!" или Вам понадобится услуга/покупка, а в ответ ненависть на лицах (или отказ).
      А дальше Вам тыкают, что все это делали Вы, потому что стоит галочка! А Вы что согласитесь, потому что "в сегодняшнем интернете иначе, как с галочкой нельзя"???

      Конечно это немного не в тему ФЗ152, но аналогично Вас могут начать тролить по всем каналам связи с рекламой по "загалочкованым" Вами сведениям.

      Удалить
  3. 2ZZubra Все правильно. Я эти сюжеты сам на курсах рисую. Могу добавить любимый - Вы от имени того, к кому испытываете такое, что даже кушать не можете, обращаетесь с использованием веб-формы во все крупнейшие банки с заявкой на кредит, который тот самый хочет получить, но не успел. Указываете сведения, заведомо приводящие к отказу, дальше - понятно. Но! в сегодняшнем инете другого нет. Альтернативы - закрыть электронную коммерцию к чертям собачьим или требовать от потребителя сертификат ЭП, что почти тоже самое.Выходы будут искаться и появится. Я один как минимум могу предложить прямо щас. Но пока никто в это вкладываться не хочет, а бесплатно сами знаете что и где. Поэтому говорим не о ФЗ-152, а о 159.6 УК.

    ОтветитьУдалить
  4. Как правильно называется данный документ, в котором задокументированы разъяснения? Не ссылаться же на страничку из новостей на сайте РКНа...

    ОтветитьУдалить
  5. Анастасия, нет у него официального названия. Назовите "Разъяснения Роскомнадзора, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве" и давайте ссылку на сайт. Пока так.

    ОтветитьУдалить
  6. Здравствуйте, Михаил!

    Хотелось бы задать вопрос по смежной теме, которой не коснулись обсуждаемые здесь Рекомендации.
    Вопрос в следующем: нужно ли все-таки уведомлять РКН, если обрабатываются ПДн только своих сотрудников?

    Если читать ФЗ, то там да, сказано, что не нужно. Однако на форумах люди, прошедшие проверку, пишут, что проверяющие находят повод (типа "а вы перечисляете ЗП на банковскую карту" и т.д.) и требуют подачу уведомления.

    Хотя, если поразмыслить над тем, что написано в законе, в большинстве случаев ПДн обрабатываются либо в связи с трудовыми отношениями, либо в связи с заключением договора (и естественно, без согласия третьим лицам не передаются). Т.е. по логике тех случаев, когда нужно уведомляться, очень мало.)))

    Вот и хотелось бы услышать окончательное решение по данному вопросу.

    С уважением, Иван Петров.

    P.S. Извините за многословность, очунь уж эта тема волнует глубоко и мучительно.

    ОтветитьУдалить