Хранение персональных данных

1047
Осенью 2015 года были введены новые правила хранения и обработки персональных данных граждан, в том числе, касающиеся физического местоположения хранилищ с подобными данными.

Персональные данные — это любая информация, по которой можно определить, что речь идет о конкретном работнике. В 2015 году были приняты поправки в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» и некоторые другие законы: в том числе, изменились условия локализации баз персональных данных в России (Федеральный закон от 21.07.2014 № 242-ФЗ). Теперь Роскомнадзор контролирует выполнение условия об обработке персональных данных граждан России на территории страны. 

Локализация баз данных

Что такое локализация баз данных и на кого она распространяется? Суть локализации базы данных в том, чтобы хранить информацию с персональными данными граждан России на территории страны. Причем не важно, собрал работодатель сведения на бумажных носителях или через интернет. Это следует из ч. 5 ст. 18 Закона № 152-ФЗ, п. 7 ч. 1 ст. 16 Федерального закона от 27.07.2006 № 149-ФЗ.

Пример базы данных с персональными данными — это таблица с информацией о клиентах, контактных лицах клиентов компании. Работа с такой базой предполагает:

  • хранение,
  • накопление,
  • уточнение,
  • систематизацию и др. виды обработки.

Правило о локализации баз данных, в первую очередь, затрагивает интересы организаций, которые входят в международные группы компаний, и филиалы (представительства) иностранных фирм. Но оно также может коснуться российских компаний, например, использующих услуги провайдеров облачных сервисов; часто серверные мощности, предоставляемые такими провайдерами, находятся за границей.

Хранение баз сотрудников за границей

Можно ли хранить базу данных на сотрудников за границей? До того, как появятся однозначные официальные разъяснения и судебная практика по данному виду споров, рекомендуется хранить базы данных сотрудников на территории России.

Со временем работодатель сформирует базы данных:

  • на персонал (работающий, уволенный);
  • контрагентов (ФИО директоров, главных бухгалтеров и других ключевых фигур);
  • клиентов (с адресами доставки и другими данными).

Формально персональные данные работников работодатель вправе обрабатывать не только на территории России, но и за границей. Ведь ч. 5 ст. 18 Закона № 152-ФЗ не запрещает трансграничную передачу данных. Кроме того, есть исключения из правила о локализации баз данных. Например, когда работодатель обрабатывает персональные данные для достижения целей, предусмотренных законом. Или если работодатель выполняет функции, полномочия и обязанности, которые возложены на него законодательством.

Работодатель обязан с согласия работника собрать и обработать данные о работнике при заключении трудового договора (ст.ст. 57, 64 ТК РФ). Так, в каждом договоре указываются его ФИО и паспортные данные, а эта информация — персональные данные (п. 1 ст. 3 Закона № 152-ФЗ). В последующем работодатель также собирает и обрабатывает сведения о работнике, например, о статусе одинокой матери при принятии решения об увольнении (ч. 2 ст. 179, ч. 4 ст. 261 ТК РФ). То есть персональные данные обрабатываются, чтобы выполнить требования закона.

Однако спорным является то, насколько необходима обработка данных за рубежом.

В январе 2015 года Минкомсвязи выпустило неофициальное разъяснение (письмо от 19.01.2015 № П12-722-ОГ). Мнение чиновников было выгодно для работодателей – иностранных компаний, которые действуют в России через представительство или филиал. Позиция Минкомсвязи такова: на оператора-работодателя в отношении обработки персональных данных работника требования Закона № 242-ФЗ не распространяются.

Этот подход логичен. Например, компания открывает в России небольшое представительство, в котором отсутствует кадровый работник. Вопросы кадров решают сотрудники головного офиса или иностранного регионального центра. В такой ситуации обосновано, что база данных находится за пределами России.

Но уже в августе 2015 года чиновники из Минкомсвязи скорректировали позицию. Она стала менее категоричной: правильно ли работодатель применил исключение из ч. 5 ст. 18 Закона № 152-ФЗ — проверит Роскомнадзор при контрольных мероприятиях. Разъяснения включены в раздел «Ответы на часто задаваемые вопросы».

Поэтому лучше хранить информацию о работниках на территории России. Если этому мешают организационные моменты, нужно будет доказать, что работодатель обрабатывает персональные данные за пределами РФ в силу закона.

Что такое база данных

Что же является базой данных? Казалось бы, вопрос довольно простой, но здесь наблюдаются расхождения. Например, является ли базой данных шкаф с личными делами сотрудников? Роскомнадзор расценивает его как базу данных, а Минкомсвязи — нет. Судебной практики по данному вопросу нет.

Минкомсвязи считает, что база данных может быть только электронной. При этом чиновники ссылаются на ст. 1260 ГК РФ; в ней раскрыто понятие «база данных». Под базой данных понимают систематизированные материалы, которые можно найти и обработать с помощью электронно-вычислительной машины (ЭВМ). К материалам относятся статьи, расчеты, нормативные акты, судебные решения и иные подобные материалы.

Роскомнадзор к базам данных относит, в том числе:

  • электронные файлы в формате Excel или Word (списки, таблицы);
  • архивы, картотеки на бумажных носителях.

Свою позицию чиновники разъяснили в письме от 19.01.2015 № 08АП-3572. Вывод обосновали ст. 2 Модельного закона о персональных данных (принят в г. Санкт-Петербурге 16.10.1999).

Пока не ясно, какая позиция возобладает на практике. Представляется, что позиция Минкомсвязи, которая основана на российском законодательстве, имеет больше шансов стать основной. Но проверять компанию на соблюдение законодательства о персональных данных будет Роскомнадзор (п. 1 Положения, утв. постановлением Правительства РФ от 16.03.2009 № 228). Поэтому до появления судебной практики и официальных разъяснений можно рассматривать шкаф с личными делами как базу данных. На что влияет объем понятия базы данных — раскрывается в настоящей статье ниже.

Вторичная обработка данных

На какой территории можно обрабатывать данные повторно, если их собрали и сохранили в России? Вторичную (последующую) обработку персональных данных в форме хранения и иным образом, указанном в Законе № 242-ФЗ, нужно вести в России. Несмотря на неоднозначные разъяснения Минкомсвязи, это наиболее безопасный способ обработки персональных данных.

На официальном сайте Минкомсвязи чиновники отвечают на конкретные вопросы работодателей (http://www.minsvyaz.ru/ru/personaldata/). Из некоторых ответов можно сделать противоположные выводы.

Локализация баз нужна только при первичном сборе данных

В части 5 ст. 18 Закона № 152-ФЗ говорится только о первичном сборе персональных данных. Например, работодатель при найме внес персональные данные работника в трудовой договор, личную карточку и программу 1С, которые хранятся в России. Значит, он выполнил требование Закона № 242-ФЗ. Если работодатель внесет (скопирует) данные в том же или меньшем объеме в иностранную систему (к примеру, SAP или Oracle), то закон он не нарушит (http://www.minsvyaz.ru/ru/personaldata/#1438548218895).

Локализация баз нужна при любом сборе данных

Понятия «первичный сбор» персональных данных не существует. Такая трактовка ч. 5 ст. 18 Закона № 152-ФЗ ошибочна. В Законе № 242-ФЗ установлены требования к локализации персональных данных при любом их сборе. Поэтому хранить сведения, систематизировать их или уточнять нужно в базах данных, которые находятся на территории России. Работодатель нарушит закон, если, например, скопирует данные из системы 1С в CRM с сервером за пределами России (http://www.minsvyaz.ru/ru/personaldata/#1438172543230).

Позиция о необходимости локализации базы данных только при первичном сборе информации в большей степени отвечает интересам работодателей. Но стоит признать, что полностью обосновать ее нормами закона сложно. Так, тезис о том, что под сбором персональных данных понимается их получение непосредственно от субъекта, например от кандидата при найме, не согласуется с ч. 3 ст. 18 «Обязанности оператора при сборе персональных данных» Закона № 152-ФЗ. По этой норме данные можно получить от третьих лиц.

Роскомнадзор уже несколько месяцев проводит плановые проверки работодателей на соблюдение законодательства о локализации баз данных. В 2015 году контролеры не выявили нарушений в части локализации у организаций, которые предположительно используют иностранные базы данных. В частности, в декабре 2015 года успешно прошло проверку ООО «Дженерал Моторз Авто» (https://proverki.gov.ru). Однако показательным будет 2016 год, когда пройдут массовые проверки в крупных компаниях с иностранным участием (http://rkn.gov.ru/news/rsoc/news37043.htm).

Читайте об этом

Хранение персональных данных в России. Какие особенности есть для сведений о работниках

Читайте также

Согласие на обработку персональных данных

В компании вводится видеонаблюдение. Условия, которые подтвердят законность такого контроля

Английский. Персональные данные сотрудника



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией


Опрос

Когда ваша компания составляет график отпусков?

  • за 2 недели до окончания года 44.44%
  • постфактум, когда работники реально идут в отпуск 13.89%
  • когда дойдут руки 8.33%
  • графика нет, проверок не боимся 0%
  • мы молодцы — уже составили! 33.33%
результаты

Рассылка



© Актион кадры и право, Медиагруппа Актион, 2008–2016

Журнал «Трудовые споры» –
практика разрешения трудовых конфликтов
Использование материалов сайта возможно только с письменного разрешения редакции журнала «Трудовые споры»


  • Мы в соцсетях

Входите! Открыто!
Все материалы сайта доступны зарегистрированным пользователям. Регистрация займет 1 минуту.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль