По договору финансовой аренды (договору лизинга) арендодатель обязуется приобрести в собственность указанное арендатором имущество у определенного им продавца и предоставить арендатору это имущество за плату во временное владение и пользование.

 

Таким образом, арендодатели в ходе своей деятельности осуществляют обработку персональных данных как своих работников, так и арендаторов/лизингополучателей в связи с чем в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» являются операторами, осуществляющими обработку персональных данных.

 

Обработка персональных данных арендаторов/лизингополучателей, с которыми заключаются договоры гражданско-правового характера

 

При осуществлении своей деятельности организации, осуществляющие деятельность по аренде/лизингу, вправе заключать договоры оказания услуг с юридическими лицами, индивидуальными предпринимателями и физическими лицами. При заключении договора представители юридических лиц представляют персональные данные в объеме: фамилия, имя, отчество, место работы, должность, абонентский номер телефона; индивидуальные предприниматели в объеме: фамилия, имя, отчество, ИНН, ОГРНИП, адрес; абонентский номер телефона; физические лица в объеме: ИНН, СНИЛС, фамилия, имя, отчество, реквизиты документа, удостоверяющего личность, адрес электронной почты, номер телефона. Данный перечень не ограничивается указанными категориями персональных данных.

 

Согласие арендатора/лизингополучателя

на обработку персональных данных

 

Согласно пункту 3 статьи 3 Федерального закона о персональных данных под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка персональных данных должна соответствовать определенным целям. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. В данном случае цель определяется договором между организацией, осуществляющей деятельность в области спорта, отдыха и развлечений и заказчиком услуг (арендатор/лизингополучатель).

Организация, осуществляющая деятельность по аренде, должна четко определить состав персональных данных, подлежащих обработке и способ их обработки. Выделяют несколько способов обработки:

- автоматизированная обработка персональных данных − обработка персональных данных с помощью средств вычислительной техники;

- неавтоматизированная обработка персональных данных – обработка персональных данных, осуществляемая при непосредственном участии человека;

- смешенная обработка персональных данных.

При обработке персональных данных арендатора/лизингополучателя арендодателем/лизингодателем (далее – организация) необходимо учитывать требования Федерального закона и иных нормативных правовых актов, регламентирующих обработку персональных данных в данной сфере.

В соответствии с законодательством обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, а также при наличии иных правовых оснований.

Так, согласие субъекта персональных данных не требуется в случае, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (пункт 5 части 1 статьи 6 Федерального закона о персональных данных).

Также допускается обработка персональных данных в случае, если она необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (пункт 2 части 1 статьи 6 Федерального закона о персональных данных).

 

Обработка персональных данных работников

 

Работодатель, согласно статье 22 Трудового кодекса Российской Федерации, обязан осуществлять обязательное социальное страхование работников в порядке, установленном федеральными законами, в частности Федеральным законом «Об обязательном пенсионном страховании в Российской Федерации, Федеральным законом «Об основах обязательного социального страхования, Федеральным законом «Об обязательном медицинском страховании в Российской Федерации».

Таким образом, передача персональных данных работников в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации осуществляется без их согласия.

Согласие работника не требуется при передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, в том числе, при его командировании (в соответствии с Правилами предоставления гостиничных услуг в Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 09.10.2015 № 1085, нормативными правовыми актами в сфере транспортной безопасности).

Под исключения, связанные с отсутствием необходимости получения согласия, подпадают случаи передачи работодателем персональных данных работников в налоговые органы, военные комиссариаты, профсоюзные органы, предусмотренные действующим законодательством Российской Федерации.

Согласие работника не требуется при получении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.

Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.

В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.

Необходимо отметить, что передача персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:

а) договор на выпуск банковской карты заключался напрямую с работником, в тексте которого предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;

б) наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;

в) соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 Трудового кодекса РФ).

При привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан соблюдать требования, установленные частью 3 статьи 6 Федерального закона о персональных данных, в том числе, получить согласие работников на передачу их персональных данных.

В случае размещения персональных данных работников посредством их опубликования на официальном сайте оператора необходимо учитывать, что обработка персональных данных работников при изложенных обстоятельствах не предусмотрена трудовым законодательством и осуществляется с согласия субъекта персональных данных.

Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством. К таким случаям, в том числе, относится обработка персональных данных в рамках бухгалтерского и налогового учета.

Так, согласно подпункту 5 пункта 3 статьи 24 Налогового кодекса Российской Федерации установлена обязанность налоговых агентов (работодателей) в течение 4 лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога.

Статья 7 Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» определяет, что хранение документов бухгалтерского учета организуется руководителем экономического субъекта, если иное не установлено бюджетным законодательством Российской Федерации.

Таким образом, с учетом положений пункта 2 части 1 статьи 6 Федерального закона «О персональных данных» согласие уволенных работников на обработку их персональных данных в вышеуказанных случаях не требуется.

Согласно частям 1,2 статьи 22.1 Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» сроки хранения архивных документов устанавливаются федеральными законами, иными нормативными правовыми актами Российской Федерации, а также перечнями документов, предусмотренными частью 3 статьи 6 и частями 1, 1.1 статьи 23 настоящего федерального закона.

Сроки хранения архивных документов независимо от места их хранения исчисляются с 1 января года, следующего за годом, в котором они были закончены делопроизводством.

 

Права и обязанности оператора персональных данных.

Локальные документы оператора

 

Организация, осуществляющая деятельность в области аренды или лизинга, при обработке персональных данных обязана принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными актами, в том числе необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также, от неправомерных действий в отношении персональных данных.

Согласно статье 7 Федерального закона операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.

К правовым и организационным мерам относится разработка локальных актов оператора организационно-распорядительного характера и построение деятельности организации в соответствии с ними.

Примеры локальных актов, регламентирующих деятельность оператора в части защиты персональных данных относятся: 

- Издание документов, определяющих политику оператора в отношении обработки персональных данных;

- Положение об обработке и защите персональных данных арендатора/лизингополучателя;

- Обязательство о соблюдении режима конфиденциальности персональных данных арендатора/лизингополучателя;

- Перечень должностей сотрудников, имеющих доступ к персональным данным арендатора/лизингополучателя;

- Приказ о назначении лица, ответственного за организацию обработки персональных данных;

- Приказ об утверждении мест хранения материальных носителей персональных данных арендатора/лизингополучателя и другие.

Согласно статье 18.1 Федерального закона о персональных данных оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Технические меры по защите персональных данных в соответствии с частью 2 статьи 19 Федерального закона о персональных данных устанавливаются приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и приказом ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

 

Права и обязанности субъекта персональных данных, необходимые, к соблюдению оператором, осуществляющим обработку персональных данных

 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей следующие сведения:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом о персональных данных;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.

 

 

Уведомление уполномоченного органа

 

В соответствии с частью 1 статьи 22 Федерального закона о персональных данных операторы, осуществляющие деятельность по трудоустройству и подбору персонала, до начала обработки персональных данных обязаны уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Возможность для оператора осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных имеет место исключительно в тех случаях, которые предусмотрены частью 2 статьи 22 Федерального закона о персональных данных.

 

 

Время публикации: 02.12.2020 15:26
Последнее изменение: 02.12.2020 15:27