Проект Приказа Фонда пенсионного и социального страхования Российской Федерации "Об утверждении Правил обработки персональных данных в Фонде пенсионного и социального страхования Российской Федерации" (подготовлен Социальным фондом России 05.04.2024)

Досье на проект

Пояснительная записка

В соответствии со статьей 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" приказываю:

1. Утвердить прилагаемые Правила обработки персональных данных в Фонде пенсионного и социального страхования Российской Федерации.

2. Признать утратившим силу приказ Фонда социального страхования Российской Федерации от 21 января 2014 г. N 10 "Об утверждении Положения о защите персональных данных работников Фонда социального страхования Российской Федерации, обрабатываемых без использования средств автоматизации" (зарегистрирован Министерством юстиции Российской Федерации 7 мая 2014 г., регистрационный N 32194).

Председатель

С. Чирков

Приложение

УТВЕРЖДЕНЫ
приказом Фонда пенсионного
и социального страхования
Российской Федерации
от №

Правила обработки персональных данных в Фонде пенсионного и социального страхования Российской Федерации

I. Общие положения

1. Правила обработки и защиты персональных данных в Фонде пенсионного и социального страхования Российской Федерации (далее - Правила) определяют политику СФР как оператора, осуществляющего обработку персональных данных и определяющего цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2. Правила разработаны в соответствии с главой 14 Трудового кодекса Российской Федерации (далее - ТК РФ), Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон о персональных данных), Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Федеральным законом от 14 июля 2022 г. № 236-ФЗ «О Фонде пенсионного и социального страхования Российской Федерации» и другими нормативными правовыми актами Российской Федерации, определяющих случаи и особенности обработки персональных данных.

В соответствии с пунктом 2 статьи 3 Федерального закона о персональных данных Фонд пенсионного и социального страхования Российской Федерации является оператором персональных данных.

3. Обработка персональных данных СФР осуществляется с соблюдением принципов, требований и условий, предусмотренных Правилами и нормативными правовыми актами Российской Федерации, регулирующими обработку персональных данных.

4. Обработка персональных данных осуществляется с использованием средств автоматизации, без использования таких средств, а также осуществляется смешанная обработка, когда используются оба этих способа.

Обработка персональных данных без использования средств автоматизации может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.

5. К субъектам персональных данных, персональные данные которых обрабатываются в СФР, в соответствии с настоящими Правилами относятся:

работники, относящиеся к учреждениям системы СФР и их близкие родственники;

уволенные работники, относящиеся к учреждениям системы СФР;

граждане, претендующие на замещение вакантных должностей работников СФР;

лица, обработка персональных данных которых осуществляется в связи с исполнением гражданско-правовых договоров, заключаемых учреждениями, относящимися к системе СФР;

лица, обработка персональных данных которых осуществляется в рамках международного взаимодействия;

лица, обработка персональных данных которых осуществляется в связи с осуществлением и выполнением возложенных законодательством Российской Федерации функций, полномочий и обязанностей.

граждане, обратившиеся в соответствии с Федеральным законом от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».

II. Основные понятия

6. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Категории персональных данных:

специальные - данные касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;

биометрические - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;

общедоступные - полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона о персональных данных;

иные - персональные данные, отличные от указанных выше 3-х категорий.

7. Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных для распространения.

8. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

9. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

10. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

11. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановление содержания персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

12. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

13. Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации и/или без использования таких средств.

III. Цели обработки персональных данных, категории, субъекты, персональные данные и действия с ними

14. Целями обработки персональных данных являются:

14.1. Цель обработки данных: реализация трудовых отношений, ведение кадрового и бухгалтерского учета.

14.1.1. Обрабатываемые персональные данные:

фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения;

семейное положение, имущественное положение, доходы, пол, адрес электронной почты;

адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство;

данные документа, удостоверяющего личность, данные водительского удостоверения;

данные документа, удостоверяющего личность за пределами Российской Федерации, данные документа, содержащиеся в свидетельстве о рождении;

реквизиты банковской карты, номер расчетного счета, номер лицевого счета;

профессия, должность, сведения о трудовой деятельности (в том числе стаж работы;

данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);

отношение к воинской обязанности, сведения о воинском учете, сведения об образовании;

сведения о состоянии здоровья, сведения о судимости.

14.1.2. Категории субъектов, персональные данные которых обрабатываются:

относящиеся к учреждениям системы СФР работники, соискатели, близкие родственники работников, уволенные работники.

14.1.3. Правовое основание обработки персональных данных:

обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

14.1.4. Перечень действий:

сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение);

извлечение, использование, передача (предоставление, доступ), обезличивание;

блокирование, удаление, уничтожение, распространение.

Способы обработки: смешанная.

14.2. Цель обработки данных: получение услуг СФР.

14.2.1. Обрабатываемые персональные данные:

фамилия, имя, отчество (при наличии), год рождения, месяц рождения, дата рождения, место рождения;

почтовый адрес (при наличии);

адрес электронной почты (при наличии);

указанный в обращении контактный телефон (при наличии);

социальное положение, доходы, пол, адрес электронной почты, адрес места жительства;

адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство;

данные документа, удостоверяющего личность, данные документа, удостоверяющего личность за пределами Российской Федерации;

реквизиты банковской карты, номер расчетного счета, номер лицевого счета;

сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);

сведения о состоянии здоровья;

иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.

14.2.2. Категории субъектов, персональные данные которых обрабатываются:

Получатели услуг СФР, законные представители получателей услуг СФР, граждане, обратившиеся в СФР в порядке, установленном Федеральным законом от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».

14.2.3. Правовое основание обработки персональных данных:

обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на СФР функций, полномочий и обязанностей;

обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг».

14.2.4. Перечень действий:

сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение);

извлечение, использование, передача (предоставление, доступ) государственным органам, органам местного самоуправления, организациям, обезличивание;

блокирование, удаление, уничтожение.

IV. Порядок обработки персональных данных

15. Порядок обработки персональных данных зависит от целей обработки, которые определяются возложенными законодательством Российской Федерации на СФР функциями.

16. В СФР используются информационные системы персональных данных, оператором которых является СФР.

17. Обработку персональных данных в этих системах производят работники СФР, имеющие санкционированный доступ к ним с утвержденными должностными обязанностями.

18. Для оформления такого доступа функциональным департаментом готовится служебная записка с указанием работников, которым оформляется доступ, и должностными обязанностями в информационных системах персональных данных СФР, необходимых им для выполнения своих должностных обязанностей.

19. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляются путем:

получения оригиналов необходимых документов;

копирования оригиналов документов;

внесения сведений в учетные формы (на бумажных и электронных носителях);

формирования персональных данных в ходе кадровой и бухгалтерской работы;

внесения (автоматической записи) персональных данных в информационные системы персональных данных, с которыми взаимодействуют указанные в пункте 16 Порядка системы.

20. Персональные данные обрабатываются в СФР, исходя из возложенных на СФР законодательством Российской Федерации функций и/или при наличии согласия субъекта персональных данных на такую обработку, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

21. Согласие на обработку персональных данных субъекта персональных данных, разрешенных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определения перечня персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения осуществляется с учетом статьи 10.1 Федерального закона о персональных данных.

22. Биометрические персональные данные обрабатываются при наличии письменного согласия субъекта персональных данных на обработку в соответствии с требованиями части 4 статьи 9 Федерального закона о персональных данных, а также в других случаях, предусмотренных частью 2 статьи 11 Федерального закона о персональных данных.

23. Специальные категории персональных данных обрабатываются при наличии письменного согласия субъекта персональных данных на обработку, а также в других случаях, предусмотренных пунктами 2-10 части 2 статьи 10 Федерального закона о персональных данных.

24. СФР не получает и не обрабатывает персональные данные субъектов персональных данных об их членстве в общественных объединениях или их профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ и иными федеральными законами. При принятии решений, затрагивающих интересы субъектов персональных данных, СФР не основывается на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

Если предоставление персональных данных и (или) получение работником подразделения, отвечающего за кадровое обеспечение деятельности СФР, уполномоченного на обработку персональных данных работников, согласия на обработку персональных данных являются обязательными, оператор разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.

25. Политика обработки персональных данных публикуется на официальном сайте СФР в информационно-телекоммуникационной сети «Интернет» и находится в созданном для этого разделе.

V. Сроки обработки персональных данных и доступ к персональным данным СФР

26. Сроки обработки персональных данных определяются в соответствии с законодательством Российской Федерации в области персональных данных.

27. Хранение персональных данных осуществляется не дольше того времени, которое требуется для достижения цели их обработки. Персональные данные уничтожаются после достижения целей их обработки или в случае утраты необходимости в достижении этих целей.

28. Срок хранения персональных данных, внесенных в информационную систему персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

29. В процессе хранения персональных данных обеспечиваются:

требования нормативных правовых актов, устанавливающих правила обработки сведений конфиденциального характера;

сохранность и целостность персональных данных, ограничение доступа к ним в соответствии с законодательством Российской Федерации;

контроль за достоверностью и степенью полноты персональных данных;

актуальность обрабатываемых персональных данных.

30. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности, путем фиксации их на разных материальных носителях, в специальных разделах или на полях форм (бланков).

31. Осуществляется раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях.

32. Хранение персональных данных в бумажном виде информации осуществляется в оборудованных для этих целей прочных, запираемых на замки и опечатываемых шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.

33. Доступ к персональным данным субъектов персональных данных, хранящимся и обрабатываемым без использования средств автоматизации, имеют:

председатель СФР;

первый заместитель председателя СФР, заместители председателя СФР (к персональным данным по курируемым направлениям);

руководство подразделения, отвечающего за кадровое обеспечение деятельности СФР;

начальник отдела, отвечающего за кадровое обеспечение деятельности СФР, его заместители и работники отдела, уполномоченные на обработку персональных данных (к персональным данным работников центрального аппарата и Контрольно-ревизионной комиссии Фонда пенсионного и социального страхования Российской Федерации);

начальники структурных подразделений (к персональным данным работников возглавляемых ими подразделений или принимаемых на работу в эти подразделения).

Выдача личных дел работников СФР для ознакомления указанными в настоящем пункте лицами производится под расписку отделом, отвечающим за кадровое обеспечение деятельности СФР, по их запросу на срок не более одного рабочего дня с разрешения начальника подразделения, отвечающего за кадровое обеспечение деятельности СФР, или его заместителя. Работники, получающие доступ к персональным данным субъектов персональных данных, обязаны обеспечить конфиденциальность персональных данных.

34. Ответственным за организацию, контроль, осуществление хранения, обработку и передачу персональных данных субъектов персональных данных является начальник подразделения, отвечающего за кадровое обеспечение деятельности СФР.

35. В случае достижения цели обработки персональных данных необходимо:

прекратить обработку персональных данных или обеспечить ее прекращение;

уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено трудовым договором (соглашением).

36. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных СФР прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению СФР) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

37. Персональные данные подлежат уничтожению в следующих случаях:

37.1. При достижении цели обработки персональных данных или в случае утраты необходимости в достижении цели обработки персональных данных, если иное не предусмотрено Федеральным законом о персональных данных.

37.2. При изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных.

37.3. При выявлении факта неправомерной обработки персональных данных.

37.4. При отзыве субъектом персональных данных согласия, если иное не предусмотрено Федеральным законом о персональных данных.

38. Структурным подразделением СФР, ответственным за документооборот и архивирование, осуществляется систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.

39. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.

Акт об уничтожении персональных данных и выгрузка из журнала регистрации событий информационной системы персональных данных подлежит хранению в течение 3 лет с момента уничтожения персональных данных.

VI. Рассмотрение запросов субъектов персональных данных или их представителей

40. Лица, указанные в пункте 5 настоящих Правил, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных в СФР;

правовые основания и цели обработки персональных данных;

применяемые в СФР способы обработки персональных данных;

наименование и место нахождения СФР, сведения о лицах (за исключением работников СФР), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с СФР или на основании федерального закона;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

сроки обработки персональных данных, в том числе сроки их хранения в СФР;

порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;

информацию об осуществленной или предполагаемой трансграничной передаче данных;

наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению СФР, если обработка поручена или будет поручена такой организации или лицу.

иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.

41. Лица, указанные в пункте 5 настоящих Правил, вправе требовать от СФР уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

42. Сведения, указанные в пункте 40 настоящих Правил, должны быть предоставлены оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

43. Сведения, указанные в пункте 40 настоящих Правил, предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом структурного подразделения СФР, осуществляющего обработку соответствующих персональных данных при обращении либо при получении запроса субъекта персональных данных или его представителя в течении десяти рабочих дней с момента обращения, либо получения СФР запроса субъекта персональных данных или его представителя. Запрос должен содержать:

номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

сведения, подтверждающие участие субъекта персональных данных в правоотношениях с СФР (документ, подтверждающий прием документов на участие в конкурсе на замещение вакантных должностей государственной гражданской службы, оказание СФР государственной услуги или осуществление государственной функции), либо сведения, иным образом подтверждающие факт обработки персональных данных в СФР, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан простой электронной подписью в соответствии с законодательством Российской Федерации.

44. В случае если сведения, указанные в пункте 40 настоящих Правил, а также обрабатываемые персональные данные, были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в СФР или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

45. Субъект персональных данных вправе обратиться повторно в СФР или направить повторный запрос в целях получения сведений, указанных в пункте 40 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 44 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 43 настоящих Правил, должен содержать обоснование направления повторного запроса.

46. СФР вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 44 и 45 настоящих Правил. Такой отказ должен быть мотивированным.

47. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

VII. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных

48. Разрабатываются следующие процедуры по:

реализации внутреннего контроля соответствия процессов обработки персональных данных требованиям Федерального закона о персональных данных и принятых в соответствии с ним нормативных правовых актов;

оценке вреда в соответствии с установленными Роскомнадзором требованиями, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона о персональных данных;

повышению уровня осведомленности операторов информационных систем персональных данных СФР по требованиям законодательства Российской Федерации в области персональных данных и требованиям локальных актов СФР;

обеспечению при обработке персональных данных точности и актуальности персональных данных, их достаточности по отношению к целям их обработки;

выявлению фактов несанкционированного доступа к персональным данным и принятию соответствующих мер.

Для предотвращения нарушений предусматриваются процедуры по:

актуализации нормативных актов СФР по вопросам обработки и защиты персональных данных, включая лиц, ответственных за эту работу;

совершенствованию систем и методов обработки персональных данных, применению правовых, организационных и технических мер по обеспечению безопасности персональных данных с учетом уровней их защищенности;

применению мер, необходимых для обеспечения сохранности персональных данных и исключающих несанкционированный к ним доступ при хранении материальных носителей;

разделению полномочий лиц, осуществляющих обработку персональных данных, с учетом требования несовместимости полномочий по созданию и контролю документов;

ознакомлению под роспись (до начала работы) работников с положениями законодательства Российской Федерации в области персональных данных и локальными актами СФР в области обработки персональных данных;

организации получения кадровыми подразделениями персональных данных лично у субъектов персональных данных, его законных представителей или третьих лиц в соответствии с требованиями законодательства;

опубликованию на официальном сайте СФР в информационно-телекоммуникационной сети «Интернет» и размещению в доступных для посетителей местах документов, определяющих политику СФР в отношении обработки персональных данных.

VIII. Передача персональных данных

49. При передаче персональных данных другим юридическим и физическим лицам соблюдаются следующие требования:

не сообщаются персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях выполнения положений законодательных актов Российской Федерации, международных договоров, предупреждения угрозы жизни и здоровью субъекта персональных данных;

предупреждаются лица, получающие персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требуются от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, соблюдают конфиденциальность этих данных (за исключением случаев, когда передача персональных данных реализуется в порядке, установленном федеральными законами);

передаются персональные данные работника представителям работников в порядке, установленном статьей 88 ТК РФ и Федеральным законом о персональных данных, и ограничивается эта информация только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

50. СФР до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных. Указанное уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных, предусмотренного статьей 22 Федерального закона о персональных данных.

Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с Федеральным законом о персональных данных. Роскомнадзор утверждает перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных. Оператор убеждается в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных до начала осуществления трансграничной передачи персональных данных.

IX. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников

51. Работники, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.