Обработка персональных данных: что это такое, как заполнить согласие или отказ работника, зачем нужно разрешение

Обработка персональных данных: что это такое, как заполнить согласие или отказ работника, зачем нужно разрешение

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

9. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.

(часть 9 введена Федеральным законом от 30.12.2020 N 519-ФЗ)

Новые правила обработки персональных данных сотрудников с 2021 г. в 1С: Бухгалтерии

Бухгалтеры и специалисты по кадровому учету уже давно привыкли, что при приеме на работу нового сотрудника у него нужно брать Согласие на обработку персональных данных. А если сотрудник отказывается подписывать его? Какие штрафы ждут организацию за отсутствие этого документа? Да и как показывает судебная практика по таким вопросам, не все так просто, как кажется на первый взгляд. В этой статье мы подробно разберем все нюансы и расскажем о нововведениях в работе с личными данными в 1С: Бухгалтерии предприятия ред. 3.0.

В рамках трудовых отношений компании — работодателю необходимо обладать личными данными физ. лица для корректного оформления кадровых документов и выполнения работником своих трудовых функций.

Персональные данные (по тексту далее ПДн) — это информация, которую можно отнести к конкретному физ. лицу (Закон от 27.07.2006 № 152-ФЗ). Как правило, такими данными является Ф.И.О., сведения о предыдущих местах работы, паспортные данные, и прочие.

Стоит заметить, что работодатель вправе запрашивать только те сведения, которые нужны для выполнения должностных обязанностей. Это значит, что информацию, касающуюся национальной принадлежности, политических взглядов, вероисповедания и другие подобные сведения работодатель запрашивать не имеет права.

Форма согласия

Форма документа не регламентирована, а значит может составляться по шаблону, разработанному фирмой самостоятельно. Но следует помнить, что статья 9 ФЗ от 27.07.2006 № 152-ФЗ содержит перечень обязательных требований.

Новые правила с 2021 года

1 марта произошли изменения в ФЗ от 27.07.2006 № 152-ФЗ, которые внес ФЗ от 30.12.2020 № 519-ФЗ.

Читайте также:
Должностная инструкция начальника юридического отдела: обязанности руководителя, характеристика директора

Рассмотрим основные нововведения.

1. Появился документ «Согласие на распространение ПДн сотрудника».

Теперь, получив от сотрудника согласие на обработку ПДн, компания не может их распространять. Для этих целей необходимо получить от физ. лица отдельный документ, который позволяет оператору распространять данные, например, размещать их на сайте компании, на доске почета, передавать банку и другое. В этом документе важно предоставить сотруднику возможность указать какую именно информацию он разрешает распространять работодателю.

2. Молчание субъекта ПДн не может быть расценено, как согласие на распространение ПДн. Это актуально и для бездействия сотрудника (п. 8 ст. 10.1 Закона № 152-ФЗ).

3. Любые ПДн о физ. лице можно публиковать только при наличии его письменного согласия, даже если лицо самостоятельно их разместило в общедоступном месте (интернет или социальные сети). Раньше такие личные данные можно было распространять без получения согласия от их владельца (п. 2 ст. 10.1 Закона № 152-ФЗ).

Отказ от согласия

В случае, если сотрудник не дал согласия на распространение ПДн, но при этом дал согласие на обработку, то работодатель не в праве передавать информацию третьим лицам (п. 4 ст. 10.1 Закона № 152-ФЗ).

Правило не распространяется на передачу ПДн гос. органам (ИФНС, ФСС, ПФР, полиции и другим).

Стоит отметить, что сотрудник и вовсе может отказаться от дачи согласия на обработку ПДн. Но это не значит, что работодатель не вправе обрабатывать такие данные. Это возможно в случаях, указанных в ч. 2 ст. 9 Закона № 152-ФЗ. Одним из которых является выполнение возложенных законом обязанностей на компанию.

Как работодателю получить согласие?

Получить согласие на распространение ПДн можно двумя способами:

1. Непосредственно у физ. лица, то есть с личной подписью на бумаге;

2. Через информационную систему Роскомнадзора. Любое физ. лицо может подключиться к системе для того, чтобы указать какие ПДн и кому он разрешает распространять.

Оператор, в свою очередь, также имеет возможность подключиться к данной системе и не получать от конкретного физического лица письменное согласие, а использовать информацию, содержащуюся в системе Роскомнадзора. Это возможность станет доступной с 1 июля 2021 года.

Форма документа

Требования к содержанию согласия на распространение персональных данных утверждены Приказом Роскомнадзора от 24.02.2021 N 18. Стоит заметить, что не нужно уведомлять Роскомнадзор о своем намерении распространять персональные данные, имея на это разрешение субъекта.

Можно ли получить одно согласие от работника, прописав в нем все возможные цели обработки/распространения?

Зачастую документ «Согласие» содержит в себе не одну цель обработки и не одно третье лицо, которому распространяется информация, а сразу несколько, что по мнению Роскомнадзора противоречит действующему законодательству.

Согласно позиции ведомства, на каждую цель и на каждое третье лицо, которому разглашается информация о физическом лице, должно быть свое согласие. Это следует из ч. 4 ст. 9, ч. 5 ст. 18 Закона от 27.07.2006 № 152-ФЗ.

В этих статьях «цель обработки» и третье лицо указаны в единственном числе, следовательно, совмещать несколько целей и несколько третьих лиц в одном документе неправомерно.

Данное правило применимо ко всем случаям, когда необходимо получить письменное согласие работника.

Судебная практика на данный момент не на стороне работодателя (Постановление от 15 января 2018 г. по делу № А40-81171/2017). В связи с этим компаниям придется оформлять большое количество согласий от работников, чтоб соблюсти нормы законодательства.

Отзыв согласия

Работник организации в любой момент имеет право отозвать свое согласие на обработку и распространение персональных данных.

Для этого ему достаточно будет подтвердить свое решение письменным требованием в произвольной форме.

В документе следует указать:

  • ФИО заявителя;
  • контакты заявителя;
  • ПДн, обработку и распространение которых необходимо прекратить.

Работодатель должен прекратить пользоваться информацией в течение трех рабочих дней. Иначе сотрудник имеет право обратиться в суд (п. 14 ст. 10.1 Закона № 152-ФЗ).

Не стоит забывать, что есть ПДн, на обработку которых согласие сотрудника не требуется, например, те, что нужны для исполнение трудового договора. Все остальные данные компании-работодателю стоит уничтожить.

Штрафы

Компаниям и ИП однозначно стоит уделить внимание новшествам, описанным выше, так как штрафные санкции увеличились вдвое.

Начиная с 27 марта 2021 г. за работу с ПДн сотрудников без их письменного согласия ИП ждет штраф от 20 000 до 40 000 руб., организации, при аналогичном нарушении должны будут уплатить от 30 000 до 150 000 руб.

Если же ИП нарушит законодательство повторно, то штраф будет составлять от 100 000 до 300 000 руб., а для компаний — от 300 000 до 500 000 руб. (ч. 2 ст. 13.11 КоАП). Наказание за такое правонарушение может последовать в течение года (ст. 4.5 КоАП РФ).

Подведем итог: правила обработки личных данных касаются абсолютно всех физических и юридических лиц.

В этой связи, работодателям целесообразно брать с сотрудников:

1. согласия на обработку персональных данных;

2. согласия на распространение персональных данных.

Документы составляются в соответствии с требованиями действующего законодательства.

Игнорирование правил обработки и распространения данных может привести к серьезным финансовым потерям.

Учет персональных данных в 1С: Бухгалтерии предприятия ред. 3.0

В программах 1С новый документ «Согласие на распространение персональных данных» на данный момент не реализован. Но и о наличии согласия на обработку персональных данных знают далеко не все бухгалтеры.

Первое, что необходимо знать — это то, что все данные хранятся в карточках физ. лиц. При приеме на работу личные данные субъекта в справочнике «Физические лица» заполняются автоматически на основании справочника «Сотрудники».

Не заметить кнопку, выводящую на печать нужный нам документ сложно, ведь она располагается прямо на панели инструментов

Читайте также:
Должностные обязанности помощника юриста: образец инструкции, кто такой ассисент

Рассмотрим подробнее алгоритм заполнения Согласия на обработку ПНд.

Основные сведения о физ. лице и о компании заполняются автоматически.

Следует проверить отраженные программой информации и заполнить следующие строки:

1. Ответственный за обработку — выбираем работника организации, на которого возложена ответственность за обработку данных;

2. ФИО ответственного лица для печати.

Самая частая ошибка в этом документе — это дата получения согласия.

Зачастую документ печатают позже необходимой даты и уделяют внимание лишь полю «дата», меняя значение на корректное, но забывают сменить дату в поле «согласие получено».

В итоге показатели в этих полях существенно различаются и могут не соответствовать действительности.

Поле «Срок действия» заполняется только в том случае, если согласие предоставлено на определенные период времени, иначе конечную дату устанавливать не нужно, согласие будет бессрочным.

Распечатать документ можно в формате Word или в табличном формате 1С.

При получении от сотрудника письменного заявления на отзыв согласия на обработку ПДн, есть возможность сформировать одноименный документ из «Согласие на обработку ПДн».

Нужная для этого кнопка располагается на панели инструментов.

В отзыве снова заполняем ответственное лицо и его ФИО.

Особое внимание стоит уделить полям «Дата» и «Согласие отзывается». Они должны соответствовать дате заявления работника. Документ оповещает нас о том, что ранее у субъекта было получено Согласие.

В нашем примере оно было бессрочным. Данный документ не имеет печатной формы, но в 1С сведения регистрируются.

Все полученные и отозванные физическими лицами согласия можно найти в отчетах по кадрам.

Здесь интересны сразу два отчета, выделенные на скриншоте ниже. Они позволяют отследить действующие согласия и согласия, по которым истекает срок действия.

Также возможно увидеть отзывы согласий сотрудников.

Сформируем отчет по действующим согласиям.

У Васильева К.М. дата получения согласия и дата документа основания совпадают, чего нельзя сказать о Березовском А.

Двойным щелчком мыши по документу основанию можно открыть Согласие на обработку ПДн.

Дата получения согласия существенно отличается от даты создания документа. Если различие дат является ошибкой, то это необходимо исправить.

Обратим внимание, что в документе установлена дата, до которой будет действовать согласие, т.е. данное согласие не бессрочно.

Теперь сформируем отчет «Согласие на обработку ПДн, срок действия которых истекает».

По этому отчету легко проследить сроки действия согласий. Если данное поле пустое, значит согласие действует бессрочно. Также с помощью этого отчета можно увидеть отзывы согласий.

В соответствии с ФЗ от 27.07.2006 No 152-ФЗ работодатели обязаны сохранять конфиденциальность персональных данных, полученных от физических лиц.

В 1С можно отследить информацию по работе пользователей с данными.

Для этого необходимо произвести следующие настрой программы. Переходим в «Администрирование» — «Настройки пользователей и прав».

Раскрываем группу «Защита персональных данных».

Сначала зайдем в «Настройки регистрации событий доступа к персональным данным».

По умолчанию здесь не проставлены галочки, но для того, чтобы программа регистрировала события доступа к ПДн, необходимо проставить галочки вручную.

Список данных предопределен. Пользователю надо выбрать ту информацию, по которой предполагается отслеживание изменений.

После того, как в программе будут установлены необходимые галочки, станет доступен журнал «Защита персональных данных».

Данный журнал позволяет отследить действия сотрудников в программе.

Важно, чтоб каждый из них заходил под своим именем и паролем. Регистрация в программе происходит в режиме реального времени. В журнале удалить данные нельзя. Все необходимые кнопки по отбору вынесены на панель инструментов.

Таким образом программа 1С позволяет регистрировать события доступа к персональным данным физических лиц.

РАЗБОР ФСБУ 6/2020, 26/2020

Какие конкретные действия предпринять бухгалтеру, чтобы выполнить переход на новые ФСБУ правильно и своевременно? Какие проводки сделать в бухучете?

Только 31 января (понедельник) пошаговый разбор перехода на новые стандарты на трехчасовом вебинаре с Сергеем Верещагиным.

Персональные данные сотрудника: как с ними работать

Неоднозначное понимание того, что именно скрывается под персональными данными, в итоге приводит к конфликту между сторонами, когда работодатель и работник злоупотребляют своими правами. Чтобы избежать таких ситуаций, надо понимать, как правильно обрабатывать персональные данные на каждом этапе взаимодействия.

Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ (ст. 24) и Федеральный закон от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных).

В ст. 24 Конституции РФ говорится, что «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». Закон о персональных данных определяет значение не только ключевых понятий, с которыми придется сталкиваться на практике каждому работодателю, но и вводит принципы и условия обработки персональных данных, права субъекта персональных данных и другие важные моменты.

Вопросам защиты персональных данных работника посвящена гл. 14 ТК РФ.

Что включают персональные данные работника

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.

В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.

Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы. Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников?

Читайте также:
Гарантийное письмо работодателя о приеме на работу: для осужденного, образец бланка

На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.

Что делать с персональными данными кандидата

Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.

В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.

Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.

Но есть и исключения, когда такое согласие не требуется:

  • если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
  • при самостоятельном размещении резюме в интернете.

В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность. Можно воспользоваться образцом согласия на обработку персональных данных.

Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.

Что делать, если персональные данные собираются с помощью анкеты

Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

  • в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
  • в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
  • анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;
  • в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле.

Что делать с данными кандидата, которого не взяли на работу

В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.

Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.

Направление запросов на прежние места работы

На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.

Для этого ему обязательно нужно заручиться согласием соискателя.

Сбор и обработка персональных данных при приеме на работу

Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно ст. 65 ТК РФ, запрашиваются:

  • паспорт или иной документ, удостоверяющий личность;
  • трудовая книжка;
  • документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
  • при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.

На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется. Когда он подписывает трудовой договор, то тем самым уже дает свое согласие.

Оформление зарплатной карты и персональные данные работника

Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно.

При этом важно, чтобы:

  • перечень персональных данных строго соответствовал тому, что передается в банк;
  • была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.
Роскомнадзор определяет случаи, когда передача персональных данных работника банку для открытия зарплатных карт должна происходить без согласия:
  • договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;
  • у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;
  • соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 ТК РФ).

Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.

В прошлом году была установлена ответственность за «зарплатное рабство». Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата.

Сотрудник сменил фамилию — что делать с трудовым договором?

В этом случае нужно обязательно внести изменения в трудовой договор. Главное — сделать это правильно.

Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.

Правильно будет внести изменение непосредственно в текст трудового договора, вручную.

Размещение «черных списков» сотрудников на сайте

Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.

Читайте также:
Должностная инструкция и обязанности инспектора по кадрам и квалификационные требования

Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в Письме от 08.10.2018 N 14-2/В-803.

В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.

Каким должно быть согласие на обработку персональных данных

Роскомнадзор в своих рекомендациях формулирует следующие требования:

  1. Содержание согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.
  2. Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
  3. Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно ч. 4 ст. 9 Закона о персональных данных.

Оформление доски почета

Противоположная ситуация — это поощрение работника в виде доски почета. Но и здесь есть свои тонкости.

Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.

Для использования фото сотрудника тоже придется заручиться согласием.

Персональные данные для пропуска

В большинстве организаций сейчас действует пропускной режим. Соответственно, новым работникам требуется оформление пропуска.

В данном случае нет необходимости в получении согласия на обработку персональных данных, если:

  • компания самостоятельно осуществляет пропускной режим;
  • если обработка соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со ст. 372 ТК РФ.

В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно.

Кадровый и бухгалтерский учет на аутсорсе и персональные данные

Если работодатель решает вопросы кадрового и бухгалтерского характера при помощи аутсорса, то есть силами сторонних организаций, то он должен соблюдать требования, обозначенные ч. 3 ст. 6 Закона о персональных данных.

Что делать с персональными данными уволенных сотрудников

Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета.

Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (пп. 5 п. 3 ст. 24 НК РФ). И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется.

Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет. Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется.

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Памятка: как действовать, если вас просят подписать согласие на обработку персональных данных

Прежде чем разбирать сам алгоритм действий, хотелось бы оговорить один важный момент. Школа или любое другое учреждение в котором с вас могут попросить подписать согласие на обработку персональных данных (далее – ПД) скорее всего действует не по своей воле. И наверняка не желает вреда нашим детям. Директор школы может вообще не понимать, чем чревато предоставление персональных данных вашего ребёнка широкому кругу «третьих лиц». Надо постараться с самых первых минут наладить сотрудничество с образовательным учреждением и его руководителем с тем, чтобы решить вопрос к обоюдному удовлетворению.

Только если руководство учреждения заняло позицию «так или никак» (позиция учреждения дополнительного образования может ещё быть выражена словами «не нравится – не ешьте»), приходится пререходить на официальный уровень общения и требовать положенного по закону.

В этом случае общение ведётся в форме переписки, причём каждое ваше обращение или заявление должно быть оформлено в двух экземплярах, один из которых вы отдаёте учреждению, а второй, с отметкой о том, когда этот документ был принят учреждением, оставляете себе. Отметка учреждения должна представлять собой штамп или подпись от руки, в котором должно быть написано, когда и кем была принята копия документа (в случае, если на документ ставится официальная печать учреждения, запись о том, кто принял документ, необязательна). Если в организации отказываются ставить отметку о принятии необходимо направить документ почтой заказным письмом (с описью вложения, если документ имеет существенное значение).

Алгоритм действий в этом случае следующий:
1. Необходимо официально запросить ответы на все свои вопросы, в том числе .запросить ссылку на закон, обязывающий вас предоставить персональные данные в запрошенном объёме и обоснование того, что для достижения цели обработки данных нужны именно эти данные.
2. Если вы не согласны с целями обработки данных, набором данных, способами обработки или перечнем лиц, допущенных к обработке данных, требуйте внесения изменений в согласие или напишите свой вариант, который вас устраивает. Чтобы организация, в которую вы обращаетесь за услугами и пр., не отказала в обслуживании, предоставьте согласие на данные, которые реально необходимы (в т.ч. возможно вычёркивание из типовых заявлений лишнего). . сфотографируйте или скоприруйте то заявление, которое вы подписывали или подавали (как правило такие заявления в одном экземпляре дают для заполнения и гражданин не может после объяснить, что подписывал).
3. Если вас не устраивает ответ на ваш запрос, вы видите там какие-то нарушения законодательства, обращайтесь в орган, контролирующий соблюдение законодательства – Роскомнадзор. В обращении в свободной форме изложите, в чём, по вашему мнению состоит нарушение закона и приложите переписку с учреждением. Можно также обратиться в прокуратуру с просьбой проверить соблюдение закона о ПД в конкретном учреждении (не исключено, что в соответствии с п. 3.5. Инструкции о порядке рассмотрения обращений и приема граждан в органах прокуратуры Российской Федерации, утверждённой приказом Генерального прокурора РФ № 45 от 30.01.2013 жалоба будет перенаправлена в специализированный контрольный орган, но может быть рассмотрена прокуратурой и по существу).

Читайте также:
Объяснительная в школу: образец записки от родителей, отсутствие по причине болезни

(Образцы обращений и запросов будут размещены в конце статьи).

Отмечу, что последний шаг – мера достаточно сильная. Как правило, всё решается на предыдущих этапах.

Теперь немного подробнее о правовых основаниях действий по защите ПД. Действуем мы, опираясь, в основном на закон № 152-ФЗ «О персональных данных», от 27 июля 2006 года.

В статье 5 закона написано:
«п. 1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
п. 2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных».
– то есть, если данные собираются для обеспечения учебного процесса, то, например, сведения о доходе родителей – явно избыточны.

Ст. 5. п. 5: «Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки».
– Например, если в качестве цели заявлено «обеспечение учебного процесса», а требуют, скажем, данные о доходах родителей – налицо вопиющее несоответствие между целями и собираемыми данными.

В статье 9:
«п. 1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором».
– Именно согласно этой статье закона мы и запрашиваем всю информацию, которая необходима нам для принятия решения. Без полноты сведений наше решение нельзя будет назвать «информированным и сознательным».

Ст. 14:
«п. 7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
«1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами».
– На случай, если Вы уже дали согласие на обработку ПД, а теперь засомневались, как будут использоваться ваши персональные данные, пошлите запрос с вот этим списком вопросов. Можно совместить такой запрос с отзывом согласия. Статья 18 обязывает оператора предоставлять эту информацию:

«1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона».

Таким образом, действующее законодательство предоставляет немало возможностей для обеспечения собственной информационной безопасности. Осталось только ими воспользоваться.

Согласие на обработку персональных данных

Относительно недавно в России был введен в оборот новый документ под названием «Согласие на обработку персональных данных». Очень быстро он получил повсеместное распространение и на данный момент широко используется в самых разных организациях, начиная от государственных бюджетных учреждений и до коммерческих компаний.

К вашему вниманию! Этот документ можно скачать в КонсультантПлюс.

Что собой представляет согласие

Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.

Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.

Когда чаще всего требуется согласие

Сейчас согласие необходимо писать почти повсеместно:

  • при подаче документов на ребенка в садик или школу;
  • при трудоустройстве;
  • при заключении договора с банком, страховой компанией и т.д.

Иными словами, везде, где гражданин предоставляет свои личные документы или документы лица, представителем которого он является, заполняет различного рода тесты и анкеты, он подписывается такое согласие.

Что вкладывается в термин «персональные данные»

Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • сведения из паспорта, трудовой книжки и прочих документов;
  • а также некоторые характеристики его личности.

При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.

В частности их условно можно поделить на три основных вида:

  1. общедоступные данные (ФИО, пол, дата, место рождения, гражданство и т.п.)
  2. биометрические (физиологические особенности индивида, его внешние параметры)
  3. специальные (народность, религия, здоровье и т.д.). Сюда же в некоторой степени относится и информация о месте работы человека, его отношениях с законодательством, привычках и т.п.
Читайте также:
Срок хранения приказов: по основной деятельности и личному составу предприятия, отпуску

По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.

Для чего формируется согласие на обработку при трудоустройстве

Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д. Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).

В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.

Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.

Если сотрудник отказывается подписывать согласие

Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.

Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.

В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.

Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.

Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.

Что грозит за разглашение персональных данных

Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.

Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.

Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.

В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).

Как уведомить

Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.

Можно ли отозвать согласие

Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает. Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.

Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).

Это требование должно быть выполнено не позже чем через месяц после написания отзыва.

Образец согласия

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:

  • наименование компании-работодателя;
  • место и дата составления документа;
  • фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.

Далее в основной части подробно указывается:

  • каких именно персональных данных касается документ;
  • в каких целях и что именно допустимо с ними делать;
  • срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).

Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.

СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Я, Ковтун Инна Олеговна, паспорт 2495 564738, выдан Ленинским РОВД г. Иваново, адрес регистрации: г. Иваново, ул. Мельничная д.73, кв. 8, даю свое согласие ОАО «КомЖилФонд» на обработку моих персональных данных. Согласие касается фамилии, имени, отчества, данных о поле, дате рождении, гражданстве, типе документа, удостоверяющем личность (его серии, номере, дате и месте выдачи), а также сведений из трудовой книжки: опыте работы, месте работы и должности.

Читайте также:
Профессиональный стандарт программиста, техника, оператора ЭВМ

Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях. Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч. передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.

До моего сведения доведено, что ОАО «КомЖилФонд» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.

Подтверждаю, что давая согласие я действую без принуждения, по собственной воле и в своих интересах.

Обработка персональных данных: что это такое, как заполнить согласие или отказ работника, зачем нужно разрешение

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО “Сбербанк-АСТ”. Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

Программа разработана совместно с АО “Сбербанк-АСТ”. Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Если работник не дает согласия на обработку его персональных данных, то какие действия может предпринять работодатель?

В соответствии с п. 1 ст. 86 ТК РФ работодателю предоставлено право обрабатывать персональные данные работника исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получения образования и продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
В п. 8 ст. 86 ТК РФ указано, что работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса РФ и иных федеральных законов (ст. 87 ТК РФ).
Из положений ст. 88 ТК РФ следует, что при передаче персональных данных работника на работодателя возлагается обязанность не сообщать персональные данные работника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами. Передача персональных данных работника в пределах одной организации может осуществляться в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под подпись.
Согласно ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” (далее – Закон N 152-ФЗ) персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), является его персональными данными и на нее распространяется режим конфиденциальности (п. 1 указа Президента РФ от 6 марта 1997 г. N 188 “Об утверждении перечня сведений конфиденциального характера”).
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Случаи допустимости обработки персональных данных перечислены в ч. 1 ст. 6, ч. 2 ст. 10, ст. 11 Закона N 152-ФЗ. По общему правилу обработка персональных данных возможна при наличии согласия работника (п. 1 ч. 1 ст. 6, п. 1 ч. 2 ст. 10, ч. 1 ст. 11 Закона N 152-ФЗ). При этом действующее законодательство не определяет объем конфиденциальной информации, которую можно обрабатывать с согласия субъекта.
Иные основания обработки персональных данных сформулированы исчерпывающим образом и расширительному толкованию не подлежат. В частности, обработка персональных данных работника будет считаться правомерной, если она осуществляется для достижения целей, предусмотренных законом, осуществления и выполнения возложенных законодательством РФ на работодателя функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона N 152-ФЗ); если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ); обработка специальных категорий персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством РФ (п. 2.3 ч. 2 ст. 10 Закона N 152-ФЗ). Кроме того, работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися, как правило, приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 ТК РФ (смотрите разъяснения Роскомнадзора от 14 декабря 2012 г. “Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве”).
Следовательно, если работодатель получает от работника и обрабатывает лишь ту информацию, которая необходима для исполнения трудового договора, трудового и иного законодательства, локальных актов работодателя, получение согласия работника на такие действия не требуется (апелляционное определение СК по гражданским делам Оренбургского областного суда от 21 июня 2017 г. по делу N 33-4566/2017). При этом обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных, и обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (чч. 2, 5 ст. 5 Закона N 152-ФЗ). Так, например, отдельные суды признают незаконным хранение работодателем копий документов работников, в частности копии паспорта, копии военного билета, копии свидетельства о рождении ребенка, копии свидетельства о браке и иного, даже при наличии согласия работника на обработку его персональных данных (смотрите, например, постановление Пятнадцатого арбитражного апелляционного суда от 14.03.2014 N 15АП-22502/13).
Если же обработка персональных данных работника выходит за рамки трудовых и иных тесно связанных с ними отношений, то для каждого случая обработки персональных данных работников необходимо получать от него отдельное письменное согласие. Такого же мнения придерживаются суды (решение Арбитражного суда г. Москвы от 26 апреля 2016 г. по делу N А40-32030/2016). Содержание согласия в этом случае должно соответствовать требованиям положений ч. 4 ст. 9 Закона N 152-ФЗ.
Обратим внимание, что изменения Закона N 152-ФЗ*(1), вступившие в силу с 1 марта 2021 г., касаются исключительно персональных данных, разрешенных субъектом для распространения*(2) (п. 1.1 ст. 3 Закона N 152-ФЗ). Они не касаются иных случаев обработки персональных данных. Например, требования ст. 10.1 Закона N 152-ФЗ должны быть соблюдены, если организация размещает на своем официальном сайте в сети Интернет информацию о своих специалистах с указанием их персональных данных, при условии, что законом не предписана обязанность оператора размещать подобную информацию в открытом доступе.

Читайте также:
Можно ли уволить беременную женщину за прогулы: методы воздействия при пропуске работы без уважительной причины

Рекомендуем также ознакомиться с материалами:
– Вопрос: Работник при оформлении кредитной карты в банке указал место своей работы. Кредитная организация (банк) запросила у организации, в которой работает работник, следующие сведения: подтверждение факта трудовой деятельности работника, сведения о размере среднемесячного дохода, периодичность выплат заработной платы и иных выплат, причитающихся работнику, справку о больничных листах за последние 6 месяцев, сведения об отпусках (всех типов) за последние 6 месяцев, сведения о командировках сотрудника за последние 6 месяцев. Должен ли работодатель предоставлять вышеуказанные данные кредитной организации? (ответ службы Правового консалтинга ГАРАНТ, апрель 2016 г.);
– Вопрос: В организацию поступил запрос от бывшей супруги работника о выдаче ей справки об удержанных и выплаченных алиментах за 2019 год. Фактически на основании исполнительного листа производились удержание из заработной платы работника и перечисление на счет бывшей супруги денежных средств в размере 1/4 заработка. Имеет ли право организация выдать бывшей супруге работника справку обо всех выплатах за период с 01.01.2019 по 31.12.2019? Не будут ли в данном случае нарушены Федеральный закон от 27.07.2006 N 152-ФЗ “О персональных данных”, а также ТК РФ? (ответ службы Правового консалтинга ГАРАНТ, январь 2020 г.);
– Вопрос: Имеет ли право полиция запрашивать у организации (работодателя) сведения о карточных (банковских) счетах работников, на которые перечисляется заработная плата? (ответ службы Правового консалтинга ГАРАНТ, ноябрь 2019 г.);
– Вопрос: От председателя первичной профсоюзной организации, действующей на предприятии, “для учета членов профсоюзной организации” поступил запрос о предоставлении списка работников предприятия с указанием занимаемых должностей и дат рождения. Инструкцией об учете членов профсоюзной организации предусмотрено, что данный учет осуществляется по учетным карточкам. Правомерен ли будет отказ работодателя в предоставлении запрашиваемой информации? (ответ службы Правового консалтинга ГАРАНТ, октябрь 2019 г.);
– Примерная форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения (подготовлено экспертами компании ГАРАНТ).

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса

Ответ прошел контроль качества

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

————————————————————————-
*(1) Смотрите Федеральный закон от 30 декабря 2020 г. N 519-ФЗ.
*(2) Смотрите Энциклопедию решений. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения.

© ООО “НПП “ГАРАНТ-СЕРВИС”, 2022. Система ГАРАНТ выпускается с 1990 года. Компания “Гарант” и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО “НПП “ГАРАНТ-СЕРВИС”. Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.

Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.

ООО “НПП “ГАРАНТ-СЕРВИС”, 119234, г. Москва, ул. Ленинские горы, д. 1, стр. 77, info@garant.ru.

8-800-200-88-88
(бесплатный междугородный звонок)

Редакция: +7 (495) 647-62-38 (доб. 3145), editor@garant.ru

Отдел рекламы: +7 (495) 647-62-38 (доб. 3136), adv@garant.ru. Реклама на портале. Медиакит

Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter

Что нужно знать о согласии на обработку персональных данных

Каждый человек сообщает свои Ф.И.О., реквизиты паспорта, адрес, информацию о здоровье и т.п. множеству организаций. В большинстве случаев на обработку данных нужно согласие физлица. Разберемся, что это такое, в какой форме его можно дать, как происходит получение согласия.

1. Что такое согласие на обработку персональных данных и когда оно нужно

Согласие на обработку персональных данных — это ваше разрешение совершать с персональными данными любые действия. Например, собирать данные, хранить их, изменять, использовать, распространять, удалять (абз. 6 ст. 1, п. 1 ст. 5 Закона о защите персональных данных).

Примечание
Персональные данные — это любая информация, касающаяся физлица. В первую очередь, это данные паспорта: Ф.И.О., пол, дата и место рождения, идентификационный номер, адрес регистрации. К персональным данным также относится информация о родителях/детях, образовании, роде занятий, здоровье, национальности, религиозных убеждениях и др.( п. 1 ст. 8, п. 1 ст. 10 Закона N 418-З, абз. 12 ст. 1 Закона о защите персональных данных).

Ваше согласие должно быть (п. 1 ст. 5 Закона о защите персональных данных):

Ваши данные могут обрабатывать, в частности, при:

— приеме на работу и в процессе трудовой деятельности;

— обращении в медучреждения;

— заключении договора в банке, страховой компании;

— заказе товаров в интернет-магазине;

— регистрации на сайтах различных организаций.

Обратите внимание!
Объем данных, которые вас просят предоставить, должен соответствовать целям их обработки (п. 2, ч. 1 п. 4 ст. 4 Закона о защите персональных данных). Иными словами, от вас не могут потребовать больше данных, чем нужно в конкретном случае. Например, информация о состоянии вашего здоровья нужна медцентру для оказания медуслуг, но не нужна интернет-магазину для доставки вам товаров.

По общему правилу ваши персональные данные можно получать и обрабатывать с вашего согласия (ч. 1 п. 3 ст. 4 Закона о защите персональных данных). Исключение составляют случаи, прямо установленные законодательством.

Читайте также:
Должностные обязанности менеджера: инструкция, особенности работы менеджером по развитию, по качеству, в коммерческом отделе и по договорной работе

Примечание
Подробнее о случаях, когда согласие на обработку персональных данных не нужно, см. в разделе 5.

2. В какой форме можно дать согласие

Согласие может быть дано в одной из следующих форм (п. 2 ст. 5 Закона о защите персональных данных):

1) в письменной форме, т.е. вы подпишете «бумажный» документ, в котором выражено ваше согласие на обработку персональных данных;

2) в форме электронного документа. Такой документ создают с помощью специальных программ. Подписать его можно только электронной цифровой подписью, если она у вас есть (ст. 16, 17 Закона об электронном документе и ЭЦП);

3) в другой электронной форме. Такое согласие вы можете дать (п. 3 ст. 5 Закона о защите персональных данных):

— путем введения кода, полученного в СМС-сообщении или в письме на электронную почту.

Пример
При регистрации на сайте интернет-магазина нужно заполнить анкету, указав в ней персональные данные: Ф.И.О., пол, дату рождения. Чтобы зарегистрироваться, пользователям сайта предлагается получить код по СМС и ввести его в специальное окошко. При этом на сайте указано, что введение кода является согласием на обработку персональных данных физлица. Ввод кода физлицом будет выражением его согласия на обработку данных;

— путем проставления соответствующей отметки на интернет-сайте.

Пример
На сайте интернет-магазина размещено согласие покупателя сообщить свой адрес для доставки товаров. Если вы проставите галочку в графе «Согласен», это будет считаться согласием, которое получено в электронной форме;

— другими способами. Главное, чтобы такой способ позволял установить факт получения согласия.

Типовой формы или бланка согласия законодательство не содержит. Полагаем, организации, которые хотят получить ваши данные, будут самостоятельно разрабатывать формы согласия. Следовательно, вам составлять согласие не придется, достаточно будет подписать или проставить отметку в предложенной организацией форме.

3. Какие права есть у физлица в связи с обработкой персональных данных

В отношении своих данных вы вправе:

1) в любое время отозвать свое согласие на обработку данных. При этом вы не должны объяснять причины отзыва согласия (п. 1 ст. 10 Закона о защите персональных данных);

2) получить информацию об обработке ваших данных. В частности, вы можете узнать, какие из ваших персональных данных обрабатывает организация, откуда они получены и с какой целью обрабатываются (ч. 1 п. 1 ст. 11 Закона о защите персональных данных);

3) требовать внести изменения в ваши данные, если они неточные, неполные или устарели (ч. 1 п. 4 ст. 11 Закона о защите персональных данных).

Примечание
Для внесения изменений в данные нужно предоставить документ, который подтверждает, что данные не верны. Вместо оригинала такого документа можно предоставить его заверенную копию (ч. 1 п. 4 ст. 11 Закона о защите персональных данных);

4) получить информацию о предоставлении ваших данных третьим лицам (ч. 1 п. 1 ст. 12 Закона о защите персональных данных).

Обратите внимание!
Вы вправе получить информацию о передаче ваших данных третьим лицам бесплатно один раз в календарном году (ч. 1 п. 1 ст. 12 Закона о защите персональных данных);

5) требовать прекратить обработку ваших данных и/или удалить их. Такое требование вы можете заявить, если для обработки ваших данных нет законных оснований (ч. 1 п. 1 ст. 13 Закона о защите персональных данных). В этом требовании вам могут отказать, если обработка данных производится на законном основании (п. 3 ст. 13 Закона о защите персональных данных).

Пример
Цветков М.М. сообщил свой адрес и Ф.И.О. интернет-магазину для доставки товара. После доставки Цветков М.М. вправе потребовать, чтобы магазин удалил его данные, ведь цель, для которой они были предоставлены, уже выполнена. В этом случае интернет-магазин обязан удалить персональные данные Цветкова М.М.

Чтобы воспользоваться указанными правами, вам нужно подать заявление в организацию, которая работает с вашими данными. Заявление можно подать в письменной форме или в форме электронного документа (п. 1 ст. 14 Закона о защите персональных данных).

В заявлении вам нужно (п. 2 ст. 14 Закона о защите персональных данных):

— указать ваши Ф.И.О., адрес, дату рождения и идентификационный номер.

Примечание
Если идентификационного номера нет, нужно указать номер документа, удостоверяющего личность, который вы указывали при даче согласия (абз. 4 п. 2 ст. 14 Закона о защите персональных данных);

— изложить суть ваших требований, например, указать, что вы отзываете свое согласие или требуете удалить ваши данные;

— проставить личную подпись или электронную цифровую подпись, если она у вас есть и вы подаете заявление в форме электронного документа (п. 2 ст. 14 Закона о защите персональных данных).

После получения заявления организация должна выполнить ваше требование и сообщить вам об этом или сообщить о причинах невыполнения требования. Срок ответа на заявление зависит от сути ваших требований (ч. 1 п. 2 ст. 10, п. 2, ч. 2 п. 4 ст. 11, п. 2 ст. 12, ч. 1 п. 2 ст. 13 Закона о защите персональных данных):

Суть требования Срок ответа
Отзыв согласия 15 дней после получения заявления
Получение информации об обработке данных 5 дней после получения заявления
Внесение изменений в персональные данные 15 дней после получения заявления
Получение информации о предоставлении данных третьим лицам 15 дней после получения заявления
Прекращение обработки данных/их удаление 15 дней после получения заявления
Читайте также:
Можно ли уволить беременную женщину за прогулы: методы воздействия при пропуске работы без уважительной причины

Примечание
Организация обязана ответить на ваше заявление в той же форме, в которой оно было подано, если в самом заявлении вы не указали другой способ ответа (п. 3 ст. 14 Закона о защите персональных данных).

Решение организации вы вправе обжаловать. Для этого нужно подать жалобу в Национальный центр защиты персональных данных (далее — НЦЗПД). В свою очередь решение НЦЗПД можно обжаловать в суд (ст. 15 Закона о защите персональных данных, п. 1, ч. 1 п. 27 Положения от 28.10.2021 N 422).

4. Каков порядок получения согласия

До получения ваших данных организация, которая хочет их получить, обязана:

1. Предоставить вам необходимую информацию.

Организация должна сообщить вам (ч. 1 п. 5 ст. 5 Закона о защите персональных данных):

— свое название и местонахождение;

— с какой целью будут обрабатываться ваши данные. Например, магазин может собирать данные покупателей для изучения спроса, а медучреждение — для формирования статистики;

— перечень персональных данных, на обработку которых вы даете согласие.

Обратите внимание!
У вас не вправе потребовать больше данных, чем нужно для указанной цели (ч. 1 п. 4 ст. 4 Закона о защите персональных данных). Например, чтобы изучать спрос на товары, магазину не нужна информация о состоянии здоровья покупателей. В то же время медцентр может попросить вас предоставить данные о перенесенных заболеваниях и т.п., чтобы точно поставить диагноз;

— срок, на который вы даете согласие. Законодательством такой срок не определен. На практике он будет зависеть от цели, для которой обрабатываются данные.

Пример
Ромашкин А.А. заключил кредитный договор с банком сроком на 5 лет. Для исполнения этого договора банку нужны персональные данные Ромашкина А.А. Срок согласия, которое Ромашкин А.А. дал банку, равен сроку договора.
Интернет-магазин попросил у Ромашкина А.А. согласие на обработку его данных с целью организации доставки товара. Срок согласия — 3 месяца, т.к. магазин осуществляет доставку в трехмесячный срок;

— действия, которые организация будет совершать с вашими данными. Например, данные можно собирать, хранить, систематизировать, изменять, распространять, предоставлять, блокировать и т.п.

Пример
Магазин получает данные покупателей для организации рекламной СМС-рассылки. Он проинформирует покупателей, что их данные будут собираться и систематизироваться и уничтожаться. Это значит, что других действий магазин с данными совершать не будет, например, не передаст их другим организациям;

— общее описание способов обработки персональных данных в этой организации. Например, данные могут обрабатываться вручную или автоматизированно;

— информацию о лицах, которым организация поручила обработку ваших данных по договору, если такой договор заключен;

— другую информацию, если это необходимо.

Обратите внимание!
Указанную информацию вам должны предоставить в той же форме, в которой вы будете давать согласие на обработку персональных данных (абз. 1 ч. 1, ч. 2 п. 5 ст. 5 Закона о защите персональных данных). Например, если согласие будет дано путем проставления отметки на сайте, то информация или ссылка на нее должна быть размещена на этом же сайте.

2. Разъяснить вам ваши права.

Вам должны пояснить, какие у вас есть права и что нужно делать, чтобы их реализовать. Также вам обязаны разъяснить последствия дачи согласия на обработку данных или отказа в даче согласия (ч. 2 п. 5 ст. 5 Закона о защите персональных данных).

Примечание
Такое разъяснение должно быть изложено простым и понятным языком (ч. 2 п. 5 ст. 5 Закона о защите персональных данных).

Форма разъяснения должна соответствовать форме, в которой будет дано согласие (ч. 2 п. 5 ст. 5 Закона о защите персональных данных). Иными словами, если ваше согласие будет дано в виде документа на бумажном носителе, разъяснение должно быть изложено на бумаге. Если согласие будет оформлено в электронном виде, например, на сайте интернет-магазина, то и разъяснение должно быть размещено на этом сайте.

5. В каких случаях персональные данные можно обрабатывать без согласия физлица

Такие случаи прямо установлены законодательством. Ваше согласие не нужно, если ваши персональные данные используют при (ст. 6 Закона о защите персональных данных):

— оформлении трудовых отношений и в процессе работы у нанимателя;

— ведении персонифицированного учета застрахованных лиц;

— назначении и выплаты пенсий и пособий;

— начислении платы за жилищно-коммунальные услуги, в т.ч. при предоставлении льгот на оплату таких услуг;

— обращении к нотариусу за совершением нотариальных действий;

— рассмотрении уголовных и административных дел;

— исполнении судебных постановлений и других исполнительных документов;

— проведении выборов и референдумов;

— в научных целях и при сборе и обработке статистических данных;

— защите жизни, здоровья, жизненно важных интересов ваших или других лиц, если получение согласия невозможно;

— в других случаях, прямо предусмотренных законодательством. Например, при работе журналистов и СМИ, если такая работа направлена на защиту общественных интересов.

В любом случае объем данных, которые обрабатывают без вашего согласия, должен соответствовать целям их обработки (п. 2, ч. 1 п. 4 ст. 4 Закона о защите персональных данных). Иными словами, без вашего согласия можно обрабатывать только те данные, которые необходимы в конкретном случае.

Пример
При трудоустройстве на должность инженера наниматель затребовал у Ромашкина А.А. информацию о его образовании. Наличие образования обязательно для работы инженером, поэтому на получение этих данных согласие Ромашкина А.А. не нужно.
Одновременно у Ромашкина А.А. затребовали данные о его детях для вручения новогодних подарков. Для работы инженером такие данные не являются необходимыми, следовательно, для их получения нужно согласие Ромашкина А.А.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: