Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как оформить согласие на обработку персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц очень актуальна в России. Анализ инцидентов последних лет – когда персональные данные граждан массово попадали в открытый доступ – говорит о недостаточности существующих законодательных механизмов.
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Общедоступные данные по-новому
С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).
При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.
К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.
Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.
Согласие работника на обработку персональных данных
Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.
Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).
Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.
В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).
Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).
Настоятельно рекомендуем включить в него следующую информацию:
- цели получения персональных данных работника у третьих лиц;
- предполагаемые источники информации (лица, у которых будете запрашивать данные);
- способы получения данных, их характер;
- возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.
Риски при нарушении требований к обработке персональных данных работников организации
В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:
- — на граждан — от 500 до 1 000 руб.;
- — на должностных лиц — от 4 000 до 5 000 руб.
Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных
За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.
В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):
- — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
- — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
- — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.
Новая обязанность операторов персданных
Они должны:
- незамедлительно информировать об инцидентах с принадлежащими им базами персональных данных уполномоченные органы власти (Роскомнадзор и др.);
- обеспечивать непрерывное взаимодействие с госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (в частности, сообщать о причинах утечки персданных).
Кроме того, уведомлять Роскомнадзор о планах обрабатывать личную информацию нужно теперь и в случаях, когда эти сведения:
- относятся к работникам;
- принадлежат контрагентам оператора, а он использует персданные, чтобы исполнять договоры или заключать новые соглашения с теми же гражданами (при этом сведения не распространяют и не передают третьим лицам без согласия);
- нужны для однократного пропуска гражданина на территорию оператора или для аналогичных целей.
До 01.09.2022 в этих и некоторых других случаях извещать ведомство не нужно было.
Вдобавок оператор должен до начала обработки личных сведений, которые он получил от другого источника, перечислить такие данные их субъекту.
- Персональные данные — сведения, прямо или косвенно относящиеся к конкретному человеку. Иметь с ними дело время от времени приходится самым разным лицам, а работодателям — всегда. Все действия, производимые с персональными данными, называются их обработкой.
- Работу с персональными данными характеризует ряд особых к ней требований, в число которых входят согласие носителя персональных сведений на обработку данных о нем, обязательное соблюдение конфиденциальности получателем этих сведений, а также заблаговременное определение целей и сроков их использования.
- Работодателю вменяется в обязанность получать персональные сведения непосредственно от работника, а письменное согласие на обработку требуется лишь в ситуациях получения сведений от иных лиц или передачи им данных. Поскольку многие операции, осуществляемые работодателем, требуют сопровождения персональными сведениями работников данных, направляемых третьим лицам (ИФНС, внебюджетные фонды, банки, контролирующие органы), наличие письменного согласия для них становится обязательным.
- Утвержденной формы у бланка согласия на обработку персональных данных не имеется. Но законодательно определен перечень сведений, которые должны быть в нем отражены. Допускается оформление согласия не только на бумаге, но и в виде электронного документа.
Заявление согласия на обработку персональных данных — образец и бланк 2022 года
Строгой формы согласия на обработку персональных данных законодательство не дает, каждый оператор вправе разработать этот документ и использовать его в работе. Но Законом № 152 определены обязательные реквизиты, которые должны присутствовать в этом документе:
- ФИО гражданина, а также полные реквизиты гражданского паспорта или иного удостоверения личности;
- в случае, когда в интересах гражданина выступает представитель, то в согласии указываются его ФИО, паспортные данные, а также реквизиты документа на право представлять интересы;
- наименование организации, осуществляющей функции оператора обработки личных данных, кому дается согласие;
- цели, для которых осуществляется обработка данных, а также какие данные конкретно подлежат обработке;
- общее описание тех вариантов обработки, которые возможно произвести со сведениями, способы обработки;
- с какого момента согласие действует и способ его отзыва;
- личная подпись гражданина, составившего документ.
Можно ли отозвать согласие?
В случае обнаружения противоправных действий в отношении персональных данных, переданных для обработки оператору, а также при увольнении с работы или иных случаях гражданин вправе отозвать ранее переданное согласие. Чаще всего этот документ хоть и подписывается в сознательном порядке, но сам факт может забыться. Поэтому такие случаи достаточно редки.
При желании оформить отзыв согласия достаточно просто. Это делается путем написания заявления в произвольном виде с требованием:
- о прекращении любых действий с полученными ранее персональными данными;
- об уничтожении их.
При этом в заявлении можно сослаться на нормативную базу Федерального закона № 152, в частности п.2 ст.9. Оператор обязан в течение одного месяца после получения отзыва выполнить требования гражданина.
Отметим, что ответственность оператора в части обработки личных сведений закреплена ч.2 ст.13.11 КоАП и нарушением считается:
- обработка данных в случаях, когда требуется согласие, но оно не получено от субъекта в письменном виде;
- согласие составлено с нарушением требований с составу сведений, которые должны присутствовать в этом документе.
Кто такие операторы и что они делают
В статье 3 закона № 152-ФЗ сказано, что оператором является лицо, которое организует и осуществляет обработку персональных данных. Все работодатели, как юрлица, так и ИП, являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус, практически не ограничен.
Это любое лицо, которому человек доверил информацию о себе, подписав согласие на обработку персональных данных на сайте или в бумажном варианте. Отдельное внимание уделим понятию обработки личной информации. О ней везде говорят, но никто толком не знает, что это такое. Тогда как часть 3 все той же статьи 3 закона № 152-ФЗ регламентирует это понятие как любое действие (или их совокупность), совершаемое с личной информацией. Под действиями законодатели понимают:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление или уничтожение данных.
Все операции проходят или в бумажном ручном режиме, или с использованием средств автоматизации, в том числе в режиме онлайн. На все эти действия оператор обязан получить от владельца одобрение: например, заполненный бланк согласия на обработку персональных данных для родителей (в детском саду или школе).
Когда чаще всего требуется согласие
Учебные, медицинские, государственные и другие учреждения достаточно часто просят личную информацию с разрешением на ее обработку. Наиболее часто она запрашивается:
- при трудоустройстве;
- при оформлении ребенка в школьное или дошкольное учреждение;
- при составлении договора финансовой или страховой организацией.
Разрешение использовать информацию обязан получить каждый оператор. Но закон предусматривает исключения при определенных обстоятельствах:
- При сборе информации федеральными службами;
- Для оказания государственных услуг;
- Для судебных разбирательств;
- Для защиты прав гражданина, когда нет возможности получить его согласия;
- Для защиты прав третьих лиц;
- Журналистам разрешено использовать некоторые данные без согласия гражданина;
- Если на законном основании открытые данные стали доступны, их также можно использовать без разрешения.
Во многих других ситуациях разрешение − необходимое условие для использования информации. При этом каждый гражданин, подтверждая такой документ, должен иметь представление о том, в каких целях будет использоваться информация. Например, если после покупки магазин просит вашего разрешения, чтобы оповещать об акциях, это четко должно быть сформулировано.
Для чего формируется согласие на обработку при приеме на работу?
После принятия и вступления в силу Федерального закона № 152 «О персональных данных» с 30 января 2007 года любое использование личной информации происходит только с согласия ее владельца. При устройстве на работу в обязательном порядке соискатель предоставляет пакет документов, таких как паспорт, СНИЛС, ИНН, они содержат общедоступные сведения, согласие брать в этом случае необязательно.
А вот при предоставлении таких документов, как справка о состояние здоровья, или наличия (отсутствия) судимости требует оформление бланка данного согласия в обязательном порядке. Поэтому до заключения трудового договора соискатель должен составить согласие в письменной форме, так как, попадая к специалисту отдела кадров, все данные становятся конфиденциальными (ст. 14 ТК РФ). На это указывает пункт 8 статьи 65 Трудового кодекса РФ.
В бланке согласия на обработку персональных данных должно быть подробно написано для каких целей собирается информация о соискателе при устройстве на работу.
Согласно законодательству, при передаче работодателю они могут использоваться строго для служебных целей.
В каких случаях потребуется уведомление Роскомнадзора
Практически любая организация и ИП обязаны отправить уведомление, если они являются работодателем или заключают договоры с физлицами. Данное действие необходимо сделать до начала обработки персональных данных.
Уведомление необходимо направить в случае, если данные записываются с помощью средств автоматизации, например, компьютера или смартфона. Когда сбор сведений происходит на бумажный носитель, информацию отправлять не требуется. Если в компании планируется перенос личных сведений с бумаги в автоматизированную систему, сообщение в Роскомнадзор становится обязанностью.
Что делать компаниям, которые сбор персональных данных уже осуществляют? В таком случае ведомство также потребуется проинформировать.
Уведомление направляется однократно. При оформлении работодателем нового сотрудника каждый раз информировать Роскомнадзор не требуется.
Обработка персональных данных родственников и третьих лиц — надо ли брать согласие?
25 ноября
7307
#CNT# data-template-html-inactive=В избранное #CNT#>
С персональными данными родственников работника и других третьих лиц также могут производиться операции по их обработке. Их производит работодатель в качестве оператора ПД.
В зависимости от количества заключаемых договоров, наличия социальных программ на предприятии и прочих обстоятельств, субъектами ПД выступают партнеры, ближайшие родные сотрудников — люди, которые по отношению к работодателю не являются ни соискателями, ни работниками.
Более подробно об обработке персональных данных родственников и иных лиц, имеющих отношение к работникам (детей, родителей, супругов и др.) вы узнаете, если запишетесь на наш дистанционный курс по персональным данным. |
Какие есть требования к согласию на обработку ПД
Согласие на обработку персональных данных должно быть предметным и однозначным, в частности, в отношении:
- цели обработки персональных данных;
- перечня персональных данных, на обработку которых даёт согласие их субъект;
- наименования или ФИО и адреса лица, осуществляющих обработку персональных данных по поручению оператора;
- перечня действий с персональными данными, в отношении которых даётся согласие, и описания способов обработки персональных данных, которые использует оператор;
- срока, в течение которого действует согласие субъекта персональных данных и способу его отзыва.
Если субъект ПД отказывается предоставить обязательные персональные данные, ему нужно разъяснить последствия такого отказа (ч. 2 ст. 18 Закона № 152-ФЗ)!
Для каждой цели обработки персональных данных нужно отдельно указывать:
- категории и перечень персональных данных
- категории субъектов, персональные данные которых обрабатываются;
- способы и сроки хранения персональных данных;
- порядок уничтожения персональных данных при достижении целей их обработки (ст. ст. 18.1, 21 Закона № 152-ФЗ).