Круглосуточная линия энергетиков:
8 800 220 0 220
Согласие на обработку персональных данных нужно работодателю, чтобы пользоваться личной информацией о сотруднике. Гражданин самостоятельно решает, кому и к каким сведениям, а также на какой период дать доступ. С 1 сентября 2022 года порядок меняется.
- Консультации по законодательству
- Разъяснения государственных органов
- Трудовые отношения
- Защита персональных данных работников
- 18.10.2022. Как оформить согласие на обработку персональных данных?
- Что такое персональные данные
- Ответ эксперта
- В каких случаях требуется согласие?
- Согласие на работу с личными сведениями
- Особенности составления
- Нотариальное согласие
- Что собой представляет согласие
- Когда чаще всего требуется согласие
- Что вкладывается в термин «персональные данные»
- Для чего формируется согласие на обработку при трудоустройстве
- Если сотрудник отказывается подписывать согласие
- Что грозит за разглашение персональных данных
- Как уведомить
- Можно ли отозвать согласие
- Образец согласия
- Зачем получают письменное согласие на обработку персданных
- Требования к оформлению документов
- Что относится к персональной информации?
- Что является личной информацией граждан
- В каких случаях необходимо соглашение?
- Как действовать работодателю, если сотрудник не подписывает согласие на обработку персданных
- Что не относится к персональной информации?
- Что собой представляет согласие на обработку ПД?
- Нет согласия на обработку ПД
- Утверждена ли унифицированная форма документа?
- Особенности составления заявления о согласии на обработку персональных данных
- Состав личных данных
- Что должны знать работодатели?
- Как заполнить согласие на обработку персональных данных
- Какие ошибки допускают операторы при работе с персданными
- Что понимают под термином «персональные данные»
- Если гражданин отказывается подписывать согласие на обработку персональных данных
- Что меняется с 1 сентября 2022 года
- Для чего формируется согласие при трудоустройстве
- Кто такие операторы ПД, и что они делают
- Как работодателю получить разрешение на работу с личными сведениями сотрудника
Что такое персональные данные
Понятие персональных данных и обращение с ними регулирует Федеральный закон № 152-ФЗ от 27.07.2006. В соответствии с этим документом под личными данными граждан, охраняемыми законодательством, следует понимать любую информацию, которая прямо или косвенно относится непосредственно к их субъекту (то есть физическому лицу). Такая информация позволяет однозначно определить, о каком человеке идет речь. Но человек — полновластный хозяин своих данных, и если им не предоставлено подписанное согласие на обработку персональных данных, то ни одна организация не вправе ими распоряжаться.
Согласие на обработку персональных данных работника дает право на использование оператором личных сведений о гражданине. Эту информацию охраняет законодательство. В некоторых случаях об обработке данных необходимо уведомить Роскомнадзор.
- Что такое персональные данные
- Что является личной информацией граждан
- Кто такие операторы ПД, и что они делают
- Зачем получают письменное согласие на обработку персданных
- Требования к оформлению документов
- Как заполнить согласие на обработку персональных данных
- Как действовать работодателю, если сотрудник не подписывает согласие на обработку персданных
- Какие ошибки допускают операторы при работе с персданными
- Вам в помощь образцы, бланки для скачивания
Личный кабинет на технологическое присоединение
ПАО «Россети Кубань» уведомляет Вас о том, что с 30.09.2020 все функции клиентского онлайн сервиса «Личного кабинета» размещенного на сайте ПАО «Россети Кубань» будут переведены на единую платформу ПАО «Россети» — Портал электросетевых услуг группы компаний «Россети» и новое мобильное приложение «Россети — личный кабинет» доступное пользователям устройств на Android и IOs.
Это ответ на современные тенденции и пожелания клиентов.
Данный шаг полностью соответствует положениям реализуемой концепции «Цифровая трансформация 2030».
Дополнительно сообщаем о том, что заявки на технологическое присоединение к электрическим сетям ПАО «Россети Кубань», направленные в адрес ПАО «Россети Кубань» через «Личный кабинет» официального сайта компании до 30.09.2020 включительно будут рассмотрены, а также организована подготовка и размещение всей необходимой документации по технологическому присоединению в «Личном кабинете» на сайте ПАО «Россети Кубань».
Направление заявки на технологическое присоединение к электрическим сетям ПАО «Россети Кубань» реализовано на платформе ПАО «Россети» — Портал электросетевых услуг группы компаний «Россети» — www.портал-тп.рф и в мобильном приложении «Россети — личный кабинет» доступное пользователям устройств на Android и IOs.
Ответ эксперта
Оператор персональных данных (ОПД) должен уведомить Роскомнадзор о своем намерении обрабатывать персданные до начала их обработки (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). С 1 сентября 2022 года уведомлять не нужно только в трех случаях (Федеральный закон от 14.07.2022 № 266-ФЗ):
- оператор обрабатывает ПД без автоматизации;
- ПД включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;
- обработка ПД в случаях, предусмотренных законодательством РФ о транспортной безопасности.
До начала осени 2022 года из этого правила было девять исключений. Например, не нужно было уведомлять РКН об обработке ПД сотрудников в рамках трудовых правоотношений, ПД, состоящих только из фамилии, имени, отчества, либо личной информации, необходимой для оформления разового пропуска посетителю.
Это означает, что подавляющее большинство ОПД, в том числе все работодатели, должны будут уведомить Роскомнадзор. До выполнения этой обязанности они не имеют права работать с личной информацией граждан.
Форма уведомления приведена в приложении 1 к Методическим рекомендациям Роскомнадзора (Приказ Роскомнадзора от 30.05.2017 № 94). Уведомление нужно направить одним из трех способов:
- Через сайт Роскомнадзора с использованием усиленной квалифицированной электронной подписи.
- В личном кабинете на портале Госуслуг. Для этого нужна подтвержденная учетная запись.
31 августа 2022 года Роскомнадзор сообщил на своем сайте, что предельный срок для подачи уведомления не определён. 1 сентября не является крайним сроком. Рекомендуем не откладывать подачу надолго и сделать это в ближайшее время.
Роскомнадзор в течение 30 дней с даты поступления уведомления вносит информацию в реестр операторов персональных данных. Если вы отправляли бумажное, а не электронное письмо с УКЭП, дата будет отсчитываться с момента его получения территориальным отделением.
Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки
Уведомление Роскомнадзора — разовая акция. Если ваша компания уже есть в реестре, подавать заявку повторно не нужно. Но вам следует проверить сведения, которые есть в Роскомнадзоре. В частности, категории ПД и категории субъектов ПД, которые вы указывали в ранее поданном уведомлении. Если какие-то виды личной информации отсутствуют, например, из трудовых правоотношений, то нужно уведомить Роскомнадзор об изменении сведений (п. 7 ст. 22 152-ФЗ).
Информационное письмо можно направить теми же способами, что и уведомление. На это отведено 10 рабочих дней с даты возникновения изменений. В случае с 266-ФЗ сроки надо отсчитывать с 1 сентября 2022 года.
Согласие – это документ, который подтверждает согласие лица на что-либо. Обычно составляется тогда, когда ситуация требует учета мнения заинтересованного лица. Письменная форма согласия пригодится при возникновении конфликтов в дальнейшем. Бумагу можно будет предъявить в суде. Документ актуален не только для бизнеса, но и для рядовых ситуаций с рядовыми гражданами. К примеру, согласие подписывается при проведении каких-либо медицинских манипуляций.
В каких случаях требуется согласие?
Согласие в письменной форме составляется при этих обстоятельствах:
- Осуществление медицинских манипуляций, проведение рискованного лечения.
- Смена кредитора/дебитора.
- Добровольное страхование.
- Управление чужим авто.
- Выезд с ребенком за границу (актуально тогда, когда родители ребенка в разводе).
- Сделки совместно нажитой супругами собственностью (это может быть недвижимость, ценные бумаги, вклады, кредиты).
- Необходимость в обработке персональных данных.
Некоторые сделки требуют обязательного оформления согласия. Если этого документа не будет, то и сделка признается недействительной.
К СВЕДЕНИЮ! В законах нет строгих требований относительно составления согласия. Но в документе должны быть обязательные положения: лицо, выражающее согласие, предмет этого согласия, дата и подпись.
Согласие на работу с личными сведениями
По дефолту никто не имеет право разглашать чужие данные. Возможно это только при наличии согласия в письменной форме. Документ дает право на обработку различных сведений: ФИО, адрес, дата рождения. Запрашивать его должны операторы. Статус операторов имеют все лица, которые получают информацию.
Что собой представляют ПД? Определение их содержится в ФЗ №152 от 27 июля 2006 года. Этот же закон устанавливает правила обращения с этими данными. Персональные сведения, согласно ФЗ, представляют собой личную информацию, прямо или косвенно относящуюся к лицу. Это данные, по которым можно однозначно идентифицировать личность. Как правило, это следующие сведения:
- ФИО.
- Адрес.
- Обязательства.
- Образование.
- Специальность.
Подобные сведения принимаются и обрабатываются в медицинских и финансовых учреждениях. Они запрашиваются в магазинах при оформлении бонусных карт. Там же запрашивают согласие на обработку.
К СВЕДЕНИЮ! К ПД относится такая информация, как национальность, состояние здоровья, исповедуемая религия.
Особенности составления
В статье 87 ТК указано, что фирма может сама установить порядок хранения сведений, переданных сотрудниками. Однако операторы не должны нарушать требования, утвержденные законами. Если организация каким-либо образом взаимодействует с персональными данными, ей будет нужно:
- Утвердить внутренний акт «Положение о персональных сведениях».
- Установить форму согласия на обработку информации, которая будет использоваться в компании.
Отсутствие положения о персональных сведениях – это нарушение, предполагающее наложение штрафа.
Требования к согласию содержатся в части 1 статьи 9 ФЗ №152. Документ должен быть содержательным. Исключены разночтения и двусмысленности. Согласие должно быть получено именно в письменной форме. Только она будет иметь юридическое значение. Обязательность наличия именно письменной формы подтверждается в статье 13.11 КоАП.
Нотариальное согласие
Иногда просто согласия недостаточно. При некоторых обстоятельствах необходимо согласие, заверенное у нотариуса. В частности, оно необходимо при этих ситуациях:
- Согласие супруга на сделку по приобретению или отчуждению имущества, нуждающегося в госрегистрации или заверении у нотариуса.
- Отказ от приватизации лица, которое зарегистрировано в жилье.
- Выезд за границу несовершеннолетнего ребенка.
- Оформление прописки в жилье на определенный срок.
Согласие обычно действует на протяжении определенного срока. Срок действия определяется лицом, составляющим документ. Для оформления бумаги нужно обратиться в нотариальную контору. С собой требуется взять паспорт и правоустанавливающий документ. Вид последнего зависит от формы сделки. К примеру, если это операция с недвижимостью, понадобится свидетельство о праве собственности.
Относительно недавно в России был введен в оборот новый документ под названием «Согласие на обработку персональных данных». Очень быстро он получил повсеместное распространение и на данный момент широко используется в самых разных организациях, начиная от государственных бюджетных учреждений и до коммерческих компаний.
Что собой представляет согласие
Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.
Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.
Когда чаще всего требуется согласие
Сейчас согласие необходимо писать почти повсеместно:
- при подаче документов на ребенка в садик или школу;
- при трудоустройстве;
- при заключении договора с банком, страховой компанией и т.д.
Иными словами, везде, где гражданин предоставляет свои личные документы или документы лица, представителем которого он является, заполняет различного рода тесты и анкеты, он подписывается такое согласие.
Что вкладывается в термин «персональные данные»
Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:
- фамилия, имя, отчество;
- дата и место рождения;
- сведения из паспорта, трудовой книжки и прочих документов;
- а также некоторые характеристики его личности.
При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.
В частности их условно можно поделить на три основных вида:
- общедоступные данные (ФИО, пол, дата, место рождения, гражданство и т.п.)
- биометрические (физиологические особенности индивида, его внешние параметры)
- специальные (народность, религия, здоровье и т.д.). Сюда же в некоторой степени относится и информация о месте работы человека, его отношениях с законодательством, привычках и т.п.
По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.
Для чего формируется согласие на обработку при трудоустройстве
Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д. Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).
В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.
Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.
Если сотрудник отказывается подписывать согласие
Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.
Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.
В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.
Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.
Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.
Что грозит за разглашение персональных данных
Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.
Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.
Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.
В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).
Как уведомить
Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.
Можно ли отозвать согласие
Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает. Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.
Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).
Это требование должно быть выполнено не позже чем через месяц после написания отзыва.
Образец согласия
Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:
- наименование компании-работодателя;
- место и дата составления документа;
- фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.
Далее в основной части подробно указывается:
- каких именно персональных данных касается документ;
- в каких целях и что именно допустимо с ними делать;
- срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).
Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.
СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Я, Ковтун Инна Олеговна, паспорт 2495 564738, выдан Ленинским РОВД г. Иваново, адрес регистрации: г. Иваново, ул. Мельничная д.73, кв. 8, даю свое согласие ОАО «КомЖилФонд» на обработку моих персональных данных. Согласие касается фамилии, имени, отчества, данных о поле, дате рождении, гражданстве, типе документа, удостоверяющем личность (его серии, номере, дате и месте выдачи), а также сведений из трудовой книжки: опыте работы, месте работы и должности.
Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях. Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч. передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.
До моего сведения доведено, что ОАО «КомЖилФонд» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.
Подтверждаю, что давая согласие я действую без принуждения, по собственной воле и в своих интересах.
Ковтун И.О. (подпись)
Зачем получают письменное согласие на обработку персданных
В 152-ФЗ разъясняется, что такое согласие на обработку персональных данных — это письменный документ, в котором человек соглашается на сбор и анализ личной информации о нем. Чаще всего личную информацию запрашивают работодатели — о своих работникам или соискателях на должность. Работодатели получают и обрабатывают сведения из документов, которые предъявляют при устройстве на работу (ст. 65 ТК РФ):
- паспорта;
- трудовой книжки;
- СНИЛС;
- диплома и других документов об образовании;
- военного билета и документов воинского учета;
- справок и других подтверждающих документов.
Чтобы обрабатывать всю эту информацию, работодателю необходимо сначала получить письменное согласие от работника (п. 1 ст. 9 152-ФЗ). Но такое согласование добровольно: заставить работника подписывать документы нельзя. Кроме того, сотрудник вправе отозвать подписанное согласование.
С 01.09.2022 предприятие из сферы услуг не вправе отказать в заключении договора потребителю, если он не хочет предоставлять личную информацию о себе. Еще с 1 сентября 2022 года надо уведомлять Роскомнадзор о том, что организацию или предпринимателя необходимо включить в реестр операторов персданных, если они планируют обрабатывать личную информацию. То есть теперь уведомление в РКН подает каждый работодатель.
Требования к оформлению документов
Нормами статьи 87 ТК РФ установлено, что все организации самостоятельно определяют порядок хранения и использования сведений, полученных от работников. Аналогичный принцип применим и ко всем остальным операторам. Главное — не нарушать требования, установленные федеральными законами и кодексами.
Прежде чем приступать к действиям с информацией, необходимо утвердить локальный акт по организации: «Положение о персональных данных». В этом документе должны содержаться все основные требования к правилам оформления документации. Положение утверждает руководитель с одобрения профсоюзного органа (при его наличии). В нем прописывают, как выглядит форма согласия на обработку персональных данных и сколько оно хранится.
Когда речь идет о работодателях, важно учесть, что по нормам п. 8 части 1 статьи 86 ТК РФ всех работников и их представителей следует ознакомить с утвержденным положением под подпись. Для этих целей даже заводят специальный журнал. Если положение в организации-операторе отсутствует, то это является грубым нарушением, за которое нормами статьи 13.11 КоАП РФ предусмотрен штраф.
Подробнее: как составить положение о работе с персональными данными.
В соответствии с п. 1 ст. 9 закона № 152-ФЗ физлицо предоставляет данные о себе добровольно. Таким образом, работник вправе не давать согласие, если использование сведений о нем не связано напрямую с выполнением должностных обязанностей. Иными словами, отказ подписать разрешение не препятствует трудовым отношениям. Тем более оно не требуется, когда речь идет о передаче сведений в Пенсионный фонд РФ, налоговую службу и другие установленные законодательством органы. Но на практике отказ иногда влечет за собой невозможность осуществлять трудовую деятельность — например, когда у работодателя установлен пропускной режим. Это и надо объяснить сотруднику, убедив, что для иных целей сведения о нем использовать никто не собирается.
Что относится к персональной информации?
В соответствии с законом № 152-ФЗ, к личным данным физических лиц относится любая информация, позволяющая безошибочно идентифицировать их. При этом в законе нет четкого перечня сведений, которые могут быть отнесены к персональным. На сегодняшний день сложилось устойчивое мнение касательно того, что к личным данным гражданина следует относить в т.ч.:
- Ф.И.О.;
- дату и место рождения;
- адрес, по которому физлицо зарегистрировано или проживает;
- сведения об образовании, профессии;
- сведения о доходах.
Узнать более подробно о том, какие сведения точно являются персональными данными можно в системе КонсультантПлюс. Перейдите по ссылке и получите бесплатны йдоступ к пробной версии системы на 2 дня.
Что является личной информацией граждан
Конкретные указания на то, какая информация о человеке является его индивидуальными и охраняемыми данными, в законодательстве отсутствуют. По сложившейся практике это:
- фамилия, имя, отчество;
- дата и место рождения;
- адрес проживания (место регистрации);
- семейное, социальное и имущественное положение;
- образование, профессия;
- доходы, имущество и обязательства.
Обычно такие сведения человек сообщает о себе сам во многих государственных органах, медицинских и образовательных учреждениях, кредитных организациях и даже в коммерческих структурах (при трудоустройстве). Кроме вышеперечисленных сведений, которые являются общими, есть еще специальные личные данные, такие как национальность, вероисповедание, политические взгляды, состояние здоровья и прочая информация подобного рода.
Специально для кадровиков эксперты КонсультантПлюс разработали подробный путеводитель по персданным сотрудников. Разобрали, что к ним относится, как их обрабатывать, какие документы нужно получить от работников и т. д. Все актуально на 2022 год. Используйте эти инструкции бесплатно.
В каких случаях необходимо соглашение?
Бланк согласия на обработку персональных данных чаще всего оформляется в следующих ситуациях:
- при приеме на работу;
- при открытии расчетного счета в банке;
- при заключении договора со страховой компанией;
- при подаче пакета документов на ребенка в школу или детский сад;
- в других случаях, когда гражданин вынужден предоставлять заинтересованным лицам свои личные документы.
Обработка персональной информации может проводиться без согласия гражданина в таких случаях:
- если она будет использована для исполнения условий заключенного трудового договора, при предоставлении сведений в государственные органы (ИФНС, ПФР, военкоматы (п. 2.3, п. 8 ч. 2 ст. 10 Закона № 152-ФЗ);
- при сборе данных о состоянии здоровья человека (п. 4 ч. 2 ст. 10 Закона № 152-ФЗ);
- для защиты жизни, здоровья человека в случаях, когда получение согласия на обработку ПД невозможно (п. 3 ч. 2 ст. 10 Закона № 152-ФЗ);
- для установления или осуществления прав субъекта ПД или третьих лиц, в связи с осуществлением правосудия (п. 6 ч. 2 ст. 10 Закона № 152-ФЗ);
- в соответствии с законодательством об обороне, безопасности, противодействии терроризму (п. 7 ч. 2 ст. 10 Закона № 152-ФЗ);
- в целях выполнения норм законодательства о гражданстве (п. 10 ч. 2 ст. 10 Закона № 152-ФЗ).
Как действовать работодателю, если сотрудник не подписывает согласие на обработку персданных
Если работник отказывается писать заявление о согласии на обработку персональных данных при трудоустройстве или же отзывает первоначальное соглашение, то работодатель вправе обрабатывать информацию о работнике без его согласия, но при соблюдении требований закона и наличии определенных оснований (п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 152-ФЗ).
В таких случаях работа с персданными допускается, если она необходима для исполнения договора, по которому работник является стороной, выгодоприобретателем или поручителем. Понадобятся сведения и для заключения таких договоров по инициативе сотрудника. Но в такой договор нельзя включать положения с ограничением прав и свобод и положения, которые допускают бездействие сотрудника (п. 5 ч. 1 ст. 6 152-ФЗ).
Поскольку работодатель обрабатывает персданные сотрудников, отношения с которыми основаны на трудовом договоре, согласие субъекта (то есть работника) на обработку оператором (работодателем) не является обязательным (п. 5 ч. 1 ст. 6 152-ФЗ). Отказ сотрудника от подписания соглашения не влияет на обязанность работодателя обрабатывать сведения и не препятствует заключению трудового договора.
Такой же позиции придерживается Роскомнадзор в своих разъяснениях. Работа с персданными сотрудника не требует получения соглашения от служащих. Но только при условии, что объем обрабатываемой информации не превышает нужные объемы и соответствует целям обработки, который закреплены в трудовом законодательстве.
Если коллективным договором и правилами внутреннего трудового распорядка предусмотрена работа с личной информацией без согласования со служащими, то работодатель вправе это делать (ст. 372 ТК РФ). А вот сведения, которые по закону относятся к категории специальных персданных, обрабатывать без согласования с сотрудником работодатель не вправе (п. 4 ст. 86 ТК РФ). Исключение — сведения по ТК РФ и другим федеральным законам.
Дополнительно: как составить обязательство о неразглашении персональных данных.
Что не относится к персональной информации?
Строгий перечень критериев, по которым информацию, в свою очередь, не следует относить к персональным данным, законодательством также не определен. Но можно выделить ряд конкретных разновидностей данных, которые официальные структуры не классифицируют как персональные.
Так, Минкомсвязи России в письме от 07.07.2017 № П11-15054-ОГ указывает, что абонентский номер или адрес e-mail могут быть признаны ПД, только если они относятся прямо или косвенно определенному (либо определяемому) физическому лицу. Соответственно, если номер телефона принадлежит юрлицу, то он не может считаться персональными данными.
При этом, номера мобильных телефонов и e-mail, наименования должностей работников предприятия, не подлежащих распространению в силу конфиденциальности, могут быть признаны персональными данными (определение Второго кассационного суда общей юрисдикции от 04.08.2020 по делу № 88-16944/2020, 2-2939/2019).
Не являются персональными данными:
- информация о задолженности по жилищно-коммунальным услугам без указания ФИО собственников квартир (апелляционное определение Свердловского областного суда от 19.09.2019 по делу № 33-15137/2019);
- ИНН физлица (письма Минфина России от 12.02.2020 № 03-01-11/9505, от 28.01.2020 № 03-01-11/4925).
Так или иначе, основной критерий отнесения данных к персональным — возможность прямо или косвенно определить их принадлежность к конкретному человеку. Во многих случаях такая возможность устанавливается только в судебном порядке.
Что собой представляет согласие на обработку ПД?
В соответствии с ч. 1 ст. 9 Закона № 152-ФЗ, согласие, о котором идет речь, может быть дано субъектом ПД в любой форме, позволяющей подтвердить факт его получения. Но на практике согласие обычно дается в письменном виде. Оно запрашивается и оформляется в письменном виде заинтересованной стороной, а затем подписывается самим гражданином. Данный документ представляет собой, таким образом, письменное разрешение физлица на обработку и использование персональной информации о себе. Правомерно говорить о том, что данный документ обуславливает появление у оператора персональных данных обязательства по обеспечению использования ПДстрого в определенных целях, недопущению ее незаконной передачив руки третьих лиц.
Согласие на обработку персональных данных применяется повсеместно, его оформляют во всех государственных и коммерческих организациях как для работников, так и для лиц, с которыми такие организации взаимодействуют, используя тем или иным способом персональные данные.
Проверки Роскомнадзора по защите персональных данных
Плановые и внеплановые проверки Роскомнадзора по защите персональных данных проводятся в соответствии с ч. 1 ст. 23 Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006, Законом от 31.07.2020 № 248-ФЗ и подзаконными нормативами Эти законы наделяют ведомство правом контролировать организации, являющиеся операторами персональных данных, то есть обладающих правом на их обработку. С 1 июля 2021 года применяются новые правила проведения подобных проверок.
Нет согласия на обработку ПД
Следует учитывать, что, если согласие на обработку персональных данных в 2022 году будет с отсутствовать, или же если состав сведений, включенных в согласие, не соответствует закону, и при этом обработка ПД произведена, то нарушителей привлекут к административной ответственности по ч. 2 ст. 13.11 КоАП РФ. По ней предусмотрены штрафы:
- на гражданина — в размере 6-10 тыс. рублей;
- на должностное лицо, к которому в данном случае приравнивается ИП, как следует из примечания к ст. 2.4 КоАП РФ — в размере 20-40 тыс. рублей;
- на юридическое лицо — в размере 30-150 тыс. рублей.
При повторном нарушении наказание строже. Может быть выписан штраф (ч. 2.1 ст. 13.11 КоАП РФ):
- на гражданина — на 10-20 тыс. рублей;
- на должностное лицо — на 40-100 тыс. рублей;
- на ИП — на 100-300 тыс. рублей;
- на юрлицо — на 300-500 тыс. рублей.
Утверждена ли унифицированная форма документа?
Таким образом, для согласия утверждена унифицированная форма. В приказе № 18 указано, что в данном документе должны быть отражены:
- ФИО субъекта персональных данных.
- Контактные данные субъекта (телефон, e-mail, почтовый адрес).
- Данные об операторе ПД (например, работодателе) — название предприятия, адрес по ЕГРЮЛ, ИНН, ЕГРН.
Если оператор — физлицо, то указывается его ФИО, место жительства, пребывания. Если он ИП, то отражаются ФИО, ИНН, ОГРНИП.
- Адрес сайта оператора, через который возможно предоставление доступ к персональным данным неограниченному кругу лиц (либо совершение иных действий с ПД).
- Цели обработки ПД.
- Категории и перечни ПД, на обработку которых получается согласие.
Это могут быть:
- общие персональные данные (ФИО, дата и место рождения, адрес проживание, семейное положение, образование, профессия, социальное положение, уровень доходов, иные сведения о субъекте ПД);
- специальные персональные данные (например, расовая принадлежность, национальность, политическая ориентация, религиозные или философские убеждения, сведения о здоровье);
- биометрические ПД.
- По желанию субъекта ПД — категории перечни ПД, в отношении обработки которых субъект определяет условия и запреты, а также перечни определяемых условий и запретов.
- Условия, при которых полученные ПД могут передаваться оператором только в рамках его внутренней сети, к которой имеют доступ только определенные работники.
- Срок действия согласия на обработку ПД.
Важно знать, что по общему правилу работодатель не вправе запрашивать у работника специальные сведения (п. 4 ст. 86 ТК РФ). Поэтому, соответствующий пункт в форму согласия на обработку ПД включать не следует.
При составлении документа необходимо руководствоваться в том числе положениями ст. 9 закона № 152-ФЗ. Так, например, в соответствии с п. 1 ч. 1 ст. 9 Закона № 153-ФЗ, согласие должно включать реквизиты паспорта субъекта персональных данных. Приказ № 18 не содержит такого требования. Но поскольку в федеральном законе оно есть, то в согласии необходимо зафиксировать указанные реквизиты.
Особенности составления заявления о согласии на обработку персональных данных
Общераспространен нижеследующий алгоритм составления заявления о согласии на обработку ПД (с учетом требований Закона № 152-ФЗ и приказа № 18):
- В «шапке» документа указывают название организации и Ф.И.О. руководителя (или Ф.И.О. индивидуального предпринимателя), Ф.И.О. гражданина, адрес, реквизиты документа, удостоверяющего личность (паспорта).
- Далее надо указать полное название документа.
- После этого от имени гражданина следует перечислить, для каких целей предоставляются персональные данные и кому именно (название организации или ИП, адрес).
- Далее надо привести перечень персональных данных.
- Затем следует прописать, что документ начинает действовать со дня его подписания до дня отзыва в письменной форме. Также можно указать, что согласие написано в добровольном порядке.
- Заявление на согласие на обработку персональных данных (образец, приведенный ниже, можно взять за основу) в обязательном порядке должен подписать сам гражданин.
Состав личных данных
Законодательные документы не содержат строгого перечисления личных данных. Обычно работник предоставляет в распоряжение работодателя следующие сведения:
- об образовании;
- трудовом и общем стаже;
- составе семьи;
- воинском учете;
- заработной плате;
- социальных льготах;
- занимаемой должности;
- наличии судимостей;
- адресе по месту регистрации и проживания;
- контактных телефонах;
- местах работы или учебы членов семьи;
- условиях трудового договора;
- наличии декларируемых материальных ценностей;
- материалах по повышению квалификации, переподготовке, аттестации и служебных расследованиях и пр.
Что должны знать работодатели?
При оформлении согласия работника на обработку персональных данных работодатели должны руководствоваться нормами ст. 86 и 87 ТК РФ. Так, в соответствии с п. 3 ст. 86 ТК РФ, в случае, если ПД работника могут быть запрошены только у третьей стороны, то работника потребуется заранее уведомить о таком запросе, а также получить от него письменное согласие на получение соответствующих персональных данных. Работодатель сообщает работнику о целях, вероятных источниках и механизмах получения ПД, о характере таких данных, а также о последствиях отказа работника предоставить письменное согласие, о котором идет речь.
Предприятия обязаны самостоятельно составлять нормативные положения по обработке персональных сведений по работникам. Выбранный порядок необходимо закрепить в отдельном локальном акте.
Одна из обязанностей работодателя – защита персональных данных.
При этом,указанные в нем нормы не должны противоречить требованиям закона № 152-ФЗ, трудового законодательства и других законодательных актов. Отсутствие у работодателя Положения о персональной информации может стать основанием для наложения штрафных санкций со стороны контролирующих органов — в данном случае, по ст. 5.27 КоАП РФ. По ч. 1 данной статьи предусмотрены штрафы на должностных лиц и ИП в размере 1-5 тыс. рублей, на юрлиц — в размере 30-50 тыс. рублей. При повторном нарушении применяются более строгие наказания по ч. 2 ст. 5.27 КоАП РФ:
- штраф на должностное лицо в 10-20 тыс. рублей (или дисквалификация на 1-3 года);
- штраф на ИП — 10-20 тыс. рублей;
- штраф на юрлицо — 50-70 тыс. рублей.
Как заполнить согласие на обработку персональных данных
Требования к письменному согласию, которое дает владелец личной информации, определены в части 1 статьи 9 закона № 152-ФЗ. Они изменились с 01.09.2022. Главное требование — конкретика, информативность и обязательное оформление в письменной форме. Также допускается электронная форма, если взаимодействие владельца и оператора происходит через интернет. В любом случае у оператора должна иметься возможность в любой момент подтвердить факт получения.
Согласие субъекта персональных данных на обработку его персональных данных включает в себя срок, в течение которого оно действует, и способ его отзыва. С 01.09.2022 в текст согласия необходимо включить условие о том, что субъект дает однозначное и сознательное разрешение на обработку.
Вот так выглядит стандартная форма согласия, которую применяют в различных ситуациях:
Если оператор не только обрабатывает ПД, но и осуществляет их распространение, например, на сайте или на визитках, то от гражданина необходимо получить дополнительное согласие на распространение ПД.
И хотя в самом законе об утвержденной и регламентированной форме этого документа речи не идет, по нормам статьи 13.11 КоАП РФ наказание положено, если оператор начал обработку без письменного разрешения субъекта ПД. Его следует получить по законодательству РФ с соблюдением всех требований от владельца ПД. Разрешение оптом и «по умолчанию» больше не допускается ни в каких ситуациях.
По этой причине рекомендуется сразу оформить заявление о согласии на все манипуляции с ПД и больше не переживать по этому поводу. Универсальный бланк не предусмотрен: каждый оператор разрабатывает его самостоятельно.
Приведем пример согласия на обработку персональных данных, которое оформляют при трудоустройстве:
Произвольная форма заявления не исключает целого ряда требований, установленных в статье 9 закона № 152-ФЗ к его содержанию. В нем обязательно указываются:
- фамилия, имя и отчество лица, его адрес, полные реквизиты документа, удостоверяющего его личность (аналогичные требования к представителям гражданина);
- наименование или ФИО и адрес оператора;
- цель получения личной информации;
- перечень данных, которые подлежат обработке;
- данные организации или ИП, которым оператор перепоручил любые манипуляции с данными;
- перечень действий с информацией о человеке, на совершение которых он дал свое согласие, общее описание способов ее хранения и использования;
- срок, в течение которого действует согласие, и способ его отзыва;
- личная подпись гражданина.
Какие ошибки допускают операторы при работе с персданными
Роскомнадзор перечислил основные ошибки операторов ПД. К наиболее распространенным нарушениям относят:
- Отсутствие обязательного письменного согласования с субъектом персданных.
- Неполный состав обязательных положений в письменном согласовании (ст. 9 152-ФЗ, Приказ РКН № 18).
- Включение условия о соглашении на распространение в обход требований приказа № 18.
- Указание несовместимых целей в одном заявлении.
- Согласование персданных не с самим субъектом, а его неуполномоченным представителем. К примеру, заявку от имени ребенка заполнили не родители, а другие родственники.
За все эти нарушения оператору придется заплатить штраф (п. 2 ст. 13.11 КоАП РФ). Взыскание на юрлиц составляет от 30 000 до 150 000 рублей.
Что понимают под термином «персональные данные»
Сначала разберемся, что относится к личной информации и для чего ее охраняет закон. Заключение трудовых отношений между работником и работодателем обязывает последнего надлежащим образом осуществлять сбор, систематизацию, накопление, обновление, хранение и использование любой информации, относящейся к конкретному сотруднику или позволяющей его идентифицировать. Все личные сведения объединяются понятием персональных данных, а перечисленные процессы и операции называются обработкой. На законодательном уровне оба термина определяются и регулируются Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ и главой 14 Трудового кодекса Российской Федерации. Обязательный документ, который необходимо оформить на каждого работника и дать ему на подпись, — согласие на обработку персданных. В случае его отсутствия предприятие ждет штраф.
Если гражданин отказывается подписывать согласие на обработку персональных данных
В ч. 1 ст. 9 Закона № 152-ФЗ указано, что согласие должно быть подписано только в добровольном порядке.Работодатель или иные заинтересованные лица не имеют права принуждать человека подписывать его. В некоторых случаях, как мы уже знаем, законодательством допускается обработка персональной информации без согласия гражданина (при передаче сведений в налоговую службу, ПФР и другие ведомства). Но это возможно, главным образом, в случаях, если речь идет о реализации условий действующего, уже заключенного трудового договора. Новых сотрудников без подписания такого соглашения во многих случаях невозможно принять на работу.
Так, если человек — соискатель на вакантную должность, то его персональные данные потребуются будущему возможному работодателю в целях принятия решения о его трудоустройстве или отказе в подписании трудового договора. Как и о включении претендента в кадровый резерв (п. 5 Разъяснений Роскомнадзора об обработке ПД работников).
Что меняется с 1 сентября 2022 года
Работодатели являются операторами персданных. С 01.09.2022 они обязаны уведомлять Роскомнадзор об обработке личной информации, если (266-ФЗ от 14.07.2022):
- Сведения относятся к работникам.
- Сведения принадлежат контрагентам оператора, а он использует персданные для исполнения договоров или заключения новых соглашений с теми же гражданами. Но информацию не распространяют и не передают третьим лицам без согласия.
- Сведения нужны для однократного пропуска посетителя на территорию оператора для аналогичных целей.
Уведомление отправляют до обработки в форме бумажного документа или электронного файла, подписанного ЭП уполномченного лица. Оператор вправе обрабатывать личную информацию без уведомления Роскомнадзора только в ограниченных случаях — для защиты прав субъектов персданных (п. 2 ст. 22 152-ФЗ):
- если сведения включены в государственные информационные системы персданных, которые создали в целях защиты безопасности государства и общественного порядка;
- если оператор занимается обработкой личной информации исключительно без использования средств автоматизации;
- если сведения обрабатываются по закону о транспортной безопасности в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Если оператор получил персданные о сотруднике от третьих лиц, то он обязан перечислить их работнику до начала обработки. Кроме того, с 01.09.2022 операторы обязаны работать с системой ГосСОПКА — государственной информационной системой обнаружения, предупреждения и ликвидации последствий кибератак на информресурсы РФ. Через нее сообщают об утечке личных сведений.
Операторы должны сообщать Роскомнадзору нужные сведения по требованию ведомства в течение 10 рабочих дней после получения запроса.
Изменили порядок работы с биометрическими данными — их получают только с согласия граждан. Теперь операторы не вправе отказать физическим лицам в обслуживании, если они не соглашаются на обработку и не предоставляют биометрические сведения. Но есть случаи, когда получение биометрической информации обязательно:
- при реализации международных договоров Российской Федерации о реадмиссии;
- для осуществления правосудия и исполнения судебных актов;
- при обязательной государственной дактилоскопической регистрации;
- при выполнении требований законодательства об обороне, безопасности, противодействии терроризму и коррупции, транспортной безопасности, оперативно-разыскной, уголовно-исполнительной деятельности, нотариате;
- при выполнении условий закона о государственной службе;
- при выезде и въезде в РФ, получении российского гражданства.
Операторы разрабатывают локальные нормативы — положение об обработке персданных, политику такой обработки. Документы размещают на официальном сайте компании или на информационном стенде в офисе, если у организации нет официального сайта. Если же оператор собирает сведения с использованием информационно-телекоммуникационных сетей, то ему необходимо опубликовать политику и сведения о реализации требований по защите персданных в открытом доступе этой сети.
Для чего формируется согласие при трудоустройстве
Фактически работодатель получает доступ к личным данным сотрудника в момент ознакомления с резюме или анкетой, т. е. до официального трудоустройства. И уже с этого момента должностные лица отвечают по ст. 90 ТК РФ за некорректное обращение с полученной информацией.
Чтобы защитить интересы обеих сторон, работник предоставляет разрешение на работу с личной информацией еще до заключения трудового договора.
Кто такие операторы ПД, и что они делают
В статье 3 закона № 152-ФЗ сказано, что оператором ПД является лицо, которое организует и осуществляет обработку персональных данных. Все работодатели, как юрлица, так и ИП, являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус, практически не ограничен. Это любое лицо, которому человек подал заявление и согласие на ОПД, то есть доверил личную информацию о себе оператору и разрешил ее использовать для определенных целей.
Как работодателю получить разрешение на работу с личными сведениями сотрудника
Начинать работу с информацией следует с получения согласия. Необходимость этого шага продиктована п. 1 ст. 6 закона № 152-ФЗ, который гласит:
Работодателям рекомендуют разработать образец заявления на обработку персональных данных с помощью нового онлайн-сервиса Роскомнадзора, в который включить:
- ФИО и паспортные данные сотрудника или его представителя;
- полное наименование и адрес работодателя;
- цель обработки информации;
- перечень запрашиваемых данных;
- срок действия разрешения;
- способы отзыва согласия;
- подпись работника.
Отдельно работник соглашается на обработку персданных, если разрешает в дальнейшем распространять информацию (ч. 1 ст. 10.1 152-ФЗ). Гражданин сам определяет перечень сведений, который разрешает распространять. Физлицо вправе установить (ч. 9 ст. 10.1 152-ФЗ):
- запрет передачи (кроме распространения доступа) сведений неограниченному кругу лиц;
- запрет обработки (кроме получения доступа) неограниченным кругом лиц;
- условия такой обработки.
Отказывать в установлении таких запретов и условий нельзя.