для чего нужно согласие на обработку персональных данных работника

Обязан ли работодатель требовать от работников письменное согласие на обработку персональных данных, в том числе при заключении трудового договора?

Обязан ли работодатель требовать от работников письменное согласие на обработку персональных данных, в том числе при заключении трудового договора? Необходимо ли брать данное согласие с работников, трудовой договор с которыми заключен до вступления в силу Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»? Существуют ли установленные перечни объемов обрабатываемых работодателем персональных данных, которые нельзя превышать?

Таким образом, если работодатель получает от работника, хранит и передает лишь ту информацию, которая необходима для исполнения трудового договора, получение согласия работника на такие действия не требуется. Однако отсутствие согласия работника исключает возможность осуществления работниками кадровых служб многих стандартных действий, необходимость которых не вытекает из трудового договора. Так, например, без согласия работника работодатель не может получить и хранить копии предоставленных им при приеме на работу документов, содержащих в себе информацию, не требующуюся для исполнения трудового договора (например, информацию о месте рождения), в том числе паспорта (постановление ФАС Северо-Кавказского округа от 11.03.2014 N Ф08-480/14 по делу N А53-10287/2013, постановление Пятнадцатого арбитражного апелляционного суда от 28.10.2013 N 15АП-15175/13, решение Арбитражного суда Ростовской области от 14.11.2013 N А53-12557/2013). Также работодатель без согласия работника не может обрабатывать его контактные данные (номер телефона, электронную почту и т.д.), поскольку отсутствие данной информации не влечет за собой невозможность исполнения трудового договора.

Если же работодатель все-таки планирует обрабатывать такую информацию, ему необходимо получить согласие работника. В соответствии с ч. 1 ст. 9 Закона N 152-ФЗ согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Из данной нормы следует, что в общем случае согласие работником может быть дано в том числе и в устной форме, однако работодателю в любом случае необходимо обеспечить возможность подтвердить факт получения такого согласия (ч. 3 ст. 9 Закона N 152-ФЗ). Кроме того, для отдельных категорий персональных данных законом прямо установлена необходимость получения именно письменного согласия на их обработку (ч. 1 ст. 11, п. 1 ч. 2 ст. 10 Закона N 152-ФЗ). Такой вид обработки персональных данных, как их передача, также возможен только с письменного согласия работника, за исключением установленных законом случаев (ст. 88 ТК РФ).

Требования к содержанию письменного согласия для случаев, когда такое согласие необходимо в силу закона, установлены ч. 4 ст. 9 Закона N 152-ФЗ. Так, согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению опе

ратора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Отметим, что в качестве формы получения письменного согласия на обработку персональных данных можно рассматривать и включение соответствующего пункта в трудовой договор, если его содержание будет отвечать требованиям, предъявляемым к содержанию указанного согласия (абзац четвертый п. 5 Разъяснений Роскомнадзора).

Законодательством не установлено требований к объемам персональных данных, которые работодатель вправе обрабатывать с согласия субъекта персональных данных. Субъект персональных данных вправе передать оператору любые персональные данные, которые стороны данных правоотношений посчитают нужными. В зависимости от вида передаваемых данных будут различаться лишь требования, предъявляемые законодателем к форме согласия на обработку таких данных и к самому порядку такой обработки.

В силу существующих общеправовых принципов нормативные правовые акты обратной силы не имеют и распространяют свое действие на отношения, возникшие после вступления их в силу (определения Конституционного Суда РФ от 16 июля 2009 года N 691-О-О, от 15 июля 2010 года N 958-О-О, от 17.11.2011 N 1614-О-О). Таким образом, любые отношения, связанные с обработкой персональных данных, возникшие после вступления в силу Закона N 152-ФЗ, должны подчиняться установленным этим законом требованиям независимо от даты возникновения иных отношений (в том числе трудовых) между субъектом персональных данных и оператором. Следовательно, в настоящий момент обработка персональных данных работников, в том числе принятых до даты вступления в силу Закона N 152-ФЗ, возможна только в случаях, предусмотренных ч. 1 ст. 6 указанного закона.

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Цезарева Татьяна

Контроль качества ответа:
Рецензент службы Правового консалтинга ГАРАНТ
Сутулин Павел

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

Источник

Новое о персональных данных

Автор: Давыдова Е. В., эксперт информационно-справочной системы «Аюдар Инфо»

С 1 марта 2021 года вступили в силу изменения в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ), касающиеся общедоступных персональных данных (ПД). Сейчас вместо них появились «персональные данные, разрешенные к распространению». О том, что это за данные, все ли сотрудники располагают ими, какие действия осуществлять работодателю в связи с изменениями и как составить согласие на распространение таких ПД, читайте далее.

Общедоступные персональные данные

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

Общедоступные данные по-новому

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

Сколько согласий запрашивать?

В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.

Это согласие работодатели уже давно должны были запросить у работников.

К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).

В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.

Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.

Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.

Требования к согласию

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

в течение трех рабочих дней с момента обращения;

или в срок, указанный в постановлении суда;

или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.

К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).

Оформление согласия

Требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, разработаны Роскомнадзором, но не утверждены. Пока шаблон согласия не утвержден, приведем образец с учетом этих требований. Об изменениях будем держать вас в курсе.

Ректору
ФГБОУ ПО «Самарский государственный университет»
Владимирову Владимиру Владимировичу,
адрес местонахождения 123456, Самара, ул. Самарская, д. 1
ОГРН: 1234567890123 ИНН: 1234567890
ОКВЭД: 12.34 ОКПО: 12345678
ОКОГУ: 1234567 ОКОПФ: 12300 ОКФС: 12

От Иванова Ивана Ивановича,
паспорт серии 12 34 № 123456 выдан 12 января 2000 года
ОВД Самарского района г. Самары,
зарегистрированного по адресу 123456, Самара,
ул. Ленина, д. 1, кв. 23.
Адрес электронной почты:
ivanov@yandex.ru
Номер телефона:
+7 (123) 456-78-90

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения

Настоящим я, Иванов Иван Иванович, руководствуясь статьей 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», заявляю о согласии на распространение ФГБОУ ПО «Самарский государственный университет» моих персональных данных с целью размещения информации обо мне на официальном сайте ФГБОУ ПО «Самарский государственный университет» в следующем порядке:

Категория персональных данных

Перечень персональных данных

Разрешаю к распространению (да/нет)

Разрешаю к распространению не-ограниченному кругу лиц (да/нет)

Источник

Согласие на обработку персональных данных: зачем оно нужно

На vc.ru автор Nikita Zhurlov рассказал про важный документ — согласие на обработку персональных данных.

Хотите иметь дело с проверкой Роскомнадзором своего ИТ-продукта или сайта? А потом ещё платить штраф, нести ответственность?

Думаю, что нет. Поэтому, давайте, начнём разбирать что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов.

Немного теории

1) нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

— Физическое лицо: предупреждение или штраф в размере 1 000 — 3 000 рублей;

— Должностное лицо: штраф в размере от 5 000 — 10 000 рублей;

— Юридическое лицо: штраф в размере 30 000 — 50 000 рублей;

2) Обработка персональных данных без согласия гражданина приведет:

— Физическое лицо: штраф в размере 3 000 — 5 000 рублей;

— Должностное лицо: штраф в размере от 10 000 — 20 000 рублей;

— Юридическое лицо: штраф в размере 15 000 — 75 000 рублей;

3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:

— Физическое лицо: штраф в размере 700 — 1 500 рублей;

— Должностное лицо: штраф в размере от 3 000 — 6 000 рублей;

— Индивидуальный предприниматель: штраф в размере от 5 000 — 10 000 рублей

— Юридическое лицо: штраф в размере 15 000 — 30 000 рублей;

Первоначально определимся с основными понятиями и поймём, что же они значат (неформальное объяснение по тексту будет обозначаться «Д», это от слова description):

Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Д: это любая совокупность информации, через которую можно определить определенного человека. К примеру, абстрактная электронная почта, допустим posledni_kaktus_naokne@bk.ru — не относится к ПД, однако электронная почта с рабочим адресом допустим, ivan.ivanov@romashka.ru с подписью в письме «Главный инженер» — относятся к персональным данным, т.к. мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации «Ромашка».

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Д: это вы, собирающий персональные данные. Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека — и вот вы уже владелец персональных данных в лице оператора.

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Д: это любые действия, которые вы совершаете как оператор.

1. Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.

Д: когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.

2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Д: когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные. Сюда подходит и оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент когда собираете ПД — наступает раньше.

3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.

Д: вы обезличиваете данные физического лица и «размываете» их в море других данных, соответственно определить кому что принадлежит — невозможно даже вам.

4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

Д: данный пункт не относится к интернет-проектам, но для понимания ситуации, пример, когда приезжает частная медицинская бригада и оказывает помощь.

5. Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.

Д: если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги — нет необходимости требовать согласия на обработку ПД.

6. Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

7. Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Д: не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством Российской Российской Федерации.

Во всех остальных случаях, при контакте и сборе ПД от физического лица — вы должны получать его согласие и иначе никак — закон есть закон!

Что делать

Шаг 1.

Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных. Если у вас юридическое лицо или вы — индивидуальный предприниматель — вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии. Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах — относится не только к работе с потребителями, но и с работниками.

Шаг 2.

Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.

Шаг 3.

Самое главное по теме. Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.

При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!

Немного юридического обоснования чекбоксов, а как называет Роскомнадзор — «галочек»:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» устанавливает обязательство собирать персональные данные:

«4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. ».

Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:

«Получение согласия на обработку персональных данных может быть получено посредством проставления „галочки“ пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме».

Вариативно, ещё шаг 4.

Подать уведомление об обработке ПДн в Роскомнадзор.

В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется:

— политика обработки персональных данных;

— приказ об утверждении вышеуказанной политики;

— согласие на обработку персональных данных;

— чекбокс с гиперссылкой на вышеуказанное согласие.

Всё это требуется опубликовать на сайте и / или в приложении.

Источник