Согласие на обработку персональных

Содержание

>Что такое персональные данные и когда нужно согласие клиента на их обработку?

Что это такое — сведения о потребителе?

Персональные данные – это любые сведения, позволяющие установить личность потребителя. Нормативной основой для работы с такого рода информацией является закон РФ «О персональных данных» от 27.07.2006 (далее – закон). В этот нормативный документ неоднократно вносились изменения и дополнения и сейчас действует его редакция от 29.07.2017.

Действие закона распространяется только на физических лиц. Персональные данные – это термин, связанный только с людьми. В понятие положение о защите и обработке персональных данных не включается информация о предприятиях, учреждениях, организациях и контрагентов.

В число конфиденциальной информации о потенциальном покупателе может входить его фамилия, имя, дата и место рождения, адрес проживания, пол, семейный статус и иные данные, имеющие отношение к конкретному человеку.

Сведения о покупателе могут быть получены лишь на основе необходимой достаточности. Это означает, что потенциальный заказчик в праве оставить лишь только ту информацию, которая является достаточной для совершения заказа работы или услуги. Как правило, это фамилия, имя отчество, место прописки, телефон. Исполнитель не вправе требовать получения дополнительной избыточной информации и может быть привлечен к ответственности за нарушение требований законодательства.

Данные прописки покупателя, как правило, истребуют для того, чтобы в случае нарушения им обязательств, подать иск. Любые претензии в суд в отношении клиентов, согласно требованиям законодательства России, подаются по месту проживания должника.

Важно! Коммерческие организации и индивидуальные предприниматели освобождены от необходимости уведомлять Роскомнадзор о том, что будут работать с материалами о потенциальных покупателях, так как эти данные получаются в связи с заключением договора.

Именно Роскомнадзор является специальным уполномоченным органом, осуществляющим контроль в области защиты персональных сведений о потенциальных приобретателях товара или услуги.

Подробнее о том, какие данные входят в понятие ПД мы рассказываем , а на какие категории делится персональная информация узнаете из этого материала.

Нужно ли брать разрешение с физического лица для обработки его личной информации?

В соответствии с требованиями законодательства, обработка сведений о покупателе осуществляется только с его согласия. Такое согласие должно быть выраженным и не оставлять никаких сомнений в том, что потребитель не возражает против использования сведений о нем. В статье 9 закона предусматривается, что такое согласие может быть отозвано в любой момент.

Документы

Закон не предусматривает определенного типа документа, в котором закрепляется согласие заказчика на обработку сведений о нем. Однако такой документ должен ясно доступно и предельно понятно излагать факт истребования таких данных и позволять человеку делать конкретный, информированный и сознательный выбор.

Для работы с информацией о покупателе должны иметься соответствующие внутренние документы. В них отражаются обоснование необходимости получения таких данных, механизм работы с ними, порядок назначения ответственного лица, обрабатывающего такие данные.

Справка! Эти документы должны находиться в публичном доступе. В них должно быть предусмотрена возможность выражения согласия на предоставления информации для получения услуги или выполнения работы.

Перечень документов рассмотрим ниже.

Положение

Наиболее часто встречающимся документом является специальное положение о работе с материалами о покупателе. Оно подлежит утверждению руководителем субъекта предпринимательства и содержит в себе все обязательства, касающиеся получения обработки и ликвидации полученных сведений о потенциальном покупателе. Такое положение должно соответствовать требованиям законодательства России.

Положение, как правило, состоит из следующих разделов:

  • преамбула, в которой указываются общие принципы работы с личной информацией заказчиков;
  • цели и задачи работы со сведениями о потребителях услуги или работы;
  • перечень истребуемых личных сведений клиентов;
  • порядок обработки сведений, права и обязанности лиц, работающих с такими данными;
  • ответственность лиц, нарушившихся внутренние правила об обеспечении конфиденциальности информации о заказчиках.

Скачать образец положения о защите персональных данных клиентов

Больше информации о правилах разработки Положения об обработке ПД найдете .

Соглашение

Закон не запрещает выработку специального соглашения об обработке персональных сведений. Оно составляется в одностороннем порядке и является офертой, то есть предложением добровольного предоставления данных для получения услуги или выполнения определенных работ. Предприниматель вправе разработать свой вариант соглашения об обработке персональной информации и выдавать его в каждом конкретном случае перед заинтересованным потенциальным потребителем услуги либо заказчиком товара.

Соглашение состоит из следующих разделов:

  1. наименование фирмы, получающей сведения о клиенте;
  2. цель получения информации о заказчиках;
  3. перечень операций по обработке данных;
  4. обязательство фирмы по использование всех необходимых средств для обеспечения конфиденциальности данных и исключения их утечки в публичный доступ.

Скачать бланк соглашения о неразглашении персональных данных клиентов

Подробнее о соглашении на использование и обработку ПД мы рассказывали в специальной статье, а из этого материала вы узнаете, в каких случаях требуется договор на обработку ПД и как его составить.

Разрешение

Предприниматель может оформить отдельный документ, в котором клиент может указать свое согласие на обработке сведений о нем. Перед дачей согласия клиент должен получить информацию о цели и порядке обработки его данных, после чего от него запрашивается соответствующее согласие на обработку его персональных данных.

Согласие состоит из следующих частей:

  1. ФИО заказчика с указанием реквизитов его паспорта либо другого удостоверения личности.
  2. Согласие на предоставление личных сведений о себе с указанием исчерпывающего перечня операций по обработке. В этом случае обязательно необходимо указать срок предоставления согласия, который, как правило, действует на неограниченно период.
  3. Подтверждение добровольного осознанного согласия на обработку персональных данных.
  4. Подпись.

Обязательство о неразглашении

Нередко на сайтах можно видеть обязательство по неразглашению данных потенциальных потребителей. В этом случае, если покупатель оформил свое согласие на приобретение товара или услуги, то ему предварительно предлагается ознакомиться с обязательством о неразглашении его личной информации. Лишь после такого согласия, клиенту может быть оказана услуга либо выполнена необходимая для него работа.

В обязательстве содержится следующая информация:

  1. наименование фирмы, получающей данные о покупателе;
  2. перечень сведений, которые предоставляет заказчик;
  3. обязательство по принятия всех необходимых мер для обеспечения конфиденциальности полученных данных и исключения их утечки в публичный доступ.

Скачать образец обязательства о неразглашении персональных данных клиента

Как грамотно составить обязательство о неразглашении ПД мы рассказываем .

Обработка

В понятие обработки входят следующие действия с данными о клиента:

  • получение;
  • изучение;
  • внесение и удаление из базы;
  • систематизирование;
  • передача третьим лицам;
  • обезличивание;
  • блокирование;
  • удаление, уничтожение.

Внимание! Обработка персональных сведений должна осуществляться в строгом соответствии с требованиями законодательства и внутренними документами предпринимателя: положением, обязательством и т.д.

При нарушении требований законодательства об обработке сведений о покупателях, в том числе несоблюдения необходимых условий для обеспечения их безопасности, обработчик таких данных обязан незамедлительно предпринять все необходимые меры по устранению этих нарушений.

Подробнее о том, что включает в себя обработка ПД, мы рассказывали .

Защита

Предприниматель единолично организует систему мер, необходимых для защиты персональных данных. Вместе с тем, целесообразно, чтобы система этих мер предусматривала обеспечение безопасности, внутреннего контроля обработки информации. Обработчик обязан предпринять все необходимые меры для исключения утечки персональных данных.

Меры по защите персональных данных подразделяются на внутренние и внешние:

Внутренние меры в себя включают:

  • определение типа и категории данных, которые могут считаться персональными;
  • утверждение перечня документов, содержащих личные данные клиентов;
  • определение перечня сотрудников, имеющих доступ к такой информации;
  • инструктаж по работе с персональными данными;
  • назначение ответственного за хранение личных данных клиентов.

Внешние меры защиты в себя включают:

  • в том числе хранение данных на запароленных электронных носителях;
  • хранение документов с личными данными клиентов в письменном виде в закрывающихся на замок кабинетах, сейфах и других недоступных для публичного доступа специальных помещениях.

За нарушение требований законодательства о защите персональных данных, в соответствии со статьями 24 Закона, а также 13.14 Кодекса РФ об административных правонарушениях на физическое лицо может быть наложен штраф от одной до трех тысяч рублей, а на должностное лицо от пяти до десяти тысяч рублей, на юридическое лицо – от тридцати до пятидесяти тысяч рублей.

Персональная информация о каждом гражданине РФ не является общедоступной, поэтому действующее законодательство позаботилось о ее защите. Получатель такой информации должен иметь письменное согласие гражданина на ее обработку, такое условие указано в ст. 6 закона от 27.07.2006 № 152-ФЗ «О персональных данных». Практически в каждой ситуации, когда речь идет о личной информации, необходимо оформлять специальный документ — согласие на обработку персональных данных, образец которого можно найти далее.

Что собой представляет этот документ?

Согласие оформляется заинтересованной стороной и подписывается самим гражданином. Оно представляет собой письменное разрешение физлица на обработку и использование персональной информации о себе. Данный документ является гарантией того, что эта информация будет использована в строго определенных целях и не попадет в руки третьих лиц.

Согласие на обработку персональных данных (бланк 2019 года будет представлен далее) применяется повсеместно, его оформляют во всех государственных и коммерческих организациях. Этот документ можно сравнить с краеугольным камнем, на котором строится вся система взаимоотношений между руководством организации и нанятыми сотрудниками.

Читайте также: Проверки Роскомнадзора по защите персональных данных

В каких случаях необходимо соглашение?

Бланк согласия на обработку персональных данных необходимо оформлять в следующих ситуациях:

  • при приеме на работу;

  • при открытии расчетного счета в банке;

  • при заключении договора со страховой компанией;

  • при подаче пакета документов на ребенка в школу или детский сад;

  • в других случаях, когда гражданин вынужден предоставлять заинтересованным лицам свои личные документы.

Обработка персональной информации может проводиться без согласия гражданина в таких случаях:

  • если она будет использована для исполнения условий заключенного трудового договора;

  • при предоставлении сведений в государственные органы (ИФНС, ПФР, военкоматы и др.);

  • при сборе данных о состоянии здоровья человека для оценки возможности выполнения трудовых функций;

  • для выполнения должностных обязанностей;

  • при организации пропускного режима на территорию работодателя и др.

Читайте также: Согласие на обработку персональных данных ребенка

Что относится к персональной информации?

В соответствии с законом № 152-ФЗ, к личным данным физических лиц относится любая информация, позволяющая безошибочно идентифицировать их. При этом в законе нет четкого перечня сведений, которые могут быть отнесены к персональным. На сегодняшний день сложилось устойчивое мнение касательно того, что к личным данным гражданина следует относить в т.ч.:

  • Ф.И.О.;

  • дату и место рождения;

  • адрес, по которому физлицо зарегистрировано или проживает;

  • сведения об образовании, профессии;

  • сведения о доходах.

Следует учитывать, что, если согласие на обработку персональных данных в 2019 году будет с отсутствовать – нарушителей привлекут к административной ответственности по ст. 13.11 КоАП РФ. Для физлиц штраф составляет 3-5 тыс. руб., для должностных лиц 10-20 тыс. руб., для компаний – 15-75 тыс. руб.

Читайте также: Отзыв согласия на обработку персональных данных: образец

Что должны знать работодатели?

При оформлении согласия работника на обработку персональных данных работодатели должны руководствоваться нормами ст. 86 и 87 ТК РФ. Они обязаны самостоятельно составлять нормативные положения по обработке персональных сведений на предприятии. Выбранный порядок необходимо закрепить в отдельном локальном акте, указанные в нем нормы не должны противоречить требованиям закона № 152-ФЗ, трудового законодательства и других законодательных актов. Отсутствие у работодателя Положения о персональной информации является основанием для наложения штрафных санкций со стороны контролирующих органов.

Читайте также: Реестр операторов персональных данных

Утверждена ли унифицированная форма документа?

Унифицированной формы согласия на обработку персональных данных не существует, его можно составлять по своему усмотрению. Но к оформлению документа выдвигается ряд требований. В частности, в п. 4 ст. 9 закона № 152-ФЗ перечислены реквизиты, которые в обязательном порядке должны быть включены в документ. К таким реквизитам относятся:

  • Ф.И.О. гражданина;

  • данные его паспорта (или иного удостоверяющего личность документа);

  • наименование юрлица или Ф.И.О. предпринимателя, получающего согласие, его адрес;

  • цель получения сведений;

  • список получаемых данных;

  • перечень действий с персональными данными, которые будут проведены;

  • срок действия согласия;

  • порядок отзыва согласия;

  • подпись гражданина.

При составлении документа необходимо руководствоваться положениями ст. 9 закона № 152-ФЗ.

Читайте также: Изменение персональных данных

Особенности составления заявления о согласии на обработку персональных данных

  • В «шапке» документа указывают название организации и Ф.И.О. руководителя (или Ф.И.О. индивидуального предпринимателя), Ф.И.О. гражданина, адрес, реквизиты документа, удостоверяющего личность (паспорта).

  • Далее надо указать полное название документа.

  • После этого от имени гражданина следует перечислить, для каких целей предоставляются персональные данные и кому именно (название организации или ИП, адрес).

  • Далее надо привести перечень персональных данных.

  • Затем следует прописать, что документ начинает действовать со дня его подписания до дня отзыва в письменной форме. Также можно указать, что согласие написано в добровольном порядке.

  • Заявление на согласие на обработку персональных данных (образец, приведенный ниже, можно взять за основу) в обязательном порядке должен подписать сам гражданин.

Если гражданин отказывается подписывать согласие на обработку персональных данных

В законе № 152-ФЗ указано, что согласие должно быть подписано только в добровольном порядке, работодатель или иные заинтересованные лица не имеют права принуждать человека подписывать его. В некоторых случаях законодательством допускается обработка персональной информации без согласия гражданина (при передаче сведений в налоговую службу, ПФР и другие ведомства). Но это возможно, только если речь идет о реализации условий ранее заключенного трудового договора. Новых сотрудников без подписания такого соглашения невозможно принять на работу.

Согласие на обработку персональных данных (бланк 2019)

Планируя подачу документов на визу в Визовый центр, не забудьте подготовить форму согласия на обработку данных. Так как Визовые центры осуществляют автоматизированный сбор и обработку личных данных заявителей, в соответствии с ФЗ №152 «О Персональных данных» они в обязательном порядке должны получать соответствующее согласие. Без подписанной формы согласия Визовый центр не имеет права обрабатывать Ваши документы.

О сроке действия Согласия, а также порядке уничтожения Ваших персональных данных из базы данных Оператора, как правило, указано в самом тексте Согласия. Вы можете его отозвать в любой момент посредством подачи письменного обращения к Оператору, получившему ранее от Вас этот документ.

Форма Согласия на обработку персональных данных предоставляется бесплатно. Вы можете найти и скачать ее на официальном сайте того Визового центра, в котором планируете подачу, а также получить, заполнить и подписать в самом Визовом центре при подаче документов. Бланк Вам обязаны предоставить. Рекомендуем заполнять Согласие заранее — так Вы сможете сэкономить время.

Заполнять Согласие требуется только для подачи в Визовом центре. Если Вы планируете оформление визы напрямую через Консульский отдел той или иной страны, то заполнять и приносить Согласие не требуется.

Согласие на сбор и обработку личных данных заполняется на русском языке. Необходимо указать данные российского паспорта. Дать такое согласие может только совершеннолетний гражданин. Для несовершеннолетних заявителей заполняются как данные самого заявителя (свидетельство о рождении или гражданский паспорт) — СУБЪЕКТ, так и данные его законного представителя (родитель / опекун) — ПРЕДСТАВИТЕЛЬ СУБЪЕКТА. Согласие для несовершеннолетнего ребенка подписывает законный представитель.

Заполнение Согласия для совершеннолетнего заявителя
  • Укажите город подачи документов.
  • Укажите дату подачи документов.

Заполните только верхнюю часть Согласия в поле «Субъект персональных данных»:

  • Укажите полностью ФИО.
  • Укажите данные Вашего гражданского паспорта (номер, дата выдачи, кем выдан).
  • Укажите адрес проживания (либо по прописке, либо адрес фактического проживания).

Внизу формы еще раз укажите полностью ФИО и поставьте подпись.

Больше ничего заполнять не нужно.

Не забудьте приложить копию российского паспорта (основная страница + страница с регистрацией).

Заполнение Согласия для несовершеннолетнего заявителя
  • Укажите город подачи документов.
  • Укажите дату подачи документов.

В верхней части «Субъект персональных данных» указываются данные несовершеннолетнего заявителя:

  • Укажите полностью ФИО.
  • Укажите данные св-ва о рождении или гражданского паспорта, если имеется (номер, дата выдачи, кем выдан).
  • Укажите адрес проживания (либо по прописке, либо адрес фактического проживания).

В следующей части «В лице представителя субъекта персональных данных» указываются данные законного представителя несовершеннолетнего заявителя (родителя / опекуна).

  • Укажите полностью ФИО.
  • Укажите данные Вашего гражданского паспорта (номер, дата выдачи, кем выдан).
  • Укажите адрес проживания (либо по прописке, либо адрес фактического проживания).
  • Укажите, на основании чего Вы представляете несовершеннолетнего заявителя. Это может быть св-во о рождении, где Вы указаны, как родитель, либо иной официальный документ, подтверждающий официальное опекунство.

Графу «Наименование и адрес лица, осуществляющего обработку персональных данных» заполнять не нужно.

Внизу формы еще раз укажите полностью ФИО родителя / опекуна. Подписывает форму законный представитель (родитель / опекун).

Не забудьте приложить копию российского паспорта родителя / опекуна (основная страница + страница с регистрацией) + копию св-ва о рождении (или паспорта, если есть) несовершеннолетнего заявителя.

Скачать: Согласие на обработку персональных данных бланк 2019 — для заполнения:

Не забудьте, Ваша поездка должна быть застрахована.

Оформите страховой полис по лучшим тарифам прямо сейчас.

Скачайте документы по теме:

Согласие сотрудника на обработку персональных данныхОбразец от экспертаОтзыв сотрудником своего согласия на обработку персональных данныхОбразец от экспертаПоложение о работе с персональными даннымОбразец от эксперта

➤ За какие нарушения в работе с персданными вас будут штрафовать: Роскомнадзор обновил список претензий

Согласие на обработку персональных данных: бланк 2019

Повышенное внимание к вопросу корректности обращение с персональными данными со стороны государства возникло в 2005 году, когда Российская Федерация произвела ратификацию соответствующей Конвенции Совета Европы. Одним из важных следствий этого шага стало принятие в 2006 году Федерального закона от 27.07.2006 № 152-ФЗ, который установил общие принципы государственной политики в области контроля за использованием личной информации граждан. Положения указанного закона оказали существенное влияние на порядок работы различных субъектов экономической деятельности, включая работодателей.

Читайте подробнее в журнале «Кадровое дело»

  • За какие нарушения в работе с персданными вас будут штрафовать: Роскомнадзор обновил список претензий
  • Роскомнадзор по-новому проверяет, как кадровики работают с персональными данными

Одним из ключевых требований нового порядка стало получение работодателем согласия работников на обработку их личной информации. Такое согласие должно предоставляться в форме письменного документа, который однозначно указывает на готовность работника предоставить компании соответствующие полномочия. При этом в терминах 152-ФЗ работодатель выступает оператором их обработки, а работник — субъектом предоставления такой информации.

Согласие сотрудника на обработку персональных данных

Обратите внимание! К персональным данным работника относится любая информация личного характера, позволяющая однозначно идентифицировать его личность.

Когда нужно получать согласие на обработку персональных данных

В общем случае оформлять образец согласия работников на обработку персональных данных необходимо во всех случаях, когда работодатель планирует осуществлять какие-либо операции с этой информацией. Согласно ФЗ-152 перечень таких операций, которые требуют составления соглашения на обработку персональных данных по образцу, установленному законодательством, включает в себя:

  • собственно процедуру сбора сведений личного характера;
  • аккумулирование, систематизацию и хранение собранных сведений;
  • уточнение, корректировку, внесение изменений в состав личной информации о работниках;
  • применение собранных данных, включая передачу персональных данных любым третьим лицам, а также их обезличивание и анализ. Требование об обязательном наличии согласия на обработку в данном случае не применяется, если такие данные кроме предназначены для применения, сопряженного с необходимостью устранения угрозы его жизни или здоровью;
  • удаление и уничтожение собранных данных, в том числе в обобщенном виде.

Осуществлять все перечисленные операции работодатель при условии наличия согласия на обработку персональных данных работников по образцу, установленному 152-ФЗ, может как самостоятельно, так и посредством поручения этой задачи специально уполномоченному им третьему лицу. При этом производить использование и обработку собранных сведений законодательство разрешает как ручным способом, так и с применением автоматизированных систем.

При этом некоторые действующее законодательство содержит специальные уточнения относительно необходимости получения согласия работника на обработку персональных данных по образцу, установленному законом, в случае, если собранные данные принадлежат к категории специальных сведений, перечень которых зафиксирован в ч. 1 ст.10 152-ФЗ.

Внимание! С 24 сентября 2019 года кадровикам придется брать у сотрудников письменное согласие на обработку персональных данных, чтобы передать коллегам их личный e-mail или номер мобильного. Согласие не потребуется, если подаете отчет в госорганы, в которых нужны почта или телефон работника. Чиновники включили эту информацию в единую информационную систему, обеспечивающую обработку биометрических персональных данных (постановление Правительства от 13.09.2019 № 1197).

Случаи, когда бланк и согласие на обработку персональных данных получать не нужно

Планируя работы, связанные с получением согласия на обработку персональных работника данных на бланке 2019 года, работодателю во избежание лишних трудозатрат следует учитывать, что действующее законодательство предусматривает возможность осуществления ряда операций с этой информацией без получения такого согласия.

Шпаргалка. Когда согласие работника необязательно

Посмотреть шпаргалку

Подробные разъяснения привел в специальном разъяснении Роскомнадзор, выступающий в роли государственного органа, осуществляющего контроль в данной сфере деятельности. Согласно этому документу, работодатель может не получать согласия на обработку персональных данных на бланке в 2019 году для работников в следующих случаях:

  • данные получены в ходе проведения процедур, входящих в состав обязательного медосмотра при приеме на работу;
  • сведения получены работодателем из документов, предъявленных сотрудником при приеме на работу согласно перечню, установленному ст. 65 ТК РФ;
  • информация передана работодателем кадровых агентством или иным субъектом, выступающим от его имени в процессе трудоустройства. В данном случае отсутствие необходимости получения согласия на обработку персональных данных работника по образцу, установленному законодательством, связано с тем, что такая обязанность возлагается на субъект, предоставляющий эти сведения работодателю;
  • сведения о работнике получены работодателем из открытых источников, например, из резюме, которое кандидат самостоятельно разместил в интернете, сделав его тем самым доступным неограниченному кругу лиц;
  • обязанность по информированию широкой общественности о тех или иных сведениях о работнике предусмотрена действующим законодательством. Например, такое требование установлено в отношении некоторых категорий работников государственных и муниципальных органов. Кроме того, аналогичный порядок применяется для случаев, когда работодатель должен предоставить личную информацию сотрудников в государственные органы — от Пенсионного фонда до органов внутренних дел;
  • другие случаи, предусмотренные разъяснением Роскомнадзора.

Обратите внимание! Порядок, по которому нужно хранить и использовать персональные данные сотрудников, работодатель устанавливает сам в локальном акте организации. Таким актом является Положение о работе с персональными данными сотрудников (ст. 86 ТК).

Чтобы без ошибок оформить Положение об обработке персданных, используйте онлайн-сервис «Системы Кадры»

Воспользоваться сейчас

Бланк согласия на обработку персональных данных: образец 2019 года

Строго определенного образца согласия работника на обработку персональных данных на бланке 2019 года действующим законодательством не предусмотрено. Однако помимо требования об обязательной письменной форме такого документа 152-ФЗ содержит еще ряд конкретных требований к его составлению.

Шпаргалка. Обязательные реквизиты согласия работника на обработку персданных

Посмотреть шпаргалку полностью

В частности, в ч. 4 ст.9 данного нормативно-правового документа приводится перечень сведений, которые в обязательном порядке должны быть зафиксированы в согласии:

  • основные личные данные сотрудника, включая его фамилию, имя, отчество, адрес проживания и паспортные данные в объеме, включающего его серию, номер, дату выдачи и данные о выдавшем его ведомстве. В случае, если согласие работодатель получает не от самого работника, а от его законного представителя, имеющего соответствующие полномочия, такие сведения должны быть получены об обоих участниках процесса — самом работнике и его представителе;
  • сведения о работодателе, который в данном контексте выступает в роли оператора по обработке личных сведений сотрудника. Объем данных о работодателе, фиксируемый в согласии на обработку персональных данных работника на бланке 2019 года, включает наименование компании и ее адрес либо фамилию, имя и отчество лица, которое будет персонально выступать в качестве оператора. В случае, если работодатель планирует поручить обработку собранных сведений другому лицу, соответствующие данные должны быть указаны и о нем;
  • перечень личных сведений, в отношении которых работником работодателю предоставляется согласие на обработку;
  • цели осуществления такой обработки, а также перечень разрешенных действий в отношении перечисленных категорий сведений;
  • срок действия предоставленного согласия;
  • личная подпись сотрудника, предоставляющего согласие.

При этом перечень лиц, которые могут выступать в роли законного представителя работника в части предоставления им работодателю согласия на обработку персональных данных, также регламентирован законодательно.

Принципы составления согласия на обработку персональных данных

Согласие на обработку персональных данных по образцу при приеме на работу составляется с учетом сведений, указанных в 152-ФЗ в качестве обязательных компонентов такого документа. При этом опытные сотрудники кадровых служб рекомендуют помимо состава данных, фиксируемых в согласии, при его составлении также обратить внимание на соблюдение следующих принципов:

Принцип №1. Строгое соблюдение положения 152-ФЗ в части защиты персональной информации работников

Принцип №2. Добровольный характер предоставления ими согласия на обработку персональных данных по образцу работника

Принцип № 3. Предварительное определение целей использования собранных данных еще до получения согласия и последующее соблюдение указанных целей. При этом обработка сведений, которые выходят за рамки целей, обозначенных в полученном работодателем согласии, не допускается

Принцип № 4. Раздельное использование информационных баз, собранных для различных целей.

Неукоснительное соблюдение указанных принципов важно не только в целях корректного составления и использования согласия на обработку персональных данных, но и для обоснования правовой позиции работодателя в случае возникновения каких-либо спорных ситуаций в части обращения с личными данными. Ведь именно он является той стороной, которая должна будет доказать факт получения от работника согласия на их обработку, а также подтвердить, что полученное согласие соответствует всем требованиям законодательства.

Кроме того, в случае, если положения закона нарушены третьей стороной, которой работодатель поручил осуществление обработки личных данных сотрудника, ответственность за нее будет нести заказчик такой услуги.

Категории работников, у которых необходимо получать согласие на обработку персональных данных

Работодателю следует учитывать, что требование о получении согласия на обработку личной информации распространяется на всех без исключения сотрудников. Это означает, что такой документ необходимо получать в том числе у следующих категорий работников:

  • сотрудники, работающие в режиме неполного рабочего времени, в том числе неполный день и неполную неделю;
  • сотрудники, работающие в режиме совместительства;
  • специалисты, привлекаемые к работе в организации по договору гражданско-правового характера.

Несогласие работника в части предоставления разрешения на обработку персональных данных

Действующее законодательство об охране личной информации граждан не содержит для них обязательных требований по предоставлению согласия на ее обработку. Таким образом, отказ действующего работника компании подписать согласие на обработку персональных данных по образцу, установленному законодательством, не может рассматриваться работодателем как нарушение трудовой дисциплины. Это, в свою очередь, означает, что применение к такому сотруднику каких-либо санкций за такой отказ является неправомерным и может быть оспорено работником.

Обратите внимание! Работодатель вправе без письменного согласия осуществлять обработку тех персональных данных сотрудника, для которых такое согласие не требуется.

Тем не менее, если речь идет о соискателе, трудоустройство которого пока только рассматривается, работодатель может принять во внимание тот факт, что отказ от предоставления согласия на обработку личных данных может повлечь за собой определенных неудобства для организации. Поэтому в случае если работодатель находится в процессе выбора между двумя кандидатами со сходными квалификационными и иными существенными характеристиками, он вполне может отдать предпочтение тому из них, который выражает свое согласие с политикой компании в области обращения с личными данным сотрудников.

Ответственность работодателя за несоблюдение порядка получения согласия на обработку персональных данных

Основные меры ответственности работодателя за невыполнение требований 152-ФЗ о защите персональных данных работников и правил обращения с ними зафиксированы в КоАП. Вопросам применения санкций за такие нарушения посвящена отдельная статья за номером 13.11.

В частности, предусмотрены следующие виды нарушений:

  • использование данных в целях, не предусмотренных действующим законодательством РФ или документом, разрешающим обработку персональных данных сотрудника;
  • осуществление обработки при отсутствии должным образом оформленного согласия либо в случае наличия согласия, оформленного неправильно;
  • неопубликование в общем доступе документа, определяющего принципы политики оператора в области использования личных данных, если такая публикация предусмотрена законом;
  • непредоставление работнику сведений о порядке обработки его личной информации;
  • другие нарушения, описанные в ст. 13.11 КоАП.

Вывод

Чтобы обрабатывать персональные данные сотрудника, работодатель должен получить от него письменное согласие. Получают согласие на обработку персональных данных лично у сотрудника, перед тем как их обрабатывать. Обязательно оформляйте согласие на обработку персданных у каждого сотрудника, трудоустроенного в организации, иначе можно получить штраф от Роскомнадзора.

Работа с личными сведениями о сотрудниках начинается с получения работодателем от его наемного работника согласие на обработку персональных данных. Понятие обработки включает весь спектр действий с информацией с момента ее получении и до уничтожения.

Обработка персональных данных работника

Понятие появилось в 1997 году в Указе Президента от 06 марта. Выражение «обработка персональных данных» вошло в обиход с принятием в 2001 году ТК Российской Федерации.

До этого любые сведения о гражданах были в свободном доступе. Это ущемляло законные права и интересы, наносило моральный и материальный вред.

С момента вступления в законную силу указанных выше правовых документов началось исправление сложившейся ситуации. В настоящее время личные сведения граждан надежно защищены законом.

Читайте статью о федеральном законе защиты персональных данных.

Порядок сбора, цель обработки личных данных

Процесс регулируется действующим российским законодательством. Все принципы обработки, условия, порядок отражены в Гражданском Кодексе РФ и Федеральном Законе №152-ФЗ от 27 июля 2006 г. «О персональных данных». Принятые законы направлены на защиту конституционного права гражданина «на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени» (ст. 23, гл. 2 Конституции РФ).

Целью является эффективное сотрудничестве в рамках трудовых отношений, помощь в достижении профессиональности работника, обеспечение его безопасности и сохранности имущества.

Принципы работы с базой:

  • процесс обработки не должен выходить за рамки закона;
  • обрабатывать можно только те данные, которые нужны для достижения поставленной цели;
  • объем и характер сведений должен соответствовать заявленным целям;
  • совмещение данных, собранных для разных целей, недопустимо;
  • данные должны быть точными, правдивыми, актуальными.

Форма согласия на обработку персональных данных

Чтобы обрабатывать индивидуальные сведения работника, их вначале необходимо получить. Для этого существует специальная форма.

Форма согласия

Получать персональную информацию руководство может только у самого сотрудника. Если же имеющийся объем сведений недостаточен, либо работодатель желает подтвердить их, то возможно запросить информацию у третьих лиц. Чтобы выполнить действие, не нарушая закон, руководитель должен заручиться письменным согласием наемного работника.

То же самое относится и к предоставлению информации третьим лицам. Без письменного заявления с согласием сведения передавать запрещено. Если разрешение получено, то при передаче информации уполномоченный обязан предупредить принимающую сторону, что она должна использоваться только в тех целях, ради которых предоставлялась.

Также запрещено получать из каких-либо источников сведения, не относящиеся к работе и затрагивающие частную жизнь гражданина. Это вероисповедание, принадлежность к политическим партиям, сексуальная ориентация, семейная жизнь, родственные связи, пристрастия и привычки, хобби, увлечения.

Положение об обработке данных работников

Порядок сбора информации, обязанности по ее обработке, хранению, защите, ответственные лица – все это должно быть отражено в Положении. Документ предоставляется работнику для ознакомления, он подтверждает осведомленность подписью. Документ содержит следующие сведения:

  • основные понятия и положения;
  • способы работы с индивидуальной информацией;
  • формирование базы данных;
  • учет, передача и хранения имеющейся личной информации;
  • функции работника по защите своих личных сведений.

Согласие работника

Собранная и обработанная информация хранится на предприятии в несгораемом шкафу, ключ от которого находится у ответственного лица. Доступ к базе могут иметь только уполномоченные на то специалисты.

С момента поступления конфиденциальной информации в базу данных предприятия ответственность за ее сохранность ложится на предприятие.

Разглашение сведений, незаконная передача, злоупотребление имеющейся информацией строго караются законом. За нарушения предусмотрена административная, материальная и даже уголовная ответственность.

Вся необходимая индивидуальная информация хранится у работодателя. Собирая и обрабатывая персональные сведения работников, работодатель обязан позаботиться о ее защите.

5 базовых принципов закона о персональных данных, о которых нужно знать

1. Закон распространяется на все организации — и коммерческие, и бюджетные

Под персональными данными, как следует из ст. 3 №152- ФЗ, подразумевается любая информация, имеющая отношение к физлицу: информация, указанная в паспорте (ФИО, дата рождения, адрес регистрации, семейное положение и др.), а также сведения об образовании, занимаемой должности, зарплате и даже росте, весе, цвете глаз и др.

Закон распространяется абсолютно на все организации. Поскольку в каждой организации есть работники, то их данные так или иначе используются при заключении трудового договора, начислении зарплаты и в других случаях. Персональные данные вносятся в личные дела сотрудников, которые хранятся у кадровиков.

Под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных. Распространение персональных данных — это действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2. Компании могут использовать данные различных категорий субъектов

С каждой из категорий субъектов персональных данных компанию связывает определенный тип правоотношений. Некоторые компании обрабатывают персональные данные не только работников, но и клиентов, например, производственные компании. Так, компании из сферы услуг (автошколы, салоны красоты, парикмахерские, туристические агентства и др.) взаимодействуют с клиентами-физлицами, обрабатывая их персональные данные с целью предоставления, например, дисконтных карт. Интернет-магазины собирают данные физлиц, чтобы осуществлять доставку товаров.

Существует определенная категория лиц, которая не является ни клиентами, ни работниками компании, однако она передает свои данные в организацию, где они хранятся и обрабатываются. К такой категории относятся соискатели, принимающие участие в конкурсе на вакансию и передающие потенциальному работодателю свои персональные данные в виде резюме или анкеты на сайте компании.

Сотрудники могут работать в организации по договору подряда. Оформляя человека по такому договору, компания может не запрашивать у него сведений о семейном положении или ограничений по здоровью. В случае с работником, оформленным по трудовому договору, компания должна это делать.

У товариществ собственников жилья нет ни работников, ни клиентов. Это сообщество, в котором состоят члены. Существуют и другие виды организаций с подобной структурой и без трудовых или гражданских правоотношений: общественные организации, политические партии, религиозные организации и др.

3. Обработке подлежат персональные данные, отвечающие целям их обработки

Важно понимать, какие данные каких субъектов используются, чтобы устанавливать цель обработки персональных данных.

Организациям необходимо иметь представление не только о том, данные каких категорий субъектов они обрабатывают, но и с какой целью они это делают, исходя из специфики деятельности. Например, у интернет-магазина и автошколы цель обработки данных может заключаться в выполнении условий договора с клиентами.

Проверьте, насколько ваша организация готова к проверке Роскомнадзора

4. Необходимо знать, какие именно данные нужно использовать

Закон требует от компаний понимания, какие именно персональные данные в отношении каждой категории субъектов они обрабатывают.

Очевидно, что если в случае с работником необходимо знать об ограничениях по здоровью для начисления социальных выплат, имеются ли у него дети до 18 лет, чтобы предоставить ему налоговый вычет, то в отношении клиента интернет-магазина, который заказал товар, эти сведения не нужны. В этом случае достаточно знать имя, адрес и телефон покупателя.

Закон запрещает обрабатывать персональные данные, которые не требуются для достижения цели их обработки.

Достигнув цели обработки данных, компания должна прекратить обработку этих данных. Так, если интернет-магазин осуществил доставку товара клиенту, то в дальнейшем ему уже не потребуются его номер мобильного телефона и адрес доставки.

5. Необходимо понимать, когда требуется согласие на обработку данных

Для каждой категории субъектов (работников, клиентов, соискателей и др.) определяется цель обработки данных. Порой эта цель заключается в выполнении требований определенных законов. В этом случае организация может абсолютно спокойно собирать данные соответствующей категории и обрабатывать их. Так, в отношении работников организации выполняют трудовое законодательство, многие кредитные и финансовые организации обязаны на своем официальном сайте публиковать сведения об аффилированных лицах, ОАО должно размещать у себя на сайте информацию о структуре акционеров.

Если цель обработки данных какой-то категории субъектов установлена компанией самостоятельно, исходя из специфики деятельности, то она должна взять согласие об обработке персональных данных у субъекта данных (ст. 9 №152- ФЗ). Например, если компания принимает на работу сотрудника по трудовому договору, то по трудовому законодательству она должна знать, как его зовут, где он прописан, какое у него образование. И эти сведения компания может получать у человека без его согласия. Если же компания собралась выплачивать сотруднику зарплату на банковскую карту и планирует передавать сведения о нем в банк, то она обязана взять на это согласие, так как прямого требования передавать персональные данные в банк для выплаты заработной платы в законе нет.

Если интернет-магазин после доставки товара планирует рассылать клиентам SMS-сообщения о скидках, то он должен заранее сформулировать эту цель и взять с клиентов согласие на использование данных именно с этой целью. В ч.1 ст.15 №152- ФЗ есть упоминание о том, что рекламные контакты с клиентами совершаются только с их согласия.

Закон отдельно выделяет требования для данных, неправомерные действия с которыми могут нанести вред субъекту персональных данных. Речь идет о специальной категории персональных данных (ст. 10 №152- ФЗ) и биометрических персональных данных (ст. 11 №152-ФЗ).

К биометрическим данным относятся сведения, которые отражают физиологические особенности человека и необходимы для установления его личности (например, если в компании используются системы контроля доступа). К специальной категории данных относятся сведения о национальной, расовой принадлежности, философских, политических и религиозных убеждениях, состоянии здоровья и интимной жизни. Эти данные выделяются в отдельную категорию, так как закон прямо запрещает их использовать, за исключением ряда случаев (один из них — если субъект дал на то свое письменное согласие).

Отдельно закон говорит о передаче данных за границу (ст. 12 №152- ФЗ).

С учетом всех базовых принципов, описанных выше, требования к обработке данных можно разделить на три больших блока (ст. 19 №152- ФЗ):

1. Правовые меры

Организация решает, как будет соблюдать законодательство, оформляет решение в виде внутренних документов, например, «Политики в отношении обработки персональных данных», издает приказ, в котором назначает ответственного за организацию процесса обработки персональных данных и т д.

2. Организационные меры

Эти меры связаны с деятельностью компании. Закон требует, чтобы «Политика в отношении обработки персональных данных» была доступна для всех категорий субъектов персональных данных. Ее рекомендуется размещать на информационном стенде, где с ней смогут ознакомиться не только работники, но и клиенты.

По закону любой субъект персональных данных может написать в компанию письмо с требованием уточнить, обрабатывает ли она его данные. Если обрабатывает, то какие данные, с какой целью и на каком основании. Также любой субъект имеет право потребовать прекратить обработку своих персональных данных.

Рассмотрение этого письма и подготовка ответа на него — деятельность, относящаяся к организационным мерам. О том, как отвечать на такие письма, уточняется в ст. 20-21 №152-ФЗ.

3. Технические меры

Связаны с использованием средств защиты информации. Это могут быть как примитивные средства — сургучовые печати, решетки на окнах, так и высокотехнологичные способы — антивирусы, межсетевые экраны, средства защиты от несанкционированного доступа, средства криптографической защиты и др.

При обработке персональных данных организации следует:

  1. Разобраться, с данными каких категорий субъектов она имеет дело, на каком основании и с какой целью она их использует.
  2. Ознакомиться с законом и решить, как будут выполняться требования, отразить это в локальных нормативных актах.
  3. Принять соответствующие организационные меры. Например, опубликовать «Политику в отношении обработки персональных данных» и быть готовой выполнять те организационные требования, которые необходимы в ходе операционной деятельности.
  4. Позаботиться о технических мерах, понять, какие технические меры должны быть приняты, обеспечить принятие этих мер.

Существенное дополнение: в рамках текущего законодательства ни у одного контролирующего органа нет полномочий на то, чтобы контролировать выполнение технических мер у коммерческих частных организаций. Роскомнадзор может контролировать только выполнение правовых и организационных мер у частных компаний. Поэтому о четвертом шаге можно говорить формально: закон предоставляет возможность коммерческим компаниям большую свободу в выборе технических мер. Что касается государственных организаций, то для них требования по использованию средств защиты информации четко определены и подробно описаны.

Игорь Луканин, руководитель продукта «Контур.Персональные данные»

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *