Как прописать в договоре согласие на обработку персональных данных

Обновлено: 28.06.2024

Объясняем по порядку, о чём речь и что делать, чтобы всё было хорошо.

Что такое персональные данные и кто их собирает

Персональные данные — это все данные, которые посетитель сайта оставляет в формах сбора данных: обратной связи, подписки на рассылку, регистрации или в личном кабинете.

  • Имя, фамилия и отчество
  • Адрес
  • Email
  • Номер телефона
  • Дата рождения
  • Фотография
  • Ссылки на профили в соцсетях

Причём некоторые данные считаются персональными не сами по себе, а в сочетании друг с другом. Например, по имени, фамилии и отчеству нельзя точно идентифицировать человека, а в сочетании с адресом — можно. Но, чтобы не разбираться в комбинациях, проще считать все эти данные персональными и работать с ними правильно.

Каждый собирает персональные данные — при оформлении заказа покупатель оставляет свои контакты или адрес. Даже если человек ничего не купил, а просто подписался на рассылку, это тоже считается сбором персональных данных.

По закону просто так собирать персональные данные нельзя. Надо получить осознанное согласие пользователя (то есть потребовать от него действия, а не просто уведомить) и дать ему знать, как именно его данные будут использоваться. И, конечно, правильно хранить эти данные. Рассказываем, как это делать.

Как собирать персональные данные по закону

Чтобы не нарушать закон и не платить штраф:

Пример формы с согласием на обработку персональных данных

Пример формы с согласием на обработку персональных данных

В магазине на Эквиде можно быстро настроить согласие на обработку персональных данных по инструкции.

Для соблюдения формальностей закона этого будет достаточно.

Пример политики конфиденциальности (готовый шаблон)

  1. Скопируйте текст к себе (сам шаблон по ссылке нельзя редактировать, он для общего пользования).
  2. Заполните все пробелы информацией о своей компании (они отмечены красным цветом).
  3. Разместите готовый текст на сайте на отдельной странице.

Скачайте шаблон “Политики конфиденциальности” и используйте в своём магазине

Все формулировки в шаблоне юридически выверены и подойдут большинству Но мы всё равно рекомендуем вам проконсультироваться с юристом: возможно у вашей компании есть особенности и их стоит добавить в политику.

Как хранить данные клиентов

Мало просто добавить на сайт правильный документ и чекбоксы. Данные, которые вам доверил клиент, надо правильно хранить. И не просто потому, что того требует закон. Вряд ли из ваших клиентов захочется, чтобы их адрес, телефон или другие личные данные оказались в открытом доступе. И они вполне могут пожаловаться, если заподозрят, что утечка данных произошла у вас.

Вот минимальные меры предосторожности, которых стоит придерживаться:

  1. Придумайте надёжный пароль на вход в админку вашего сайта и подключите двухфакторную идентификацию по телефону для входа в почту.
  2. Не копируйте данные клиентов и заказов из админки магазина в документы на компьютере или в сети. Так за их сохранностью будет сложнее уследить.
  3. Предупредите своих сотрудников о том, как обращаться с данными клиентов и почему это важно.

Читайте подробнее, как обеспечить безопасность и данных клиентов.

И, конечно вы обязаны удалять данные клиентов по их первому требованию.

Что сделать ещё, чтобы работать по закону

    Оферта
    Это разновидность договора, где прописываются важные условия работы магазина: доставки, оплаты, возврата. Когда пользователь делает покупку в вашем магазине, он автоматически принимает условия оферты. Это в тексте тоже должно быть прописано. Оферту нужно разместить на отдельной странице сайта.


Что такое согласие на обработку персональных данных

Под таким согласием понимается письменное разрешение субъекта персональных данных, дающее право заинтересованной организации получать, собирать, обрабатывать, использовать и хранить законным способом личные сведения о себе. При этом получатель принимает на себя обязательство, что поступившая в его распоряжение информация будет использоваться только в определённых законом целях и защищена от посягательств третьей стороны.

Данное понятие регламентируется в законодательном порядке и подразумевает информацию, по которой прямо или косвенно можно идентифицировать личность, установить её индивидуальные особенности, семейный статус, положение в обществе и многое другое.

Конкретного перечня ПД не существует, так как только по фамилии, имени и отчеству однозначно идентифицировать человека не получится: на просторах нашей Родины одних ивановых иванов ивановичей – многие тысячи. Если же Ф.И.О. сочетаются с другой информацией: датой/местом рождения, адресом, номером телефона, семейным положением, отношением к религии и т.д.), то весь этот набор переходит в категорию персональных данных. Какая именно комбинация может считаться ПД – вопрос дискуссионный.

Какие данные могут подвергаться обработке

О случаях, когда обработка допустима без согласия держателя ПД, будет сказано ниже.

Что является личной информацией граждан

В каких документах присутствуют персональные данные

В распоряжении работодателя, как правило, находится общепринятый пакет документов, содержащих сведения о своих работниках. К таким документам относятся:

  • копии документов сотрудника (паспорт, СНИЛС, ИНН, диплом(ы) об образовании);
  • фотография;
  • кадровые документы (трудовая книжка, трудовое соглашение, приказы);
  • бухгалтерские документы (расчётные листки по зарплате);
  • прочее (резюме, результаты психологического тестирования и т.п.).

В совокупности эти сведения являются ПД. Работодатель несёт административную, гражданскую и уголовную ответственность за их неправомерное распространение или утечку.

Способы сбора согласий на обработку персональных данных

Под сбором данных понимается их передача субъектом оператору. Сбор согласий производится как в письменной, так и в электронной форме. Среди популярных способов:

Заполнение печатной анкеты

Анкета заполняется физическим лицом от руки с указанием согласия на обработку ПД.

Подтверждение согласия через СМС-код или звонок

поставщик услуги со слов клиента вносит его личные данные в свою электронную базу и просит дать согласие на обработку полученных сведений посредством СМС-кода или звонка. Код отправляется системой автоматически. При этом клиенту предлагается ознакомиться с программой лояльности, ссылка на которую прикрепляется к СМС.

Чекбокс с галочкой согласия в общей форме заявки

В форме на сайте компании имеется чекбокс, который клиент должен отметить галочкой, чтобы подтвердить своё согласие с правилами обработки ПД. Оформленная заявка хранится на сайте, а при необходимости может быть выгружена и предъявлена в качестве доказательства о согласии клиента.

Что такое портал персональных данных

Портал персональных данных – это сайт Роскомнадзора, уполномоченного защищать права субъектов ПД. Через портал можно найти реестр операторов и нарушителей, подать обращение или жалобу, получить доступ к электронной библиотеке по защите прав граждан и другим полезным ресурсам.

Кто такие операторы персональных данных и что они делают

Это государственные и муниципальные органы, юридические и физические лица, которые организуют и/или осуществляют обработку ПД, определяют её содержание и цели. В задачу оператора также входит обеспечение конфиденциальности и сохранности ПД. Оператор не вправе обрабатывать информацию, не получив предварительного одобрения их обладателя, за исключением предусмотренных законом случаев.

Когда нужно получение согласия на обработку персональных данных

В случаях, когда цель определяется организацией (оператором) самостоятельно в силу особого характера своей деятельности, то она обязана получить согласие у обладателя ПД. Например, если фирма практикует выплату зарплаты на банковскую карту, для передачи сведений в банк она должна взять у сотрудника соответствующее согласие, поскольку прямого требования закона на этот счёт не существует. То же относится к специальным и биометрическим данным.

Согласие при трудоустройстве

При приёме на работу работодатель должен заручиться согласием соискателя на обработку его ПД. Если целью сбора и обработки ПД является исполнение установленных законом требований, оператор вправе свободно собирать и обрабатывать индивидуальные сведения. В частности, принимая на работу сотрудника в рамках трудового договора, организация должна знать его имя и фамилию, возраст, место регистрации, контактный телефон, уровень образования.

Если работодатель собирается не только обрабатывать, но и распространять ПД потенциального сотрудника, он обязан получить на это отдельное согласие. Работодатель также обязан ясно обозначить, какую информацию, в какой форме и с какой целью он намерен обрабатывать и/или распространять.

Согласие на обработку персональных данных при получении кредита

Согласие при определении ребенка в садик или школу

Согласие на обработку ПД несовершеннолетнего (ребёнка, школьника) даёт его законный представитель (отец, мать, опекун). Сведения о ребёнке и его представителе образовательное учреждение использует для организации воспитательного и образовательного процесса, медицинского обслуживания, льготного питания, статистической отчётности, проведения ЕГЭ, конкурсов, олимпиад.

Требования к документу в 2021 году

Гражданам даются правомочия требовать прекращения распространения своих ПД в любое время.

Обязательно ли получать согласие в 2021 году

Как правило, такой документ работодатель подписывает практически с каждым работником – субъектом ПД, чьи данные он собирается обрабатывать. В данном случае лучше перестраховаться, чем иметь дело с Роскомнадзором. При этом принцип добровольности никто не отменял: субъект ПД вправе передать лишь те сведения, которые сочтёт необходимыми. Об исключениях из этого правила сказано ниже.

Когда согласие не требуется

Законом допускаются ситуации, при которых обрабатывать ПД разрешается даже при отсутствии согласия субъекта ПД. Такие случаи оговорены в Законе. Согласия не требуется, если обработка ПД осуществляется с целью:

  • исполнения договора, в котором одна из сторон – субъект ПД (например, договор аренды помещения);
  • защиты жизненно важных интересов гражданина, если получить его согласие физически невозможно;
  • сбора статистических данных, проведения научных исследований и иных мероприятий государственного масштаба с условием обязательного обезличивания ПД;
  • доставки почтовых отправлений службами почтовой связи;
  • опубликования в СМИ персональных данных должностных лиц определённого ранга, кандидатов на выборные должности, общественных деятелей, когда это не противоречит федеральному законодательству.

Без согласия обработка ПД производится, когда лицо участвует в судопроизводстве (гражданском, арбитражном, уголовном).

Как еще могут ужесточить правила обработки персональных данных

Минцифры РФ предлагает дальнейшее ужесточение законодательства в области ПД. Актуальность такого подхода объясняется наличием технологий, позволяющих идентифицировать человека даже по обезличенным данным. В частности, операторам могут запретить:

  • пользоваться информацией, дающей возможность установить принадлежность ПД конкретному лицу;
  • кроме обезличенных данных, предоставлять третьей стороне сведения, позволяющие идентифицировать гражданина;
  • деобезличивать сведения, кроме случаев, когда речь идёт о защите жизни и здоровья граждан.

Будут ли данные предложение реализованы на практике – покажет время.

Что делать, если человек отказывается давать согласие

Закон предоставляет гражданину право отказаться от согласия на обработку и распространение ПД. Санкций за такой отказ не последует. Однако в ряде случаев у человека могут возникнуть проблемы при обращении во многие организации, включая коммерческие структуры. Дело в том, что для оказания некоторых услуг, в том числе электронных, требуются документы, содержащие, помимо прочего, и персональные данные.

Что касается работодателя, то от принципиальности упрямца он почти не испытает неудобств: организация во многих случаях имеет право обрабатывать и распространять ПД без согласия своего сотрудника. В частности, согласие не требуется для исполнения трудового договора.

Также работодатель может на законных основаниях передавать ПД работника в ПФР, ФНС, прокуратуру и другие госорганы, утверждённые законодательством.

Что будет при незаконном разглашении персональных данных

Если оператор превышает свои полномочия при работе с ПД гражданина, это является прямым нарушением закона, за что может наступить административная, гражданская и даже уголовная ответственность. КоАП РФ предусматривает следующие штрафные санкции.

Сумма штрафа для юридических лиц

Обработка данных в непредусмотренных законом случаях или с иными целями, чем заявлено при сборе данных

Первое нарушение – от 60 до 100 тыс. руб.

Повторное нарушение – от 100 до 300 тыс. руб.

Ст.13.11 п.1, 1.1 КоАП РФ

Клиент дал вам свой e-mail для оформления заказа, а вы добавили его адрес в БД для рекламной рассылки

Обработка данных без письменного согласия клиента или несоблюдение требований, предъявляемых к составу включённых в согласие сведений

Первое нарушение – от 30 до 150 тыс. руб.

Повторное нарушение – от 300 до 500 тыс. руб.

Ст.13.11 п.2, 2.1 КоАП РФ

Вы передали данные клиента агентству по маркетингу, а в согласии их передача третьей стороне запрещена

Как правильно составить согласие в 2021 году

Что должно присутствовать в согласии в обязательном порядке

Согласно требованием Роскомнадзора в согласии субъекта ПД должно быть указано:

  1. Ф.И.О.
  2. Контактная информация.
  3. Сведения об операторе.
  4. С какой целью обрабатываются ПД.
  5. Обработка каких ПД запрещена.
  6. Срок действия.
  7. Какие информационные ресурсы будет использовать оператор для распространения ПД.

Гражданин правомочен сам выбирать, какого рода ПД оператору разрешается распространять и на каких условиях.

Форма согласия на обработку персональных данных в 2021 году

Унифицированного шаблона согласия на обработку ПД, разрешённых к распространению, пока нет. Поэтому рекомендуется придерживаться рекомендаций Роскомнадзора, которые сводятся к следующему.

  1. В форме должны присутствовать сведения об операторе (работодателе) и субъекте ПД (работнике).
  2. Работник должен перечислить категории своих ПД, которые могут быть переданы третьей стороне с указанием ограничений, если таковые имеются.
  3. В документе следует указать, посредством каких информационных ресурсов оператор будет распространять ПД.
  4. Согласие должно быть заверено личной подписью субъекта ПД и содержать указание о сроке действия.

В согласии также должно быть указано, с какой целью оператор будет производить обработку поступивших в его распоряжение ПД.

Возможные ошибки

К типичным ошибкам при заполнении формы согласия являются:

  • документ выполнен не на бланке учреждения (либо не заверен печатью);
  • указан адрес местонахождения организации, а не так, как в ЕГРЮЛ;
  • цель обработки ПД не соответствует уставной деятельности организации.

Документ не должен быть бессрочным либо предусматривать его автоматическую пролонгацию.

Образец заполнения


Как уведомить Роскомнадзор о получении новых персональных данных

Уведомить Роскомнадзор можно в бумажном или электронном виде.

Можно ли отозвать согласие

Закон позволяет гражданину отозвать согласие на обработку своих ПД в любое время. При этом отзыв не обязан быть обусловлен какими-либо событиями или обстоятельствами.

Как прекратить передачу персональных данных

Так как согласие на обработку ПД оформляется в письменном виде, отзывать его следует путём подачи оператору письменного заявления. Форма отказа – свободная, передать её можно:

  • лично;
  • почтовым отправлением;
  • в электронном виде.

Важно получить подтверждение даты получения – с неё начнётся отсчёт периода, в течение которого оператор обязан завершить действия с ПД.

Вопрос: Является ли сбор сведений о зарплате обработкой ПД?

Ответ: Да, поскольку ПД работника будут передаваться третьему лицу – банку. Работнику следует предложить дать согласие на такую передачу с указанием банка, его адреса и перечня действий, которые могут совершаться с полученными сведениями.

Вопрос: должен ли гражданин предоставлять сведения о наличии судимости?

Ответ: сведения об отбывании гражданином срока в местах лишения свободы требуются лишь тогда, когда занятие должности не допускается при наличии судимости. В остальных случаях такие сведения гражданин может не предоставлять.

Вопрос: в каких случаях оператор имеет право не обеспечивать конфиденциальность ПД?

Ответ: обеспечение конфиденциальности ПД не требуется, если они: а) обезличены; б) общедоступны.

Заключение

По мере цифровизации экономики и развития интернет-технологий защита ПД граждан от незаконного использования и распространения приобретает всё большее значение. Миллиарды денег, похищенные мошенниками с банковских счетов россиян, оформление кредитов на подставные лица, махинации с недвижимостью – всё это, так или иначе, связано с утечкой ПД. В одних случаях вина лежит на самих субъектах ПД – доверчивых или беспечных гражданах, в других – на операторах ПД. Если граждане отвечают за себя сами, то ответственность оператора регламентируется государством в лице Роскомнадзора.

В 2021 году санкции за фривольное обращение с ПД серьёзно ужесточились.

Следует ожидать, что надзорный орган продолжит работу над проблемой реализации Закона № 152-ФЗ путём проведения правовых, организационных и технических мероприятий.

Марина Крицкая

Неоднозначное понимание того, что именно скрывается под персональными данными, в итоге приводит к конфликту между сторонами, когда работодатель и работник злоупотребляют своими правами. Чтобы избежать таких ситуаций, надо понимать, как правильно обрабатывать персональные данные на каждом этапе взаимодействия.

Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ (ст. 24) и Федеральный закон от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных).

Вопросам защиты персональных данных работника посвящена гл. 14 ТК РФ.

Что включают персональные данные работника

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.

В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.

На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.

Что делать с персональными данными кандидата

Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.

В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.

Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.

Но есть и исключения, когда такое согласие не требуется:

  • если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
  • при самостоятельном размещении резюме в интернете.

В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность. Можно воспользоваться образцом согласия на обработку персональных данных.

Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.

Что делать, если персональные данные собираются с помощью анкеты

Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

  • в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
  • в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
  • анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;
  • в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Что делать с данными кандидата, которого не взяли на работу

В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.

Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.

Направление запросов на прежние места работы

На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.

Для этого ему обязательно нужно заручиться согласием соискателя.

Сбор и обработка персональных данных при приеме на работу

Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно ст. 65 ТК РФ, запрашиваются:

  • паспорт или иной документ, удостоверяющий личность;
  • трудовая книжка;
  • документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
  • при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.

На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется. Когда он подписывает трудовой договор, то тем самым уже дает свое согласие.

Оформление зарплатной карты и персональные данные работника

Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно.

При этом важно, чтобы:

  • перечень персональных данных строго соответствовал тому, что передается в банк;
  • была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.

Роскомнадзор определяет случаи, когда передача персональных данных работника банку для открытия зарплатных карт должна происходить без согласия:

  • договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;
  • у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;
  • соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 ТК РФ).

Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.

Сотрудник сменил фамилию — что делать с трудовым договором?

В этом случае нужно обязательно внести изменения в трудовой договор. Главное — сделать это правильно.

Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.

Правильно будет внести изменение непосредственно в текст трудового договора, вручную.

Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.

Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в Письме от 08.10.2018 N 14-2/В-803.

В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.

Каким должно быть согласие на обработку персональных данных

Роскомнадзор в своих рекомендациях формулирует следующие требования:

  1. Содержание согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.
  2. Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
  3. Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно ч. 4 ст. 9 Закона о персональных данных.

Оформление доски почета

Противоположная ситуация — это поощрение работника в виде доски почета. Но и здесь есть свои тонкости.

Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.

Для использования фото сотрудника тоже придется заручиться согласием.

Персональные данные для пропуска

В большинстве организаций сейчас действует пропускной режим. Соответственно, новым работникам требуется оформление пропуска.

В данном случае нет необходимости в получении согласия на обработку персональных данных, если:

  • компания самостоятельно осуществляет пропускной режим;
  • если обработка соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со ст. 372 ТК РФ.

В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно.

Кадровый и бухгалтерский учет на аутсорсе и персональные данные

Если работодатель решает вопросы кадрового и бухгалтерского характера при помощи аутсорса, то есть силами сторонних организаций, то он должен соблюдать требования, обозначенные ч. 3 ст. 6 Закона о персональных данных.

Что делать с персональными данными уволенных сотрудников

Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета.

Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (пп. 5 п. 3 ст. 24 НК РФ). И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется.

Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет. Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется.

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Если у вас есть сотрудники — вы автоматически становитесь оператором персональных данных, а значит должны соблюдать правила работы с ними. Вполне возможно, что о некоторых из них вы даже не подозревали. Почитайте статью, чтобы знать и избежать штрафов.

Что такое персональные данные

Это любые факты, события, обстоятельства жизни и другая информация, благодаря которым можно идентифицировать личность физлица.

Точного перечня персональных данных нет. Что в него включать, зависит от ситуации. В частности, к персональным данным работника относятся:

  • фамилия, имя, отчество;
  • пол;
  • возраст;
  • дата и место рождения;
  • паспортные данные;
  • адрес регистрации и фактического проживания;
  • номер телефона;
  • национальность;
  • семейное положение;
  • сведения о детях, родственниках;
  • социальное, имущественное положение;
  • образование, профподготовка, повышение квалификации;
  • профессия, специальность;
  • доходы;
  • состояние здоровья;
  • информация о судимости;
  • сведения о предыдущем месте работы: должность, зарплата и т. д.;
  • политические и религиозные взгляды и др.

По отдельности эти сведения не будут персональными данными. Например, адрес без ФИО проживающего. Или номер телефона, если непонятно, чей он. Персональными они становятся, когда по этим данным можно прямо или косвенно определить конкретного человека.

Не относится к персональным данным ИНН. Минфин объясняет , что он нужен только для учёта налогоплательщиков внутри налоговой системы и для ускорения обработки большого потока информации.

Документы, которые содержат персональные данные работников:

  • трудовой договор и допсоглашения к нему;
  • приказы о приёме на работу, о переводе, о совмещении, об отпуске, о премировании, об увольнении и т. д.;
  • документы по аттестации работника;
  • трудовая книжка;
  • личное дело;
  • график отпусков;
  • расчётный листок;
  • зарплатная ведомость;
  • копии паспорта, документа об образовании, военного билета;
  • личная карточка и др.

Такие документы работодатели обязаны вести и хранить по особым правилам.

Как работать с персональными данными

Основные документы, которыми нужно руководствоваться в работе с персональными данными — это закон № 152-ФЗ и глава 14 ТК РФ .

Что такое обработка персональных данных и как её вести

Обработкой персональных данных считаются любые действия, которые с ними можно произвести вручную или с помощью программ и сервисов:

  • сбор;
  • передача
  • запись;
  • хранение;
  • изменение;
  • распространение (неограниченному кругу лиц);
  • предоставление (конкретным лицам);
  • анализ;
  • удаление и т. д.

Организация или ИП, у которых есть работники, считаются операторами персональных данных, так как получают и обрабатывают информацию о физлицах.

В некоторых случаях обработку нельзя сделать без ведома Роскомнадзора ( ч. 1 ст. 22 Закона № 152-ФЗ ). В частности, если работодатель:

  1. Получает любую дополнительную информацию о сотрудниках, которую не обязывает собирать ТК РФ. Например, их фотографии.
  2. Ведёт обработку не только в рамках трудовых отношений. Например, подаёт данные сотрудников в страховую компанию для оформления полисов ДМС или устанавливает видеонаблюдение на рабочих местах.

Если работодатель обрабатывает информацию только в рамках трудовых отношений, никаких уведомлений не нужно.

Положение о работе с персональными данными

Всем работодателям нужно составить локальный нормативный акт — положение о работе с персональными данными. Установленной формы нет, но обычно в нём несколько разделов:

  • общие положения — цель документа;
  • основные понятия — расшифровки терминов, которые фигурируют в документе (обработка, распространение и т. д.);
  • состав персональных данных — какая информация к ним относится, список документов, в которых она содержится;
  • правила получения, обработки, передачи, хранения и использования персональных данных;
  • список сотрудников, у которых есть допуск к таким данным;
  • порядок хранения — где и как хранятся персональные данные, меры по защите;
  • ответственность за нарушение правил работы с персональными данными;
  • заключительные положения — с какой даты вводится в действие, кто назначен ответственным.

Формулировки можно брать из Закона № 152-ФЗ . Внизу, на последнем листе расписывается сотрудник, составивший документ. Чаще всего это специалист по кадрам.

Положение утверждает руководитель организации, ИП или уполномоченный сотрудник. До утверждения документ могут согласовать другие заинтересованные работники (например, руководитель отдела кадров или юрист), если такой порядок принят у работодателя.

С положением нужно ознакомить всех работников под подпись. Это можно сделать:

  • на отдельном листе ознакомления и подшить его к положению;
  • в специальном журнале ознакомления с локальными нормативными актами работодателя;
  • на последнем листе второго экземпляра трудового договора, который будет храниться у работодателя.

Если работник отказывается ознакомиться с положением о работе с персональными данными, оформите акт об отказе. Это будет подтверждением того, что вы выполнили свои обязанности и убережёт от претензий проверяющих.

Когда нужно согласие на обработку персональных данных и как его оформить

Не всегда нужно получать письменное согласие работника на обработку его персональных данных. Например, оно не потребуется для:

  • оформления и исполнения трудового договора;
  • заполнения личной карточки и других кадровых документов;
  • передачи в органы статистики при условии, что данные обезличены, то есть их нельзя отнести к конкретному физлицу;
  • передачи в налоговую инспекцию, соцстрах, пенсионный фонд, военкомат — по их запросам или в составе отчётности;
  • внесения в специальный реестр ЕСИА информации о корпоративных сим-картах сотрудников;
  • передачи по запросу в прокуратуру, МВД, ФСБ и в другие ведомства, которым разрешено запрашивать информацию о работниках.

Подтверждение — ст. 86 , 88 ТК РФ, п. 2 ч. 1 ст. 6 закона № 152-ФЗ., п. 2 ст. 44 закона № 126-ФЗ и т. д.

Взять согласие на обработку нужно, если вам понадобилось больше информации о работнике, чем установлено в ТК РФ или при передаче данных третьим лицам. Например, когда:

  1. Вы хотите запросить сведения о жилищных условиях работника, чтобы понимать, в каком жилье он нуждается. Это бывает нужно, когда в трудовом договоре есть дополнительное условие о предоставлении квартиры для проживания на время исполнения трудовых обязанностей.
  2. Вы передаёте кадровое делопроизводство или бухучёт на аутсорсинг.
  3. Вам нужна фотография работника на пропуск для прохода на рабочее место.
  4. Вы хотите разместить персональные данные работника на корпоративном сайте, например, его фото, должность, сведения об образовании и т. д.

В согласии на обработку персональных данных нужно прописать ( п. 4 ст. 9 закона № 152-ФЗ ):

  • ФИО и адрес работника;
  • серию и номер паспорта, дату выдачи и кем выдан;
  • наименование или ФИО работодателя, его адрес;
  • для какой цели понадобилось согласие;
  • список информации для обработки;
  • какие действия будут производиться с этими данными;
  • способы обработки;
  • срок действия согласия и как его отозвать.

Согласие можно оформлять на бумаге с собственноручной подписью работника или в виде электронного документа, подписанного ЭП.

Когда вы публикуете в интернете информацию о работниках — это распространение персональных данных неограниченному кругу лиц. В этом случае надо получить отдельное согласие — на распространение. Его оформляют с учётом требований Роскомнадзора и ст. 10.1 закона № 152-ФЗ .

Читайте также: