Где хранить согласие на обработку персональных данных работника

Обновлено: 03.05.2024

Рано или поздно у каждой организации накапливаются большие архивы, которые, в том числе, содержат документы на бывших сотрудников с их персональными данными - ПДн (сведения из приказов, лицевых счетов, налоговых карточек, свидетельств о браке и рождении детей и многое другое). В связи со строгими регламентами работы с персональными данными физических лиц многие компании переживают, что при неправильной обработке и хранении информации бывших сотрудников им грозят штрафные санкции от надзорных органов. Прежде всего, от специалистов Роскомнадзора. Иногда штрафы имеют весомый размер. Давайте выясним, какими нормативными актами регулируется хранение персональных данных?

Сегодня хранение документов, содержащих персональные данные физических лиц, регламентируется различными законами и нормативно-правовыми актами, например:

  • Законом о персональных данных
    Согласно этому закону после того, как работник прекратил трудовую деятельность в организации, компания как оператор ПДн достигла целей их обработки и обязана прекратить хранить информацию. Согласно закону на уничтожение документов отводится один месяц.
  • Налоговым кодексом Российской Федерации
    Документация, содержащая персданные уволенных, используется в течение длительного срока после увольнения. Так, например, согласно НК РФ необходимо хранить сведения об НДФЛ не менее четырех лет, а информацию о взносах – не менее шести лет.
  • Трудовым кодексом Российской Федерации
    Согласно ТК РФ бывшие работники предприятия могут в любой момент обратиться в бухгалтерию или архив за документами, содержащими сведения для расчета пенсионного стажа или величины пособий.
  • Законом об архивном деле
    Данный нормативно-правовой акт подразумевает обязательное хранение документов о работников в течение 50 лет после их увольнения (до 2003 года этот срок был еще больше – 75 лет).

Существуют и другие законы, регулирующие хранение документов с личными данными, например, Закон о пособиях по временной нетрудоспособности и в связи с материнством.

Что думают ведомства?

Наличие различных законов и нормативно-правовых актов отражается на восприятии темы инспекторами различных ведомств. Так, например:

  • Эксперты из Роскомнадзора настаивают, что организации не должны хранить документы, связанные с браком и детьми, несмотря на доводы о том, что именно эти данные часто нужны для расчета вычета и пособий;
  • Инспекторы из налоговой отмечают, что при необходимости они могут проверить все документы, являющиеся основаниями для расчетов, самостоятельно, даже, если это касается уволенных сотрудников, а предоставление копии документы не является юридически значимым.
  • В Федеральном Фонде Социального Страхования специалисты отмечают, что наличие документов о сотрудниках, даже уволенных, необходимо при камеральной проверке, иначе ревизор не может проверить обоснованность, например, выплат пособия сотруднику.

Как поступают бухгалтеры?

В связи с неразберихой многие бухгалтеры вынуждены идти на некоторые хитрости, чтобы, с одной стороны, выполнить требования одних надзорных органов, но при этом, с другой стороны, не нарушить регламенты других инстанций. Например, некоторые делят всю документацию о каждом сотруднике на две категории:

  1. Внутренние документы – к ним можно отнести приказ, ведомость, заявление сотрудника и др.
  2. Внешние документы – личные документы работника.

При этом внутренние документы можно хранить столько, сколько предписывает Закон об архивном деле, и Роскомнадзор не сочтет это нарушением. А вот подход к хранению внешних документов у разных бухгалтеров отличается. Можно выделить четыре основных подхода:

  1. Уничтожение внешних документов с предварительным составлением акта, в котором указываются названия документов и их количество. Подписываются подобные акты специально созданной комиссией, в составе которой обязательно должен присутствовать руководитель организации;
  2. Передача сотруднику в последний день работы.
  3. Хранение документов только в сканированном виде (копии передаются работнику в день увольнения или уничтожаются);
  4. Тайное хранение документов и их выдача по запросу. Например, для тех инстанций, которым они требуются, бухгалтерия показывает данные, а для тех, кто штрафует за хранение (например, Роскомнадзор) их не существует.

Как быть? Хранить или не хранить?

Если вы хотите, с одной стороны, соблюдать требования всех инстанций, а, с другой стороны, не столкнуться со штрафами от других надзорных органов, воспользуйтесь сервисом СБИС ЭДО для хранения и обмена электронными документами с контрагентами и государственными инстанциями. Система автоматически подскажет вам, в течение какого срока необходимо хранить тот или иной документ по уволенному сотруднику, и сообщит, можно ли его распечатывать.

Почему современные компании выбирают СБИС ЭДО?

Ведение электронного документооборота в СБИС – это:

  • Комфорт – интуитивно понятным интерфейсом быстро овладеет даже новичок;
  • Доступность – работать в СБИС ЭДО можно как с ПК и сервера, так и с мобильных устройств;
  • Интеграция – с основными учетными системами позволит легко импортировать и экспортировать файлы;
  • Безопасность – благодаря криптографической защите вы обеспечите конфиденциальность личных данных сотрудников;
  • Выгодная стоимость, благодаря которой тысячи компаний в вашем городе выбрали ПО от СБИС.

Хотите заказать СБИС ЭДО или задать вопросы о сервисе? Обратитесь к нашим специалистам, и они быстро ответят!

Мы собрали в статье самые интересные вопросы, которые задали участники митапа, и экспертные ответы на них. Все выступления вы можете посмотреть в записи.

Персональные данные

Что является общедоступной информацией и общедоступными персональными данными?

По закону, общедоступная информация — та, к которой доступ не ограничен. Общедоступные персональные данные — это данные, неограниченный доступ к которым субъект предоставил со своего согласия, причем письменного.

Как получить согласие на хранение данных

Закон допускает получение согласия кандидатов через веб-форму. Когда у вас настроен автоматизированный сбор согласий, Роскомнадзор не будет проверять по отдельности наличие согласия каждого человека в базе данных. В случае проверки важно продемонстрировать, как идет процесс.

Например, ваш сбор согласий через сайт подтвержден внутренним приказом, и часть вашей системы в виде скриншота в этом приказе отражена, то есть у вас есть внутренние документы, которые такое получение согласия описывают. Текст согласия также утвержден каким-либо локальным актом вашей организации. Если вы можете продемонстрировать Роскомнадзору все эти документы и показать, что согласия собираются, этого должно быть достаточно, и не нужно будет просить согласие два раза.

Редко бывают случаи, когда требуется непосредственно письменное согласие. Можно решить это так: когда кандидат пришел на собеседование, попросите его подписать разрешение.

На общий почтовый ящик компании приходят резюме. Как с ними правильно поступать, если согласия на обработку данных нет?

Есть ли ситуации, когда обязательно нужно письменное согласие от кандидатов?

Это специальные категории персональных данных: биометрические персональные данные, ограниченные для передачи в определенные страны; информация о здоровье, религиозных взглядах, политических взглядах. Но в кадровом делопроизводстве обычно такие данные не встречаются.

Как быть, если вдруг дело дошло до суда, и кандидат, который давал согласие на обработку персональных данных, вдруг говорит, что ничего он не давал — его почтовый ящик взломали? Как минимизировать такие риски?

Это уже конфликт с субъектом. Он также может сказать, что его подпись на согласии подделана. Все, что можно сделать в этой ситуации, — продемонстрировать, что к вам пришел человек и сообщил, что будет с вами общаться с конкретного почтового ящика. Суд должен встать на вашу сторону, потому что у вас не было оснований считать, что пишет какой-то другой человек. Но как конкретно развернется дело, сказать сложно.

Нужно ли получать согласие кандидатов на хранение персональных данных, если мы просто посмотрели и распечатали резюме, но отмели его кандидатуру?

Если мы получаем резюме от кадровых агентств, и они у нас хранятся, мы должны получать согласие кандидатов?

Возможно, кадровое агентство уже позаботилось об этом, поэтому важно уточнить у кадрового агентства, в какой форме они собирают согласия. В этих формах должно быть обозначено, что данные будут передаваться в кадровый резерв третьих лиц. У вас должна быть копия этого согласия на случай проверки. Ну и на уровне договора с подрядчиком можно прописать, кто и как обходится с персональными данными кандидатов. Этот договор также можно предоставить в случае проверки.

Глобальная корпорация, 2000 юридических лиц по всему миру. Потенциально все сотрудники могут иметь доступ к персональным данным российских сотрудников, размещенных в глобальных системах. Как сформулировать согласие?

Во-первых, в согласии важно прописать трансграничную передачу, если данные размещаются на серверах этой компании. Во-вторых, необходимо прописывать предоставление данных третьим лицам и то, с какой целью другие члены организации могут иметь доступ к данным.

Если кандидаты из Беларуси, Казахстана и Украины откликаются на наши вакансии, должны ли мы с них тоже запрашивать согласие на обработку данных? Или это касается только соискателей из России?

В странах СНГ свои законы о хранении и обработке персональных данных, требования различаются. Здесь все зависит от того, чье именно законодательство в конкретный момент времени вам надо выполнять. В этих законах также обозначена территория, на которой они действуют. В каких-то случаях закон будет действовать только на территории определенного государства, а в каких-то случаях вы будете обязаны особым образом подходить к обработке данных иностранных граждан. Но так как вы находитесь в России, то вы должны выполнять требования закона об обработке и хранении персональных данных и запрашивать согласие. В случае специальных требований других стран нужно исходить из ситуации.

Нужно ли запрашивать с кандидата согласие на обработку его паспортных данных, если эти данные нам не нужны?

Нет, запрашивать нужно согласие только на те данные, с которыми вы в дальнейшем собираетесь работать. Паспортные данные вы можете запросить, например, для идентификации конкретного соискателя, но так как вы не собираетесь ничего с ними делать, то и согласие не нужно.

Кадровый резерв

Для кадрового резерва нужно собирать отдельное согласие. Можно ли уведомлять об этом кандидата в рамках одной формы для согласия на обработку и хранение персональных данных или нужно запрашивать два согласия?

Можно решить с помощью одного общего согласия, в котором будет указано и рассмотрение на вакансию, и внесение в кадровый резерв. Даже лучше брать одно согласие, чтобы не нагружать ни себя, ни человека.

Если у нас давно есть архив кадрового резерва, и люди, находящиеся в нем, давали согласие на обработку персональных данных в период трудоустройства. Нужно ли отдельное согласие на хранение этих данных?

Так как ваша цель достигнута (люди отработали, уволились), у вас нет формальных оснований хранить эти данные. Поэтому для хранения необходимо запросить у людей в какой-либо форме эти согласия. Либо удалить или обезличить, оставив для себя статистические данные: например, у вас работало столько-то человек такого-то года рождения.

Проверки Роскомнадзора

Какие у Роскомнадзора есть основания для проверки компаний? Они выбирают те, которые им понравились?

Принцип, по которому Роскомнадзор выбирает компании для проверки, неизвестен. Обычно они публикуют план проверок, с которым можно ознакомиться на их сайте.

Как глубоко копает Роскомнадзор в процессе проверок, переходит ли от системы к единичным резюме? В каких случаях начинают искать единичные нарушения?

Сложно сказать, в какой момент Роскомнадзор захочет углубиться и посмотреть какие-либо этапы процесса работы с данными подробнее. Все зависит от конкретной ситуации и позиции проверяющего. Он может вдруг попросить посмотреть, как вы храните личное дело, а может и заглянуть в него, а в нем окажется какое-либо нарушение. Если такое обнаружится в нескольких делах, то проверяющий поймет, что нарушения носят массовый характер.

Может ли Роскомнадзор ковыряться в моем рабочем компьютере?

Как сбор данных автоматизирован в Talantix

Автоматизирована ли в системе функция отправки согласия кандидату, можно ли это сделать массово? Или нужно каждому отправлять вручную?

В Talantix процесс автоматизирован: вы можете выбрать список пофамильно или отметить, например, только тех кандидатов, которые откликнулись на конкретную вакансию.

Есть ли возможность временно арендовать чат-бот для нашего корпоративного сайта, так как постоянной необходимости в подборе нет и нет необходимости постоянно пользоваться системой Talantix?

Мы можем настроить для вас чат-бот под ваши задачи, сделаем его как виджет для вашей страницы, и вы сможете его арендовать. Кандидат, кликая на виджет, будет попадать на страницу с чат-ботом в стиле вашей компании. Согласие на обработку персональных данных будет ждать его наверху страницы.

Хранение и уничтожение персональных данных

Как правильно хранить и уничтожать личные дела, чтобы потом не было претензий?

Например, у вас есть фрилансеры, и вы заключаете с ними гражданско-правовые договоры. В силу требований налоговой вы не можете уничтожить договор с фрилансером просто потому, что он вас попросил, даже отправив вам требование, написанное по закону. Пока у вас есть договор, вы имеете право его данные хранить и обрабатывать, так как вам необходимо будет составлять акт оказанных услуг, начислить страховые взносы, платить налоги. Потому что налоговая проверка к вам тоже может прийти, и вам необходимо будет предоставить документы, по которым вы работали с фрилансером. И если Роскомнадзор спросит, почему вы храните данные, если уже не сотрудничаете с фрилансером, то вы можете сослаться на Закон об архивном деле, есть ПБУ, есть Налоговый кодекс, где прописаны свои требования по хранению данных.

Касательно личного дела. Допустим, у вас работал человек, потом уволился. Он имеет право прийти к вам через какое-то время и попросить вас предоставить ему справки о выплаченной зарплате, копии каких-либо документов и другое. И вы должны будете их предоставить, поэтому такие данные необходимо хранить. Закон обязывает вас хранить бухгалтерскую и кадровую документацию, и вы это делаете.

Процедура уничтожения персональных данных должна быть регламентирована и описана. Если это материальный носитель, то в регламенте должно быть прописано, что собирается комиссия, носитель уничтожается и составляется акт об уничтожении материального носителя. К примеру, вы хранили данные на жестком диске. Вы его уничтожаете и составляете акт. Роскомнадзор может попросить вас продемонстрировать экземпляр этого акта.

Существуют ли какие-то сроки, в которые уволившийся человек может обратиться в организацию с просьбой удалить его персональные данные?

Субъект с такой просьбой может к вам обратиться в любой момент времени, здесь нет срока давности. Но ваши сроки хранения данных вам необходимо прописывать во внутренних регламентах.

Если у вас есть сотрудники — вы автоматически становитесь оператором персональных данных, а значит должны соблюдать правила работы с ними. Вполне возможно, что о некоторых из них вы даже не подозревали. Почитайте статью, чтобы знать и избежать штрафов.

Что такое персональные данные

Это любые факты, события, обстоятельства жизни и другая информация, благодаря которым можно идентифицировать личность физлица.

Точного перечня персональных данных нет. Что в него включать, зависит от ситуации. В частности, к персональным данным работника относятся:

  • фамилия, имя, отчество;
  • пол;
  • возраст;
  • дата и место рождения;
  • паспортные данные;
  • адрес регистрации и фактического проживания;
  • номер телефона;
  • национальность;
  • семейное положение;
  • сведения о детях, родственниках;
  • социальное, имущественное положение;
  • образование, профподготовка, повышение квалификации;
  • профессия, специальность;
  • доходы;
  • состояние здоровья;
  • информация о судимости;
  • сведения о предыдущем месте работы: должность, зарплата и т. д.;
  • политические и религиозные взгляды и др.

По отдельности эти сведения не будут персональными данными. Например, адрес без ФИО проживающего. Или номер телефона, если непонятно, чей он. Персональными они становятся, когда по этим данным можно прямо или косвенно определить конкретного человека.

Не относится к персональным данным ИНН. Минфин объясняет , что он нужен только для учёта налогоплательщиков внутри налоговой системы и для ускорения обработки большого потока информации.

Документы, которые содержат персональные данные работников:

  • трудовой договор и допсоглашения к нему;
  • приказы о приёме на работу, о переводе, о совмещении, об отпуске, о премировании, об увольнении и т. д.;
  • документы по аттестации работника;
  • трудовая книжка;
  • личное дело;
  • график отпусков;
  • расчётный листок;
  • зарплатная ведомость;
  • копии паспорта, документа об образовании, военного билета;
  • личная карточка и др.

Такие документы работодатели обязаны вести и хранить по особым правилам.

Как работать с персональными данными

Основные документы, которыми нужно руководствоваться в работе с персональными данными — это закон № 152-ФЗ и глава 14 ТК РФ .

Что такое обработка персональных данных и как её вести

Обработкой персональных данных считаются любые действия, которые с ними можно произвести вручную или с помощью программ и сервисов:

  • сбор;
  • передача
  • запись;
  • хранение;
  • изменение;
  • распространение (неограниченному кругу лиц);
  • предоставление (конкретным лицам);
  • анализ;
  • удаление и т. д.

Организация или ИП, у которых есть работники, считаются операторами персональных данных, так как получают и обрабатывают информацию о физлицах.

В некоторых случаях обработку нельзя сделать без ведома Роскомнадзора ( ч. 1 ст. 22 Закона № 152-ФЗ ). В частности, если работодатель:

  1. Получает любую дополнительную информацию о сотрудниках, которую не обязывает собирать ТК РФ. Например, их фотографии.
  2. Ведёт обработку не только в рамках трудовых отношений. Например, подаёт данные сотрудников в страховую компанию для оформления полисов ДМС или устанавливает видеонаблюдение на рабочих местах.

Если работодатель обрабатывает информацию только в рамках трудовых отношений, никаких уведомлений не нужно.

Положение о работе с персональными данными

Всем работодателям нужно составить локальный нормативный акт — положение о работе с персональными данными. Установленной формы нет, но обычно в нём несколько разделов:

  • общие положения — цель документа;
  • основные понятия — расшифровки терминов, которые фигурируют в документе (обработка, распространение и т. д.);
  • состав персональных данных — какая информация к ним относится, список документов, в которых она содержится;
  • правила получения, обработки, передачи, хранения и использования персональных данных;
  • список сотрудников, у которых есть допуск к таким данным;
  • порядок хранения — где и как хранятся персональные данные, меры по защите;
  • ответственность за нарушение правил работы с персональными данными;
  • заключительные положения — с какой даты вводится в действие, кто назначен ответственным.

Формулировки можно брать из Закона № 152-ФЗ . Внизу, на последнем листе расписывается сотрудник, составивший документ. Чаще всего это специалист по кадрам.

Положение утверждает руководитель организации, ИП или уполномоченный сотрудник. До утверждения документ могут согласовать другие заинтересованные работники (например, руководитель отдела кадров или юрист), если такой порядок принят у работодателя.

С положением нужно ознакомить всех работников под подпись. Это можно сделать:

  • на отдельном листе ознакомления и подшить его к положению;
  • в специальном журнале ознакомления с локальными нормативными актами работодателя;
  • на последнем листе второго экземпляра трудового договора, который будет храниться у работодателя.

Если работник отказывается ознакомиться с положением о работе с персональными данными, оформите акт об отказе. Это будет подтверждением того, что вы выполнили свои обязанности и убережёт от претензий проверяющих.

Когда нужно согласие на обработку персональных данных и как его оформить

Не всегда нужно получать письменное согласие работника на обработку его персональных данных. Например, оно не потребуется для:

  • оформления и исполнения трудового договора;
  • заполнения личной карточки и других кадровых документов;
  • передачи в органы статистики при условии, что данные обезличены, то есть их нельзя отнести к конкретному физлицу;
  • передачи в налоговую инспекцию, соцстрах, пенсионный фонд, военкомат — по их запросам или в составе отчётности;
  • внесения в специальный реестр ЕСИА информации о корпоративных сим-картах сотрудников;
  • передачи по запросу в прокуратуру, МВД, ФСБ и в другие ведомства, которым разрешено запрашивать информацию о работниках.

Подтверждение — ст. 86 , 88 ТК РФ, п. 2 ч. 1 ст. 6 закона № 152-ФЗ., п. 2 ст. 44 закона № 126-ФЗ и т. д.

Взять согласие на обработку нужно, если вам понадобилось больше информации о работнике, чем установлено в ТК РФ или при передаче данных третьим лицам. Например, когда:

  1. Вы хотите запросить сведения о жилищных условиях работника, чтобы понимать, в каком жилье он нуждается. Это бывает нужно, когда в трудовом договоре есть дополнительное условие о предоставлении квартиры для проживания на время исполнения трудовых обязанностей.
  2. Вы передаёте кадровое делопроизводство или бухучёт на аутсорсинг.
  3. Вам нужна фотография работника на пропуск для прохода на рабочее место.
  4. Вы хотите разместить персональные данные работника на корпоративном сайте, например, его фото, должность, сведения об образовании и т. д.

В согласии на обработку персональных данных нужно прописать ( п. 4 ст. 9 закона № 152-ФЗ ):

  • ФИО и адрес работника;
  • серию и номер паспорта, дату выдачи и кем выдан;
  • наименование или ФИО работодателя, его адрес;
  • для какой цели понадобилось согласие;
  • список информации для обработки;
  • какие действия будут производиться с этими данными;
  • способы обработки;
  • срок действия согласия и как его отозвать.

Согласие можно оформлять на бумаге с собственноручной подписью работника или в виде электронного документа, подписанного ЭП.

Когда вы публикуете в интернете информацию о работниках — это распространение персональных данных неограниченному кругу лиц. В этом случае надо получить отдельное согласие — на распространение. Его оформляют с учётом требований Роскомнадзора и ст. 10.1 закона № 152-ФЗ .

1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ). Введено новое понятие "персональные данные, разрешенные для распространения". Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – "общедоступные персональные данные". Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив персональные данные, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор персданных) будет подразумеваться лицо, которое обрабатывает персональные данные. Под субъектом персональных данных (далее – субъект персданных, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.

Рассмотрим новые правила работы с персданными подробнее.

Для распространения данных нужно получить новое согласие

Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение). Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.

Если физлицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще (п. 4 ст. 10.1 Закона № 152-ФЗ). Это не касается передачи персональных данных государственным структурам, то есть военкомату, ФНС, ФСС, полиции, следственным органам и т. д. Персональные данные физического лица можно передавать им без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).

Молчание или бездействие субъекта персданных ни при каких обстоятельствах не может считаться согласием на распространение его персональных данных (п. 8 ст. 10.1 Закона № 152-ФЗ).

Согласие на распространение может быть предоставлено оператору персональных данных (п. 6 ст. 10.1 Закона № 152-ФЗ):

  • например, непосредственно на бумаге с личной подписью (это можно сделать уже сейчас);
  • через информационную систему Роскомнадзора (эта возможность будет реализована только с 1 июля 2021 года).

Уведомлять Роскомнадзор о намерении начать обработку персональных данных, разрешенных для распространения, не нужно (пп. 4 п. 2 ст. 22 Закона № 152-ФЗ).

Содержание согласия на распространение персональных данных

Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (п. 9 ст. 9 Закона № 152-ФЗ). На данный момент документ еще не утвержден, он находится на этапе общественного обсуждения, а текст проекта доступен на портале проектов нормативных актов.

Из текста проекта следует, что новое согласие на распространение персданных должно содержать:

  • Ф. И. О. субъекта персональных данных;
  • контактную информацию субъекта персональных данных (телефон, электронная почта или почтовый адрес);
  • наименование или Ф. И. О. и адрес оператора, получающего согласие;
  • цель обработки персональных данных;
  • категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена;
  • условия разрешения и запрета обработки персональных данных;
  • срок, в течение которого действует согласие;
  • сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта).

Субъект персональных данных наделен правом самостоятельно выбирать, какие именно персональные данные и на каких условиях может распространять оператор, получивший к ним доступ. Это правило закреплено в п. 9 ст. 10.1 Закона № 152-ФЗ. Например, он может разрешить опубликовать только его фото и Ф. И. О., а дату рождения запретить публиковать. Либо он может разрешить передачу персональных данных третьим лицам, но только при условии, что они являются сотрудниками той же компании, в которой работает он сам.

Установленные субъектом персональных данных запреты и условия их обработки не действуют, когда их обработка осуществляется в государственных, общественных или иных публичных интересах (п. 11 ст. 10.1 Закона № 152-ФЗ). Например, несмотря на запрет, оператор может передать персональные данные в налоговую, ПФР, военкомат, полицию, следственный комитет и т. д.

Если в согласии прямо не указано, что субъект персональных данных не установил запреты и условия обработки персданных, их не следует передавать неограниченному кругу лиц (ч. 5 ст. 10.1 Закона № 152-ФЗ).

Нельзя распространять общедоступные персональные данные без согласия

Если субъект персональных данных самостоятельно разместил в общедоступном месте (например, в соцсетях) свои персональные данные, взять их оттуда для дальнейшей обработки и распространения не получится. Дело в том, что теперь это прямо запрещено законом. Каждое лицо, обрабатывающее или распространяющее размещенные самим субъектом персональные данные, должно доказать законность их обработки. Таким образом, даже в этом случае понадобится письменное согласие субъекта персданных на обработку и/или распространение его персональных данных (п. 2 ст. 10.1 Закона № 152-ФЗ). Раньше такие персональные данные считались общедоступными, не нужно было получать дополнительное согласие на их распространение.

Третьи лица должны быть оповещены о запретах и условиях обработки персональных данных

Получив согласие на распространение персональных данных, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах. Сделать это необходимо в течение трех рабочих дней (п. 10 ст. 10.1 Закона № 152-ФЗ). Где именно должна быть опубликована такая информация, в законе не уточняется, однако логично предположить, что она должна быть доступна в том же месте, где опубликованы персональные данные (например, на той же веб-странице, на которой размещены фото и Ф. И. О. гражданина).

Субъект может отозвать согласие на распространение персональных данных

Оператор персональных данных обязан прекратить распространение (передачу, предоставление, доступ) персональных данных по требованию субъекта персданных. Для этого гражданин должен написать заявление об отзыве согласия на их распространение. В таком заявлении должны быть указаны (п. 12 ст. 10.1 Закона № 152-ФЗ):

  • Ф. И. О.;
  • контакты (номер телефона, адрес электронной почты или почтовый адрес);
  • перечень персональных данных, обработка которых должна быть прекращена.

Прекратить распространение нужно в течение трех рабочих дней с момента получения заявления. В противном случае субъект персональных данных вправе обратиться в суд с этим же требованием (п. 14 ст. 10.1 Закона № 152-ФЗ).

Работодателям придется соблюдать новые правила в полном объеме

Все перечисленные выше новые правила обработки персональных данных полностью распространяются на процесс обработки персональных данных работников работодателями. Это означает, что для распространения персональных данных работников (например, для размещения их на сайте работодателя) при приеме на работу или после заключения трудового договора придется брать с работника дополнительное согласие на распространение его персональных данных. В противном случае персональные данные работника можно будет передать только при наличии условий, когда согласие работника на их передачу не требуется. Подробнее об этом читайте здесь.

Что касается передачи персональных данных работника в банк с целью оформления зарплатной карты, полагаем, что передавать такие сведения в банк без согласия работника можно только в исключительных случаях, а именно:

  • когда договор заключается непосредственно между банком и работником;
  • когда у работодателя есть доверенность на представление интересов работника в банке;
  • когда выплата зарплат на банковскую карту работника предусмотрена коллективным договором.

Нужно ли переоформлять согласие на обработку персональных данных, полученное до 1 марта 2021 года?

В законе нет норм, которые обязывали бы операторов персданных переоформлять полученные ранее согласия на обработку их персональных данных, оформленных по старым правилам. Но рекомендуется это сделать во избежание возможных претензий со стороны контролирующих органов. Если нужно передать персональные данные другим лицам или опубликовать их в открытом доступе, целесообразно оформить согласие на их распространение с учетом перечисленных выше правил. Сделать это следует еще и потому, что с 27 марта 2021 года вдвое увеличены штрафы за нарушение законодательства о защите персональных данных. Подробнее об этом читайте здесь.


Что такое согласие на обработку персональных данных

Под таким согласием понимается письменное разрешение субъекта персональных данных, дающее право заинтересованной организации получать, собирать, обрабатывать, использовать и хранить законным способом личные сведения о себе. При этом получатель принимает на себя обязательство, что поступившая в его распоряжение информация будет использоваться только в определённых законом целях и защищена от посягательств третьей стороны.

Данное понятие регламентируется в законодательном порядке и подразумевает информацию, по которой прямо или косвенно можно идентифицировать личность, установить её индивидуальные особенности, семейный статус, положение в обществе и многое другое.

Конкретного перечня ПД не существует, так как только по фамилии, имени и отчеству однозначно идентифицировать человека не получится: на просторах нашей Родины одних ивановых иванов ивановичей – многие тысячи. Если же Ф.И.О. сочетаются с другой информацией: датой/местом рождения, адресом, номером телефона, семейным положением, отношением к религии и т.д.), то весь этот набор переходит в категорию персональных данных. Какая именно комбинация может считаться ПД – вопрос дискуссионный.

Какие данные могут подвергаться обработке

О случаях, когда обработка допустима без согласия держателя ПД, будет сказано ниже.

Что является личной информацией граждан

В каких документах присутствуют персональные данные

В распоряжении работодателя, как правило, находится общепринятый пакет документов, содержащих сведения о своих работниках. К таким документам относятся:

  • копии документов сотрудника (паспорт, СНИЛС, ИНН, диплом(ы) об образовании);
  • фотография;
  • кадровые документы (трудовая книжка, трудовое соглашение, приказы);
  • бухгалтерские документы (расчётные листки по зарплате);
  • прочее (резюме, результаты психологического тестирования и т.п.).

В совокупности эти сведения являются ПД. Работодатель несёт административную, гражданскую и уголовную ответственность за их неправомерное распространение или утечку.

Способы сбора согласий на обработку персональных данных

Под сбором данных понимается их передача субъектом оператору. Сбор согласий производится как в письменной, так и в электронной форме. Среди популярных способов:

Заполнение печатной анкеты

Анкета заполняется физическим лицом от руки с указанием согласия на обработку ПД.

Подтверждение согласия через СМС-код или звонок

поставщик услуги со слов клиента вносит его личные данные в свою электронную базу и просит дать согласие на обработку полученных сведений посредством СМС-кода или звонка. Код отправляется системой автоматически. При этом клиенту предлагается ознакомиться с программой лояльности, ссылка на которую прикрепляется к СМС.

Чекбокс с галочкой согласия в общей форме заявки

В форме на сайте компании имеется чекбокс, который клиент должен отметить галочкой, чтобы подтвердить своё согласие с правилами обработки ПД. Оформленная заявка хранится на сайте, а при необходимости может быть выгружена и предъявлена в качестве доказательства о согласии клиента.

Что такое портал персональных данных

Портал персональных данных – это сайт Роскомнадзора, уполномоченного защищать права субъектов ПД. Через портал можно найти реестр операторов и нарушителей, подать обращение или жалобу, получить доступ к электронной библиотеке по защите прав граждан и другим полезным ресурсам.

Кто такие операторы персональных данных и что они делают

Это государственные и муниципальные органы, юридические и физические лица, которые организуют и/или осуществляют обработку ПД, определяют её содержание и цели. В задачу оператора также входит обеспечение конфиденциальности и сохранности ПД. Оператор не вправе обрабатывать информацию, не получив предварительного одобрения их обладателя, за исключением предусмотренных законом случаев.

Когда нужно получение согласия на обработку персональных данных

В случаях, когда цель определяется организацией (оператором) самостоятельно в силу особого характера своей деятельности, то она обязана получить согласие у обладателя ПД. Например, если фирма практикует выплату зарплаты на банковскую карту, для передачи сведений в банк она должна взять у сотрудника соответствующее согласие, поскольку прямого требования закона на этот счёт не существует. То же относится к специальным и биометрическим данным.

Согласие при трудоустройстве

При приёме на работу работодатель должен заручиться согласием соискателя на обработку его ПД. Если целью сбора и обработки ПД является исполнение установленных законом требований, оператор вправе свободно собирать и обрабатывать индивидуальные сведения. В частности, принимая на работу сотрудника в рамках трудового договора, организация должна знать его имя и фамилию, возраст, место регистрации, контактный телефон, уровень образования.

Если работодатель собирается не только обрабатывать, но и распространять ПД потенциального сотрудника, он обязан получить на это отдельное согласие. Работодатель также обязан ясно обозначить, какую информацию, в какой форме и с какой целью он намерен обрабатывать и/или распространять.

Согласие на обработку персональных данных при получении кредита

Согласие при определении ребенка в садик или школу

Согласие на обработку ПД несовершеннолетнего (ребёнка, школьника) даёт его законный представитель (отец, мать, опекун). Сведения о ребёнке и его представителе образовательное учреждение использует для организации воспитательного и образовательного процесса, медицинского обслуживания, льготного питания, статистической отчётности, проведения ЕГЭ, конкурсов, олимпиад.

Требования к документу в 2021 году

Гражданам даются правомочия требовать прекращения распространения своих ПД в любое время.

Обязательно ли получать согласие в 2021 году

Как правило, такой документ работодатель подписывает практически с каждым работником – субъектом ПД, чьи данные он собирается обрабатывать. В данном случае лучше перестраховаться, чем иметь дело с Роскомнадзором. При этом принцип добровольности никто не отменял: субъект ПД вправе передать лишь те сведения, которые сочтёт необходимыми. Об исключениях из этого правила сказано ниже.

Когда согласие не требуется

Законом допускаются ситуации, при которых обрабатывать ПД разрешается даже при отсутствии согласия субъекта ПД. Такие случаи оговорены в Законе. Согласия не требуется, если обработка ПД осуществляется с целью:

  • исполнения договора, в котором одна из сторон – субъект ПД (например, договор аренды помещения);
  • защиты жизненно важных интересов гражданина, если получить его согласие физически невозможно;
  • сбора статистических данных, проведения научных исследований и иных мероприятий государственного масштаба с условием обязательного обезличивания ПД;
  • доставки почтовых отправлений службами почтовой связи;
  • опубликования в СМИ персональных данных должностных лиц определённого ранга, кандидатов на выборные должности, общественных деятелей, когда это не противоречит федеральному законодательству.

Без согласия обработка ПД производится, когда лицо участвует в судопроизводстве (гражданском, арбитражном, уголовном).

Как еще могут ужесточить правила обработки персональных данных

Минцифры РФ предлагает дальнейшее ужесточение законодательства в области ПД. Актуальность такого подхода объясняется наличием технологий, позволяющих идентифицировать человека даже по обезличенным данным. В частности, операторам могут запретить:

  • пользоваться информацией, дающей возможность установить принадлежность ПД конкретному лицу;
  • кроме обезличенных данных, предоставлять третьей стороне сведения, позволяющие идентифицировать гражданина;
  • деобезличивать сведения, кроме случаев, когда речь идёт о защите жизни и здоровья граждан.

Будут ли данные предложение реализованы на практике – покажет время.

Что делать, если человек отказывается давать согласие

Закон предоставляет гражданину право отказаться от согласия на обработку и распространение ПД. Санкций за такой отказ не последует. Однако в ряде случаев у человека могут возникнуть проблемы при обращении во многие организации, включая коммерческие структуры. Дело в том, что для оказания некоторых услуг, в том числе электронных, требуются документы, содержащие, помимо прочего, и персональные данные.

Что касается работодателя, то от принципиальности упрямца он почти не испытает неудобств: организация во многих случаях имеет право обрабатывать и распространять ПД без согласия своего сотрудника. В частности, согласие не требуется для исполнения трудового договора.

Также работодатель может на законных основаниях передавать ПД работника в ПФР, ФНС, прокуратуру и другие госорганы, утверждённые законодательством.

Что будет при незаконном разглашении персональных данных

Если оператор превышает свои полномочия при работе с ПД гражданина, это является прямым нарушением закона, за что может наступить административная, гражданская и даже уголовная ответственность. КоАП РФ предусматривает следующие штрафные санкции.

Сумма штрафа для юридических лиц

Обработка данных в непредусмотренных законом случаях или с иными целями, чем заявлено при сборе данных

Первое нарушение – от 60 до 100 тыс. руб.

Повторное нарушение – от 100 до 300 тыс. руб.

Ст.13.11 п.1, 1.1 КоАП РФ

Клиент дал вам свой e-mail для оформления заказа, а вы добавили его адрес в БД для рекламной рассылки

Обработка данных без письменного согласия клиента или несоблюдение требований, предъявляемых к составу включённых в согласие сведений

Первое нарушение – от 30 до 150 тыс. руб.

Повторное нарушение – от 300 до 500 тыс. руб.

Ст.13.11 п.2, 2.1 КоАП РФ

Вы передали данные клиента агентству по маркетингу, а в согласии их передача третьей стороне запрещена

Как правильно составить согласие в 2021 году

Что должно присутствовать в согласии в обязательном порядке

Согласно требованием Роскомнадзора в согласии субъекта ПД должно быть указано:

  1. Ф.И.О.
  2. Контактная информация.
  3. Сведения об операторе.
  4. С какой целью обрабатываются ПД.
  5. Обработка каких ПД запрещена.
  6. Срок действия.
  7. Какие информационные ресурсы будет использовать оператор для распространения ПД.

Гражданин правомочен сам выбирать, какого рода ПД оператору разрешается распространять и на каких условиях.

Форма согласия на обработку персональных данных в 2021 году

Унифицированного шаблона согласия на обработку ПД, разрешённых к распространению, пока нет. Поэтому рекомендуется придерживаться рекомендаций Роскомнадзора, которые сводятся к следующему.

  1. В форме должны присутствовать сведения об операторе (работодателе) и субъекте ПД (работнике).
  2. Работник должен перечислить категории своих ПД, которые могут быть переданы третьей стороне с указанием ограничений, если таковые имеются.
  3. В документе следует указать, посредством каких информационных ресурсов оператор будет распространять ПД.
  4. Согласие должно быть заверено личной подписью субъекта ПД и содержать указание о сроке действия.

В согласии также должно быть указано, с какой целью оператор будет производить обработку поступивших в его распоряжение ПД.

Возможные ошибки

К типичным ошибкам при заполнении формы согласия являются:

  • документ выполнен не на бланке учреждения (либо не заверен печатью);
  • указан адрес местонахождения организации, а не так, как в ЕГРЮЛ;
  • цель обработки ПД не соответствует уставной деятельности организации.

Документ не должен быть бессрочным либо предусматривать его автоматическую пролонгацию.

Образец заполнения


Как уведомить Роскомнадзор о получении новых персональных данных

Уведомить Роскомнадзор можно в бумажном или электронном виде.

Можно ли отозвать согласие

Закон позволяет гражданину отозвать согласие на обработку своих ПД в любое время. При этом отзыв не обязан быть обусловлен какими-либо событиями или обстоятельствами.

Как прекратить передачу персональных данных

Так как согласие на обработку ПД оформляется в письменном виде, отзывать его следует путём подачи оператору письменного заявления. Форма отказа – свободная, передать её можно:

  • лично;
  • почтовым отправлением;
  • в электронном виде.

Важно получить подтверждение даты получения – с неё начнётся отсчёт периода, в течение которого оператор обязан завершить действия с ПД.

Вопрос: Является ли сбор сведений о зарплате обработкой ПД?

Ответ: Да, поскольку ПД работника будут передаваться третьему лицу – банку. Работнику следует предложить дать согласие на такую передачу с указанием банка, его адреса и перечня действий, которые могут совершаться с полученными сведениями.

Вопрос: должен ли гражданин предоставлять сведения о наличии судимости?

Ответ: сведения об отбывании гражданином срока в местах лишения свободы требуются лишь тогда, когда занятие должности не допускается при наличии судимости. В остальных случаях такие сведения гражданин может не предоставлять.

Вопрос: в каких случаях оператор имеет право не обеспечивать конфиденциальность ПД?

Ответ: обеспечение конфиденциальности ПД не требуется, если они: а) обезличены; б) общедоступны.

Заключение

По мере цифровизации экономики и развития интернет-технологий защита ПД граждан от незаконного использования и распространения приобретает всё большее значение. Миллиарды денег, похищенные мошенниками с банковских счетов россиян, оформление кредитов на подставные лица, махинации с недвижимостью – всё это, так или иначе, связано с утечкой ПД. В одних случаях вина лежит на самих субъектах ПД – доверчивых или беспечных гражданах, в других – на операторах ПД. Если граждане отвечают за себя сами, то ответственность оператора регламентируется государством в лице Роскомнадзора.

В 2021 году санкции за фривольное обращение с ПД серьёзно ужесточились.

Следует ожидать, что надзорный орган продолжит работу над проблемой реализации Закона № 152-ФЗ путём проведения правовых, организационных и технических мероприятий.

Читайте также: