Как правильно оформить согласие на обработку персональных данных работника в 2021 году

Обновлено: 25.05.2024

Что можно считать распространением персональных данных в кадровой работе? Когда следует получать у работников согласие о распространении их данных? Какова форма этого согласия?

Ответы на эти и многие другие вопросы вы найдете в нашей статье.

КОГДА ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ЯВЛЯЕТСЯ РАСПРОСТРАНЕНИЕМ

• обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

• распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

• предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Можно сделать следующие выводы:

1. Передача ПД может осуществляться путем их распространения, предоставления или открытием доступа к ним.

2. Распространение ПД — это один из видов передачи данных, при котором ПД раскрываются неопределенному кругу лиц.

Эти выводы очень важны, поскольку позволяют четко разделить, когда происходит распространение (данные видит неограниченный круг лиц), а когда предоставление (данные получают строго определенные лица).

Например, является ли предоставление ПД работника в банк для оформления зарплатной карты или передача данных работника для покупки билета на самолет распространением его ПД? Нет, не является, потому что эти данные предоставляются строго ограниченному кругу лиц. Их не сможет увидеть больше никто, кроме работников банка или специалистов по оформлению билетов.

Если все так очевидно, то почему мнения юристов и консультантов так противоречивы?

Полагаем, что законодатели сами несколько запутали ситуацию, применяя в п. 12 ст. 10.1 Федерального закона № 152-ФЗ все термины, характеризующие передачу ПД:

Извлечение из Федерального закона № 152-ФЗ

12. Передача (распространение, предоставление, доступ)[2] персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных.

Из этого некоторые специалисты делают некорректные выводы:

• все виды передачи ПД (в т. ч. их представление в ПФР, соцстрах, налоговую инспекцию) с 01.03.2021 обязательно должны сопровождаться получением от работника согласия на распространение его ПД;

• все данные о работнике, которые использует работодатель, должны быть включены в согласие, а работник сам отметит, к каким ПД он разрешает доступ, какие можно предоставлять, а какие — распространять.

ОБ ИЗМЕНЕНИИ ТЕКСТА СОГЛАСИЯ НА ОБРАБОТКУ ПД

Согласие на обработку ПД работников необходимо получать, только если работодатель собирает, обрабатывает и хранит данные, которые не связаны с исполнением трудового договора (фотография, адрес личной электронной почты и т. п.) То есть такие ПД, которые Трудовой кодекс РФ требовать у работника не обязывает.

Соответственно, если работодатель обрабатывает только обязательную информацию, установленную в ст. 65 ТК РФ и в разделах личной карточки формы № Т-2, согласие на обработку ПД работников может отсутствовать. Именно такие разъяснения ранее давал Роскомнадзор[3].

РАСПРОСТРАНЯЕТ ЛИ РАБОТОДАТЕЛЬ ПД СВОИХ РАБОТНИКОВ?

Извлечение из Федерального закона № 152-ФЗ

1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)[4];

В настоящее время практически каждая компания каким-либо образом представлена в Интернете:

• у нее есть свой сайт или страничка в социальной сети;

• она включена в каталоги предприятий или организаций города;

В офисах на досках объявлений размещают поздравления с днем рождения, фотографии лучших работников или фотоотчеты о мероприятиях, графики дежурств или какие-либо списки. И конечно, почти в каждом офисе на кабинетах есть таблички с указанием должностей и фамилий начальников или специалистов.

Откройте страницу 3 нашего журнала. Справа указаны фамилия и инициалы шеф-редактора, его заместителя, научного редактора, должности и фамилии авторов статей. Любой человек может видеть эти ПД.

Если ПД работников может увидеть любой человек, который откроет журнал, зайдет в помещение организации или на ее сайт в Интернете, то распространение ПД имеет место.

В соответствии с изменениями в законодательстве у каждого работника, чьи ПД находятся на всеобщем обозрении, следует взять согласие на распространение его персональных данных. Однако из этого правила есть исключение: получать согласие не требуется, если обязанность размещать ПД работников в сети Интернет предусмотрена законодательством РФ [5] .

[2] В извлечении выделено автором.

[4] Пункт 1 ч. 1 ст. 3 Федерального закона № 152-ФЗ.

[5] Разъяснения от 14.12.2012, п. 15 ст. 10.1 Федерального закона № 152-ФЗ.

А. Н. Славинская,
специалист по кадрам

К вашему вниманию! Этот документ можно скачать в КонсультантПлюс.

Бланк и образец
Бесплатная загрузка
Онлайн просмотр
Проверено экспертом

Что собой представляет согласие

Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.

Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.

Когда чаще всего требуется согласие

Сейчас согласие необходимо писать почти повсеместно:

при подаче документов на ребенка в садик или школу;
при трудоустройстве;
при заключении договора с банком, страховой компанией и т.д.

Иными словами, везде, где гражданин предоставляет свои личные документы или документы лица, представителем которого он является, заполняет различного рода тесты и анкеты, он подписывается такое согласие.

Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:

фамилия, имя, отчество;
дата и место рождения;
сведения из паспорта, трудовой книжки и прочих документов;
а также некоторые характеристики его личности.

При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.

В частности их условно можно поделить на три основных вида:

общедоступные данные (ФИО, пол, дата, место рождения, гражданство и т.п.)
биометрические (физиологические особенности индивида, его внешние параметры)
специальные (народность, религия, здоровье и т.д.). Сюда же в некоторой степени относится и информация о месте работы человека, его отношениях с законодательством, привычках и т.п.

По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.

Для чего формируется согласие на обработку при трудоустройстве

Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д. Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).

В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.

Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.

Если сотрудник отказывается подписывать согласие

Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.

Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.

В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.

Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.

Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.

Что грозит за разглашение персональных данных

Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.

Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.

Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.

В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).

Как уведомить

Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.

Можно ли отозвать согласие

Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает. Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.

Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).

Это требование должно быть выполнено не позже чем через месяц после написания отзыва.

Образец согласия

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:

наименование компании-работодателя;
место и дата составления документа;
фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.

Далее в основной части подробно указывается:

каких именно персональных данных касается документ;
в каких целях и что именно допустимо с ними делать;
срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).

Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.

СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях. Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч. передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.

Подтверждаю, что давая согласие я действую без принуждения, по собственной воле и в своих интересах.

Сегодня особенно актуальными среди многих групп пользователей стали вопросы защиты персональных данных. Статистика говорит о возрастании случаев завладения денежными средствами и/или имуществом граждан при помощи их личных данных. Поэтому как организация так и физическое лицо должны внимательно относится к вопросу передачи и приема персональных данных.
В статье мы коснемся по большей части вопросов, связанных с оформлением согласия на обработку персональных данных для юридических лиц.

Нужно ли брать согласие на обработку персональных данных в 2021 году?

Письменное согласие на обработку персональных данных необходимо при предоставлении информации о:

Данных, которые касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п. 1 ч. 2 ст. 10 закона № 152-ФЗ).
Биометрических данных (ч. 1 ст. 11 закона № 152-ФЗ).
Данных, передающихся на территорию другого государства (трансграничная передача – п. 1 ч. 4 ст. 12 закона № 152-ФЗ).
Данных, которые вносятся в общедоступные источники, например, в справочники, адресные книги, онлайн-ресурсы (ч. 1 ст. 8 закона № 152-ФЗ).

Существуют исключения, когда согласие на обработку персональных данных в 2021 году не требуется:

Данные обрабатывают в целях, предусмотренных законом или международным договором РФ, а также для выполнения оператором обязанностей, которые он несет в силу закона.
Субъект данных участвует в том или ином судебном процессе, либо обработка данных нужна для исполнения судебного акта.
Обработкой информации занимаются органы власти.
Сведения о субъекте, который участвует в договоре, используют, чтобы исполнять договор. Если в отдел кадров субъект персональных данных (сотрудник) предоставляет документы, содержащие общедоступные сведения о нём, то письменное согласие на их хранение и обработку данных в 2020 г. необязательно.
Не требуется согласие на обработку данных при передаче сведений о сотруднике по запросу органов прокуратуры, правоохранительных органов, органов безопасности, государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством РФ.
Работа с данными потребовалась для защиты жизни, здоровья или иных интересов, а согласие получить невозможно (п. 2–11 ч. 1 ст. 6 закона № 152-ФЗ).

Если у Вас есть сомнения по поводу самостоятельного составления документа согласие на обработку персональны данных применимо к сфере деятельности Вашей организации — рекомендуем совместно с нашей командой экспертов разработать документ или получит консультацию по составлению бланка, написав нам на почту

Что делать, если Вам отказываются давать согласие на обработку персональных данных?

Иногда люди из-за низкой правовой культуры и незнания законов, отказываются давать письменное согласие на обработку персональных данных. Причиной являются опасения, что работодатель или работники отдела кадров воспользуется этой информацией во вред владельцу. В этой ситуации рекомендуется добросовестно объяснить, что письменное согласие на законных основаниях защищает владельца информации от незаконных действий. В противном случае, к примеру, работодатель не имеет права принять на работу человека, отказавшегося заполнить данный бланк, а банк не имеет права обрабатывать платежи. За нарушение данного требования тот же работодатель может бытьпривлечен к ответственности.

Условия, необходимые для хранения персональных данных, законом не предусмотрены, но организация обязательно должна обеспечить их сохранность и недоступность для посторонних.

Обращаем внимание, что организации так же должны учесть следующие аспекты, при получении согласия на обработку персональных данных:

получить подтверждение, что субъект персональных данных добровольно разрешает обработку личных данных.Такое подтверждение понадобится в случае спора (подробнее о доказательствах наличия согласия на обработку персональных данных 2021 в суде)
убедится, что данные принадлежат субъекту, который предоставил сведения

Вид согласия на обработку персональных данных в 2021 году

Закон не содержит правил получения согласия устной форме. Безопасная форма получения согласия на обработку персональных данных – письменная. Такой документ можно предоставить в суд при наличии конфликтных ситуаций.

Если компания получает согласие на обработку данных через проставление отметки в чекбоксе о согласии (соглашению по клику), то необходимо удостоверится, что данные заполнял конкретно субъект ПДн, например, получив на предоставленную электронную почту уведомление или SMS-код. В противном случае у компании могут возникнуть сложности. Если у Вас собираются персональные данные через персональный сайт, рекомендуем ознакомиться отдельно с циклом статей, посвященных адаптации сайта к требованиям защиты персональных данных.

Обратите внимание! Письменное согласие субъекта на обработку персональных данных в 2021 признается равнозначным согласию в электронной форме, скрепленному электронной подписью субъекта (п. 2 ст. 5 Федерального закона от 06.04.2011 № 63-ФЗ).

Форма согласия на обработку персональных данных

В каждой организации разрабатывается собственный бланк согласия на обработку данных (входит в перечень разрабатываемых документов). Согласно ст. 9 Федерального закона № 152-ФЗ, он обязательно должен содержать ФИО человека, его паспортные данные, название организации-работодателя, цель и способы обработки данных, их перечень, время действия согласия, способы его отзыва, дату заполнения и подпись владельца данных.

Бланки документов по защите персональных данных утверждает руководитель организации. На каждом бланке ставятся визы согласования с заинтересованными лицами. С некоторыми документами, в т.ч. с согласием на обработку данных, граждане должны ознакомиться под роспись.

Как заполнить согласие на обработку персональных данных?

Если вы обрабатываете персональные данные по общему правилу, то в форме согласия на обработку персональных данных следует точно указать:

Фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе

Фамилия, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных)

Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом, а так же подпись субъекта персональных данных

Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу

Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных

Ниже мы рассмотрели на примере, как заполнить бланк согласия на обработку персональных данных в 2021 году с минимальными вводными.

Что такое согласие на обработку персональных данных

Под таким согласием понимается письменное разрешение субъекта персональных данных, дающее право заинтересованной организации получать, собирать, обрабатывать, использовать и хранить законным способом личные сведения о себе. При этом получатель принимает на себя обязательство, что поступившая в его распоряжение информация будет использоваться только в определённых законом целях и защищена от посягательств третьей стороны.

Данное понятие регламентируется в законодательном порядке и подразумевает информацию, по которой прямо или косвенно можно идентифицировать личность, установить её индивидуальные особенности, семейный статус, положение в обществе и многое другое.

Конкретного перечня ПД не существует, так как только по фамилии, имени и отчеству однозначно идентифицировать человека не получится: на просторах нашей Родины одних ивановых иванов ивановичей – многие тысячи. Если же Ф.И.О. сочетаются с другой информацией: датой/местом рождения, адресом, номером телефона, семейным положением, отношением к религии и т.д.), то весь этот набор переходит в категорию персональных данных. Какая именно комбинация может считаться ПД – вопрос дискуссионный.

Какие данные могут подвергаться обработке

О случаях, когда обработка допустима без согласия держателя ПД, будет сказано ниже.

Что является личной информацией граждан

В каких документах присутствуют персональные данные

В распоряжении работодателя, как правило, находится общепринятый пакет документов, содержащих сведения о своих работниках. К таким документам относятся:

копии документов сотрудника (паспорт, СНИЛС, ИНН, диплом(ы) об образовании);
фотография;
кадровые документы (трудовая книжка, трудовое соглашение, приказы);
бухгалтерские документы (расчётные листки по зарплате);
прочее (резюме, результаты психологического тестирования и т.п.).

В совокупности эти сведения являются ПД. Работодатель несёт административную, гражданскую и уголовную ответственность за их неправомерное распространение или утечку.

Способы сбора согласий на обработку персональных данных

Под сбором данных понимается их передача субъектом оператору. Сбор согласий производится как в письменной, так и в электронной форме. Среди популярных способов:

Заполнение печатной анкеты

Анкета заполняется физическим лицом от руки с указанием согласия на обработку ПД.

Подтверждение согласия через СМС-код или звонок

поставщик услуги со слов клиента вносит его личные данные в свою электронную базу и просит дать согласие на обработку полученных сведений посредством СМС-кода или звонка. Код отправляется системой автоматически. При этом клиенту предлагается ознакомиться с программой лояльности, ссылка на которую прикрепляется к СМС.

Чекбокс с галочкой согласия в общей форме заявки

В форме на сайте компании имеется чекбокс, который клиент должен отметить галочкой, чтобы подтвердить своё согласие с правилами обработки ПД. Оформленная заявка хранится на сайте, а при необходимости может быть выгружена и предъявлена в качестве доказательства о согласии клиента.

Что такое портал персональных данных

Портал персональных данных – это сайт Роскомнадзора, уполномоченного защищать права субъектов ПД. Через портал можно найти реестр операторов и нарушителей, подать обращение или жалобу, получить доступ к электронной библиотеке по защите прав граждан и другим полезным ресурсам.

Кто такие операторы персональных данных и что они делают

Это государственные и муниципальные органы, юридические и физические лица, которые организуют и/или осуществляют обработку ПД, определяют её содержание и цели. В задачу оператора также входит обеспечение конфиденциальности и сохранности ПД. Оператор не вправе обрабатывать информацию, не получив предварительного одобрения их обладателя, за исключением предусмотренных законом случаев.

Когда нужно получение согласия на обработку персональных данных

В случаях, когда цель определяется организацией (оператором) самостоятельно в силу особого характера своей деятельности, то она обязана получить согласие у обладателя ПД. Например, если фирма практикует выплату зарплаты на банковскую карту, для передачи сведений в банк она должна взять у сотрудника соответствующее согласие, поскольку прямого требования закона на этот счёт не существует. То же относится к специальным и биометрическим данным.

Согласие при трудоустройстве

При приёме на работу работодатель должен заручиться согласием соискателя на обработку его ПД. Если целью сбора и обработки ПД является исполнение установленных законом требований, оператор вправе свободно собирать и обрабатывать индивидуальные сведения. В частности, принимая на работу сотрудника в рамках трудового договора, организация должна знать его имя и фамилию, возраст, место регистрации, контактный телефон, уровень образования.

Если работодатель собирается не только обрабатывать, но и распространять ПД потенциального сотрудника, он обязан получить на это отдельное согласие. Работодатель также обязан ясно обозначить, какую информацию, в какой форме и с какой целью он намерен обрабатывать и/или распространять.

Согласие на обработку персональных данных при получении кредита

Согласие при определении ребенка в садик или школу

Согласие на обработку ПД несовершеннолетнего (ребёнка, школьника) даёт его законный представитель (отец, мать, опекун). Сведения о ребёнке и его представителе образовательное учреждение использует для организации воспитательного и образовательного процесса, медицинского обслуживания, льготного питания, статистической отчётности, проведения ЕГЭ, конкурсов, олимпиад.

Требования к документу в 2021 году

Гражданам даются правомочия требовать прекращения распространения своих ПД в любое время.

Обязательно ли получать согласие в 2021 году

Как правило, такой документ работодатель подписывает практически с каждым работником – субъектом ПД, чьи данные он собирается обрабатывать. В данном случае лучше перестраховаться, чем иметь дело с Роскомнадзором. При этом принцип добровольности никто не отменял: субъект ПД вправе передать лишь те сведения, которые сочтёт необходимыми. Об исключениях из этого правила сказано ниже.

Когда согласие не требуется

Законом допускаются ситуации, при которых обрабатывать ПД разрешается даже при отсутствии согласия субъекта ПД. Такие случаи оговорены в Законе. Согласия не требуется, если обработка ПД осуществляется с целью:

исполнения договора, в котором одна из сторон – субъект ПД (например, договор аренды помещения);
защиты жизненно важных интересов гражданина, если получить его согласие физически невозможно;
сбора статистических данных, проведения научных исследований и иных мероприятий государственного масштаба с условием обязательного обезличивания ПД;
доставки почтовых отправлений службами почтовой связи;
опубликования в СМИ персональных данных должностных лиц определённого ранга, кандидатов на выборные должности, общественных деятелей, когда это не противоречит федеральному законодательству.

Без согласия обработка ПД производится, когда лицо участвует в судопроизводстве (гражданском, арбитражном, уголовном).

Как еще могут ужесточить правила обработки персональных данных

Минцифры РФ предлагает дальнейшее ужесточение законодательства в области ПД. Актуальность такого подхода объясняется наличием технологий, позволяющих идентифицировать человека даже по обезличенным данным. В частности, операторам могут запретить:

пользоваться информацией, дающей возможность установить принадлежность ПД конкретному лицу;
кроме обезличенных данных, предоставлять третьей стороне сведения, позволяющие идентифицировать гражданина;
деобезличивать сведения, кроме случаев, когда речь идёт о защите жизни и здоровья граждан.

Будут ли данные предложение реализованы на практике – покажет время.

Что делать, если человек отказывается давать согласие

Закон предоставляет гражданину право отказаться от согласия на обработку и распространение ПД. Санкций за такой отказ не последует. Однако в ряде случаев у человека могут возникнуть проблемы при обращении во многие организации, включая коммерческие структуры. Дело в том, что для оказания некоторых услуг, в том числе электронных, требуются документы, содержащие, помимо прочего, и персональные данные.

Что касается работодателя, то от принципиальности упрямца он почти не испытает неудобств: организация во многих случаях имеет право обрабатывать и распространять ПД без согласия своего сотрудника. В частности, согласие не требуется для исполнения трудового договора.

Также работодатель может на законных основаниях передавать ПД работника в ПФР, ФНС, прокуратуру и другие госорганы, утверждённые законодательством.

Что будет при незаконном разглашении персональных данных

Если оператор превышает свои полномочия при работе с ПД гражданина, это является прямым нарушением закона, за что может наступить административная, гражданская и даже уголовная ответственность. КоАП РФ предусматривает следующие штрафные санкции.

Сумма штрафа для юридических лиц

Обработка данных в непредусмотренных законом случаях или с иными целями, чем заявлено при сборе данных

Первое нарушение – от 60 до 100 тыс. руб.

Повторное нарушение – от 100 до 300 тыс. руб.

Ст.13.11 п.1, 1.1 КоАП РФ

Клиент дал вам свой e-mail для оформления заказа, а вы добавили его адрес в БД для рекламной рассылки

Обработка данных без письменного согласия клиента или несоблюдение требований, предъявляемых к составу включённых в согласие сведений

Первое нарушение – от 30 до 150 тыс. руб.

Повторное нарушение – от 300 до 500 тыс. руб.

Ст.13.11 п.2, 2.1 КоАП РФ

Вы передали данные клиента агентству по маркетингу, а в согласии их передача третьей стороне запрещена

Как правильно составить согласие в 2021 году

Что должно присутствовать в согласии в обязательном порядке

Согласно требованием Роскомнадзора в согласии субъекта ПД должно быть указано:

Ф.И.О.
Контактная информация.
Сведения об операторе.
С какой целью обрабатываются ПД.
Обработка каких ПД запрещена.
Срок действия.
Какие информационные ресурсы будет использовать оператор для распространения ПД.

Гражданин правомочен сам выбирать, какого рода ПД оператору разрешается распространять и на каких условиях.

Форма согласия на обработку персональных данных в 2021 году

Унифицированного шаблона согласия на обработку ПД, разрешённых к распространению, пока нет. Поэтому рекомендуется придерживаться рекомендаций Роскомнадзора, которые сводятся к следующему.

В форме должны присутствовать сведения об операторе (работодателе) и субъекте ПД (работнике).
Работник должен перечислить категории своих ПД, которые могут быть переданы третьей стороне с указанием ограничений, если таковые имеются.
В документе следует указать, посредством каких информационных ресурсов оператор будет распространять ПД.
Согласие должно быть заверено личной подписью субъекта ПД и содержать указание о сроке действия.

В согласии также должно быть указано, с какой целью оператор будет производить обработку поступивших в его распоряжение ПД.

Возможные ошибки

К типичным ошибкам при заполнении формы согласия являются:

документ выполнен не на бланке учреждения (либо не заверен печатью);
указан адрес местонахождения организации, а не так, как в ЕГРЮЛ;
цель обработки ПД не соответствует уставной деятельности организации.

Документ не должен быть бессрочным либо предусматривать его автоматическую пролонгацию.

Образец заполнения

Как уведомить Роскомнадзор о получении новых персональных данных

Уведомить Роскомнадзор можно в бумажном или электронном виде.

Можно ли отозвать согласие

Закон позволяет гражданину отозвать согласие на обработку своих ПД в любое время. При этом отзыв не обязан быть обусловлен какими-либо событиями или обстоятельствами.

Как прекратить передачу персональных данных

Так как согласие на обработку ПД оформляется в письменном виде, отзывать его следует путём подачи оператору письменного заявления. Форма отказа – свободная, передать её можно:

лично;
почтовым отправлением;
в электронном виде.

Важно получить подтверждение даты получения – с неё начнётся отсчёт периода, в течение которого оператор обязан завершить действия с ПД.

Вопрос: Является ли сбор сведений о зарплате обработкой ПД?

Ответ: Да, поскольку ПД работника будут передаваться третьему лицу – банку. Работнику следует предложить дать согласие на такую передачу с указанием банка, его адреса и перечня действий, которые могут совершаться с полученными сведениями.

Вопрос: должен ли гражданин предоставлять сведения о наличии судимости?

Ответ: сведения об отбывании гражданином срока в местах лишения свободы требуются лишь тогда, когда занятие должности не допускается при наличии судимости. В остальных случаях такие сведения гражданин может не предоставлять.

Вопрос: в каких случаях оператор имеет право не обеспечивать конфиденциальность ПД?

Ответ: обеспечение конфиденциальности ПД не требуется, если они: а) обезличены; б) общедоступны.

Заключение

По мере цифровизации экономики и развития интернет-технологий защита ПД граждан от незаконного использования и распространения приобретает всё большее значение. Миллиарды денег, похищенные мошенниками с банковских счетов россиян, оформление кредитов на подставные лица, махинации с недвижимостью – всё это, так или иначе, связано с утечкой ПД. В одних случаях вина лежит на самих субъектах ПД – доверчивых или беспечных гражданах, в других – на операторах ПД. Если граждане отвечают за себя сами, то ответственность оператора регламентируется государством в лице Роскомнадзора.

В 2021 году санкции за фривольное обращение с ПД серьёзно ужесточились.

Следует ожидать, что надзорный орган продолжит работу над проблемой реализации Закона № 152-ФЗ путём проведения правовых, организационных и технических мероприятий.

С каждым годом все больше внимания государство уделяет проблемам защиты персональных данных. С марта 2021 года вступили в силу очередные поправки в законодательстве в этой области. О новшествах в обработке персональных данных в 2021 году вы узнаете из материала.

На кого направлены изменения

работников;
клиентов;
покупателей;
посетителей и пр.

Что нового в работе с персональными данными с 1 марта 2021 года?

Изменения в обработке персональных данных (ПД) с 01.03.2021 нацелены искоренить их неконтролируемое использование:

Запрещено расценивать как разрешение на обработку персданных молчание или бездействие субъекта ПД.
Теперь субъект персданных вправе самостоятельно выбрать из перечня данных информацию, на обработку которой дает согласие, а также запретить неограниченную передачу его данных, определить условия (за исключением получения доступа) использования. Препятствовать этому оператор не вправе.
Наложенные на обработку и передачу данных запреты и ограничения не действуют при обработке ПД в интересах общества и страны. Круг интересов определяется законодательством.
Обрабатывать персональные данные субъекта вправе только оператор, получивший согласие.
Согласие на распространение персданных необходимо оформлять отдельно от прочих согласий на обработку.
Использование ПД может быть прекращено в любой момент по требованию субъекта. В заявлении на прекращение следует указывать ФИО, контакты субъекта, а также перечень данных, подлежащих завершению использования.
Если согласие субъекта персональных данных не содержит разрешения на распространение, оператор вправе обработать их только без дальнейшего распространения.

Раскрытие данных без согласия

Обновленная редакция закона о персональных данных затрагивает тему несанкционированного их раскрытия. Каждое лицо, распространившее и обработавшее ПД, обязано самостоятельно доказывать правомерность дальнейшего распространения и использования персданных, если данные раскрыты неопределенному кругу лиц:

субъектом персданных без предоставления согласия оператору;
по причине правонарушения (преступления);
в следствие форс-мажора.

Что изменится с 1 июля 2021

С 01.07.2021 субъекту персданных будет предоставлено право согласиться на обработку разрешенных для распространения ПД непосредственно оператору или через информсистему Роскомнадзора.

Согласие на обработку персональных данных — образец

По новым правилам требования к содержимому согласия на обработку ПД устанавливает Роскомнадзор. При этом он требует, чтобы согласие на обработку персданных содержало:

ФИО на русском языке или в русской транскрипции;
контактные данные — номер телефона, e-mail или почтовый адрес;
полное и краткое наименование или ФИО и адрес оператора, получающего согласие субъекта, а также ИНН, статистические коды, регион, населенный пункт;
цель (цели) обработки персданных — ее необходимо сформулировать строго в соответствии с законом;
категории (общие, специальные, биометрические) и перечень ПД, обработка которых согласована;
категории и перечень персданных, попавших под условия и запреты;
срок действия согласия — должен быть ограничен во времени, без возможности автоматической пролонгации;
сведения о сайтах и прочих ресурсах, через которые неограниченный круг лиц получит доступ к персданным субъекта.

Полезная информация от КонсультантПлюс

Смотрите образец согласия на обработку персональных данных (это бесплатно).

Сроки

У оператора есть 3 дня на публикацию особенностей (условия, ограничения, запреты) полученного согласия на обработку персданных. Этот же срок установлен для прекращения передачи ПД по требования или по решению суда (если в решении суда не содержится иное).

Чем грозит несоблюдение правил обработки персданных

С 27 марта 2021 года существенно увеличены штрафы за правонарушения в области персональных данных — о них мы рассказываем в отдельной статье.

Такая мера, как предупреждение больше не применяется в качестве наказания за совершение неправомерных действий с ПД.

Читайте также: