Как оформить согласие на обработку персональных данных в 2022 году

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как оформить согласие на обработку персональных данных в 2022 году». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Иногда работодатели публикуют в интернете «чёрные» списки сотрудников, с которыми у них возникали проблемы. При этом они не учитывают тот факт, что персональные данные работника — это защищаемая законом информация, и её нельзя использовать по своему усмотрению. Основы для этого заложены в Конституции Российской Федерации.

Обработка персональных данных

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)

Общедоступные персональные данные

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

Уведомление Роскомнадзора об обработке персональных данных работников

Ранее компании-работодатели вправе были не уведомлять Роскомнадзор об обработке персональных данных работников, в том случае, когда такая обработка происходила в соответствии с трудовым законодательством. Данное исключение было предусмотрено подп. 1 п. 2 ст. 22 Закона 152-ФЗ.

С 1 сентября 2022 года данная норма утратила силу. Соответственно, даже если компания обрабатывает персональные данные своих сотрудников исключительно в целях соблюдения трудового законодательства, необходимо уведомить об этом Роскомнадзор.

Изменился и состав сведений, которые должно содержать уведомление (п. 3.1 ст. 22 закона 152-ФЗ). Оператор должен указать для каждой цели обработки персональных данных (далее – ПДн):

• категории ПДн;
• категории субъектов, персональные данные которых обрабатываются;
• правовое обоснование обработки ПДн;
• перечень действий с ПДн;
• способы обработки ПДн.

Нормативная база о персональных данных

Особенности работы с персональными данными

Сталкиваться с понятием персональных данных работника приходится уже на этапе публикации вакансий на сайте работодателя или на ином интернет-ресурсе. В ответ на них потенциальные кандидаты отправляют свои данные, а получатели начинают нести ответственность за их нераспространение. Можно игнорировать отсутствие договора на обработку данных, если кандидат сам разместил резюме в интернете.

На следующем этапе — при трудоустройстве будущему работнику нужно будет предоставить:

1. паспорт гражданина РФ (или иной документ для подтверждения личности);
2. трудовую книжку;
3. ИНН и СНИЛС;
4. диплом об образовании или квалификации;
5. документы о воинской обязанности.

Новые штрафы за нарушение правил обработки персональных данных

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

Краткие выводы и рекомендации:

1. Разработать в качестве отдельного документа (или как часть общей Политики по обработке персональных данных) политику по обработке персональных данных сотрудников, если в вашей компании имеет место мониторинг их данных в любой форме. Ознакомить с ней сотрудников и разместить в легком и свободном доступе (для сотрудников, конечно)
2. Оформлять документы, подтверждающие, что вы регулярно (не реже одного раза в год) пересматриваете вашу политику. Рекомендуется вносить хотя бы минимальные изменения.
3. Любые случаи обработки персональных данных документировать в договорах, заключаемых с сотрудниками. Если происходят какие-то изменения (начинают собираться дополнительные данные, изменяются условия обработки ранее полученных данных), не забывайте составлять с сотрудниками дополнительные соглашения.
4. Разработать в качестве шаблона Стандартные договорные условия защиты персональных данных (Standard contractual clauses), которые нужно будет подписывать при получении персональных данных европейских сотрудников, если такие данные передаются в третью страну без адекватного уровня защиты.

Какие есть требования к согласию на обработку ПД

Согласие на обработку персональных данных должно быть предметным и однозначным, в частности, в отношении:

• цели обработки персональных данных;
• перечня персональных данных, на обработку которых даёт согласие их субъект;
• наименования или ФИО и адреса лица, осуществляющих обработку персональных данных по поручению оператора;
• перечня действий с персональными данными, в отношении которых даётся согласие, и описания способов обработки персональных данных, которые использует оператор;
• срока, в течение которого действует согласие субъекта персональных данных и способу его отзыва.

Если субъект ПД отказывается предоставить обязательные персональные данные, ему нужно разъяснить последствия такого отказа (ч. 2 ст. 18 Закона № 152-ФЗ)!

Для каждой цели обработки персональных данных нужно отдельно указывать:

• категории и перечень персональных данных
• категории субъектов, персональные данные которых обрабатываются;
• способы и сроки хранения персональных данных;
• порядок уничтожения персональных данных при достижении целей их обработки (ст. ст. 18.1, 21 Закона № 152-ФЗ).

Определимся с понятиями

Начнем с того, что под персональными данными следует понимать информацию по конкретному сотруднику, необходимую работодателю в связи с трудовыми отношениями (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).

Как правило, всю подобную информацию сотрудник сообщает о себе сам, предоставляя в распоряжение работодателя все необходимые сведения при трудоустройстве. Напомним, что основными документами, предъявляемыми при заключении трудового договора являются (ст. 65 ТК РФ):

• документ, удостоверяющий личность кандидата (паспорт, военный билет, паспорт моряка, свидетельство о рождении);
• трудовая книжка (кроме случаев, когда трудоустраивается работник, впервые поступающий на работу или совместитель);
• страховое свидетельство обязательного пенсионного страхования (если оно есть у сотрудника);
• документы воинского учета (военный билет или удостоверение гражданина, подлежащего призыву на военную службу для военнообязанных);
• документ об образовании (при условии, что работа, на которую его принимают, предполагает наличие специальных знаний и навыков).

В некоторых случаях информацию о сотруднике можно получить только у третьих лиц. В такой ситуации нужно уведомить сотрудника об этом и заручится его письменным согласием. Работника нужно предупредить (п. 3 ч. 1 ст. 86 ТК РФ):

• о целях запроса;
• источнике получения информации;
• способе получения персональных данных;
• последствиях отказа работника дать согласие на получение информации работодателем.

Когда согласие не нужно

В разрешении на обработку ПД нет необходимости, если их субъект:

1. Является участником договора.
2. Подвергается судебному разбирательству.
3. Не может физически предоставить согласие в экстренных ситуациях (например, находится без сознания).

Также не нужно получать согласие на обработку информации, которая не попадает в перечень исключений или не относится к ПД, например:

• сведения, собранные для личных нужд человека – списки телефонных и почтовых контактов, визитные карточки, профили друзей в соцсетях;
• фото или видео с общественных мероприятий или полученные на платной основе;
• ИНН без привязки к другой информации;
• государственные номера транспортных средств.
• данные для проведения научных исследований, творческой деятельности, не нарушающие прав и интересов граждан;
• информация, предназначенная для передачи только внутри компании (группы компаний)

Закон не дает исчерпывающего определения ПД, поэтому при сборе любой информации о клиенте лучше заручиться его согласием. Это поможет избежать взысканий.

Подотчетным станет сбор персональных данных:

• в ходе трудовых отношений,
• при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
• уже упомянутых ФИО,
• даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
• для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).

Организация защиты персональных данных

Для защиты персональных данных применяют различные возможности:

1. Технические. Заключаются в программе мероприятий по защите ПО от несанкционированного доступа.

   Чтобы защитить ПО, требуется привлечь IT-специалистов, смоделировать угрозы, определить степень защищённости ПДн и обеспечить безопасность.

2. Физические. Это ограничение доступа к ПДн посторонних лиц в виде допуска к работе с информацией только определённых сотрудников; внедрения пропускного режима; организации мест хранения данных и иные.
3. Организационные и юридические. Предполагают разработку и внедрение компанией политики обработки персональных данных, положения о защите данных, издание приказов о назначении ответственного, осуществление контрольных мероприятий.

Порядок оформления доступа к персональным данным лица, осуществляющего обработку персональных данных

Во время проверок контролирующие органы уделяют внимание документам, которые регулируют политику компании по обработке ПДн, достаточности мер защиты от неправомерного использования информации, правилам доступа к конфиденциальной информации.

Поэтому компания должна правильно оформить лицо, ответственное за обработку данных:

1. Издать приказ о назначении ответственного лица и ознакомить с приказом сотрудника под подпись.
2. Внести соответствующие дополнения в должностную инструкцию и (или) трудовой договор.
3. Если до назначения сотрудника за безопасность ПДн отвечали другие работники, издать приказ и снять с них ответственность за организацию обработки информации. При этом обязанность работников не разглашать данные необходимо сохранить.
4. Составить перечень работников, которые допущены к обработке данных и утвердить перечень приказом.
5. Со всеми приказами работники должны быть ознакомлены под подпись.

Административные штрафы

В КоАП отражена ответственность за нарушения, связанные с персональными данными. Когда человеку неправомерно отказали в предоставлении информации или передали сведения с нарушением сроков – виновные привлекаются к ответу. Эти же правила установлены, если сведения не переданы организации. Когда полученная информация не соответствует действительности – штрафная санкция составляет от пяти до десяти тысяч рублей. Это установлено для должностных лиц.

Если информация обрабатывалась в случаях, не предусмотренных в законе, или ненадлежащим образом – размер штрафа зависит от того, кем совершено нарушение. Если это совершил гражданин – оштрафуют на сумму от тысячи до трех тысяч рублей. Для должностного лица штраф возрастает — от пяти до десяти тысяч, и для организации — от 30 до 50 тысяч рублей.

Когда не получено согласие на обработку, при условии необходимости этого акта – граждане отвечают в пределах от трех до пяти тысяч рублей. Для должностного лица сумма равно от 10 до 20 тысяч, для фирмы от 15 до 75.

Персональные данные работника – ТК РФ и другие нормативы

Обязанность охранять и защищать персональные данные работника является прямой для любого работодателя. Однако, прежде чем знакомиться с условиями их хранения и обработки, следует понять, что именно представляют собой эти данные, как они могут оформляться, обрабатываться и храниться на предприятии в ходе осуществления трудовых взаимоотношений. В первую очередь, определение понятия персональных данных и порядок их использования регламентируются в трудовых взаимоотношениях следующими нормативными документами и актами:

1. ФЗ №152 от 27.07.2006. Этот закон в целом регламентирует вопрос использования личных данных в Российской Федерации, а также определяет само рассматриваемое понятие и порядок обращения с подобной информацией при осуществлении различной деятельности.
2. Постановление Правительства РФ №1119 от 01.11.2012. Этим нормативным документом устанавливаются конкретные требования к автоматизированным системам, обеспечивающим обработку и хранение персональных данных. Они являются обязательными для всех работодателей.
3. Постановление Правительства РФ №687 от 15.09.2008. Это правительственное постановление касается необходимого порядка действий и общих нормативов защиты, обработки и хранения персональных сведений в случаях, когда не применяются автоматизированные системы.

Кроме этого, регулируется данный вопрос и положениями следующих статей Трудового кодекса:

• Ст.81. Её нормативы подразумевают возможность увольнения трудящегося за разглашение тайны, в том числе и сведений об иных трудящихся на предприятии лицах.
• Ст.86. Означенная статья устанавливает общие принципы, соответственно которым производится обработка персональных данных в процессе осуществления трудовых взаимоотношений, при трудоустройстве или расторжении трудового договора.
• Ст.87. Её принципы устанавливают порядок хранения и использования наличествующих сведений о трудящихся.
• Ст.88. Означенной статьей регламентируется возможность и порядок передачи сведений о трудящихся третьим лицам.
• Ст.89. Положения этой статьи обеспечивают регулирование основных прав трудящихся, которые связаны с информацией о них.
• Ст.90. Этой статьей устанавливается возможная ответственность за нарушение законодательства в сфере защиты персональных данных сотрудников. Рассматриваемая ответственность может иметь различный характер и применяться к любой из сторон трудовых взаимоотношений.
• Ст.391. Принципы, изложенные в означенной статье, затрагивают порядок разрешения индивидуальных трудовых споров и устанавливают, что в случае, когда предметом спора сотрудника и работодателя является разглашение сведений о трудящемся, таковые ситуации должны рассматриваться сразу в судебном порядке, минуя иные процессуальные процедуры.

Похожие записи:

• Как получить маткапитал в Уфе и Башкирии
• Льготы по налогу на землю физических лиц в 2024 году проживающим в Чернобыльской зоне
• Замена прав по истечении срока в 2023 году