В каких случаях не требуется письменное согласие работника на использование его персональных данных 2023
RTM Group
Управляющий RTM Group, эксперт в области IT-права и кибербезопасности. 15 лет в сфере защиты информации, из них более 10 лет — на руководящих позициях в крупных компаниях отрасли, включая Leta IT-Company и Swivel Secure. В 2018 году основал и возглавил группу компаний RTM Group, специализирующуюся на IT-праве, судебных компьютерных экспертизах и аудите в области ИБ и ИТ.
Сайт: RTM Group
Понятие персональных данных и правила их обработки содержатся в федеральном законе №152-ФЗ «О персональных данных». Согласно ему, персональные данные — это «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».
Это могут быть:
- фамилия, имя, отчество;
- мобильный телефон;
- электронная почта;
- адрес проживания;
- фотография;
- паспортные данные;
- другие сведения, позволяющие идентифицировать человека.
Когда вы начинаете обрабатывать такие сведения, то становитесь оператором персональных данных. Под обработкой закон понимает любые действия: сбор, запись, систематизацию, накопление, хранение, — вплоть до уничтожения. Полный список можно посмотреть в этой статье.
Почти все компании в России — операторы персональных данных, потому что обрабатывают хотя бы сведения о сотрудниках. Также операторами становятся все, кто обрабатывает сведения о клиентах. Вот несколько типовых ситуаций:
- Пользователи оставляют имя и email, чтобы подписаться на новостную рассылку.
- Потенциальный покупатель заполнил заявку на бесплатный тест-драйв в автосалоне и указал имя и номер телефона.
- Клиент оформил заказ на маркетплейсе и указал там номер банковской карты, адрес и Ф. И. О.
В тот момент, когда вы начинаете обработку персональных данных, запускается и механизм ответственности. Вы становитесь оператором со всеми последствиями.
О чём необходимо помнить операторам, когда они обрабатывают персональные данные граждан? Нужно определить цель и сроки обработки ПДн, содержание, объём, перечень и категории обрабатываемых данных, заручиться согласием субъекта. Ниже мы разберём подробнее, какие требования законодательства нужно выполнить.
Просто так начать обрабатывать персональные данные нельзя. До старта нужно уведомить Роскомнадзор. Только компании и учреждения, которые вели эту деятельность до выхода соответствующего закона, могут регистрироваться по факту. Другими словами, они могут уведомлять ведомство уже после того, как начали обработку.
Перед подачей заявления нужно подготовиться:
- Разработать пакет необходимых документов — например, положение об обработке персональных данных и приказы о назначении ответственных. Мы разбираем документы в специальном разделе.
- Выполнить ряд организационных и технических мер, в том числе ограничить доступ в помещения, установить пароли.
Уже после этого можно регистрироваться. Роскомнадзор разработал форму уведомления для всех, кто будет обрабатывать персональные данные. Есть три способа подать уведомление:
- заполнить, распечатать и отправить в местное отделение Роскомнадзора;
- заполнить, подписать и отправить в электронной форме на сайте Роскомнадзора;
- заполнить форму и направить её ведомству на «Госуслугах», если у вас есть подтверждённая учётная запись. Если хотите подать уведомление от имени компании, ваша учётная запись должна быть привязана к организации на портале «Госуслуг».
В форме уведомления нужно предоставить сведения об операторе, о целях обработки, о хранении и защите данных. Скриншот: сайт Роскомнадзора
Регулятор вносит сведения в реестр операторов персональных данных в течение 30 дней с даты поступления уведомления. Когда вы начнёте обрабатывать данные и потребуются какие-либо изменения, нужно будет сообщить о них Роскомнадзору. Также нужно будет уведомить, если вы прекратите собирать и обрабатывать данные.
Можно ли обойтись без регистрации в Роскомнадзоре? Можно, но в редких случаях — они описаны в статье 22 №152-ФЗ. В основном это прямые договоры с клиентами, когда вы никому не передаёте информацию о клиентах, а также не предоставляете им дополнительных услуг. Ещё можно обойтись без уведомления, если вы:
- обрабатываете данные сотрудников по ТК РФ;
- используете только Ф. И. О.;
- выдаёте разовый пропуск на территорию.
Но всё это — только если правоотношения строятся «в чистом виде», что на практике практически невозможно. Например, работодатель наверняка имеет зарплатный проект и передаёт сведения в банк.
Если у вас есть хотя бы небольшие сомнения, лучше спросить регулятора о вашем конкретном случае, чем в одностороннем порядке решить, что предписания к вам не относятся.
Случай из практики. Автосалон не зарегистрировали в качестве оператора персональных данных.
Руководители организации решили, что организация подпадает под исключения из части 2 статьи 22 152-ФЗ.
Все случаи обработки персональных данных, решили они, — это исключения: автосалон выдаёт разовые пропуска, заключает договоры купли-продажи авто и обрабатывает сведения о работниках.
https://www.youtube.com/watch?v=QAZuiUg4qrQ\u0026pp=ygW_AdCSINC60LDQutC40YUg0YHQu9GD0YfQsNGP0YUg0L3QtSDRgtGA0LXQsdGD0LXRgtGB0Y8g0L_QuNGB0YzQvNC10L3QvdC-0LUg0YHQvtCz0LvQsNGB0LjQtSDRgNCw0LHQvtGC0L3QuNC60LAg0L3QsCDQuNGB0L_QvtC70YzQt9C-0LLQsNC90LjQtSDQtdCz0L4g0L_QtdGA0YHQvtC90LDQu9GM0L3Ri9GFINC00LDQvdC90YvRhSAyMDIz
Организация сообщила об этом в Роскомнадзор информационным письмом. В ответ регулятор разъяснил, что пройти процедуру придётся. Аргументы Роскомнадзора были такими:
- Когда салон продаёт автомобиль, в том числе конкретному клиенту, он взаимодействует с дилерами.
- Организация предоставляет услуги по гарантийному и техническому обслуживанию транспортных средств.
- Салон выступает посредником при продаже услуг страхования.
- Компания предлагает тест-драйв авто, собирая персональные данные в заявках, без договора.
Поскольку салон оказывает сопутствующие и посреднические услуги, ему пришлось зарегистрироваться в качестве оператора.
Правильно разработанная юридическая документация поможет свести к минимуму риск, что компанию обвинят в нарушении законодательства о персональных данных. Список необходимых документов включает:
- Политику конфиденциальности.
- Правила работы с персональными данными.
- Согласие на обработку персональных данных.
- Обязательство о неразглашении персональных данных.
В разделе мы расскажем об этих документах подробнее.
Политика конфиденциальности и правила работы с персональными данными. В документах многих компаний содержится одна и та же ошибка: правила работы с персональными данными они называют политикой конфиденциальности. Однако это разные документы.
Правила работы с персональными данными должны содержать то, что рекомендует Роскомнадзор и требует 152-ФЗ. Политика конфиденциальности шире: документ описывает работу со всей конфиденциальной информацией, в том числе с персональными данными. В политику добавляют то, что нужно защитить дополнительно. Например, это договоры, переписка с клиентами и партнёрами, внутренняя документация.
Два документа можно объединить в один, это не противоречит законодательству. Когда пользователи регистрируются на сайте, их нужно познакомить с политикой конфиденциальности и правилами работы с персональными данными до процедуры регистрации.
Политику конфиденциальности публикуют в открытом доступе, обычно в подвале (внизу) сайта. Скриншот: сайт Skillbox
Согласие на обработку персональных данных. Форма, которую должен заполнять субъект персональных данных. В ней обязательно должны быть сведения об информационных ресурсах оператора.
Это адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имени файла веб-страницы.
Нужно указать адреса всех сайтов, которые будут обрабатывать сведения о пользователях.
Согласие должно быть написано чёткими и ясными фразами, чтобы пользователь понял, кому и в каких случаях вы можете передавать его данные.
Ошибкой будет написать что-то вроде «Пользователь ознакомлен и согласен с тем, что передача его персональных данных может осуществляться маркетплейсом в объёме, необходимом для получения Пользователем доступа к Платформе, любым третьим лицам, в том числе осуществляющим техническое обслуживание сайта и поддержку Пользователя».
Если собираете данные только в интернете, достаточно прописать в политике конфиденциальности случаи, в которых пользователь выражает согласие на обработку. Например, если он заполняет чекбокс.
Шаблон Согласия на обработку персональных данных
Пример, как можно прописать согласие на обработку в политике конфиденциальности. Скриншот: сайт Skillbox
Обязательство о неразглашении персональных данных. Документ обязывает работников не разглашать персональные данные, полученные компанией. Его должны подписывать все сотрудники, у которых есть доступ к сведениям о клиентах.
Шаблон Обязательства о неразглашении персональных данных
Приказ о назначении ответственного за работу с персональными данными. Внутренний документ. Его не нужно нигде публиковать, но Роскомнадзор может попросить его при проверке. Как правило, ответственным назначают IT-специалиста или сотрудника службы безопасности.
Важно! Если на сайте можно зарегистрироваться, нужно знакомить пользователей с политикой конфиденциальности и получать согласие на обработку персональных данных перед тем, как он отправит анкетные сведения.
https://www.youtube.com/watch?v=QAZuiUg4qrQ\u0026pp=YAHIAQE%3D
Когда клиент подписался на новостную рассылку на сайте, оформил заказ на маркетплейсе или оставил заявку на тест-драйв авто, он сообщил как минимум своё имя, номер телефона или email. Это основание запросить и получить согласие на обработку персональных данных.
Пользователь должен принять решение о предоставлении данных свободно и по своей воле. В подтверждение он должен подписать официальное согласие на обработку такой информации.
Законодательство не предполагает конклюдентного подтверждения: то есть пользователь не может дать согласие, выполнив определённые действия. Нельзя прописать в политике, что клиент выражает согласие на обработку его данных, заполняя форму для заказа в интернет-магазине.
Получить согласие на обработку можно в любой форме, позволяющей подтвердить факт его получения. Например, чекбоксом — пунктом, в котором пользователь должен поставить галочку. Предустанавливать её нельзя: субъект персональных данных должен сам выразить согласие. Разместить чекбокс нужно во всех формах, в которых собирают персональные данные.
Так выглядит чекбокс: рядом с окном находится текст, уведомляющий пользователя об обработке данных. Скриншот: сайт Soldi Marketing
Также можно поместить уведомление о согласии на обработку рядом с кнопкой. Нажав на неё, пользователь согласится с тем, что вы будете обрабатывать его данные. Часто веб-сервисы собирают разрешения в личных кабинетах, где пользователи также проставляют метки в специальных формах.
Так выглядит получение согласия с помощью кнопки. Скриншот: сайт RTM Group
Важно! Если собираете биометрические данные (фото пользователей или аудио с их голосом), нужно получать только письменное согласие на обработку персональных данных. Чекбокс не подойдёт.
В любой момент пользователь может отозвать согласие на обработку персональных данных. Тогда вы должны будете прекратить обрабатывать их, то есть удалить.
Бывают ли случаи, когда не нужно брать согласие на обработку персональных данных? Бывают, но их мало.
Закон разрешает не брать согласие, если «обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора».
Не забывайте получать согласие на обработку персональных данных, даже если это кажется избыточным. Самые частые нарушения, за которые штрафуют операторов: компании обрабатывали данные без согласия владельцев или объём запрошенных данных не соответствовал целям обработки. Эти нарушения приводят не только к штрафам, но и к утечкам.
Правомерную обработку персональных данных контролирует Роскомнадзор, иногда это делают также Роструд и ФАС. Ответственность за нарушения в этой сфере год за годом ужесточается. Подробнее о видах ответственности читайте здесь.
По статье 13.11 КоАП РФ Роскомнадзор может возбудить дело об административном правонарушении и наложить штраф:
- для граждан — от 700 до 100 000 рублей;
- для должностных лиц — от 3000 до 800 000 рублей;
- для индивидуальных предпринимателей — от 5000 до 20 000 рублей;
- для юридических лиц — от 15 000 до 18 000 000 рублей.
Риск привлечения к ответственности и размер штрафа не зависят от масштабов компании. Главное — характер и злостность нарушения.
Кейс. Роскомнадзор выявил нарушения на интернет-ресурсе, принадлежащем французскому регистратору доменов Gandi SAS. Когда клиент проставлял галочку о согласии на обработку персональных данных, он не получал информации об операторе.
https://www.youtube.com/watch?v=_d7ecQcZzso\u0026pp=ygW_AdCSINC60LDQutC40YUg0YHQu9GD0YfQsNGP0YUg0L3QtSDRgtGA0LXQsdGD0LXRgtGB0Y8g0L_QuNGB0YzQvNC10L3QvdC-0LUg0YHQvtCz0LvQsNGB0LjQtSDRgNCw0LHQvtGC0L3QuNC60LAg0L3QsCDQuNGB0L_QvtC70YzQt9C-0LLQsNC90LjQtSDQtdCz0L4g0L_QtdGA0YHQvtC90LDQu9GM0L3Ri9GFINC00LDQvdC90YvRhSAyMDIz
Кроме того, компания обрабатывала личные сведения граждан России на территории США с нарушением требований 152-ФЗ.
Согласно пункту 5 статьи 18 152-ФЗ, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить обработку персональных данных с использованием баз данных, находящихся на территории России.
У компании также не было политики обработки персональных данных. В результате рассмотрения дела ресурс включили в Реестр нарушителей прав субъектов персональных данных.
Только за 2020 год число заблокированных Роскомнадзором ресурсов превысило 190 тысяч. У регулятора есть широкий список оснований, в соответствии с которыми он может включить ресурс в список нарушителей. Подробный список представлен здесь.
Кроме того, в июле 2021 года вступил в силу 355-ФЗ, который внёс поправки в статью 7 115-ФЗ — закона о борьбе с легализацией доходов и финансированием терроризма.
Согласно новой редакции закона, банки обязаны принимать на обслуживание только те компании, сайт которых работает легитимно. А значит, он не заблокирован, не нарушает правила обработки персональных данных и другие предписания Роскомнадзора. Если есть какие-то нарушения, банк обязан отказать в обслуживании: компания не сможет совершать любые операции по расчётному счёту.
Закон касается не только новых компаний, но и тех, кто давно работает с расчётным счётом. Сфера бизнеса и организационно-правовая форма не имеют значения — никаких исключений нет. Банкам предписано выборочно проверять сайты на соответствие закону и бить тревогу, если выявлены нарушения.
Изменения по персональным данным с 01.03.2023
Обработка персональных данных в 2023 году
Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу.
Обработка персональных данных – это действие или совокупность действий, которые совершают с персональными данными сотрудника. Например, когда вы собираете и записываете персданные соискателя, чтобы заполнить трудовой договор при трудоустройстве.
Также, если вы владелец интернет-сайта и собираете данные ваших посетителей через специальную форму, то вы тоже занимаетесь обработкой персональных данных.
Напомним, что еще до 1 марта 2023 года работодатели обязаны передавать РКН специальные уведомления об обработке персональных данных. Подробнее см. «Уведомление РКН об обработке персональных данных».
С 1 марта 2023 года требований к обработке персональных данных становится еще больше. Кроме того, в 2023 году РКН усилит проверки за персональными данным. В частности, начнет проводить “дистанционные” проверки операторов персональных данных.
Уведомление об изменении персональных данных: новый срок
С 1 марта будет больше времени, чтобы известить Роскомнадзор об изменении персональных данных.
Если сведения, которые указали в уведомлении, изменились, об этом нужно сообщить в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения.
До 1 марта такое уведомление направлялось в течение 10 рабочих дней с момента изменений. Уведомление подается по форме из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180.
Уничтожение персональных данных: новые правила
С 1 марта нужно фиксировать факт уничтожения персональных данных актом по новой форме. Раньше оформить акт об уничтожении можно было в свободной форме, а теперь необходимо включить в него 10 обязательных видов данных. Основание: Приказ Роскомнадзора от 28.10.2022 N 179.
С 1 марта 2023 года работодатель должен будет фиксировать факт того, что уничтожил персданные, двумя документами:
- актом об уничтожении персональных данных;
- выгрузкой из журнала регистрации событий в информационной системе персональных данных.
К сведению
Если компания обрабатывает данные вручную для подтверждения будет достаточно акта.
- Обязательные реквизиты акта об уничтожении персональных данных
- Обязательные реквизиты выгрузки
СКАЧАТЬ ОБРАЗЕЦ АКТА ОБ УНИЧТОЖЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ С 01.03.2023
СКАЧАТЬ ОБРАЗЕЦ ВЫГРУЗКИ ИЗ ЖУРНАЛА С 01.03.2023
Оценка степени вреда: новый порядок
С 1 марта 2023 года потребуется оценивать степень вреда, который может возникнуть, если будет нарушен закон о персональных данных. РКН утвердил специальные правила, по которым работодатели должны оценивать вред, который может возникнуть, если будут нарушены правила обработки персданных (приказ Роскомнадзора от 27.10.2022 № 178).
Степени вреда всего 3 (три):
- высокая;
- средняя;
- низкая.
Таблица. Какие персданные к какой степени вреда относятся
Заметим, что отнесения вреда к какой-либо категории, вам потребуется составить специальный акт. Предлагаем ознакомиться с образцом.
СКАЧАТЬ ОБРАЗЕЦ АКТА ОЦЕНКИ ВРЕДА С 01.03.2023
Передача персональных данных за границу
С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.
Заметим, что новшество напрямую касается онлайн-продавцов. Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных.
А вот если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, скорее всего, дадут.
Конвенцию, к примеру, ратифицировали Армения, Азербайджан, Сербия, Турция.
Обратите внимание
Уведомление о намерении осуществлять трансграничную передачу можно будет оформить на бумаге или в электронном виде. Подавать его нужно будет отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку персональных данных.
Для подачи сведений на сайте РКН сделали специальный раздел по адресу https://pd.rkn.gov.ru/cross-border-transmission/form/
Ркн ужесточает проверки
Также см. «К кому придут с проверкой в 2023 году».
За нарушение работы с персональными данными в 2023 году Роскомнадзор будет привлекать к ответственности чаще. Причем для этого не всегда потребуется проводить выездные проверки (письмо Роскомнадзора от 31.01.2023 № 09-6488).
Внеплановых проверок будет больше. Правительство расширило список оснований для внеплановых проверок по персональным данным (постановление от 04.02.2023 № 161).
Так, например, по решению главы или замглавы Роскомнадзора в компанию, в том числе аккредитованную IT-организацию, могут прийти с внеплановой проверкой, если выявят факт распространения в интернете баз с персданными.
Наказать могут и без выезда в компанию. В некоторых ситуациях зафиксировать правонарушение в сфере персданных и привлечь к ответственности могут даже без выездных контрольных мероприятий (письмо Роскомнадзора от 31.01.
2023 № 09-6488). Речь идет о нарушениях, которые оговорены в частях 1–2.1 и 4 статьи 13.11 КоАП. Например, к особым нарушениям причислена обработка данных без письменного согласия, а также обработка, не совместимая с целями сбора данных.
РКН уточняет в своих разъяснениях, что по таким нарушениям контролеры могут действовать «бесконтактно» (без взаимодействия с нарушителем). Например, если нарушение обнаружил сам сотрудник Роскомнадзора и у него есть полномочия составлять протокол либо поступило указание от прокуратуры.
Поводом для возбуждения дела могут послужить жалоба, сообщения в СМИ, например, об утечке данных (п. 1–3 ч. 1 ст. 28.1 КоАП).
Образцы документов, которые нельзя игнорировать в 2023 году
Далее приведем образцы некоторых документов по персональным данным, которые могут потребоваться в 2023 году:
Название документа | Ссылка на скачивание |
Положение о работе с персональными данными работников | СКАЧАТЬ |
Положение о порядке уничтожения персональных данных | СКАЧАТЬ |
Приказ о создании комиссии по уничтожению документов с персональными данными | СКАЧАТЬ |
Общая форма согласия на передачу и обработку персональных данных | СКАЧАТЬ |
Согласие на обработку персональных данных на сайте | СКАЧАТЬ |
Обязательство о неразглашении персональных данных | СКАЧАТЬ |
Видео по теме
Правомерно ли если организация единовременно возьмет согласие у сотруд
Ответ: Персональные данные без согласия работника можно передать третьим лицам только в установленных законом случаях, например, в налоговый орган, ПФР и ФСС.
В других ситуациях надо получить письменное согласие работника (ст. 88 ТК РФ, Разъяснения Роскомнадзора).
Работодателю надо запросить отдельное письменное согласие работника на передачу его персональных данных третьему лицу (с указанием конкретного третьего лица).
Контрагент вправе передавать персональные данные работникам своей организации при соблюдении установленного порядка.
На каждую передачу персональных данных работника третьим лицам необходимо оформлять отдельное письменное согласие на передачу персональных данных (абз. 2, 3 ст. 88 ТК РФ, ч. 5 ст. 5, ч. 3 ст. 6 Закона N 152-ФЗ).
Нельзя в согласии в разовом порядке написать, что работник не против передачи своих персональных данных любым третьим лицам, с которыми у работодателя может быть заключен договор.
Обоснование: Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ)).
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ). Таким образом, передача персональных данных является обработкой персональных данных.
По общему правилу обработка персональных данных допускается с согласия субъекта персональных данных. Отдельного согласия потребует обработка персональных данных, разрешенных субъектом персональных данных для распространения (п. 1 ч. 1 ст. 6, ст. 10.1 Закона N 152-ФЗ).
Не требуется согласия субъекта персональных данных в случаях, перечисленных в п. п. 2 — 11 ч. 1 ст.
6 Закона N 152-ФЗ, в том числе когда обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ).
Необходимость согласия работника на передачу третьему лицу его персональных данных. В рассматриваемой ситуации работник, чьи персональные данные указаны в договоре оказания услуг между организациями, не является ни стороной этого договора, ни выгодоприобретателем (поручителем) по нему.
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона N 152-ФЗ (ч. 3 ст. 6 Закона N 152-ФЗ).
При этом лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных (ч. 4 ст. 6 Закона N 152-ФЗ).
Работодатель вправе передавать данные о работнике без его согласия третьим лицам при угрозе жизни и здоровью человека, а также в иных случаях, установленных законом.
Во всех остальных случаях сообщать персональные данные работника третьей стороне работодатель может только на основании письменного согласия работника (абз. 2, 3 ст. 88 ТК РФ).
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (ст. 7 Закона N 152-ФЗ).
Таким образом, в рассматриваемом случае заключение договора оказания услуг между организациями преследует коммерческие цели, поэтому работодатель не вправе передавать персональные данные работников без их согласия третьим лицам.
Согласие работника на передачу персональных данных на обработку конкретному третьему лицу — документ, необходимость получения которого возникает, если работодатель передает персональные данные работника третьим лицам, в том числе поручает обработку персональных данных работника другим лицам, в частности при заключении гражданско-правовых договоров с контрагентами (абз. 2, 3 ст. 88 ТК РФ, ч. 3 ст. 6 Закона N 152-ФЗ).
В частности, при привлечении сторонних организаций (на основании заключенных с ними договоров) для выполнения каких-либо услуг, которые будут затрагивать обработку персональных данных работника, работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Закона N 152-ФЗ, в том числе получить согласие работников на передачу их персональных данных. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки (ч. 5 ст. 5 Закона N 152-ФЗ).
На каждую передачу персональных данных работника третьим лицам необходимо оформлять отдельное письменное согласие на передачу персональных данных (абз. 2, 3 ст. 88 ТК РФ, ч. 5 ст. 5, ч. 3 ст.
6 Закона N 152-ФЗ). Нельзя в согласии в разовом порядке написать, что работник не против передачи своих персональных данных любым третьим лицам, с которыми у работодателя может быть заключен договор.
В согласии работника на обработку его персональных данных конкретным третьим лицом нужно указать, в частности, наименование контрагента, осуществляющего обработку персональных данных (также рекомендуется указать его ИНН, ОГРН), перечень персональных данных, на обработку которых дается согласие, перечень действий с персональными данными, на совершение которых дается согласие, цель их обработки, срок, в течение которого действует согласие на обработку персональных данных, а также способ его отзыва (ч. 4 ст. 9 Закона N 152-ФЗ) (см. Форму: Согласие на передачу персональных данных работника третьим лицам (образец заполнения) (Подготовлен специалистами КонсультантПлюс, 2021) {КонсультантПлюс}).
В случае, когда работодатель передает персональные данные работника контрагенту без поручения на обработку персональных данных (например, когда от имени работодателя оказывать услуги контрагенту будет указанный работник), возможно прийти к выводу, что контрагент приобретает статус оператора и должен получить письменное согласие субъекта персональных данных (работника) на такую обработку. Поэтому работодателю следует передать своему контрагенту письменное согласие работника (п. п. 2, 3 ст. 3, п. 1 ч. 1 ст. 6 Закона N 152-ФЗ, абз. 3 ст. 88 ТК РФ).
В случае, когда с согласия работника работодатель поручает обработку персональных данных третьему лицу, ответственность перед работником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем (ч. 3, 5 ст. 6 Закона N 152-ФЗ).
Работодатель обязан предупредить своего контрагента, получающего персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этого лица подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности) (абз. 4 ст. 88 ТК РФ).
Контрагент, получивший персональные данные о физическом лице по договору оказания услуг, обязан принять меры для обеспечения выполнения обязанностей оператора, предусмотренных Законом N 152-ФЗ, а также меры по обеспечению безопасности таких персональных данных, в частности (п. п. 1, 2, 3 ч. 1 ст. 18.1, ч. 1, п. 8 ч. 2 ст. 19, ч. 1, п. 1 ч. 4 ст. 22.1 Закона N 152-ФЗ):
- издать приказ о назначении лица, ответственного за организацию обработки персональных данных, которое должно осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных;
- установить правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных; обеспечить регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- утвердить локальный акт по вопросам обработки персональных данных. В рассматриваемом случае таким документом может быть положение о порядке обработки персональных данных контрагентов и иных лиц, не являющихся работниками данной организации, в котором должны быть описаны все действия, связанные с обработкой персональных данных физических лиц — представителей других компаний, а также указаны ответственные работники за обработку таких персональных данных.
Обратите внимание! За нарушение законодательства в области персональных данных предусмотрена административная и уголовная ответственность (ст. 13.11 КоАП РФ, ст. 137 УК РФ).
Обработка персональных данных: правила и нюансы оформления
- Главная →
- Журнал →
- Бизнес →
- Риски
26 сентября 2022 21 432 9
Согласие на обработку персональных данных — письменный или цифровой документ, который подтверждает добровольное решение гражданина передать оператору свою личную информацию для определенных целей. По Закону № 152-ФЗ оператор должен его получать в большинстве случаев. Разбираемся, когда требуется разрешение на обработку ПД, и какие к нему есть требования в 2022 году.
Согласие на обработку персональных данных в 2022 году должно быть конкретным, предметным, информированным, сознательным и однозначным (ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ). Это означает, что в нем есть:
- конкретная цель обработки — например, для оформления трудовых отношений;
- перечень ПД — например, ФИО, дата рождения, сведения об образовании, месте работы, адресе;
- список действий с персональными данными — к примеру, сбор, хранение;
- место и способы обработки ПД — адрес оператора, автоматизированная или неавтоматизированная обработка;
- срок действия согласия;
- наименование, ФИО, адрес лица, которое обрабатывает ПД, если оператор поручает это другому лицу;
- ясно выраженное согласие гражданина — подпись, галочка или другая отметка.
По умолчанию любые действия с личной информацией без согласия субъекта или законных оснований не допускаются (ст. 6, 9 152-ФЗ). При этом на распространение ПД документ оформляют отдельно (ст. 10.1 152-ФЗ).
Согласие получают конкретно для каждой цели. То есть у оператора будет несколько документов. Это следует из части 4 ст. 9 152-ФЗ, где цель указана в единственном числе, а также из требования не хранить в одной базе данных сведения для несовместимых целей (ч. 3 ст. 5 152-ФЗ).
Работать с персональными данными можно только на законных основаниях (ст. 5 152-ФЗ). Обработка без разрешения субъекта допускается в случаях, предусмотренных международными договорами или нормативными правовыми актами (ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 152-ФЗ). Например:
- личная информация обрабатывается при участии физлица в судебном процессе;
- гражданин регистрируется на портале Госуслуг;
- сведения нужны для исполнения условий договора с субъектом ПД;
- специальные персональные данные, например, о состоянии здоровья обрабатываются в соответствии с трудовым, социальным или пенсионным законодательством.
Гражданин имеет право отозвать выданное согласие на обработку ПД в любой момент. В этом случае действия с его личной информацией можно продолжать только при наличии указанных выше правовых оснований. Обязанность доказать законность обработки: предоставить согласие гражданина или отдельную норму права, возложена на оператора (ч. 2 ст. 9 152-ФЗ).
Работодателям стоит помнить, что обработка биометрических персональных данных работников в рамках трудовых отношений возможна только с письменного согласия сотрудника (ст. 11 152-ФЗ). Для специальных и общедоступных ПД оно не нужно. Это значит, что ФИО, сведения об образовании обрабатываются свободно. А вот видеонаблюдение за работником возможно только с его письменного разрешения.
Закон разрешает получить согласие физического лица на обработку его ПД в любом виде. Главное подтвердить, что оно есть и дано именно субъектом персональных данных либо его представителем (ч. 1 ст. 9 152-ФЗ). То есть теоретически согласие можно оформить даже в виде записи на диктофон, если по ней точно идентифицируется личность гражданина.
Если по Закону согласие должно быть оформлено именно в письменном виде — например, на обработку биометрических данных, то электронный документ с электронной подписью (ЭП) признается равнозначным бумажному оригиналу с личной подписью субъекта (ч. 4 ст. 9 152-ФЗ). Главное, чтобы ЭП соответствовала требованиям (Приказ ФСБ России от 27.12.2011 № 796).
Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!
Попробовать
Утвержденного бланка согласия на обработку ПД нет. Общие требования к его содержанию приведены в статье 9 152-ФЗ.
В интернете доступно много образцов согласия, например, на сайте Управления Роскомнадзора Сибирского ФО. Пользоваться ими нужно аккуратно, с учетом изменений в Законе 152-ФЗ:
- одна цель обработки — одно согласие;
- разрешение на распространение ПД оформляется отдельно.
Лицо, которое обрабатывает ПД по поручению оператора, согласие субъекта не получает (ч. 4 ст. 6 152-ФЗ).
В некоторых случаях оператор раскрывает персональные данные неопределенному кругу лиц. Например, публикует на сайте отзыв клиента, содержащий ФИО, email и другую личную информацию. Или помогает заказчику получить кредит и отправляет от его имени заявку в разные банки и МФО.
Это называется распространением персональных данных, на которое нужно получать отдельное согласие субъекта ПД (ч. 1 ст. 10.1 152-ФЗ). Требования к содержанию такого разрешения определены Роскомнадзором (Приказ от 24.02.2021 № 18).
Сдать всю отчетность через интернет — с подсказками и проверкой на ошибки
Попробовать
Согласие на распространение может быть оформлено двумя способами (ч. 6 ст. 10.1 152-ФЗ):
- передано субъектом непосредственно оператору;
- заполнено с использованием информационной системы Роскомнадзора.
В первом случае оператор может получить шаблон документа на сайте Роскомнадзора. Для подготовки разрешения, адаптированного под конкретную деятельность, понадобится подтвержденная учетная запись на портале Госуслуг организации, ИП или физического лица.
На портале Роскомнадзора через ЕСИА формируется запрос. В результате оператор получает доступ к форме согласия на распространение ПД, которую он заполняет с учетом своей специфики. Готовый шаблон можно отправить на проверку в Роскомнадзор и получить его рекомендации.
Форму согласия на распространение ПД можно подготовить с использованием информационного ресурса Роскомнадзора.
Если оператор решит разработать свой бланк, то он должен указать в нем обязательные пункты по Приказу от 24.02.2021 № 18. По каждой категории и перечню ПД у субъекта должна быть возможность выбора одной из трех категорий:
- разрешено;
- запрещено;
- разрешено с условиями — указать условия.
Молчание или бездействие гражданина ни при каких обстоятельствах не считаются согласием на обработку ПД, разрешенных для распространения (ч. 8 ст. 10.1 152-ФЗ).
Оператор обязан в течение трех рабочих дней с даты получения разрешения на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц (ч. 10 ст. 10.1 152-ФЗ). Например, разместить ее на своем сайте.
Эта мера нужна для защиты права субъекта ПД на конфиденциальность. Лица, получающие доступ к его личной информации, должны соблюдать условия и запреты, перечисленные в согласии на распространение.