Согласие на обработку персональных данных: правила и образец

Что такое персональные данные

Понятие персональных данных и обращение с ними регулирует Федеральный закон № 152-ФЗ от 27.07.2006. В соответствии с этим документом под личными данными граждан, охраняемыми законодательством, следует понимать любую информацию, которая прямо или косвенно относится непосредственно к их субъекту (то есть физическому лицу). Такая информация позволяет однозначно определить, о каком человеке идет речь. Но человек — полновластный хозяин своих данных, и если им не предоставлено подписанное согласие на обработку персональных данных, то ни одна организация не вправе ими распоряжаться.

Конкретные указания на то, какая информация о человеке является его индивидуальными и охраняемыми данными, в законодательстве отсутствуют. По сложившейся практике это:

• фамилия, имя, отчество;
• дата и место рождения;
• адрес проживания (место регистрации);
• семейное, социальное и имущественное положение;
• образование, профессия;
• доходы, имущество и обязательства.

Обычно такие сведения человек сообщает о себе сам во многих государственных органах, медицинских и образовательных учреждениях, кредитных организациях и даже в коммерческих структурах (при трудоустройстве). Кроме вышеперечисленных сведений, которые являются общими, есть еще специальные личные данные, такие как национальность, вероисповедание, политические взгляды, состояние здоровья и прочая информация подобного рода.

Кто такие операторы персданных, и что они делают

В статье 3 закона № 152-ФЗ сказано, что оператором ПД является лицо, которое организует и осуществляет обработку персональных данных. Все работодатели, как юрлица, так и ИП, являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус, практически не ограничен. Это любое лицо, которому человек подал заявление и согласие на ОПД, то есть доверил личную информацию о себе оператору и разрешил ее использовать для определенных целей.

Зачем получают письменное согласие на обработку персданных

В 152-ФЗ разъясняется, что такое согласие на обработку персональных данных — это письменный документ, в котором человек соглашается на сбор и анализ личной информации о нем. Чаще всего личную информацию запрашивают работодатели — о своих работникам или соискателях на должность. Работодатели получают и обрабатывают сведения из документов, которые предъявляют при устройстве на работу (ст. 65 ТК РФ):

• паспорта;
• трудовой книжки;
• СНИЛС;
• диплома и других документов об образовании;
• военного билета и документов воинского учета;
• справок и других подтверждающих документов.

Чтобы обрабатывать всю эту информацию, работодателю необходимо сначала получить письменное согласие от работника (п. 1 ст. 9 152-ФЗ). Но такое согласование добровольно: заставить работника подписывать документы нельзя. Кроме того, сотрудник вправе отозвать подписанное согласование.

Как составить согласие на обработку персональных данных

Требования к письменному согласию, которое дает владелец личной информации, определены в части 1 статьи 9 закона № 152-ФЗ. Они изменились с 01.09.2022. Главное требование — конкретика, информативность и обязательное оформление в письменной форме. Также допускается электронная форма, если взаимодействие владельца и оператора происходит через интернет. В любом случае у оператора должна иметься возможность в любой момент подтвердить факт получения.

Вот так выглядит стандартная форма согласия, которую применяют в различных ситуациях:

И хотя в самом законе об утвержденной и регламентированной форме этого документа речи не идет, по нормам статьи 13.11 КоАП РФ наказание положено, если оператор начал обработку без письменного разрешения субъекта ПД. Его следует получить по законодательству РФ с соблюдением всех требований от владельца ПД. Разрешение оптом и «по умолчанию» больше не допускается ни в каких ситуациях.

По этой причине рекомендуется сразу оформить заявление о согласии на все манипуляции с ПД и больше не переживать по этому поводу. Универсальный бланк не предусмотрен: каждый оператор разрабатывает его самостоятельно.

Приведем пример согласия на обработку персональных данных, которое оформляют при трудоустройстве:

Произвольная форма заявления не исключает целого ряда требований, установленных в статье 9 закона № 152-ФЗ к его содержанию. В нем обязательно указываются:

• фамилия, имя и отчество лица, его адрес, полные реквизиты документа, удостоверяющего его личность (аналогичные требования к представителям гражданина);
• наименование или ФИО и адрес оператора;
• цель получения личной информации;
• перечень данных, которые подлежат обработке;
• данные организации или ИП, которым оператор перепоручил любые манипуляции с данными;
• перечень действий с информацией о человеке, на совершение которых он дал свое согласие, общее описание способов ее хранения и использования;
• срок, в течение которого действует согласие, и способ его отзыва;
• личная подпись гражданина.

Как действовать работодателю, если сотрудник не подписывает согласие на обработку персданных

Если работник отказывается писать заявление о согласии на обработку персональных данных при трудоустройстве или же отзывает первоначальное соглашение, то работодатель вправе обрабатывать информацию о работнике без его согласия, но при соблюдении требований закона и наличии определенных оснований (п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 152-ФЗ).

В таких случаях работа с персданными допускается, если она необходима для исполнения договора, по которому работник является стороной, выгодоприобретателем или поручителем. Понадобятся сведения и для заключения таких договоров по инициативе сотрудника. Но в такой договор нельзя включать положения с ограничением прав и свобод и положения, которые допускают бездействие сотрудника (п. 5 ч. 1 ст. 6 152-ФЗ).

Такой же позиции придерживается Роскомнадзор в своих разъяснениях. Работа с персданными сотрудника не требует получения соглашения от служащих. Но только при условии, что объем обрабатываемой информации не превышает нужные объемы и соответствует целям обработки, который закреплены в трудовом законодательстве.

Если коллективным договором и правилами внутреннего трудового распорядка предусмотрена работа с личной информацией без согласования со служащими, то работодатель вправе это делать (ст. 372 ТК РФ). А вот сведения, которые по закону относятся к категории специальных персданных, обрабатывать без согласования с сотрудником работодатель не вправе (п. 4 ст. 86 ТК РФ). Исключение — сведения по ТК РФ и другим федеральным законам.

Дополнительно: как разъяснить работнику последствия отказа предоставить персональные данные.

Другие требования к оформлению документов по персданным

Нормами статьи 87 ТК РФ установлено, что все организации самостоятельно определяют порядок хранения и использования сведений, полученных от работников. Аналогичный принцип применим и ко всем остальным операторам. Главное — не нарушать требования, установленные федеральными законами и кодексами.

Прежде чем приступать к действиям с информацией, необходимо утвердить локальный акт по организации: «Положение о персональных данных». В этом документе должны содержаться все основные требования к правилам оформления документации. Положение утверждает руководитель с одобрения профсоюзного органа (при его наличии). В нем прописывают, как выглядит форма согласия на обработку персональных данных и сколько оно хранится.

Когда речь идет о работодателях, важно учесть, что по нормам п. 8 части 1 статьи 86 ТК РФ всех работников и их представителей следует ознакомить с утвержденным положением под подпись. Для этих целей даже заводят специальный журнал. Если положение в организации-операторе отсутствует, то это является грубым нарушением, за которое нормами статьи 13.11 КоАП РФ предусмотрен штраф.

Подробнее: как составить положение о работе с персональными данными.

Какие ошибки допускают операторы при работе с персданными

Роскомнадзор перечислил основные ошибки операторов ПД. К наиболее распространенным нарушениям относят:

1. Отсутствие обязательного письменного согласования с субъектом персданных.
2. Неполный состав обязательных положений в письменном согласовании (ст. 9 152-ФЗ, Приказ РКН № 18).
3. Включение условия о соглашении на распространение в обход требований приказа № 18.
4. Указание несовместимых целей в одном заявлении.
5. Согласование персданных не с самим субъектом, а его неуполномоченным представителем. К примеру, заявку от имени ребенка заполнили не родители, а другие родственники.

За все эти нарушения оператору придется заплатить штраф (п. 2 ст. 13.11 КоАП РФ). Взыскание на юрлиц составляет от 30 000 до 150 000 рублей.