Согласие на обработку персональных данных работника дает право на использование оператором личных сведений о гражданине. Эту информацию охраняет законодательство. В некоторых случаях об обработке данных необходимо уведомить Роскомнадзор.
Навигация
Что такое персональные данные
Понятие персональных данных и обращение с ними регулирует Федеральный закон № 152-ФЗ от 27.07.2006. В соответствии с этим документом под личными данными граждан, охраняемыми законодательством, следует понимать любую информацию, которая прямо или косвенно относится непосредственно к их субъекту (то есть физическому лицу). Такая информация позволяет однозначно определить, о каком человеке идет речь. Но человек — полновластный хозяин своих данных, и если им не предоставлено подписанное согласие на обработку персональных данных, то ни одна организация не вправе ими распоряжаться.
Конкретные указания на то, какая информация о человеке является его индивидуальными и охраняемыми данными, в законодательстве отсутствуют. По сложившейся практике это:
- фамилия, имя, отчество;
- дата и место рождения;
- адрес проживания (место регистрации);
- семейное, социальное и имущественное положение;
- образование, профессия;
- доходы, имущество и обязательства.
Обычно такие сведения человек сообщает о себе сам во многих государственных органах, медицинских и образовательных учреждениях, кредитных организациях и даже в коммерческих структурах (при трудоустройстве). Кроме вышеперечисленных сведений, которые являются общими, есть еще специальные личные данные, такие как национальность, вероисповедание, политические взгляды, состояние здоровья и прочая информация подобного рода.
Специально для кадровиков эксперты КонсультантПлюс разработали подробный путеводитель по персданным сотрудников. Разобрали, что к ним относится, как их обрабатывать, какие документы нужно получить от работников и т. д. Все актуально на 2024 год. Используйте эти инструкции бесплатно.
Кто такие операторы персданных, и что они делают
В статье 3 закона № 152-ФЗ сказано, что оператором ПД является лицо, которое организует и осуществляет обработку персональных данных. Все работодатели, как юрлица, так и ИП, являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус, практически не ограничен. Это любое лицо, которому человек подал заявление и согласие на ОПД, то есть доверил личную информацию о себе оператору и разрешил ее использовать для определенных целей.
Зачем получают письменное согласие на обработку персданных
В 152-ФЗ разъясняется, что такое согласие на обработку персональных данных — это письменный документ, в котором человек соглашается на сбор и анализ личной информации о нем. Чаще всего личную информацию запрашивают работодатели — о своих работникам или соискателях на должность. Работодатели получают и обрабатывают сведения из документов, которые предъявляют при устройстве на работу (ст. 65 ТК РФ):
- паспорта;
- трудовой книжки;
- СНИЛС;
- диплома и других документов об образовании;
- военного билета и документов воинского учета;
- справок и других подтверждающих документов.
Чтобы обрабатывать всю эту информацию, работодателю необходимо сначала получить письменное согласие от работника (п. 1 ст. 9 152-ФЗ). Но такое согласование добровольно: заставить работника подписывать документы нельзя. Кроме того, сотрудник вправе отозвать подписанное согласование.
Как составить согласие на обработку персональных данных
Требования к письменному согласию, которое дает владелец личной информации, определены в части 1 статьи 9 закона № 152-ФЗ. Они изменились с 01.09.2022. Главное требование — конкретика, информативность и обязательное оформление в письменной форме. Также допускается электронная форма, если взаимодействие владельца и оператора происходит через интернет. В любом случае у оператора должна иметься возможность в любой момент подтвердить факт получения.
Вот так выглядит стандартная форма согласия, которую применяют в различных ситуациях:
И хотя в самом законе об утвержденной и регламентированной форме этого документа речи не идет, по нормам статьи 13.11 КоАП РФ наказание положено, если оператор начал обработку без письменного разрешения субъекта ПД. Его следует получить по законодательству РФ с соблюдением всех требований от владельца ПД. Разрешение оптом и «по умолчанию» больше не допускается ни в каких ситуациях.
По этой причине рекомендуется сразу оформить заявление о согласии на все манипуляции с ПД и больше не переживать по этому поводу. Универсальный бланк не предусмотрен: каждый оператор разрабатывает его самостоятельно.
Приведем пример согласия на обработку персональных данных, которое оформляют при трудоустройстве:
Произвольная форма заявления не исключает целого ряда требований, установленных в статье 9 закона № 152-ФЗ к его содержанию. В нем обязательно указываются:
- фамилия, имя и отчество лица, его адрес, полные реквизиты документа, удостоверяющего его личность (аналогичные требования к представителям гражданина);
- наименование или ФИО и адрес оператора;
- цель получения личной информации;
- перечень данных, которые подлежат обработке;
- данные организации или ИП, которым оператор перепоручил любые манипуляции с данными;
- перечень действий с информацией о человеке, на совершение которых он дал свое согласие, общее описание способов ее хранения и использования;
- срок, в течение которого действует согласие, и способ его отзыва;
- личная подпись гражданина.
Как действовать работодателю, если сотрудник не подписывает согласие на обработку персданных
Если работник отказывается писать заявление о согласии на обработку персональных данных при трудоустройстве или же отзывает первоначальное соглашение, то работодатель вправе обрабатывать информацию о работнике без его согласия, но при соблюдении требований закона и наличии определенных оснований (п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 152-ФЗ).
В таких случаях работа с персданными допускается, если она необходима для исполнения договора, по которому работник является стороной, выгодоприобретателем или поручителем. Понадобятся сведения и для заключения таких договоров по инициативе сотрудника. Но в такой договор нельзя включать положения с ограничением прав и свобод и положения, которые допускают бездействие сотрудника (п. 5 ч. 1 ст. 6 152-ФЗ).
Такой же позиции придерживается Роскомнадзор в своих разъяснениях. Работа с персданными сотрудника не требует получения соглашения от служащих. Но только при условии, что объем обрабатываемой информации не превышает нужные объемы и соответствует целям обработки, который закреплены в трудовом законодательстве.
Если коллективным договором и правилами внутреннего трудового распорядка предусмотрена работа с личной информацией без согласования со служащими, то работодатель вправе это делать (ст. 372 ТК РФ). А вот сведения, которые по закону относятся к категории специальных персданных, обрабатывать без согласования с сотрудником работодатель не вправе (п. 4 ст. 86 ТК РФ). Исключение — сведения по ТК РФ и другим федеральным законам.
Дополнительно: как разъяснить работнику последствия отказа предоставить персональные данные.
Другие требования к оформлению документов по персданным
Нормами статьи 87 ТК РФ установлено, что все организации самостоятельно определяют порядок хранения и использования сведений, полученных от работников. Аналогичный принцип применим и ко всем остальным операторам. Главное — не нарушать требования, установленные федеральными законами и кодексами.
Прежде чем приступать к действиям с информацией, необходимо утвердить локальный акт по организации: «Положение о персональных данных». В этом документе должны содержаться все основные требования к правилам оформления документации. Положение утверждает руководитель с одобрения профсоюзного органа (при его наличии). В нем прописывают, как выглядит форма согласия на обработку персональных данных и сколько оно хранится.
Когда речь идет о работодателях, важно учесть, что по нормам п. 8 части 1 статьи 86 ТК РФ всех работников и их представителей следует ознакомить с утвержденным положением под подпись. Для этих целей даже заводят специальный журнал. Если положение в организации-операторе отсутствует, то это является грубым нарушением, за которое нормами статьи 13.11 КоАП РФ предусмотрен штраф.
Подробнее: как составить положение о работе с персональными данными.
Какие ошибки допускают операторы при работе с персданными
Роскомнадзор перечислил основные ошибки операторов ПД. К наиболее распространенным нарушениям относят:
- Отсутствие обязательного письменного согласования с субъектом персданных.
- Неполный состав обязательных положений в письменном согласовании (ст. 9 152-ФЗ, Приказ РКН № 18).
- Включение условия о соглашении на распространение в обход требований приказа № 18.
- Указание несовместимых целей в одном заявлении.
- Согласование персданных не с самим субъектом, а его неуполномоченным представителем. К примеру, заявку от имени ребенка заполнили не родители, а другие родственники.
За все эти нарушения оператору придется заплатить штраф (п. 2 ст. 13.11 КоАП РФ). Взыскание на юрлиц составляет от 30 000 до 150 000 рублей.
Вам в помощь образцы, бланки для скачивания
Федеральный закон от 27.07.2006 N 152-ФЗ
Приказ Роскомнадзора от 24.02.2021 N 18
Статья 13.11 КОАП РФ. Нарушение законодательства Российской Федерации в области персональных данных
Статья 65 ТК РФ. Документы, предъявляемые при заключении трудового договора
Статья 86 ТК РФ. Общие требования при обработке персональных данных работника и гарантии их защиты