Обработка персональных данных в 2023 году

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу.

Обработка персональных данных – это действие или совокупность действий, которые совершают с персональными данными сотрудника. Например, когда вы собираете и записываете персданные соискателя, чтобы заполнить трудовой договор при трудоустройстве.

Также, если вы владелец интернет-сайта и собираете данные ваших посетителей через специальную форму, то вы тоже занимаетесь обработкой персональных данных.

Напомним, что еще до 1 марта 2023 года работодатели обязаны передавать РКН специальные уведомления об обработке персональных данных. Подробнее см. «Уведомление РКН об обработке персональных данных». 

С 1 марта 2023 года требований к обработке персональных данных становится еще больше. Кроме того, в 2023 году РКН усилит проверки за персональными данным. В частности, начнет проводить “дистанционные” проверки операторов персональных данных.

Уведомление об изменении персональных данных: новый срок

С 1 марта будет больше времени, чтобы известить Роскомнадзор об изменении персональных данных.

Если сведения, которые указали в уведомлении, изменились, об этом нужно сообщить в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения.

До 1 марта такое уведомление направлялось в течение 10 рабочих дней с момента изменений. Уведомление подается по форме из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180.

Уничтожение персональных данных: новые правила

С 1 марта нужно фиксировать факт уничтожения персональных данных актом по новой форме. Раньше оформить акт об уничтожении можно было в свободной форме, а теперь необходимо включить в него 10 обязательных видов данных. Основание: Приказ Роскомнадзора от 28.10.2022 N 179.

С 1 марта 2023 года работодатель должен будет фиксировать факт того, что уничтожил персданные, двумя документами:

• актом об уничтожении персональных данных;
• выгрузкой из журнала регистрации событий в информационной системе персональных данных.

К сведению

Если компания обрабатывает данные вручную для подтверждения будет достаточно акта.

• Обязательные реквизиты акта об уничтожении персональных данных
• 
• Обязательные реквизиты выгрузки
• 

СКАЧАТЬ ОБРАЗЕЦ АКТА ОБ УНИЧТОЖЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ С 01.03.2023

СКАЧАТЬ ОБРАЗЕЦ ВЫГРУЗКИ ИЗ ЖУРНАЛА С 01.03.2023

Оценка степени вреда: новый порядок

С 1 марта 2023 года потребуется оценивать степень вреда, который может возникнуть, если будет нарушен закон о персональных данных. РКН утвердил специальные правила, по которым работодатели должны оценивать вред, который может возникнуть, если будут нарушены правила обработки персданных (приказ Роскомнадзора от 27.10.2022 № 178).

Степени вреда всего 3 (три):

1. высокая;
2. средняя;
3. низкая.

Таблица. Какие персданные к какой степени вреда относятся

Заметим, что отнесения вреда к какой-либо категории, вам потребуется составить специальный акт. Предлагаем ознакомиться с образцом.

СКАЧАТЬ ОБРАЗЕЦ АКТА ОЦЕНКИ ВРЕДА С 01.03.2023

Передача персональных данных за границу

С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.

Заметим, что новшество напрямую касается онлайн-продавцов. Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных.

А вот если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, скорее всего, дадут.

Конвенцию, к примеру, ратифицировали Армения, Азербайджан, Сербия, Турция.

Обратите внимание

https://www.youtube.com/watch?v=ACMSoCdFpdM\u0026pp=ygWjAdCc0L7Qs9GDINC70Lgg0L3QtSDQv9C-0LTQv9C40YHRi9Cy0LDRgtGMINGB0L7Qs9C70LDRiNC10L3QuNC1INC-0LEg0L7QsdGA0LDQsdC-0YLQutC1INC_0LXRgNGB0L7QvdCw0LvRjNC90YvRhSDQtNCw0L3QvdGL0YUg0L_RgNC4INC_0YDQuNC10LzQtSDQvdCwINGA0LDQsdC-0YLRgz8%3D

Уведомление о намерении осуществлять трансграничную передачу можно будет оформить на бумаге или в электронном виде. Подавать его нужно будет отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку персональных данных.

Для подачи сведений на сайте РКН сделали специальный раздел по адресу https://pd.rkn.gov.ru/cross-border-transmission/form/

Ркн ужесточает проверки

Также см. «К кому придут с проверкой в 2023 году».

За нарушение работы с персональными данными в 2023 году Роскомнадзор будет привлекать к ответственности чаще. Причем для этого не всегда потребуется проводить выездные проверки (письмо Роскомнадзора от 31.01.2023 № 09-6488).

Внеплановых проверок будет больше. Правительство расширило список оснований для внеплановых проверок по персональным данным (постановление от 04.02.2023 № 161).

Так, например, по решению главы или замглавы Роскомнадзора в компанию, в том числе аккредитованную IT-организацию, могут прийти с внеплановой проверкой, если выявят факт распространения в интернете баз с персданными.

Наказать могут и без выезда в компанию. В некоторых ситуациях зафиксировать правонарушение в сфере персданных и привлечь к ответственности могут даже без выездных контрольных мероприятий (письмо Роскомнадзора от 31.01.

2023 № 09-6488). Речь идет о нарушениях, которые оговорены в частях 1–2.1 и 4 статьи 13.11 КоАП. Например, к особым нарушениям причислена обработка данных без письменного согласия, а также обработка, не совместимая с целями сбора данных.

РКН уточняет в своих разъяснениях, что по таким нарушениям контролеры могут действовать «бесконтактно» (без взаимодействия с нарушителем). Например, если нарушение обнаружил сам сотрудник Роскомнадзора и у него есть полномочия составлять протокол либо поступило указание от прокуратуры.

Поводом для возбуждения дела могут послужить жалоба, сообщения в СМИ, например, об утечке данных (п. 1–3 ч. 1 ст. 28.1 КоАП).

Образцы документов, которые нельзя игнорировать в 2023 году

Далее приведем образцы некоторых документов по персональным данным, которые могут потребоваться в 2023 году:

Название документа	Ссылка на скачивание
Положение о работе с персональными данными работников	СКАЧАТЬ
Положение о порядке уничтожения персональных данных	СКАЧАТЬ
Приказ о создании комиссии по уничтожению документов с персональными данными	СКАЧАТЬ
Общая форма согласия на передачу и обработку персональных данных	СКАЧАТЬ
Согласие на обработку персональных данных на сайте	СКАЧАТЬ
Обязательство о неразглашении персональных данных	СКАЧАТЬ

Видео по теме

Согласие на обработку персональных данных: формальность или правовая необходимость?

Обратите внимание на дату публикации материала: информация могла устареть из-за изменений в законодательстве или правоприменительной практике.

Закон разрешает обрабатывать персональные данные без нашего согласия, но лишь в некоторых случаях. Если в этом списке вашего случая нет, обращайтесь с жалобой в Роскомнадзор или с иском в суд. А еще с сентября 2021 г.

можно получить бесплатную юридическую помощь в Центре правовой помощи гражданам в цифровой среде

Согласие – лишь одно из правовых оснований для обработки персональных данных (далее – ПД), оно не является единственным. Существуют и иные основания, при наличии которых обработка данных возможна без согласия. Они перечислены в ст. 6 Закона о персональных данных.

Так, при заключении гражданином с организацией – оператором ПД любого договора в своих интересах такая организация вправе обрабатывать его персональные данные. (Напомним: оператором ПД является организация, которая определяет цель обработки персональных данных и их состав, осуществляет обработку данных.

А обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

) Например, если гражданин подписывает кредитный договор с банком, то банк вправе без его согласия обрабатывать персональные данные, необходимые для заключения и исполнения такого договора.

Также организация-оператор может исполнять полномочия и обязанности, возложенные на нее законодательством, без соответствующего согласия. Это является еще одним законным основанием обработки персональных данных без разрешения гражданина.

Итак, вы вправе самостоятельно принимать решение о предоставлении согласия. Оператор не может требовать его подписания в обязательном порядке. Если вы отказались дать согласие, то оператор вправе обрабатывать ваши персональные данные только при наличии иных оснований, определенных в Законе о персональных данных.

(В статье «Персональные данные: ответы на популярные вопросы» вы можете прочитать о том, кто и как вправе получить доступ к персональным данным, в каких случаях не нужно разрешение на их использование и передачу, могут ли не продать товар или не оказать услугу при отказе дать согласие на обработку данных, какие данные собирают владельцы сайтов и как отказаться от рекламной рассылки.)

Форму и содержание согласия определяет оператор ПД, исходя из конкретной ситуации. Он вправе самостоятельно установить цель и способы обработки данных, их объем, срок действия согласия и др. Так, указание паспортных данных и адреса гражданина в согласии не является обязательным.

Однако для некоторых ситуаций законом установлены более строгие требования к оформлению согласия. Например, обработка биометрических персональных данных (отпечатки пальцев, трехмерное изображение и др.) возможна только при наличии согласия гражданина в письменной форме. Такое согласие среди прочего должно содержать реквизиты его паспорта (ч. 4 ст. 9 Закона о персональных данных).

Еще пример: в согласии на обработку персональных данных, которые организация-оператор вправе не только обрабатывать, но и распространять, необходимо указывать контактные данные гражданина, а также иные сведения, перечень которых дан в законодательстве (Приказ Роскомнадзора от 24 февраля 2021 г. № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»).

(О даче согласия на обработку ПД, разрешенных для распространения, читайте в статье «Распространять персональные данные граждан по-старому больше не получится».)

Типичные нарушения прав субъектов ПД законодатель перечислил в ст. 13.11 КоАП РФ и установил за них административную ответственность.

В частности, оператор может быть оштрафован за обработку персональных данных в случаях, которые не предусмотрены законодательством, а также за обработку данных, несовместимую с целью их сбора. При таких нарушениях ему грозит штраф до 100 тыс. руб.

За обработку данных без письменного согласия человека, когда оно необходимо по закону, оператор может быть оштрафован на сумму до 150 тыс. руб.

Если вы считаете, что оператор ПД нарушает ваши права, можно обратиться с жалобой в Роскомнадзор или с иском в суд. В случае установления судом нарушения прав вы сможете рассчитывать на выплату оператором компенсации морального вреда.

Кроме того, с сентября 2021 г. эксперты Центра правовой помощи гражданам в цифровой среде (ЦППГ) бесплатно помогают пострадавшим от незаконного использования персональных данных.

Они занимаются юридическим консультированием, подготовкой жалоб в госорганы, формированием исковых заявлений, представлением потерпевших в судах и др.

Телефон и почту для записи на прием можно найти в разделе «Контакты» на сайте ФГУП «Главный радиочастотный центр», структурным подразделением которого является ЦППГ.

(Как вычислить вину кредитной организации в разглашении персональных данных – читайте в статье «Битва за персональные данные».

В случае если банк незаконно передал информацию о вас другому лицу, чтобы не тратить время на изучение законодательства или деньги на оплату работы юристов, с требованием о защите персональных данных можно обратиться в Роскомнадзор.

Если нарушения будут обнаружены, то составлять исковое заявление, подавать его в суд и отстаивать ваши интересы будет именно Роскомнадзор, а не вы. Читайте об этом в статье «Из банков утекают данные клиентов».)

Роскомнадзор издал приказ1, который позволит ему проверять наличие согласия на обработку персональных данных, разрешенных лицом для их распространения, если поступит жалоба на неправомерные операции с ними. Приказ вступит в силу 1 марта 2022 г.

Операторы ПД будут получать согласия посредством использования информационной системы Роскомнадзора. Граждане смогут предоставить и отозвать согласие на информационном ресурсе оператора с использованием электронной подписи.

После подписания человеком согласия Роскомнадзор получит сведения о даче согласия и целях обработки данных, об информационных ресурсах оператора, посредством которых будут обрабатываться ПД, списки данных, которые разрешено или запрещено обрабатывать, и перечень конкретных запретов.

При этом само согласие и персональные данные не будут переданы Роскомнадзору. Ведомство будет обладать обезличенной информацией о предоставленных и отозванных согласиях.

1 Приказ Роскомнадзора от 21 июня 2021 г. № 106 «Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в том числе порядка взаимодействия субъекта персональных данных с оператором».

Работник не подписывает согласие на обработку персональных данных

Подборка наиболее важных документов по запросу Работник не подписывает согласие на обработку персональных данных (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).

Статьи, комментарии, ответы на вопросы

Зарегистрируйтесь и получите пробный доступ к системе КонсультантПлюс бесплатно на 2 дня

«Обзор судебной практики в сфере закупок по 223-ФЗ (октябрь 2022 года)»(Управление контроля размещения государственного заказа ФАС России)

(Подготовлен для системы КонсультантПлюс, 2022)

Так, Заказчик представил сведения и пояснил, что в ходе проверки сведений, представленных Заявителем в составе заявки, Заказчиком установлено, что согласия на обработку персональных данных, полученные от сотрудников, являются не соответствующими действительности, поскольку, исходя из полученных Заказчиком письменных пояснений вышеперечисленных работников, указанные лица согласия на обработку персональных данных не подписывали, а представленные подписи являются фальсифицированными.

Нормативные акты

Зарегистрируйтесь и получите пробный доступ к системе КонсультантПлюс бесплатно на 2 дня

Решение ФАС России от 29.06.2022 N 223ФЗ-270/22 по делу N 367Нарушение: ч. 6 ст. 3 Закона о закупках.

Решение: Признать жалобу обоснованной; выдать предписание об устранении нарушений; передать материалы дела должностному лицу для решения вопроса о возбуждении дела об административном правонарушении.

При этом в ходе проверки вышеуказанных сведений, Заказчиком установлено, что согласия на обработку персональных данных, полученные от , , , являются не соответствующими действительности, поскольку, исходя из полученных Заказчиком письменных пояснений вышеперечисленных работников, указанные лица согласия на обработку персональных данных не подписывали, а представленные подписи являются фальсифицированными.

Зарегистрируйтесь и получите пробный доступ к системе КонсультантПлюс бесплатно на 2 дня

Решение ФАС России от 29.06.2022 N 223ФЗ-269/22 по делу N 366Нарушение: ч. 6 ст. 3 Закона о закупках.

Решение: Признать жалобу обоснованной; выдать предписание об устранении нарушений; передать материалы дела должностному лицу для решения вопроса о возбуждении дела об административном правонарушении.

При этом в ходе проверки вышеуказанных сведений, Заказчиком установлено, что согласия на обработку персональных данных, полученные от , , , являются не соответствующими действительности, поскольку, исходя из полученных Заказчиком письменных пояснений вышеперечисленных работников, указанные лица согласия на обработку персональных данных не подписывали, а представленные подписи являются фальсифицированными.

Работник не дает согласия на обработку его персональных данных: что может предпринять работодатель? :

• ВОПРОС:
• Если работник не дает согласия на обработку его персональных данных, то какие действия может предпринять работодатель?
• ОТВЕТ и ПРАВОВОЕ ОБОСНОВАНИЕ:

В соответствии с п. 1 ст.

86 ТК РФ работодателю предоставлено право обрабатывать персональные данные работника исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получения образования и продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

В п. 8 ст.

86 ТК РФ указано, что работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса РФ и иных федеральных законов (ст. 87 ТК РФ).

Из положений ст.

88 ТК РФ следует, что при передаче персональных данных работника на работодателя возлагается обязанность не сообщать персональные данные работника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами. Передача персональных данных работника в пределах одной организации может осуществляться в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под подпись.

Согласно ст. 3 Федерального закона от 27 июля 2006 г.

№ 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), является его персональными данными и на нее распространяется режим конфиденциальности (п. 1 указа Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»).

Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Случаи допустимости обработки персональных данных перечислены в ч. 1 ст. 6, ч. 2 ст. 10, ст. 11 Закона № 152-ФЗ.

По общему правилу обработка персональных данных возможна при наличии согласия работника (п. 1 ч. 1 ст. 6, п. 1 ч. 2 ст. 10, ч. 1 ст. 11 Закона № 152-ФЗ).

При этом действующее законодательство не определяет объем конфиденциальной информации, которую можно обрабатывать с согласия субъекта.

Иные основания обработки персональных данных сформулированы исчерпывающим образом и расширительному толкованию не подлежат.

В частности, обработка персональных данных работника будет считаться правомерной, если она осуществляется для достижения целей, предусмотренных законом, осуществления и выполнения возложенных законодательством РФ на работодателя функций, полномочий и обязанностей (п. 2 ч. 1 ст.

6 Закона № 152-ФЗ); если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ); обработка специальных категорий персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством РФ (п. 2.3 ч. 2 ст. 10 Закона № 152-ФЗ). Кроме того, работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися, как правило, приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 ТК РФ (смотрите разъяснения Роскомнадзора от 14 декабря 2012 г. «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Следовательно, если работодатель получает от работника и обрабатывает лишь ту информацию, которая необходима для исполнения трудового договора, трудового и иного законодательства, локальных актов работодателя, получение согласия работника на такие действия не требуется (апелляционное определение СК по гражданским делам Оренбургского областного суда от 21 июня 2017 г.

по делу № 33-4566/2017). При этом обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных, и обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (чч. 2, 5 ст. 5 Закона № 152-ФЗ).

Так, например, отдельные суды признают незаконным хранение работодателем копий документов работников, в частности копии паспорта, копии военного билета, копии свидетельства о рождении ребенка, копии свидетельства о браке и иного, даже при наличии согласия работника на обработку его персональных данных (смотрите, например, постановление Пятнадцатого арбитражного апелляционного суда от 14.03.

2014 № 15АП-22502/13).

Если же обработка персональных данных работника выходит за рамки трудовых и иных тесно связанных с ними отношений, то для каждого случая обработки персональных данных работников необходимо получать от него отдельное письменное согласие. Такого же мнения придерживаются суды (решение Арбитражного суда г. Москвы от 26 апреля 2016 г. по делу № А40-32030/2016). Содержание согласия в этом случае должно соответствовать требованиям положений ч. 4 ст. 9 Закона № 152-ФЗ.

Обратим внимание, что изменения Закона № 152-ФЗ, вступившие в силу с 1 марта 2021 г., касаются исключительно персональных данных, разрешенных субъектом для распространения (п. 1.1 ст. 3 Закона № 152-ФЗ). Они не касаются иных случаев обработки персональных данных. Например, требования ст.

10.1 Закона № 152-ФЗ должны быть соблюдены, если организация размещает на своем официальном сайте в сети Интернет информацию о своих специалистах с указанием их персональных данных, при условии, что законом не предписана обязанность оператора размещать подобную информацию в открытом доступе.

Источник: garant.ru

Скачать ознакомительный номер Купить журнал со статьей

1. ВОПРОС:
2. Если работник не дает согласия на обработку его персональных данных, то какие действия может предпринять работодатель?
3. ОТВЕТ и ПРАВОВОЕ ОБОСНОВАНИЕ:

В соответствии с п. 1 ст. 86 ТК РФ работодателю предоставлено право обрабатывать персональные данные работника исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получения образования и продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. В п. 8 ст. 86 ТК РФ указано, что работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса РФ и иных федеральных законов (ст. 87 ТК РФ). Из положений ст. 88 ТК РФ следует, что при передаче персональных данных работника на работодателя возлагается обязанность не сообщать персональные данные работника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами. Передача персональных данных работника в пределах одной организации может осуществляться в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под подпись. Согласно ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), является его персональными данными и на нее распространяется режим конфиденциальности (п. 1 указа Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»). Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Случаи допустимости обработки персональных данных перечислены в ч. 1 ст. 6, ч. 2 ст. 10, ст. 11 Закона № 152-ФЗ. По общему правилу обработка персональных данных возможна при наличии согласия работника (п. 1 ч. 1 ст. 6, п. 1 ч. 2 ст. 10, ч. 1 ст. 11 Закона № 152-ФЗ). При этом действующее законодательство не определяет объем конфиденциальной информации, которую можно обрабатывать с согласия субъекта. Иные основания обработки персональных данных сформулированы исчерпывающим образом и расширительному толкованию не подлежат. В частности, обработка персональных данных работника будет считаться правомерной, если она осуществляется для достижения целей, предусмотренных законом, осуществления и выполнения возложенных законодательством РФ на работодателя функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ); если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ); обработка специальных категорий персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством РФ (п. 2.3 ч. 2 ст. 10 Закона № 152-ФЗ). Кроме того, работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися, как правило, приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 ТК РФ (смотрите разъяснения Роскомнадзора от 14 декабря 2012 г. «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»). Следовательно, если работодатель получает от работника и обрабатывает лишь ту информацию, которая необходима для исполнения трудового договора, трудового и иного законодательства, локальных актов работодателя, получение согласия работника на такие действия не требуется (апелляционное определение СК по гражданским делам Оренбургского областного суда от 21 июня 2017 г. по делу № 33-4566/2017). При этом обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных, и обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (чч. 2, 5 ст. 5 Закона № 152-ФЗ). Так, например, отдельные суды признают незаконным хранение работодателем копий документов работников, в частности копии паспорта, копии военного билета, копии свидетельства о рождении ребенка, копии свидетельства о браке и иного, даже при наличии согласия работника на обработку его персональных данных (смотрите, например, постановление Пятнадцатого арбитражного апелляционного суда от 14.03.2014 № 15АП-22502/13). Если же обработка персональных данных работника выходит за рамки трудовых и иных тесно связанных с ними отношений, то для каждого случая обработки персональных данных работников необходимо получать от него отдельное письменное согласие. Такого же мнения придерживаются суды (решение Арбитражного суда г. Москвы от 26 апреля 2016 г. по делу № А40-32030/2016). Содержание согласия в этом случае должно соответствовать требованиям положений ч. 4 ст. 9 Закона № 152-ФЗ. Обратим внимание, что изменения Закона № 152-ФЗ, вступившие в силу с 1 марта 2021 г., касаются исключительно персональных данных, разрешенных субъектом для распространения (п. 1.1 ст. 3 Закона № 152-ФЗ). Они не касаются иных случаев обработки персональных данных. Например, требования ст. 10.1 Закона № 152-ФЗ должны быть соблюдены, если организация размещает на своем официальном сайте в сети Интернет информацию о своих специалистах с указанием их персональных данных, при условии, что законом не предписана обязанность оператора размещать подобную информацию в открытом доступе. Источник: garant.ru Скачать ознакомительный номер Купить журнал со статьей

Обработка персональных данных: правила и нюансы оформления

1. Главная →
2. Журнал →
3. Бизнес →
4. Риски

26 сентября 2022 20 147 8

Согласие на обработку персональных данных — письменный или цифровой документ, который подтверждает добровольное решение гражданина передать оператору свою личную информацию для определенных целей. По Закону № 152-ФЗ оператор должен его получать в большинстве случаев. Разбираемся, когда требуется разрешение на обработку ПД, и какие к нему есть требования в 2022 году.

Согласие на обработку персональных данных в 2022 году должно быть конкретным, предметным, информированным, сознательным и однозначным (ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ). Это означает, что в нем есть:

• конкретная цель обработки — например, для оформления трудовых отношений;
• перечень ПД — например, ФИО, дата рождения, сведения об образовании, месте работы, адресе;
• список действий с персональными данными — к примеру, сбор, хранение;
• место и способы обработки ПД — адрес оператора, автоматизированная или неавтоматизированная обработка;
• срок действия согласия;
• наименование, ФИО, адрес лица, которое обрабатывает ПД, если оператор поручает это другому лицу;
• ясно выраженное согласие гражданина — подпись, галочка или другая отметка.

По умолчанию любые действия с личной информацией без согласия субъекта или законных оснований не допускаются (ст. 6, 9 152-ФЗ). При этом на распространение ПД документ оформляют отдельно (ст. 10.1 152-ФЗ).

Согласие получают конкретно для каждой цели. То есть у оператора будет несколько документов. Это следует из части 4 ст. 9 152-ФЗ, где цель указана в единственном числе, а также из требования не хранить в одной базе данных сведения для несовместимых целей (ч. 3 ст. 5 152-ФЗ).

Работать с персональными данными можно только на законных основаниях (ст. 5 152-ФЗ). Обработка без разрешения субъекта допускается в случаях, предусмотренных международными договорами или нормативными правовыми актами (ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 152-ФЗ). Например:

• личная информация обрабатывается при участии физлица в судебном процессе;
• гражданин регистрируется на портале Госуслуг;
• сведения нужны для исполнения условий договора с субъектом ПД;
• специальные персональные данные, например, о состоянии здоровья обрабатываются в соответствии с трудовым, социальным или пенсионным законодательством.

Гражданин имеет право отозвать выданное согласие на обработку ПД в любой момент. В этом случае действия с его личной информацией можно продолжать только при наличии указанных выше правовых оснований. Обязанность доказать законность обработки: предоставить согласие гражданина или отдельную норму права, возложена на оператора (ч. 2 ст. 9 152-ФЗ).

Работодателям стоит помнить, что обработка биометрических персональных данных работников в рамках трудовых отношений возможна только с письменного согласия сотрудника (ст. 11 152-ФЗ). Для специальных и общедоступных ПД оно не нужно. Это значит, что ФИО, сведения об образовании обрабатываются свободно. А вот видеонаблюдение за работником возможно только с его письменного разрешения.

Закон разрешает получить согласие физического лица на обработку его ПД в любом виде. Главное подтвердить, что оно есть и дано именно субъектом персональных данных либо его представителем (ч. 1 ст. 9 152-ФЗ). То есть теоретически согласие можно оформить даже в виде записи на диктофон, если по ней точно идентифицируется личность гражданина.

Если по Закону согласие должно быть оформлено именно в письменном виде — например, на обработку биометрических данных, то электронный документ с электронной подписью (ЭП) признается равнозначным бумажному оригиналу с личной подписью субъекта (ч. 4 ст. 9 152-ФЗ). Главное, чтобы ЭП соответствовала требованиям (Приказ ФСБ России от 27.12.2011 № 796).

Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!

Попробовать

Утвержденного бланка согласия на обработку ПД нет. Общие требования к его содержанию приведены в статье 9 152-ФЗ. 

В интернете доступно много образцов согласия, например, на сайте Управления Роскомнадзора Сибирского ФО. Пользоваться ими нужно аккуратно, с учетом изменений в Законе 152-ФЗ:

• одна цель обработки — одно согласие;
• разрешение на распространение ПД оформляется отдельно.

Лицо, которое обрабатывает ПД по поручению оператора, согласие субъекта не получает (ч. 4 ст. 6 152-ФЗ).

В некоторых случаях оператор раскрывает персональные данные неопределенному кругу лиц. Например, публикует на сайте отзыв клиента, содержащий ФИО, email и другую личную информацию. Или помогает заказчику получить кредит и отправляет от его имени заявку в разные банки и МФО.

Это называется распространением персональных данных, на которое нужно получать отдельное согласие субъекта ПД (ч. 1 ст. 10.1 152-ФЗ). Требования к содержанию такого разрешения определены Роскомнадзором (Приказ от 24.02.2021 № 18).

Сдать всю отчетность через интернет — с подсказками и проверкой на ошибки

Попробовать

 

Согласие на распространение может быть оформлено двумя способами (ч. 6 ст. 10.1 152-ФЗ):

• передано субъектом непосредственно оператору;
• заполнено с использованием информационной системы Роскомнадзора.

В первом случае оператор может получить шаблон документа на сайте Роскомнадзора. Для подготовки разрешения, адаптированного под конкретную деятельность, понадобится подтвержденная учетная запись на портале Госуслуг организации, ИП или физического лица.

На портале Роскомнадзора через ЕСИА формируется запрос. В результате оператор получает доступ к форме согласия на распространение ПД, которую он заполняет с учетом своей специфики. Готовый шаблон можно отправить на проверку в Роскомнадзор и получить его рекомендации.

Форму согласия на распространение ПД можно подготовить с использованием информационного ресурса Роскомнадзора.

Если оператор решит разработать свой бланк, то он должен указать в нем обязательные пункты по Приказу от 24.02.2021 № 18. По каждой категории и перечню ПД у субъекта должна быть возможность выбора одной из трех категорий:

• разрешено;
• запрещено;
• разрешено с условиями — указать условия.

Молчание или бездействие гражданина ни при каких обстоятельствах не считаются согласием на обработку ПД, разрешенных для распространения (ч. 8 ст. 10.1 152-ФЗ).

Оператор обязан в течение трех рабочих дней с даты получения разрешения на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц (ч. 10 ст. 10.1 152-ФЗ). Например, разместить ее на своем сайте.

Эта мера нужна для защиты права субъекта ПД на конфиденциальность. Лица, получающие доступ к его личной информации, должны соблюдать условия и запреты, перечисленные в согласии на распространение.

Инструкция как оформить согласие на обработку персональных данных субъекта

Личную информацию человека можно использовать только после его разрешения. JCat.Работа поможет разобраться, как получить и оформить согласие сотрудников на обработку их персональных данных. 

Чтобы понять, как работать с документом, важно знать, какие данные считаются персональными и, соответственно, требуют особого внимания к ним. 

На законодательном уровне есть несколько определений этого понятия, но конкретного списка нет ни в одном документе. Это одновременно оставляет пространство для объяснения термина и становится причиной разногласий главного кандидата на должность и специалистов кадровой службы.

Какие данные относятся к персональным?

Все правила обращения с личной информацией регулирует Федеральный закон №152-ФЗ «О персональных данных».

Согласно статье 3 этого закона, персональными данными можно назвать любую информацию, которая касается непосредственно физического лица — субъекта этих данных.

К информации личного характера следует отнести все паспортные данные: Ф. И. О., дату и место рождения, возраст, место проживания, семейный статус. 

В этом же законе есть статья 10, которая вносит в список персональной информации подробности о расе, национальности, моральных убеждениях человека, личной жизни, а также сведения о его здоровье. 

В статье 11 понятие «персональные данные» расширяется: под термином понимают любые сведения, фото- или видеоматериалы, по которым можно определить личность человека. 

Чтобы предупредить неправомерные действия, личная информация каждого человека должна надежно сохраняться. Многие люди бережно относятся к сведениям о себе, и это оправдано. Поэтому, согласно действующим законам РФ, нельзя обрабатывать личную информацию без согласия субъекта (в некоторых случаях — письменного).

Как происходит обработка персональных данных?

Понятие «обработка» подразумевает все действия, которые происходят с данными, начиная с момента их сбора. Передача, запись, распределение, хранение, применение, удаление — эти и многие другие действия входят в понятие «обработка персональных данных».

Все в том же законе №152-ФЗ указано, что обработка персональной информации должна происходить с соблюдением основных принципов:

• соблюдение требований актуального законодательства;
• цель обработки необходимо определить и озвучить субъекту заранее;
• собирать и обрабатывать можно только информацию, которая соответствуют указанной цели;
• оператор обязан обеспечить точность данных, предупредить их искажение, а ответственные лица должны периодически следить за актуальностью информации;
• после достижения финальной цели данные нужно уничтожить.

Когда необходимо подписать согласие на обработку данных работника?

Получение согласия на обработку персональных данных необходимо в любом случае, когда заинтересованная сторона планирует собирать личную информацию о будущем сотруднике.

Субъект должен подтвердить, что он не против, чтобы с этой информацией проводили определенные манипуляции и использовали ее в конкретных целях. Чаще всего в рамках организации речь идет о трудоустройстве на работу.

Письменное согласие заявителя на обработку персональных данных — обязательный атрибут комплекта документов будущего сотрудника.

Что делать, если работник отказывается подписывать документ?

Предоставление согласия на обработку персональных данных должно быть абсолютно добровольным. Это означает, что у работодателя нет права заставить человека подписать документ.

В практике сотрудников кадровой службы могут встретиться люди, которые будут настороженно относиться к документу или даже откажутся его подписывать.

Но отказ будущего работника подписывать соглашение в большинстве случаев связан с непониманием цели обработки его данных. 

В таком случае важно объяснить человеку, что его личную информацию, согласно закону, будут использовать исключительно в служебных целях.

Кроме того, этот документ создан для того, чтобы защищать права субъекта персональных данных. Это тоже важно донести до потенциального работника.

Если на момент подписания согласия трудовой договор между работодателем и будущим работником еще не подписан, это может повлечь за собой потерю рабочего места. 

В каких случаях не нужно оформлять согласие?

Сотрудник может не подписывать документ только в том случае, если он уже работает в компании. Тогда обработка его данных возможна, но только в целях выполнения условий трудового договора. 

В некоторых случаях прибегают к обработке, в частности, к передаче данных без согласия субъекта. Например, если эти действия нужны для предотвращения угрозы здоровью или жизни сотрудника, или их передают по требованию уполномоченных органов, в его разрешении нет необходимости.

Как уведомить Роскомнадзор?

О намерении произвести обработку персональных данных нужно уведомить Роскомнадзор. Этот уполномоченный орган защищает права их владельцев. 

Чтобы подать уведомление в Федеральную службу, специальную электронную форму необходимо заполнить и отправить любым удобным способом из указанных на портале Роскомнадзора.

После отправки документа в информационную систему службы его нужно напечатать на фирменном бланке организации, затем внимательно заполнить и направить в Управление Роскомнадзора по Центральному федеральному округу. В течение 15 дней после этого сотрудники органа озвучат решение о включении оператора в соответствующий реестр. 

Ответственность за несоблюдение условий соглашения

В тексте согласия точно указывается цель обработки личных данных. «Отклоняться» от нее запрещено. В случае, если работодатель превысит свои полномочия, его может ожидать дисциплинарная, административная и даже уголовная ответственность.

Чтобы защитить свои интересы, будущий сотрудник может воспользоваться услугами юриста, прежде чем подписать форму соглашения.

Специалист поможет проанализировать правомерность действий работодателя, правильность составления согласия и объем данных, которые нужно предоставить сотруднику при поступлении на работу.

Например, информация о состоянии здоровья и пребывании в местах лишения свободы нужна только для определенного ряда специальностей. 

Образец заполнения бланка

Согласие на обработку персональных данных — это документ свободной формы, поэтому в каждой организации разрабатывают подходящий вариант шаблона. Но условия согласия на обработку персональных данных говорят о том, что в документе обязательно должна быть такая информация:

• наименование компании;
• место и дата оформления документа;
• Ф. И. О., паспортные данные субъекта;
• Ф. И. О. человека, который представляет интересы компании;
• Ф. И. О. и должность сотрудника, который будет производить обработку данных;
• объяснение цели работы с предоставленными данными;
• перечисление конкретных сведений о работнике, которые будут обрабатывать;
• срок, в течение которого документ считается актуальным;
• способ отказа от согласия;
• подпись сотрудника.

В документе обязательно должно быть указано, что он подписан добровольно. Это подтверждает подпись будущего сотрудника. 

Работодатель может найти на просторах интернета готовый бланк согласия и адаптировать его под свою организацию (рис. 1).