Пример письменного согласия на обработку персональных данных. Правильно ли сформулирован текст для анкеты и интернета, касаемо рассылки и обработки персональных данных? Кто имеет право обрабатывать сведения о лице

К персональным данным закон относит всякую информацию, которая прямо или косвенно относится определяемому лицу. Но – нужно выяснять в каждом отдельном случае.

Так, чаще всего, сочетание имени, фамилии, отчества, физического адреса, электронной почты, номера телефона, даты или места рождения, изображения или фото человека, информация о его профессиональной деятельности, уровне зарплаты, даты и места рождения, а также семейном положении дают не только исчерпывающие сведения о человеке, но и делают его уязвимым.

Нужно задаться вопросом: можно ли по собранной информации определить личность? Если ответ положительный, то владелец сайта, требующий эти сведения, уже является оператором. И не важно, в какой форме происходит запрос – обратная связь, регистрация, размещение объявлений.

Важно! Одного имени для наступления юридической ответственности мало. Номер телефона тоже может быть запрошен анонимно. Но сведения, в сумме дающие конкретное представление о человеке, могут считаться персональными данными.

Например, просто имя или электронная почта не учитываются, а соединение этих сведений уже дает представление о человеке и, значит, обязывает соблюдать закон.

Предписывает операторам уведомить уполномоченный орган, а именно – Роскомнадзор. И сделать это нужно до того, как заработала непосредственно форма сбора.

Условия сбора

Самое важное, что необходимо указать при сборе данных – это цель. Клиенту необходимо сообщить, зачем собирается информация. Цели сбора нужно обозначить в форме письменного . Следует указать тех, кто будет пользоваться полученной информацией, и объяснить гражданину его права.

По запросу клиента (покупателя, работника и пр.) необходимо сообщить следующее:

• уточнить, что факт обработки состоялся;
• указать, где располагается оператор, дать информацию о тех, кто имеет доступ к полученным сведениям или которым в будущем они могут быть открыты на основании договора с оператором или на основании закона;
• указать срок обработки;
• сообщить сведения о случившейся или возможной трансграничной передаче данных.

Состав сведений

Самое важное, что следует учитывать при обработке: полученная информация должна отвечать целям сбора. Не разрешается обрабатывать избыточный объем. Если интернет-магазин продает одежду, он может запросить и обработать данные о маркетинговой активности покупателя, о его вкусах и выборе, но сведения о наличии недвижимости или брака будут лишними.

Важно собрать точные, достоверные и актуальные (по отношению к заявленным целям) сведения. Иначе совершение покупки или другого юридического действия станет невозможно.

Справка. За обработку персональных данных без письменного согласия человека, когда это необходимо, и за за обработку данных с нарушением требований к составу сведений, включаемых в такое согласие, предусмотрены штрафы:

• на граждан – от 3000 до 5000 руб.;
• на должностных лиц – от 10 000 до 20 000 руб.;
• на юридических лиц – от 15 000 до 75 000 руб.

Размещение

Закон «О персональных данных» предписывает российским и иностранным компаниям хранить персональные данные россиян на территории РФ. осуществляется в любой форме, например, в бумажной. В том случае, если в России содержит одинаковый или больший объем персональных данных, то их обработка может проходить за рубежом. Использоваться собранные сведения могут ТОЛЬКО в тех целях, для которых они были взяты.

Если информацию от покупателя получил интернет-магазин по аренде квартир, то эти данные человека не могут быть использованы на сайте по продаже горящих путевок. Это уже будет являться нарушением, за которое предусмотрены штрафы. То же самое правило относится и к : хранить персональные данные на сайте можно только на протяжении того срока, которого требует цель сбора.

По достижении результата (или в случае утраты необходимости достижения цели) данные надлежит уничтожить или обезличить. Например, при закрытии сайта с объявлениями сведения о его клиентах должны быть утилизированы. Закон предусматривает возможность для гражданина пожаловаться на неправомерное использование его данных.

Хозяин сайта обязан заблокировать персональные данные обратившегося и проверить, как это произошло. Неточность предоставленных сведений может стать поводом для блокировки.

В случае нарушения порядка сбора, хранения, использования или распространения информации о гражданах предусмотрено предупреждение или административный штраф.

Разглашение

За незаконное разглашение персональных данных в России с 2017 года ужесточили законодательство, и теперь за такое нарушение предусмотрена и административная, и уголовная ответственность.

Если персональные данные были случайно или умышленно разглашены, или случилась ошибка при обеспечении безопасности персональных сведений и закрытой информации, то придется выплатить до 2000 рублей для физических лиц, до 10000 для должностных лиц и до 50000 рублей – для организаций.

Если незаконно (без предварительного согласия) были собраны и распространены (например, опубликованы на сайте или в СМИ) сведения о частной жизни человека, и они признаны личной или семейной тайной, предусмотрен либо штраф в размере 200 тысяч рублей, либо исправительные работы или арест.

Порядок действий

Если владелец сайта является оператором персональных данных, то необходимо предпринять следующие действия:

1. До начала сбора и обработки данных уведомить Роскомнадзор о своих намерениях. Информация о компании будет внесена в соответствующий реестр.
2. Запрашивать и иметь письменное согласие с посетителей сайта.
3. Сообщить о политике ресурса в отношении личных сведений граждан.
4. Следить за целевым использованием информации.
5. Если от клиента (подписчика, покупателя) поступил запрос о том, какие данные получены и для чего они обрабатываются, необходимо дать ответ.
6. Нести ответственность за хранение сведений, обезопасить их от утечки.

Необходимые документы и общие положения

Необходимо составить и опубликовать документы, которые помогут заключать договор с клиентом. Это могут быть пользовательские соглашения, правила продажи, уведомления, политика конфиденциальности. Они должны быть доступны на всех страницах сайта. На сайте нужно утвердить политику в отношении обработки персональных данных и сделать ее общедоступной, то есть затвердить в положении. В документе следует указать:

В документ необходимо внести :

1. ФИО человека, дающего личную информацию;
2. адрес;
3. номер, серия паспорта/другого документа, удостоверяющего личность;
4. цель запроса персональной информации;
5. перечисление данных, которые будут обработаны;
6. сведения о компании или ИП, которые по поручению оператора будут работать с данными;
7. перечисление того, чему подвергнутся персональные данные, а также опись способов использования и хранения;
8. продолжительность периода согласия на обработку;
9. способ для клиента отозвать согласие;
10. подпись заявителя.

Всю вышеперечисленную информацию подает и законный представитель, если именно он действует от лица гражданина.ч.1 персональные данные и поставить свое согласие под документом (например, галочку в форме регистрации «даю согласие»).

Ужесточение закона в 2017 году уже привело к увеличению числа дел, связанных с незаконным сбором, хранением и разглашением персональных данных. Поэтому, даже если кажется, что сайт собирает минимальное число сведений, лучше перестраховаться и совершить все нужные действия для законной работы с персональными данными. Это не только поможет избежать штрафов, но и упрочит репутацию компании.

Как составить согласие на обработку персональных данных, смотрите в нашем видео:

Для чего нужно письменное согласие работника на обработку его данных

Получение письменного согласия человека на обработку его персональных данных становится необходимо юридическому или физлицу, которое получает доступ к этим данным. Основные вопросы, связанные с персональными сведениями о человеке, регулируются законом «О персональных данных» от 27.07.2006 № 152-ФЗ. В их число входит:

• определение круга сведений, являющихся персональными;
• установление условий обработки, хранения и уничтожения данных их получателем;
• описание ситуаций, как требующих, так и не требующих согласия лица на обработку сведений о нем;
• перечисление прав носителя персональных данных на ознакомление с результатами их обработки;
• определение ответственности лиц, разгласивших персональную информацию.

Наиболее частым случаем получения и обработки персональной информации о человеке является сбор и анализ работодателем сведений о своем работнике (уже работающем или вновь принимаемом на работу).

Помимо общедоступных сведений, к которым закон № 152-ФЗ относит данные о Ф. И. О., принадлежности к определенному полу, дате рождения, работодателю оказывается нужна и иная информация, содержащаяся в документах, предъявляемых при трудоустройстве (ст. 65 ТК РФ):

• в удостоверении личности (паспорте);
• трудовой книжке;
• свидетельстве ПФР;
• документах об обучении;
• документах воинского учета;
• дополнительных справках (в частности, об отсутствии судимости) или документах, наличие которых является условием приема на определенную работу.

Сбор и обработка таких данных требуют от работодателя получения предварительного письменного согласия работника на эти действия (п. 1 ст. 9 закона № 152-ФЗ). Согласие является добровольным и может быть отозвано работником.

О том, что еще понадобится сделать при заключении трудового договора, читайте в статье «Порядок заключения трудового договора (нюансы)» .

Об ответственности за разглашение персональных данных читайте .

Что входит в содержание заявления о согласии

Перечень основных моментов, которые должны быть отражены в документе, закрепляющем согласие на обработку персональных данных, содержится в п. 4 ст. 9 закона № 152-ФЗ. Это:

• информация о лице, разрешающем обработку данных (Ф. И. О., данные паспорта), или его представителе (для него дополнительно понадобится документ, удостоверяющий его полномочия);
• данные о получателе персональной информации (наименование или Ф. И. О., адрес);
• определение цели, с которой предоставляются данные;
• перечень сведений, которые подлежат обработке;
• способы обработки данных, в т. ч. указание на иное лицо, которое будет выполнять обработку, если есть намерение привлечь его к этому;
• срок действия согласия или способ его отзыва;
• собственноручная подпись лица, дающего разрешение.

ВНИМАНИЕ! В заявлении о согласии на обработку персональных данных желательно указывать 1 цель, для которой собираются сведения. Сейчас нет прямого запрета включать в одно согласие несколько целей обработки персональных данных. Вместе с тем есть риск, что Роскомнадзор и затем суд сочтут это нарушением (постановление 9 арбитражного апелляционного суда от 16.08.2016 №09АП-30182/2016-АК). Но Минкомсвязь подготовил проект , согласно которому, в одно заявление можно будет включать несколько целей.

Об основных принципах оформления документа, удостоверяющего полномочия представителя, читайте в статье «Доверенность на получение заработной платы - образец» .

Документ о согласии 2020 года: форма и образец

Бланк согласия на обработку персональных данных не имеет законодательно утвержденной формы. При его оформлении нужно только соблюсти обязательность включения в него сведений, предусмотренных п. 4 ст. 9 закона № 152-ФЗ. Каждый получатель персональной информации может разработать форму согласия самостоятельно, отразив в ней необходимый ему перечень сведений и особенности их обработки.

С 1 из образцов согласия на обработку персональных данных можно ознакомиться на нашем сайте.

Итоги

Согласно действующему законодательству обработка большей части персональных данных о человеке должна осуществляться с его письменного согласия. Определенной формы у документа, содержащего такое согласие, не имеется, однако установлен перечень обязательной информации, которая должна быть включена в него. Итоговый перечень необходимых персональных данных разрабатывает получатель этих сведений.

Согласие на обработку персональных данных - это документ, который дает право на использование паспортных данных, адреса, даты рождения и даже фамилии, имени и отчества гражданина. Это сведения, которые особо охраняет законодательство. Лица, которые по тем или иным причинам получают, обрабатывают, передают или хранят такую информацию, являются операторами и обязательно должны получить одобрение любых манипуляций с ней.

Понятие персональных данных и обращение с ними регулирует Федеральный закон от 27.07.2006 № 152-ФЗ в редакции от 22.02.2017. В соответствии с этим документом, под личными данными граждан, охраняемыми законодательством, следует понимать любую информацию, которая прямо или косвенно относится непосредственно к их субъекту (то есть физическому лицу). Такая информация позволяет однозначно определить, о каком человеке идет речь. Но человек — полновластный хозяин своих данных, и если форма согласия на обработку персональных данных им не заполнена и не предоставлена, ни одна организация не вправе ими распоряжаться.

Что является личной информацией граждан

Конкретные указания на то, какая информация о человеке является его индивидуальными и охраняемыми данными, в законодательстве отсутствуют. По сложившейся практике, под ней обычно скрывается:

• фамилия, имя, отчество;
• дата и место рождения;
• адрес проживания (место регистрации);
• семейное, социальное и имущественное положение;
• образование, профессия;
• доходы, имущество и обязательства.

Обычно такие сведения человек сообщает о себе сам во многих государственных органах, медицинских и образовательных учреждениях, кредитных организациях и даже в коммерческих структурах (при трудоустройстве). Кроме вышеперечисленных сведений, которые являются общими, есть еще специальные личные данные, такие как национальность, вероисповедание, политические взгляды, состояние здоровья и прочая информация подобного рода.

В каких документах содержится

Существует целый ряд документов, которые по своей сути являются источниками и одновременно хранилищами личной информации. К ним, в частности, относятся:

• паспорт гражданина (внутренний и заграничный);
• другие документы, удостоверяющие личность;
• трудовая книжка;
• военный билет;
• свидетельство о рождении;
• документы об образовании;
• документы о составе семьи;
• справки о доходах;
• анкеты, заполняемые при трудоустройстве;
• автобиография;
• характеристики;
• личные карточки работников (форма Т-2);
• другие документы.

Очевидно, что большинство этих документов в подлинниках или копиях хранят работодатели граждан. Они и все остальные лица, к которым попадает такая информация, являются операторами персональных данных.

Кто такие операторы и что они делают

В статье 3 закона № 152-ФЗ сказано, что оператором является лицо, которое организует и осуществляет обработку персональных данных. Все работодатели, как юрлица, так и ИП, являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус, практически не ограничен. Это любое лицо, которому человек доверил информацию о себе, подписав согласие на обработку персональных данных на сайте или в бумажном варианте. Отдельное внимание уделим понятию обработки личной информации. О ней везде говорят, но никто толком не знает, что это такое. Тогда как часть 3 все той же статьи 3 закона № 152-ФЗ регламентирует это понятие как любое действие (или их совокупность), совершаемое с личной информацией. Под действиями законодатели понимают:

• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление или уничтожение данных.

Все операции проходят или в бумажном ручном режиме, или с использованием средств автоматизации, в том числе в режиме онлайн. На все эти действия оператор обязан получить от владельца одобрение: например, заполненный бланк согласия на обработку персональных данных для родителей (в детском саду или школе).

Деятельность работодателей в качестве операторов регулирует статья 86 Трудового кодекса РФ.

Требования к оформлению документов

Определимся с общими требованиями к оформлению бумаг, которые подтверждают одобрение гражданина на действия с его личными данными. Необходимо учитывать, что форма для организаций и учреждений немного отличается от того, как выглядит заявление о согласии на обработку персональных данных (его берет с каждого нового сотрудника работодатель).

Нормами статьи 87 ТК РФ установлено, что все организации самостоятельно определяют порядок хранения и использования сведений, полученных от работников. Аналогичный принцип применим и ко всем остальным операторам. Главное — не нарушать требования, установленные федеральными законами и кодексами. Прежде чем приступать к действиям с информацией, необходимо утвердить локальный акт по организации «Положение о персональных данных». В этом документе должны содержаться все основные требования к правилам оформления документации. Положение утверждает руководитель с одобрения профсоюзного органа (при его наличии).

Когда речь идет о работодателях, важно учесть, что по нормам п. 8 части 1 статьи 86 ТК РФ, всех работников и их представителей следует ознакомить с утвержденным положением под подпись. Для этих целей даже заводят специальный журнал. Если положение в организации-операторе отсутствует, это является грубым нарушением, за которое нормами статьи 13.11 КоАП РФ предусмотрен штраф.

Как заполнить заявление

Требования к согласию, которое дает владелец личной информации, определены в части 1 статьи 9 закона № 152-ФЗ. Главное требование — конкретика, информативность и обязательное оформление в письменной форме. Также допускается электронная форма, если взаимодействие владельца и оператора происходит через интернет. В любом случае у оператора должна иметься возможность в любой момент подтвердить факт получения.

И хотя в самом законе о письменной форме этого документа речи не идет, по нормам статьи 13.11 КоАП РФ, наказание положено, если оператор начал обработку без письменного согласия субъекта персональных данных. Такое согласие следует получить по законодательству РФ, если эти действия не содержат уголовно наказуемого деяния.

По этой причине рекомендуется сразу оформить заявление о согласии на все манипуляции с персональными данными и больше не переживать по этому поводу. Универсальный бланк согласия на обработку персональных данных 2019 года не предусмотрен: каждый оператор разрабатывает его самостоятельно. Для удобства рекомендуем воспользоваться образцами в конце статьи.

Рассмотрим на примере, как заполняется согласие на обработку персональных данных: бланк для работников коммерческого учреждения.

Произвольная форма согласия или заявления не исключает целого ряда требований, установленных в статье 9 закона № 152-ФЗ к его содержанию. В нем обязательно указываются:

1. Фамилия, имя и отчество лица, его адрес, полные реквизиты документа, удостоверяющего его личность (аналогичные требования к представителям гражданина).
2. Наименование или Ф.И.О. и адрес оператора.
3. Цель получения личной информации.
4. Перечень данных, которые подлежат обработке.
5. Данные организации или ИП, которым оператор перепоручил любые манипуляции с данными.
6. Перечень действий с информацией о человеке, на совершение которых он дал свое согласие, общее описание способов ее хранения и использования.
7. Срок, в течение которого действует согласие, и способ его отзыва.
8. Личная подпись гражданина.

В нашем образовательном учреждении отсутствуют согласия работников на обработку персональных данных. Некоторые сотрудники работают по несколько лет. Как лучше оформить согласия на обработку персональных данных: 1. Отдельным документом на каждого работника? 2. Одним документом, но с листом ознакомления для всех работников? 3. Дополнительным соглашением к трудовому договору?

Ответ

В силу ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О защите персональных данных" (далее - Закон N 152-ФЗ) под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы. На основании п. 1 ст. 6 вышеуказанного Закона обработка персональных данных может осуществляться только с согласия их субъекта.

Данное согласие должно быть оформлено в письменной форме и содержать в себе следующую информацию:

подпись сотрудника.

Данное согласие должно быть оформлено отдельным документом на каждого работника.

Образец согласия приведен ниже, в подборке материалов Системы.

В части трудовых договоров:

В трудовые договоры работников, имеющих доступ к персональным данным работников (кадры, бухгалтерия, учебная часть и тп.) нужно внести условие о неразглашении таких данных работников.

В трудовые договоры других работников можно внести согласие на обработку их персональных данных, но простого письменного информированного согласия на обработку таких данных также достаточно.

Подробнее в материалах Системы:

Форма: Согласие сотрудника на обработку персональных данных

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Настоящим я, Кондратьев Александр Сергеевич, представляю Работодателю (оператору) «Альфа» (ОГРН 1234567890123, ИНН 7708123456), зарегистрированному по адресу: 125008, г. Москва, ул. Михалковская, д. 20, свои персональные данные в целях обеспечения соблюдения трудового законодательства и иных нормативно-правовых актов при содействии в трудоустройстве, обучении и продвижении по работе, обеспечения личной моей безопасности, текущей трудовой деятельности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Моими персональными данными является любая информация, относящаяся ко мне как к физическому лицу (субъекту персональных данных), указанная в трудовом договоре, личной карточке работника (унифицированная форма Т-2), трудовой книжке и полученная в течение срока действия настоящего трудового договора, в том числе: мои фамилия, имя, отчество, год, месяц, дата и место рождения, гражданство, документы, удостоверяющие личность, идентификационный номер налогоплательщика, номер страхового свидетельства государственного пенсионного страхования, адреса фактического места проживания и регистрации по местожительству, почтовые и электронные адреса, номера телефонов,

фотографии, сведения об образовании, профессии, специальности и квалификации, семейном положении и составе семьи, сведения об имущественном положении, доходах, задолженности, занимаемых ранее должностях и стаже работы, воинской обязанности; сведения о трудовом договоре и его исполнении (занимаемые должности, существенные условия труда, сведения об

аттестации, повышении квалификации и профессиональной переподготовке, поощрениях и

наказаниях, видах и периодах отпуска, временной нетрудоспособности, социальных льготах,
командировании, рабочем времени и пр.), а также о других договорах (индивидуальной,
коллективной материальной ответственности, ученических, оказания услуг и т. п.), заключаемых
при исполнении трудового договора.

Своей волей и в своих интересах выражаю согласие на осуществление Работодателем
(оператором) любых действий в отношении моих персональных данных, которые необходимы
или желаемы для достижения указанных целей, в том числе выражаю согласие на обработку без
ограничения моих персональных данных, включая сбор, систематизацию, накопление, хранение,
уточнение (обновление, изменение), использование, распространение (в т. ч. передачу),
обезличивание, блокирование, уничтожение персональных данных при автоматизированной и
без использования средств автоматизации обработке; запись на электронные носители и их
хранение; передачу Работодателем (оператором) по своему усмотрению данных и
соответствующих документов, содержащих персональные данные, третьим лицам, включая
банки, налоговые органы, в отделения пенсионного фонда, фонда социального страхования,
фонда обязательного медицинского страхования, уполномоченным агентам и организациям;
хранение моих персональных данных в течение 75 лет, содержащихся в документах,
образующихся в деятельности Работодателя (оператора), согласно части 1 статьи 17 Закона от
22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации», а также при
осуществлении любых иных действий с моими персональными данными, указанными в
трудовом договоре и полученными в течение срока действия трудового договора, в соответствии
с требованиями действующего законодательства РФ и Закона от 27 июля 2006 г. № 152-ФЗ «О
персональных данных».

Настоящее согласие на обработку персональных данных действует с момента представления
бессрочно и может быть отозвано мной при представлении Работодателю (оператору) заявления
в простой письменной форме в соответствии с требованиями законодательства Российской
Федерации.

Организация не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника (например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п.). Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в части 1 статьи 86 Трудового кодекса РФ и Закона от 27 июля 2006 г. № 152-ФЗ.

Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия на то сотрудника ().

Согласие сотрудника на обработку персональных данных

По ходу деятельности у работодателя возникает необходимость в . Обработка таких данных осуществляется только с сотрудников. При этом согласие должно включать в себя следующую информацию:

фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;

наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;

цель обработки персональных данных;

перечень персональных данных, на обработку которых дается согласие;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;

перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;

срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;

подпись сотрудника.

При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель (родитель, опекун) ().

Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в . В такой ситуации организация вправе продолжить с учетом ограничений, указанных в части 1 статьи 6, статьи 10 и статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя ().

С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем ().

Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей. Об этом сказано в разъяснений Роскомнадзора от 14 декабря 2012 г.

Случаи обработки данных без согласия сотрудника

В отдельных случаях обработка персональных данных возможна и без согласия сотрудника. Например, если обработка персональных данных необходима в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления и выполнения возложенных законодательством России на оператора функций, полномочий и обязанностей, - она может осуществляться без согласия сотрудника - субъекта персональных данных. Об этом сказано в Закона от 27 июля 2006 г. № 152-ФЗ.

К таким случаям относится передача сведений в:

иные органы, когда обязанность передачи им сведений, относящихся к персональным данным сотрудника, закреплена за работодателем законом либо необходима для достижения установленных законом целей (например, суды, прокуратуру и т. п.).

Кроме того, согласие не требуется в следующих случаях:

обязанность по обработке предусмотрена законодательством, в том числе опубликование и размещение персональных данных сотрудников в сети Интернет (например, и рядом иных актов);

проводится обработка персональных данных близких родственников сотрудника в объеме, предусмотренном личной карточкой (по унифицированной или ), а также в случаях получения алиментов, оформления социальных выплат и допуска к государственной тайне;

обработка сведений о состоянии здоровья сотрудника относится к вопросу о возможности выполнения им трудовой функции;

обработка данных связана с выполнением сотрудником должностных обязанностей, в том числе при его командировании;

обработка персональных данных проводится при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя при условии, что организация пропускного режима осуществляется работодателем самостоятельно.

Также работодателю следует помнить, что не требуется получать согласие уволенного сотрудника на обработку его персональных данных для целей налогового и бухгалтерского учета. Не распространяется законодательство о персональных данных и на материалы, переданные в архивную организацию для архивного хранения, поэтому такое хранение не требует получения согласия сотрудника на обработку его персональных данных. Это следует из положений пункта 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в части 1 статьи 6, статьи 10 и статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ.

В случае прекращения обработки персональных данных работодатель также обязан уведомить об этом уполномоченный орган. Сделать это нужно в течение десяти рабочих дней с момента прекращения обработки данных. Типовой бланк уведомления о прекращении обработки данных не утвержден, поэтому работодатель может составить его в ().

Защита персональных данных

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в ( , ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации (). Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в Закона от 27 июля 2006 г. № 152-ФЗ и , утвержденных . На их основе организация может выработать свою собственную систему защиты персональных данных.

Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

уничтожение;

изменение;

блокирование;

копирование;

предоставление;

распространение;

иные неправомерные действия с персональными данными.

Следует отметить, что выбор конкретных средств защиты информации для информационной системы обработки персональных данных осуществляется работодателем в соответствии с нормативно-правовыми актами ФСБ России и ФСТЭК России. Определение типа угроз безопасности персональных данных, актуальных для системы обработки и защиты персональных данных, производится с учетом оценки возможного вреда и в соответствии с нормативными актами упомянутых органов (п. , Требований, утвержденных ).

При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные Требований, утвержденных . Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т. п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены , утвержденными .

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (

Бланк согласия на обработку персональных данных должен соответствовать требованиям 152-ФЗ. Нарушение этого правила может повлечь для работодателя серьезные штрафы. Как оформить согласие работника без нарушений, расскажут эксперты.

В статье:

Скачайте документы по теме:

➤

Согласие на обработку персональных данных: бланк 2019

Повышенное внимание к вопросу корректности обращение с персональными данными со стороны государства возникло в 2005 году, когда Российская Федерация произвела ратификацию соответствующей Конвенции Совета Европы. Одним из важных следствий этого шага стало принятие в 2006 году Федерального закона от 27.07.2006 № 152-ФЗ, который установил общие принципы государственной политики в области контроля за использованием личной информации граждан. Положения указанного закона оказали существенное влияние на порядок работы различных субъектов экономической деятельности, включая работодателей.

Одним из ключевых требований нового порядка стало получение работодателем согласия работников на обработку их личной информации. Такое согласие должно предоставляться в форме письменного документа, который однозначно указывает на готовность работника предоставить компании соответствующие полномочия. При этом в терминах 152-ФЗ работодатель выступает оператором их обработки, а работник - субъектом предоставления такой информации.

Согласие сотрудника на обработку персональных данных

Обратите внимание! К персональным данным работника относится любая информация личного характера, позволяющая однозначно идентифицировать его личность.

Когда нужно получать согласие на обработку персональных данных

В общем случае оформлять образец согласия работников на обработку персональных данных необходимо во всех случаях, когда работодатель планирует осуществлять какие-либо операции с этой информацией. Согласно ФЗ-152 перечень таких операций, которые требуют составления соглашения на обработку персональных данных по образцу, установленному законодательством, включает в себя:

• собственно процедуру сбора сведений личного характера;
• аккумулирование, систематизацию и хранение собранных сведений;
• уточнение, корректировку, внесение изменений в состав личной информации о работниках;
• применение собранных данных, включая любым третьим лицам, а также их обезличивание и анализ. Требование об обязательном наличии согласия на обработку в данном случае не применяется, если такие данные кроме предназначены для применения, сопряженного с необходимостью устранения угрозы его жизни или здоровью;
• удаление и уничтожение собранных данных, в том числе в обобщенном виде.

Осуществлять все перечисленные операции работодатель при условии наличия согласия на обработку персональных данных работников по образцу, установленному 152-ФЗ, может как самостоятельно, так и посредством поручения этой задачи специально уполномоченному им третьему лицу. При этом производить использование и обработку собранных сведений законодательство разрешает как ручным способом, так и с применением автоматизированных систем.

При этом некоторые действующее законодательство содержит специальные уточнения относительно необходимости получения согласия работника на обработку персональных данных по образцу, установленному законом, в случае, если собранные данные принадлежат к категории специальных сведений, перечень которых зафиксирован в ч. 1 ст.10 152-ФЗ.

Внимание! С 24 сентября 2019 года кадровикам придется брать у сотрудников письменное согласие на обработку персональных данных , чтобы передать коллегам их личный e-mail или номер мобильного. Согласие не потребуется, если подаете отчет в госорганы, в которых нужны почта или телефон работника. Чиновники включили эту информацию в единую информационную систему, обеспечивающую обработку биометрических персональных данных (постановление Правительства от 13.09.2019 № 1197).

Случаи, когда бланк и согласие на обработку персональных данных получать не нужно

Планируя работы, связанные с получением согласия на обработку персональных работника данных на бланке 2019 года, работодателю во избежание лишних трудозатрат следует учитывать, что действующее законодательство предусматривает возможность осуществления ряда операций с этой информацией без получения такого согласия.

Шпаргалка. Когда согласие работника необязательно

Подробные разъяснения привел в специальном разъяснении Роскомнадзор, выступающий в роли государственного органа, осуществляющего контроль в данной сфере деятельности. Согласно этому документу, работодатель может не получать согласия на обработку персональных данных на бланке в 2019 году для работников в следующих случаях:

• данные получены в ходе проведения процедур, входящих в состав обязательного медосмотра при приеме на работу;
• сведения получены работодателем из документов, предъявленных сотрудником при приеме на работу согласно перечню, установленному ст. 65 ТК РФ;
• информация передана работодателем кадровых агентством или иным субъектом, выступающим от его имени в процессе трудоустройства. В данном случае отсутствие необходимости получения согласия на обработку персональных данных работника по образцу, установленному законодательством, связано с тем, что такая обязанность возлагается на субъект, предоставляющий эти сведения работодателю;
• сведения о работнике получены работодателем из открытых источников, например, из резюме, которое кандидат самостоятельно разместил в интернете, сделав его тем самым доступным неограниченному кругу лиц;
• обязанность по информированию широкой общественности о тех или иных сведениях о работнике предусмотрена действующим законодательством. Например, такое требование установлено в отношении некоторых категорий работников государственных и муниципальных органов. Кроме того, аналогичный порядок применяется для случаев, когда работодатель должен предоставить личную информацию сотрудников в государственные органы - от Пенсионного фонда до органов внутренних дел;
• другие случаи, предусмотренные разъяснением Роскомнадзора.

Обратите внимание! Порядок, по которому нужно хранить и использовать персональные данные сотрудников, работодатель устанавливает сам в локальном акте организации. Таким актом является Положение о работе с персональными данными сотрудников (ст. 86 ТК).

Чтобы без ошибок оформить Положение об обработке персданных, используйте онлайн-сервис «Системы Кадры»

Воспользоваться сейчас

Бланк согласия на обработку персональных данных: образец 2019 года

Строго определенного образца согласия работника на обработку персональных данных на бланке 2019 года действующим законодательством не предусмотрено. Однако помимо требования об обязательной письменной форме такого документа 152-ФЗ содержит еще ряд конкретных требований к его составлению.

Шпаргалка. Обязательные реквизиты согласия работника на обработку персданных

В частности, в ч. 4 ст.9 данного нормативно-правового документа приводится перечень сведений, которые в обязательном порядке должны быть зафиксированы в согласии:

• основные личные данные сотрудника, включая его фамилию, имя, отчество, адрес проживания и паспортные данные в объеме, включающего его серию, номер, дату выдачи и данные о выдавшем его ведомстве. В случае, если согласие работодатель получает не от самого работника, а от его законного представителя, имеющего соответствующие полномочия, такие сведения должны быть получены об обоих участниках процесса - самом работнике и его представителе;
• сведения о работодателе, который в данном контексте выступает в роли оператора по обработке личных сведений сотрудника. Объем данных о работодателе, фиксируемый в согласии на обработку персональных данных работника на бланке 2019 года, включает наименование компании и ее адрес либо фамилию, имя и отчество лица, которое будет персонально выступать в качестве оператора. В случае, если работодатель планирует поручить обработку собранных сведений другому лицу, соответствующие данные должны быть указаны и о нем;
• перечень личных сведений, в отношении которых работником работодателю предоставляется согласие на обработку;
• цели осуществления такой обработки, а также перечень разрешенных действий в отношении перечисленных категорий сведений;
• срок действия предоставленного согласия;
• личная подпись сотрудника, предоставляющего согласие.

При этом перечень лиц, которые могут выступать в роли законного представителя работника в части предоставления им работодателю согласия на обработку персональных данных, также регламентирован законодательно.

Принципы составления согласия на обработку персональных данных

Согласие на обработку персональных данных по образцу при приеме на работу составляется с учетом сведений, указанных в 152-ФЗ в качестве обязательных компонентов такого документа. При этом опытные сотрудники кадровых служб рекомендуют помимо состава данных, фиксируемых в согласии, при его составлении также обратить внимание на соблюдение следующих принципов:

Принцип №1. Строгое соблюдение положения 152-ФЗ в части защиты персональной информации работников

Принцип №2. Добровольный характер предоставления ими согласия на по образцу работника

Принцип № 3. Предварительное определение целей использования собранных данных еще до получения согласия и последующее соблюдение указанных целей. При этом обработка сведений, которые выходят за рамки целей, обозначенных в полученном работодателем согласии, не допускается

Принцип № 4. Раздельное использование информационных баз, собранных для различных целей.

Неукоснительное соблюдение указанных принципов важно не только в целях корректного составления и использования согласия на обработку персональных данных, но и для обоснования правовой позиции работодателя в случае возникновения каких-либо спорных ситуаций в части обращения с личными данными. Ведь именно он является той стороной, которая должна будет доказать факт получения от работника согласия на их обработку, а также подтвердить, что полученное согласие соответствует всем требованиям законодательства.

Кроме того, в случае, если положения закона нарушены третьей стороной, которой работодатель поручил осуществление обработки личных данных сотрудника, ответственность за нее будет нести заказчик такой услуги.

Категории работников, у которых необходимо получать согласие на обработку персональных данных

Работодателю следует учитывать, что требование о получении согласия на обработку личной информации распространяется на всех без исключения сотрудников. Это означает, что такой документ необходимо получать в том числе у следующих категорий работников:

• сотрудники, работающие в режиме неполного рабочего времени, в том числе неполный день и неполную неделю;
• сотрудники, работающие в режиме совместительства;
• специалисты, привлекаемые к работе в организации по договору гражданско-правового характера.

Несогласие работника в части предоставления разрешения на обработку персональных данных

Действующее законодательство об охране личной информации граждан не содержит для них обязательных требований по предоставлению согласия на ее обработку. Таким образом, отказ действующего работника компании подписать согласие на обработку персональных данных по образцу, установленному законодательством, не может рассматриваться работодателем как нарушение трудовой дисциплины. Это, в свою очередь, означает, что применение к такому сотруднику каких-либо санкций за такой отказ является неправомерным и может быть оспорено работником.

Обратите внимание! Работодатель вправе без письменного согласия осуществлять обработку тех персональных данных сотрудника, для которых такое согласие не требуется.

Тем не менее, если речь идет о соискателе, трудоустройство которого пока только рассматривается, работодатель может принять во внимание тот факт, что отказ от предоставления согласия на обработку личных данных может повлечь за собой определенных неудобства для организации. Поэтому в случае если работодатель находится в процессе выбора между двумя кандидатами со сходными квалификационными и иными существенными характеристиками, он вполне может отдать предпочтение тому из них, который выражает свое согласие с политикой компании в области обращения с личными данным сотрудников.

Ответственность работодателя за несоблюдение порядка получения согласия на обработку персональных данных

Основные меры ответственности работодателя за невыполнение требований 152-ФЗ о защите персональных данных работников и правил обращения с ними зафиксированы в КоАП. Вопросам применения санкций за такие нарушения посвящена отдельная статья за номером 13.11.

В частности, предусмотрены следующие виды нарушений:

• использование данных в целях, не предусмотренных действующим законодательством РФ или документом, разрешающим обработку персональных данных сотрудника;
• осуществление обработки при отсутствии должным образом оформленного согласия либо в случае наличия согласия, оформленного неправильно;
• неопубликование в общем доступе документа, определяющего принципы политики оператора в области использования личных данных, если такая публикация предусмотрена законом;
• непредоставление работнику сведений о порядке обработки его личной информации;
• другие нарушения, описанные в ст. 13.11 КоАП.

Чтобы обрабатывать персональные данные сотрудника, работодатель должен получить от него письменное согласие. Получают согласие на обработку персональных данных лично у сотрудника, перед тем как их обрабатывать. Обязательно оформляйте согласие на обработку персданных у каждого сотрудника, трудоустроенного в организации, иначе можно получить штраф от Роскомнадзора.