Как составить согласие на передачу персональных данных третьим лицам? Образец и прочие нюансы

Согласие на обработку персональных данных: оформляем правильно

Согласие на обработку персональных данных работника — это документ, который дает право на использование третьими лицами сведений из паспорта, адреса, даты рождения и даже фамилии, имени и отчества гражданина. Эту информацию охраняет законодательство.

Что такое персональные данные

Понятие персональных данных и обращение с ними регулирует Федеральный закон от 27.07.2006 № 152-ФЗ . В соответствии с этим документом под личными данными граждан, охраняемыми законодательством, следует понимать любую информацию, которая прямо или косвенно относится непосредственно к их субъекту (то есть физическому лицу). Такая информация позволяет однозначно определить, о каком человеке идет речь. Но человек — полновластный хозяин своих данных, и если форма согласия на обработку персональных данных им не заполнена и не предоставлена, ни одна организация не вправе ими распоряжаться.

Что является личной информацией граждан

Конкретные указания на то, какая информация о человеке является его индивидуальными и охраняемыми данными, в законодательстве отсутствуют. По сложившейся практике под ней обычно скрывается:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес проживания (место регистрации);
  • семейное, социальное и имущественное положение;
  • образование, профессия;
  • доходы, имущество и обязательства.

Обычно такие сведения человек сообщает о себе сам во многих государственных органах, медицинских и образовательных учреждениях, кредитных организациях и даже в коммерческих структурах (при трудоустройстве). Кроме вышеперечисленных сведений, которые являются общими, есть еще специальные личные данные, такие как национальность, вероисповедание, политические взгляды, состояние здоровья и прочая информация подобного рода.

В каких документах содержатся персональные данные

Существует целый ряд документов, которые по своей сути являются источниками и одновременно хранилищами личной информации. К ним, в частности, относятся:

  • паспорт гражданина (внутренний и заграничный);
  • другие документы, удостоверяющие личность;
  • трудовая книжка;
  • военный билет;
  • свидетельство о рождении;
  • документы об образовании;
  • документы о составе семьи;
  • справки о доходах;
  • анкеты, заполняемые при трудоустройстве;
  • автобиография;
  • характеристики;
  • личные карточки работников (форма Т-2);
  • другие документы.

Очевидно, что большинство этих документов в подлинниках или копиях хранят работодатели граждан. Они и все остальные лица, к которым попадает такая информация, являются операторами ПД. В законе указано, что такое согласие на обработку персональных данных, которое обязаны получить все операторы.

Специально для кадровиков эксперты КонсультантПлюс разработали подробный путеводитель по персданным сотрудников. Разобрали, что к ним относится, как их обрабатывать, какие документы нужно получить от работников и т. д. Все актуально на 2021 год. Используйте эти инструкции бесплатно.

Кто такие операторы ПД и что они делают

В статье 3 закона № 152-ФЗ сказано, что оператором ПД является лицо, которое организует и осуществляет обработку персональных данных. Все работодатели, как юрлица, так и ИП, являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус, практически не ограничен. Это любое лицо, которому человек сделал заявление и согласие на ОПД, то есть доверил личную информацию о себе оператору и разрешил ее использовать для определенных целей.

Отдельное внимание следует уделить понятию обработки личной информации. О ней везде говорят, но никто толком не знает, что это такое. Тогда как часть 3 все той же статьи 3 закона № 152-ФЗ регламентирует это понятие как любое действие (или их совокупность), совершаемое с личной информацией. Под действиями законодатели понимают:

  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передачу (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление или уничтожение данных.

Все операции проходят или в бумажном ручном режиме, или с использованием средств автоматизации, в том числе в режиме онлайн. На все эти действия оператор обязан получить от владельца одобрение: например, заполненный бланк согласия.

Деятельность работодателей в качестве операторов регулирует статья 86 Трудового кодекса РФ.

Требования к оформлению документов

Определимся с общими требованиями к оформлению бумаг, которые подтверждают одобрение гражданина на действия с его личными данными. Необходимо учитывать, что форма для организаций и учреждений немного отличается от того, как выглядит заявление о согласии на обработку персональных данных (его берет с каждого нового сотрудника работодатель).

Читайте также:
ПФР Тамбовская область, Пичаевский район, с. Пичаево, Пролетарская ул., 17а: официальный сайт, адрес, телефоны, часы работы

Нормами статьи 87 ТК РФ установлено, что все организации самостоятельно определяют порядок хранения и использования сведений, полученных от работников. Аналогичный принцип применим и ко всем остальным операторам. Главное — не нарушать требования, установленные федеральными законами и кодексами. Прежде чем приступать к действиям с информацией, необходимо утвердить локальный акт по организации: «Положение о персональных данных». В этом документе должны содержаться все основные требования к правилам оформления документации. Положение утверждает руководитель с одобрения профсоюзного органа (при его наличии). В нем прописывают, как выглядит подписанное согласие на обработку персональных данных и сколько оно хранится.

Когда речь идет о работодателях, важно учесть, что по нормам п. 8 части 1 статьи 86 ТК РФ всех работников и их представителей следует ознакомить с утвержденным положением под подпись. Для этих целей даже заводят специальный журнал. Если положение в организации-операторе отсутствует, это является грубым нарушением, за которое нормами статьи 13.11 КоАП РФ предусмотрен штраф.

Как заполнить согласие на обработку персональных данных

Требования к письменному согласию, которое дает владелец личной информации, определены в части 1 статьи 9 закона № 152-ФЗ. Они изменились с 01.03.2021. Главное требование — конкретика, информативность и обязательное оформление в письменной форме. Также допускается электронная форма, если взаимодействие владельца и оператора происходит через интернет. В любом случае у оператора должна иметься возможность в любой момент подтвердить факт получения.

Согласие субъекта персональных данных на обработку его персональных данных, составленное в письменной форме, с 01.03.2021 включает в себя срок, в течение которого оно действует, и способ его отзыва.

Вот так выглядит стандартная форма согласия, которую применяют в различных ситуациях:

форма согласия на обработку персональных данных образец

И хотя в самом законе об утвержденной и регламентированной форме этого документа речи не идет, по нормам статьи 13.11 КоАП РФ наказание положено, если оператор начал обработку без письменного разрешения субъекта ПД. Его следует получить по законодательству РФ обязательно с соблюдением всех требований от владельца ПД. Разрешение оптом и «по умолчанию» больше не допускается ни в каких ситуациях.

По этой причине рекомендуется сразу оформить заявление о согласии на все манипуляции с ПД и больше не переживать по этому поводу. Универсальный бланк не предусмотрен: каждый оператор разрабатывает его самостоятельно. Для удобства рекомендуем воспользоваться образцами в конце статьи.

Этот образец — пример согласия на обработку персональных данных для работников коммерческой организации.

Как получить согласие на обработку персональных данных

Произвольная форма заявления не исключает целого ряда требований, установленных в статье 9 закона № 152-ФЗ к его содержанию. В нем обязательно указываются:

Согласие на передачу персональных данных третьим лицам

В соответствии со ст. 6 закона «О персональных данных» оператор вправе поручить обработку персональных данных сотрудника или клиента третьему лицу. Это действие требует обязательного оформления согласия субъекта ПД.

Случаи передачи персональных данных третьим лицам

В пункте 3 статьи 6 закона «О персональных данных» говорится о том, что оператор в ряде случаев может поручить обработку персональных данных, доверенных ему правообладателем, третьим лицам.

При такой передаче соблюдаются следующие условия:

  • если она предусмотрена законом, между сторонами не заключаются соглашение или договор об условиях обработки;
  • если передача происходит по соглашению, стороны заключают договор, раскрывающий условия соглашения;
  • согласие на передачу сведений у правообладателя получает только лицо, передающее данные;
  • лицо, получающее информацию для обработки, не обязано получать отдельное согласие у субъекта персональных данных;
  • в рамках реализации договора оформляется поручение оператора, в котором содержатся сведения о перечне действий, совершаемых доверенным лицом, о целях обработки, а также требования обеспечивать конфиденциальность и защиту ПД;
  • в соглашении (договоре) указываются требования к защите персональных данных, определяемых их категорией (общедоступные, биометрические, иные) и требованиями ФСТЭК РФ.
Читайте также:
ПФР Тюменская область, Омутинский район, с. Омутинское, Первомайская ул., 84: официальный сайт, адрес, телефоны, часы работы

Ответственность за то, как третье лицо выполняет обязательства по защите персональных данных, всегда несет передавший их оператор. Если осуществляется трансграничная передача информации, на это потребуется оформить отдельное согласие.

На практике персональные данные передаются на обработку третьим лицам в следующих случаях:

  • анализ клиентской базы. В этой ситуации требуется их обезличивание;
  • предоставление сведений банку при реализации зарплатной программы для открытия карточных счетов;
  • передача статистических данных государственным организациям – Росстату, Пенсионному фонду, ФНС;
  • передача информации из ЖКХ организациям биллинговых услуг или управляющим организациям;
  • продажа кредитной задолженности банками;
  • взыскание задолженности операторами связи, организациями ЖКХ.

В ряде случаев такая передача оказывается незаконной, и оператор привлекается к гражданской или административной ответственности, выплачивая штраф или компенсируя убытки правообладателю. Но чаще суды встают на сторону более сильного с состязательной точки зрения субъекта, например, ПАО «Ростелеком», и отказывают в возмещении морального вреда даже при явном нарушении закона оператором персональных данных (дело 2-7574/19 Набережночелнинского суда).

Как оформить согласие на передачу ПД третьим лицам

О необходимости оформлять согласие на передачу персональных данных для обработки третьим лицам говорит не только закон «О персональных данных», но и Трудовой кодекс, который в ст. 88 прямо требует у работодателя оформить письменное согласие в любых случаях предоставления данных третьим лицам, за исключением ситуаций, когда ПД необходимо передать для предотвращения угрозы жизни или здоровью сотрудника. Согласие обязательно потребуется, если данные передаются с целью реализации коммерческих интересов работодателя. Оно не нужно, если сведения передаются в социальные фонды, налоговую, службу государственной статистики, службу занятости или федеральную инспекцию по надзору в сфере трудового законодательства.

Закон прямо не требует от оператора указания в согласии всех третьих лиц, которым он предполагает передать сведения на обработку. Но если у гражданина есть сомнения в правомерности такой передачи и соответствии цели обработки передаваемых ПД закону, он всегда вправе отозвать свое согласие, вынудив оператора обратиться к агенту с требованием уничтожить данные. Отказ от выполнения этой обязанности можно обжаловать Роскомнадзоре, и тогда оператор будет оштрафован в рамках ст. 13.11 КоАП РФ.

Обязательное оформление согласия на передачу персональных данных для обработки третьим лицам становится задачей оператора, его отсутствие приведет к негативным последствиям. Права субъектов персональных данных должны соблюдаться всеми операторами.

Как составить согласие на передачу персональных данных третьим лицам? Образец и прочие нюансы

Руководство организации, в которой трудится сотрудник, располагает персональными сведениями о нем.

По этой причине существует установленный порядок с целью их передачи, охраны, обработки и защиты от сообщения третьему лицу без ведома служащего.

Последний должен написать согласие в письменном виде. Давайте подробно выясним, как это осуществляется, а также посмотрим образец документа на передачу персональных данных третьей стороне.

Что это такое?

Персональными данными называют любые сведения, которые относятся к соответствующему или определяемому на основании этих сведений физлицу. Передача персональных данных регламентируется ст.88 ТК РФ.

Об особенностях трансграничной передачи персональных данных читайте тут.

Официальные получатели личных сведений

Официально являющиеся получатели персональных сведений гражданина (кому можно передавать без согласия) считаются следующие учреждения:

  1. ФСС РФ (Фонд соцстрахования): на основании ФЗ № 125 «Об обязательном соцстраховании от несчастных случаев на производстве и профзаболеваний».
  2. Пенсионный фонд России: регламентируется ФЗ № 27 «О персонифицированном учете в системе обязательного пенсионного страхования».
  3. Налоговые службы: согласно закону № 146 ч.1 НК РФ.
  4. Службы занятости: в соответствии с ФЗ № 1032-1 «О занятости населения в России».
  5. Органы министерства внутренних дел: ФЗ №3 «О полиции», ФЗ № 40 «О федеральной службе безопасности», ФЗ №144 «Об оперативно-розыскной деятельности».
  6. Военные комиссариаты: регламентируются ФЗ № 53 «О воинской обязанности и военной службе», Постановление Правительства РФ № 719 «Положение о воинском учете», Указ Президента России № 1132 «Об утверждении Положения о военных комиссариатах».
  7. Иные службы государственного контроля и надзора за соблюдением законодательства о труде.
Читайте также:
Ходатайство о прекращении производства по административному делу

Разглашение постороннему субъекту

ФЗ «О защите прав потребителей» включает в себя обработку с последующей передачей своих личных данных, если есть согласие сотрудника. При этом составляется в письменной форме документ, который хранится у работодателя. При возникшем споре бумага становится доказательством наличия согласия на передачу личных сведений сотрудника постороннему субъекту.

Каждая компания может столкнуться с необходимостью периодической отправки личных данных служащего из 1 структурного подразделения в другое. Эти сведения отправляются кадровой службой в бухгалтерию или службу безопасности. В этом случае учреждение должно ознакомить сотрудника с актом с получением подписи, подтверждающей его согласие.

Каким организациям позволяется получать личные сведения работника при его согласии? К примеру, такими учреждениями может стать банк для оформления безналичного счета, куда Наниматель будет перечислять зарплату и другие доходы сотрудника. Или кредитные организации, куда гражданин обращался за оформлением кредита или ссуд.

Предназначение бумаги

Главное предназначение бумаги – получение письменного согласия сотрудника, позволяющего сообщать личные сведения работника третьей стороне.

В положении указывается порядок обращения с персональными данными работника.

Содержание

Статья 9 Закона о персональных данных гласит, что он содержит в себе следующие пункты:

  • Ф. И. О. с адресом сотрудника.
  • Номер с датой выдачи и наименованием органа, выдавшего документ, который удостоверяет личность служащего.
  • Наименование с юридическим адресом нанимателя, получающего согласие в письменной форме.
  • Соответствующая цель отправки персональных сведений третьей стороне.
  • Конкретный список конфиденциальных сведений, на передачу которых сотруднику требуется дать согласие.
  • Период, на протяжении которого данный документ имеет силу.
  • Порядок отзыва согласия служащего.

Пошаговая инструкция по составлению документа с примерами

Для оформления бумаги по передаче персональных сведений рекомендуем воспользоваться нижеописанной инструкцией. Особых требований к составлению документа в законодательстве не сказано, однако выполнять его следует в письменном виде.

В начале документа указывается наименование учреждения с должностью руководителя, на чье имя пишется бумага, индексом и юридическим адресом компании. К примеру:

450348, г. Москва, Ленинский проспект, д.3/1

В этом пункте работник дает свое согласие на передачу своих личных сведений.

Здесь указывается Ф. И. О. сотрудника со сведениями документа, удостоверяющего его личность, и местом проживания.

Андреев Вячеслав Геннадьевич

паспорт серия 3564 № 121227

выдан УВД «Гагарино» г. Москва, Ленинский проспект, 58-23

Я принимаю решение о предоставлении моих персональных данных и даю согласие на их обработку свободно, в своей воле и своем интересе в соответствии с ФЗ № 152.

В этом пункте субъект личных сведений подписывается, указывая расшифровку, и ставит дату составления согласия.

  • Скачать бланк согласия на передачу персональных данных третьим лицам
  • Скачать образец согласия на передачу персональных данных третьим лицам
  • Скачать бланк согласия на обработку и передачу персональных данных
  • Скачать образец согласия на обработку и передачу персональных данных

Перечень информации о человеке, которая передается после его разрешения

  1. Ф. И. О.
  2. Число с местом рождения.
  3. Адрес проживания с номером телефона.
  4. Семейное положение.
  5. Социальное положение.
  6. Имущественное положение.
  7. Образование.
  8. Профессия.
  9. Доходы и размер заработной платы.
  10. Иные сведения.

К другой информации относятся данные паспорта сотрудника, трудовой стаж, номер пенсионного свидетельства, сведения о военной службе и воинском учете и др.

Заключение

Согласие на обработку персональных данных широко применяется в различных учреждениях, начиная с муниципальных организаций и заканчивая частными компаниями. Документ позволяет законно передавать личные сведения работника третьей стороне и служит доказательством при возникшем споре.

Читайте также:
Каневская - адреса и контакты отделений пенсионного фонда на сегодня

Согласие на распространение персональных данных: новый документ работодателей

Финатова М. С.

В марте этого года в обиходе работодателей появилось понятие «персональные данные, разрешенные для распространения» (Федеральный закон от 30.12.2020 № 519-ФЗ). А вместе с ним и новый документ — согласие на обработку персональных данных, разрешенных для распространения. Порядок работы с ним изложен в ст. 10.1 Федерального закона
от 27.07.2006 № 152-ФЗ и Приказе Роскомнадзора от 24.02.2021 № 18. Новый документ призван остановить бесконтрольное использование персональных данных (ПД) граждан третьими лицами.

Обратите внимание: согласие на распространение персональных данных — отдельный документ, его нельзя оформлять в совокупности с другими документами.

Что указывать в согласии

Содержание согласия определяется Приказом № 18. В документе обязательно должны быть:

  1. Фамилия, имя, отчество субъекта персональных данных.
  2. Контактная информация субъекта персональных данных: номер телефона, адрес электронной или обычной почты.
  3. Сведения об организации — операторе персональных данных, которому человек предоставляет согласие.

Если оператором выступает юридическое лицо, субъект должен указать наименование организации, адрес из ЕГРЮЛ, ИНН и госномер, если он его знает.

Если ИП — ФИО, ИНН и госномер, если знает.

  1. Сведения об информационных ресурсах оператора, с помощью которых он распространяет персональные данные: наименование протокола — http/https, сервера, домена, имя каталога на сервере и имя файла каталога.

Если вы размещаете сведения на нескольких сайтах, укажите полные адреса всех. Человек должен знать, где будет опубликована информация о нем.

  1. Цель или цели обработки и распространения персональных данных.
  2. Категории и перечень ПД, которые можно распространять. Приказ № 18 предлагает объемный перечень, куда входят ФИО субъекта персональных данных, дата рождения, образование, профессия, доходы и пр. В этот раздел может быть отнесена биометрия, а также все, что ст. 10 и 11 Закона № 152-ФЗ относят к специальной категории ПД: национальность, расовая принадлежность, политические взгляды, религиозные и философские убеждения и пр.

Обратите внимание: сотрудник не обязан давать согласие на распространение всех сведений из списка. Он может установить запрет в отношении любого вида информации.

  1. Категории и перечень персональных данных, которые субъект запрещает распространять. Здесь же указываются условия запрета.

Исключения — информация, которая необходима в рамках действующего законодательства, исполнения требований судебными органами и пр. Здесь никто ограничивать работу с персональными данными не может.

  1. Условия передачи оператором данных:
  • только по внутренним сетям, доступ к которым имеет ограниченный круг сотрудников;
  • по информационно-телекоммуникационным сетям;
  • полный запрет на передачу сведений куда-либо.
  1. Срок действия согласия, который устанавливает сам субъект.

Как получить согласие

Согласие можно получать непосредственно у субъекта в бумажном или электронном формате или через информационную систему Роскомнадзора, которая заработает с 1 марта 2022 года. Приказ о ее создании уже утвержден.

Что делать, если человек отозвал согласие

Если человек передумал, он должен подать оператору, которому предоставлял согласие, требование о прекращении обработки и распространения персональных данных (ст. 10.1 Закона № 152-ФЗ). Это может быть любое лицо работодателя: генеральный директор, руководитель или специалист отдела кадров — закон не уточняет.

В требовании должны быть указаны: фамилия, имя, отчество (при наличии), контактная информация (номер телефона, адрес электронной почты или почтовый адрес), а также перечень персональных данных, обработка которых подлежит прекращению.

Требование лучше составить в письменной, а не электронной форме, потому что в уже сложившейся практике электронная форма не всегда принимается в качестве доказательств. Поскольку работодатели только начинают работать с согласиями на распространение ПД, то отдельной практики по этому вопросу ни инспекционной, ни судебной пока нет.

Если работодатель самостоятельно не прекращает распространять информацию в течение трех рабочих дней с момента получения требования, человек может обратиться в суд. Если суд не определил дату прекращения распространения персональных данных, то у организации есть три рабочих дня с момента вступления решения суда в законную силу.

Читайте также:
Чем грозит повторный отказ от медицинского освидетельствования: ответственность КоАП

Судебное разбирательство очень неудобно прежде всего для самого субъекта, потому что есть установленные законодательством регламенты и сроки. Рассмотрение претензии может затянуться на месяц или дольше.

За отказ прекратить распространение персональных данных предусмотрена административная ответственность. Ущерб может оказаться существенно больше, чем предполагаемая выгода от распространения.

Зачем нужна информационная система (ИС) Роскомнадзора

Новая ИС для работы с согласиями на распространение персональных данных откроется
с 1 марта 2022 года (Приказ Роскомнадзора от 21.06.2021 № 106). Система будет аккумулировать следующую информацию:

  • факт предоставления согласия;
  • цели обработки ПД;
  • информационные ресурсы оператора;
  • категории и перечни ПД, которые разрешено распространять;
  • категории и перечни ПД, для которых установлены условия и запреты;
  • перечень условий и запретов, устанавливаемых в отношении персональных данных.

Это будет единая база по всем подписанным и отозванным согласиям, запретам и ограничениям.

Важно! Само согласие и содержащиеся в нем персональные данные не передаются в информационную систему Роскомнадзора, оператору и иным третьим лицам.Чтобы сотрудник мог воспользоваться ИС Роскомнадзора, ему необходимо получить электронную подпись, зарегистрироваться в ИС, ввести в форму согласия свои данные и при желании установить запреты и/или ограничения. Работодатель увидит всю информацию тоже только после регистрации. Подробную инструкцию предлагает Приказ Роскомнадзора № 106, но как на практике выстроится взаимодействие, покажет время.

Какие штрафы ждут работодателей

В последнее время законодатели несколько раз корректировали меру ответственности за нарушения в сфере персональных данных. Последнее изменение — от 27 марта 2021 года: штрафы увеличены почти в два раза, появились статьи за повторные ошибки.

Большинство нарушений подпадает под действие ч. 1 ст. 13.11 КоАП — обработка персональных данных, не соответствующая требованиям законодательства или заявленным целям. К ней относятся ошибки в локальных нормативных актах, в порядке сбора и передачи информации и пр.

  • гражданам от 2 000 до 6 000 руб.;
  • должностным лицам — от 10 000 до 20 000 руб.;
  • юридическим лицам — от 60 000 до 100 000 руб.

Если Роскомнадзор обнаружит, что ситуация повторяется, штраф увеличится более чем в два раза (ч. 1.1 ст. 13.11 КоАП).

Для согласий на обработку и распространение персональных данных выделена ч. 2 ст. 13.11 КоАП, она касается нарушений в порядке получения документов или их отсутствия. Поэтому внимательно сверяйте свои документы с требованиями законодательства. Согласие на обработку — со ст. 9 Закона № 152-ФЗ, согласие на распространение — со ст. 10.1 Закона № 152-ФЗ и Приказом № 18.

Обязательно проанализируйте, по всем ли сведениям у вас есть согласие. Чаще всего из поля зрения работодателей выпадают соискатели, совместители, родственники сотрудников и иные третьи лица, чьи данные обрабатываются в организации.

Штрафы за первое нарушение по ч. 2 ст. 13.11 КоАП:

  • гражданам — от 6 000 до 10 000 руб.;
  • должностным лицам — от 20 000 до 40 000 руб.;
  • юридическим лицам — от 30 000 до 150 000 руб.

При повторном нарушении максимальный размер штрафа сейчас может достигать суммы в 500 000 руб. на организацию. Санкции могут применяться к каждому согласию, оформленному с нарушениями или неполученному в установленном порядке, так что ошибки в работе с согласиями на обработку и распространение персональных данных могут обойтись очень дорого.

Но самые суровые части — ч. 8 и 9 ст. 13.11. Они предусматривают наказание за однократные и повторяющиеся нарушения в порядке сбора ПД граждан РФ, их записи, систематизации, хранения, блокировки и уничтожения.

  • Максимальный штраф на организацию по ч. 8 — 6 млн руб., по ч. 9 — 18 млн руб.
Читайте также:
Трехгорный - адреса и контакты отделений пенсионного фонда на сегодня

Чтобы не выплачивать огромные суммы, сейчас важно получить сами согласия и проверить их содержание. На этот участок работы Роскомнадзор будет обращать внимание в первую очередь.

Если хотите подстраховаться, воспользуйтесь предложением Роскомнадзора: через сайт ведомства отправьте свою форму согласия на проверку. Специалисты проверят ее и дадут свои рекомендации, что исправить и чем дополнить. Для подачи заявки надо авторизоваться через ЕСИА.

Особенности передачи персональных данных работников

Особенности передачи персональных данных работников

Передача ПД работников в пределах одной организации

Работодатель обязан «осуществлять передачу ПД работника в пределах организации, у одного ИП в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись» (абз. 5 ст. 88 ТК РФ).

Передача ПД работников в пределах одной организации – это перемещение данных между структурными подразделениями. Сюда не входят случаи передачи ПД в группе компаний, которая равнозначна передаче ПД третьим лицам.

Во внутреннем локальном акте у каждой компании и ИП должны быть описаны процедура передачи ПД работников, правила и цели их обработки, перечислены структурные подразделения компании, участвующие в обработке, и т.д. С этим актом работник должен быть ознакомлен во время подписания трудового договора.

Часто предприниматели не соблюдают правило о создании локальных актов о ПД. Также многие не знают о том, что документы, регулирующие правила обработки ПД, должны быть разработаны не только для работников, но и для других категорий субъектов ПД (соискателей, клиентов и т.д.).

Кто и как может получить доступ к персональным данным, в каких случаях не нужно разрешение на их использование и передачу, могут ли не продать товар или не оказать услугу при отказе дать согласие на обработку данных, какие данные собирают владельцы сайтов и как отказаться от рекламной рассылки?

Работодатель обязан «разрешать доступ к ПД работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД работника, которые необходимы для выполнения конкретных функций» (абз. 6 ст. 88 ТК РФ).

Работодатель обязан «передавать ПД работника представителям работников в порядке, установленном настоящим кодексом […], и ограничивать эту информацию только теми ПД работника, которые необходимы для выполнения указанными представителями их функций» (абз. 8 ст. 88 ТК РФ).

В каждой организации и у ИП должны быть назначены сотрудники, которые имеют право работать с ПД коллег. Одного из них необходимо приказом руководителя назначить ответственным за обработку ПД. В его обязанности должны входить создание локальных актов в сфере обработки ПД и контроль за соблюдением работниками правил, прописанных в этих актах. Наличие такого сотрудника позволяет минимизировать риски компании и разгрузить отдел кадров и руководителя.

Остальные работники должны выполнять обязанности по непосредственной обработке ПД. Обычно это сотрудники бухгалтерии и отдела кадров. Их список необходимо установить приказом или внутренним локальным актом. Эти документы также должны содержать перечень ПД работников, которые могут обрабатываться каждым сотрудником.

Нередко компании не назначают ответственного за обработку ПД и не создают отдельных документов с перечнем лиц, наделенных правом на обработку данных сотрудников.

Ответственность за нарушение закона: штраф для ИП – от 1 тыс. до 5 тыс. руб., для юрлиц – от 30 тыс. до 50 тыс. руб. В случае повторного нарушения штраф для ИП – от 10 тыс. до 20 тыс. руб., для юрлиц – от 50 тыс. до 70 тыс. руб. (ч. 1, 2 ст. 5.27 КоАП РФ).

Также придется выплатить компенсацию морального вреда работнику, чьи права были нарушены.

Пример из личной практики

К нам обратилась компания, которую привлекли к административной ответственности в виде штрафа в размере 45 тыс. руб. по ч. 1 ст. 5.27 КоАП РФ. Госинспекция труда при проверке обнаружила отсутствие локального акта, устанавливающего порядок внутренней передачи ПД работников. Также было вынесено предписание об устранении выявленных нарушений, так как не был составлен перечень лиц, имеющих право на обработку ПД сотрудников.

Читайте также:
Котельниково - адреса и контакты отделений пенсионного фонда на сегодня

Пример из судебной практики

ИП привлечен к административной ответственности по ч. 1 ст. 5.27 КоАП РФ в виде штрафа. Основание – отсутствие у ИП локального акта, регулирующего передачу ПД работников (Решение Игринского районного суда Удмуртской Республики по делу № 12-127/2018 от 19 октября 2018 г.).

Передача ПД работников третьим лицам

Работодатель обязан «не сообщать ПД работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законом» (абз. 2 ст. 88 ТК РФ).

Работодатель должен получить от работника письменное согласие на передачу его ПД третьему лицу. В согласии нужно обязательно указать реквизиты компании (ИП), которой передаются ПД работника: наименование компании (Ф.И.О. ИП), ОГРН (ОГРНИП), ИНН, адрес места нахождения.

Если работник не дал своего согласия, передача его ПД третьему лицу невозможна. Но есть исключения: передача данных в ПФР, ФСС, налоговые органы, по мотивированному запросу органов прокуратуры и внутренних дел, по запросу суда и т.д. Не нужно брать согласие работника и в случаях, связанных с исполнением им своих должностных обязанностей, в том числе при направлении работника в командировку 1 . Например, когда нужно купить авиабилеты, забронировать номер в гостинице и т.д. Другой пример – работодатель передает клиенту Ф.И.О. и номер телефона работника-курьера, который должен доставить посылку.

Остальные случаи передачи ПД без согласия будут нарушением закона. Например, когда работодатель передает ПД работника в охранную организацию для оформления пропуска.

Решили продавать товары или услуги через сайт – подумайте о грамотной обработке персональных данных, чтобы не пришлось платить тысячи и миллионы за нарушение закона

Работодатель обязан «не сообщать ПД работника в коммерческих целях без его письменного согласия» (абз. 3 ч. 1 ст. 88 ТК РФ).

Комментарии компетентных органов о применении данного положения закона отсутствуют. Исходя из нашей практики, речь идет не столько о передаче ПД работников третьим лицам, сколько о размещении этих данных на сайте, в рекламных материалах для привлечения клиентов, а также иных действиях работодателя, направленных на увеличение прибыли. Согласие работника здесь также необходимо, поскольку размещение его ПД на сайте не связано с исполнением им своих должностных обязанностей. Примером нарушения данного положения Трудового кодекса является ситуация, когда коммерческие, медицинские и учебные организации публикуют на своих сайтах биографии сотрудников без их согласия.

Работодатель обязан «предупредить лиц, получающих ПД работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПД работника, обязаны соблюдать режим секретности (конфиденциальности)» (абз. 4 ст. 88 ТК РФ).

Речь идет о случаях, когда работодатель получает требование о предоставлении ПД работников от организаций, у которых нет права по закону получать такие данных без согласия работника 2 . Например, работодателю поступил запрос от другой компании, в которой его сотрудник работает по совместительству. В этом случае работодатель по основному месту работы обязан получить согласие работника, а также требовать от организации соблюдения конфиденциальности и использования полученных ПД только в целях, для которых они предоставлены.

В законе не указано, как именно должно оформляться требование о соблюдении конфиденциальности. На практике подписывается соглашение о конфиденциальности или работодатель получает от компании гарантийное письмо.

Иная ситуация, когда ПД сотрудника передаются в целях исполнения договора. Например, при передаче данных работников бухгалтерам на аутсорсе. Работодатель в таком случае обязан соблюдать требования ч. 3 ст. 6 Закона о персональных данных, а именно 3 :

  • взять письменное согласие работника на передачу его ПД третьему лицу;
  • в поручении для третьего лица указать перечень возможных действий с переданными ПД, цели обработки, требования к защите обрабатываемых ПД;
  • в поручении для третьего лица установить его обязанность соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке.
Читайте также:
Письменный отказ в заключении трудового договора по медицинским показаниям

Ни закон, ни разъяснения Роскомнадзора ничего не говорят о форме поручения. На практике под поручением понимается отдельное положение, включенное в текст договора с третьим лицом (согласно ч. 3 ст. 6 Закона о персональных данных). Например, такое поручение может содержать договор на оказание услуг.

За ошибки при обработке персональных данных в рекламных целях организациям и ИП придется уплачивать штрафы

Ответственность за нарушения закона: штраф для ИП – от 10 тыс. до 20 тыс. руб., для юрлиц – от 15 тыс. до 75 тыс. руб. (ч. 2 ст. 13.11 КоАП РФ).

И придется выплатить компенсацию морального вреда работнику, чьи права были нарушены.

Несмотря на передачу ПД работника третьему лицу, ответственность за их обработку несет работодатель.

Примеры из личной практики

  • К нам обратилась компания, которая была оштрафована на 60 тыс. руб. по ч. 2 ст. 13.11 КоАП РФ. Основание – передача ПД работников без их согласия сторонней организации, оказывающей бухгалтерские услуги. После проверки документов выяснилось, что компания получала согласие на обработку ПД от каждого работника при заключении трудового договора, считая, что этого достаточно для передачи ПД третьим лицам.
  • Региональная сеть частных медицинских клиник была оштрафована на 35 тыс. руб. по ч. 2 ст. 13.11 КоАП РФ. Основание – размещение Ф.И.О. и данных о медицинском образовании сотрудников на официальном сайте без их согласия.

Примеры из судебной практики

  • Работник взыскал с работодателя компенсацию морального вреда за передачу ПД при ответе на запрос адвоката (Решение Сыктывкарского городского суда Республики Коми по делу № 2-969/2019 от 14 марта 2019 г.).
  • Работодатель получил предписание от Роскомнадзора об устранении нарушений порядка передачи ПД работников третьему лицу: было неверно оформлено согласие, и в договоре с третьим лицом не указан перечень действий с ПД (постановление Арбитражного суда Московского округа по делу № А40-81171/2017 от 15 января 2018 г.).

Что нужно сделать компании и ИП до передачи ПД работников?

Если ПД работника передаются в пределах одной организации

  • Создайте локальный акт, в котором подробно должны быть расписаны процедура передачи ПД, цели и объем передаваемых данных, структурные подразделения, которые имеют право работать с ПД.
  • Приказом или локальным актом определите список лиц согласно штатному расписанию, которые вправе заниматься обработкой ПД работников. Документ должен содержать перечень ПД, обрабатываемых каждым работником.
  • Письменно ознакомьте каждого работника с локальными актами и приказами.

Если ПД работника передаются третьему лицу, не имеющему по закону права на получение данных без согласия работника

  • Возьмите письменное согласие работника на передачу его ПД третьему лицу в строгом соответствии с требованиями ч. 4 ст. 9 Закона о персональных данных.
  • Подпишите с лицом, которому передаются ПД работника, соглашение о конфиденциальности или попросите его предоставить гарантийное письмо, в котором лицо должно гарантировать соблюдение конфиденциальности. Документ также должен содержать цели обработки ПД.

Если ПД работника передаются третьему лицу в целях исполнения договора

  • Возьмите письменное согласие работника на передачу его ПД третьему лицу в строгом соответствии с ч. 4 ст. 9 Закона о персональных данных.
  • В заключенном с третьим лицом договоре необходимо указать следующие условия:
    • работодатель поручает исполнителю обработку ПД в соответствии с ч. 3 ст. 6 Закона о персональных данных;
    • исполнитель обязуется соблюдать принципы и правила обработки ПД, предусмотренные Законом о персональных данных;
    • перечень действий (операций) с ПД, которые будут совершаться исполнителем при обработке ПД работника;
    • цели обработки ПД;
    • исполнитель обязуется соблюдать конфиденциальность ПД и обеспечивать безопасность при их обработке;
    • требования к защите обрабатываемых ПД согласно ст. 19 Закона о персональных данных.

    1 Абзац 4 п. 4 Разъяснений Роскомнадзора от 14 декабря 2012 г. «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

    Распространение персональных данных: что должен знать кадровик

    Изменения, внесенные в Федеральный закон № 152-ФЗ «О персональных данных», вызвали у кадровиков шквал вопросов. И это не удивительно: толкуют закон по-разному, информация на профессиональных интернет-сайтах противоречивая, а официальных разъяснений пока нет.

    Что можно считать распространением персональных данных в кадровой работе? Когда следует получать у работников согласие о распространении их данных? Какова форма этого согласия?

    Ответы на эти и многие другие вопросы вы найдете в нашей статье.

    КОГДА ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ЯВЛЯЕТСЯ РАСПРОСТРАНЕНИЕМ

    Изменения в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 30.12.2020; далее — Федеральный закон № 152-ФЗ) были направлены на защиту тех персональных данных (далее — ПД), которые раньше назывались общедоступными. Именно об этом написано в пояснительной записке к Федеральному закону № 519-ФЗ[1]. Законодатель отметил, что общедоступные ПД также нуждаются в охране, поскольку третьи лица бесконтрольно используют данные с сайтов.

    Чтобы понять, что закон подразумевает под термином «распространение» ПД, надо обратиться к ст. 3 Федерального закона № 152-ФЗ, где даны определения основным понятиям:

    обработка персональных данныхлюбое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

    распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

    предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

    Можно сделать следующие выводы:

    1. Передача ПД может осуществляться путем их распространения, предоставления или открытием доступа к ним.

    2. Распространение ПД — это один из видов передачи данных, при котором ПД раскрываются неопределенному кругу лиц.

    3. Термины «распространение», «предоставление» не являются синонимами, поскольку имеют разное определение в законе.

    Эти выводы очень важны, поскольку позволяют четко разделить, когда происходит распространение (данные видит неограниченный круг лиц), а когда предоставление (данные получают строго определенные лица).

    Например, является ли предоставление ПД работника в банк для оформления зарплатной карты или передача данных работника для покупки билета на самолет распространением его ПД? Нет, не является, потому что эти данные предоставляются строго ограниченному кругу лиц. Их не сможет увидеть больше никто, кроме работников банка или специалистов по оформлению билетов.

    Если все так очевидно, то почему мнения юристов и консультантов так противоречивы?

    Полагаем, что законодатели сами несколько запутали ситуацию, применяя в п. 12 ст. 10.1 Федерального закона № 152-ФЗ все термины, характеризующие передачу ПД:

    Извлечение из Федерального закона № 152-ФЗ

    12. Передача (распространение, предоставление, доступ)[2] персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных.

    Из этого некоторые специалисты делают некорректные выводы:

    • все виды передачи ПД (в т. ч. их представление в ПФР, соцстрах, налоговую инспекцию) с 01.03.2021 обязательно должны сопровождаться получением от работника согласия на распространение его ПД;

    • все данные о работнике, которые использует работодатель, должны быть включены в согласие, а работник сам отметит, к каким ПД он разрешает доступ, какие можно предоставлять, а какие — распространять.

    Славинская мнение автора

    ОБ ИЗМЕНЕНИИ ТЕКСТА СОГЛАСИЯ НА ОБРАБОТКУ ПД

    В связи со всеми нововведениями возникает вопрос: надо ли что-либо изменять в тексте «старых» согласий на обработку ПД работников? Думаем, что текст согласия пересмотреть все же следует, обратив внимание на следующие моменты:

    Корректируем текст согласия

    Согласие на обработку ПД работников необходимо получать, только если работодатель собирает, обрабатывает и хранит данные, которые не связаны с исполнением трудового договора (фотография, адрес личной электронной почты и т. п.) То есть такие ПД, которые Трудовой кодекс РФ требовать у работника не обязывает.

    Вопрос в тему

    Соответственно, если работодатель обрабатывает только обязательную информацию, установленную в ст. 65 ТК РФ и в разделах личной карточки формы № Т-2, согласие на обработку ПД работников может отсутствовать. Именно такие разъяснения ранее давал Роскомнадзор[3].

    РАСПРОСТРАНЯЕТ ЛИ РАБОТОДАТЕЛЬ ПД СВОИХ РАБОТНИКОВ?

    Перефразируем вопрос: раскрывает ли работодатель ПД работников неопределенному кругу лиц? Многие скажут: «Нет, не раскрывает». Но спешить с ответом не стоит.

    Что такое раскрытие «неопределенному кругу лиц»? Это значит, что любой человек может свободно увидеть какие-либо ПД, они специально не скрыты. А к ПД закон относит практически любую информацию о работнике: Ф. И. О., должность, телефон, адрес, размер зарплаты, дату рождения, адрес личной электронной почты, личный телефонный номер, фото- и видеоизображение и пр.).

    Извлечение из Федерального закона № 152-ФЗ

    1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)[4];

    В настоящее время практически каждая компания каким-либо образом представлена в Интернете:

    • у нее есть свой сайт или страничка в социальной сети;

    • она включена в каталоги предприятий или организаций города;

    • зарегистрирована на торговых площадках или сайтах-агрегаторах. И на каждом ресурсе есть какие-либо сведения о работниках: контакты с указанием должностей, видеоролики и фото с участием работников.

    В офисах на досках объявлений размещают поздравления с днем рождения, фотографии лучших работников или фотоотчеты о мероприятиях, графики дежурств или какие-либо списки. И конечно, почти в каждом офисе на кабинетах есть таблички с указанием должностей и фамилий начальников или специалистов.

    Откройте страницу 3 нашего журнала. Справа указаны фамилия и инициалы шеф-редактора, его заместителя, научного редактора, должности и фамилии авторов статей. Любой человек может видеть эти ПД.

    Если ПД работников может увидеть любой человек, который откроет журнал, зайдет в помещение организации или на ее сайт в Интернете, то распространение ПД имеет место.

    Вопрос в тему 2

    В соответствии с изменениями в законодательстве у каждого работника, чьи ПД находятся на всеобщем обозрении, следует взять согласие на распространение его персональных данных. Однако из этого правила есть исключение: получать согласие не требуется, если обязанность размещать ПД работников в сети Интернет предусмотрена законодательством РФ [5] .

    [1] Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”».

    [2] В извлечении выделено автором.

    [3] Разъяснения Роскомнадзора от 14.12.2012 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» (https://clck.ru/UCN2Q; далее — Разъяснения от 14.12.2012).

    [4] Пункт 1 ч. 1 ст. 3 Федерального закона № 152-ФЗ.

    [5] Разъяснения от 14.12.2012, п. 15 ст. 10.1 Федерального закона № 152-ФЗ.

    А. Н. Славинская,
    специалист по кадрам

    Материал публикуется частично. Полностью его можно прочитать в журнале «Кадровые решения» № 5, 2021.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: