В каких случаях не требуется письменное согласие работника на использование его персональных данных
Относительно недавно в России был введен в оборот новый документ под названием «Согласие на обработку персональных данных». Очень быстро он получил повсеместное распространение и на данный момент широко используется в самых разных организациях, начиная от государственных бюджетных учреждений и до коммерческих компаний.
ФАЙЛЫ
Скачать пустой бланк согласия на обработку персональных данных .docСкачать образец согласия на обработку персональных данных .doc
Что собой представляет согласие
Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.
Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.
Когда чаще всего требуется согласие
Сейчас согласие необходимо писать почти повсеместно:
- при подаче документов на ребенка в садик или школу;
- при трудоустройстве;
- при заключении договора с банком, страховой компанией и т.д.
Иными словами, везде, где гражданин предоставляет свои личные документы или документы лица, представителем которого он является, заполняет различного рода тесты и анкеты, он подписывается такое согласие.
Что вкладывается в термин «персональные данные»
Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:
- фамилия, имя, отчество;
- дата и место рождения;
- сведения из паспорта, трудовой книжки и прочих документов;
- а также некоторые характеристики его личности.
При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.
В частности их условно можно поделить на три основных вида:
- общедоступные данные (ФИО, пол, дата, место рождения, гражданство и т.п.)
- биометрические (физиологические особенности индивида, его внешние параметры)
- специальные (народность, религия, здоровье и т.д.). Сюда же в некоторой степени относится и информация о месте работы человека, его отношениях с законодательством, привычках и т.п.
По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.
Для чего формируется согласие на обработку при трудоустройстве
Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д.
Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).
В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.
Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.
Если сотрудник отказывается подписывать согласие
Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.
Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.
В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.
Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.
Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.
Что грозит за разглашение персональных данных
- Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.
- Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.
- Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.
- В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).
Как уведомить
Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.
Можно ли отозвать согласие
Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает.
Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия.
Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.
Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).
Это требование должно быть выполнено не позже чем через месяц после написания отзыва.
Образец согласия
Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:
- наименование компании-работодателя;
- место и дата составления документа;
- фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.
Далее в основной части подробно указывается:
- каких именно персональных данных касается документ;
- в каких целях и что именно допустимо с ними делать;
- срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).
Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.
СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
г. Иваново
03.08.2018 г.
Я, Ковтун Инна Олеговна, паспорт 2495 564738, выдан Ленинским РОВД г. Иваново, адрес регистрации: г. Иваново, ул. Мельничная д.73, кв. 8, даю свое согласие ОАО «КомЖилФонд» на обработку моих персональных данных.
Согласие касается фамилии, имени, отчества, данных о поле, дате рождении, гражданстве, типе документа, удостоверяющем личность (его серии, номере, дате и месте выдачи), а также сведений из трудовой книжки: опыте работы, месте работы и должности.
Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях.
Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч.
передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.
До моего сведения доведено, что ОАО «КомЖилФонд» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.
Подтверждаю, что давая согласие я действую без принуждения, по собственной воле и в своих интересах.
Ковтун И.О. (подпись)
Как работать с персональными данными работников в 2022
Корчагина Ксения, юрист
Казалось бы, есть всего один закон 152-ФЗ о персональных данных. Но в нем все так описано, что тонут даже юристы. Не всегда понятно, может ли работодатель не уведомлять Роскомнадзор, когда нужно согласие работника на обработку персональных данных, а когда можно работать без него. Нужно ли согласие на обработку от соискателя.
Персональные данные — это ФИО работника, ИНН, СНИЛС, телефон, размер зарплаты и даты рождения его детей. Это любая информация, прямо или косвенно относящаяся к сотруднику, как указано в ст. 3 закона о персональных данных 152-ФЗ. Даже просто ФИО «Иванов Иван Иванович» без даты рождения или номера телефона Роскомнадзор считает персональными данными.
Кадровик сталкивается с персональными данными, когда получает резюме соискателя, сообщает охраннику данные кандидата для оформления пропуска, заполняет трудовой договор или отправляет СЗВ-ТД в Пенсионный фонд.
Любые действия кадровика с персданными работника называются обработкой персональных данных. По п. 3 ст. 3 закона о персданных обработка персданных включает в себя сбор, запись, систематизацию, использование, распространение, удаление данных.
Как только работодатель приступил к обработке персданных, он обязан их защищать, хранить и обрабатывать по правилам закона о персональных данных, гл. 14 Трудового кодекса. Иначе Роскомнадзор оштрафует по жалобе работника или при проверке. За грубейшие нарушения возможна уголовная ответственность.
Вот популярные нарушения работодателей в работе с персданными.
Нарушение № 1. Не получают согласие работника на обработку данных, когда это нужно
Компания публикует фотографии работников на сайте компании. Это распространение информации неограниченному кругу лиц. Нужно оформить согласие работника на распространение.
Еще пример. Работодатель перечисляет зарплату работника на счет его супруги. Реквизиты счета прописаны в допсоглашении к трудовому договору с работником. Это обработка данных супруги без ее согласия. Если согласия супруги не предоставить, Роскомнадзор оштрафует при проверке.
Штраф за нарушение — до 150 тыс. рублей компании, до 40 тыс. рублей руководителю по ч. 2 ст. 13.11 КоАП РФ.
Нарушение № 2. Обрабатывают данные в непредусмотренных законом случаях
Магазин собирает и хранит справки работников об отсутствии судимости. Это обработка не предусмотренной законом информации, за которую Роскомнадзор может оштрафовать.
А вот школа имеет право запрашивать у работников такие справки и хранить их, поскольку это ее обязанность по ст. 65 ТК РФ.
Штраф за нарушение до 100 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 1 ст. 13.11 КоАП РФ.
Нарушение № 3. Получают данные для одной цели, а используют для другой
Работодатель взял копию диплома, чтобы оформить прием. А потом опубликовал его на сайте компании, чтобы подтвердить экспертность своих сотрудников. Его оштрафуют, потому что цель обработки достигнута — прием оформлен, а документ не уничтожен.
Штраф за нарушение до 100 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 1 ст. 13.11 КоАП РФ.
Нарушение № 4. Не публикуют политику обработки персональных данных
Политика обработки персданных нужна обязательно, и у работников должен быть к ней свободный доступ. Кто-то вывешивает политику на доске при входе в офис, кто-то публикует ее на сайте. Политика обязательно должна быть на сайте, если там выложены вакансии с возможностью откликнуться на них через сайт.
Штраф за нарушение до 60 тыс. рублей компании, до 12 тыс. рублей руководителю по ч. 3 ст. 13.11 КоАП РФ.
Нарушение № 5. Не вовремя реагируют на запрос гражданина о его персональных данных
Работодатель должен ознакомить работника с обрабатываемыми пересданными в день обращение или в течение 30 дней с даты получения запроса работника. Иначе оштрафуют.
Для защиты компании работодатели прописывают в политике обработки адрес для таких запросов. Это помогает избежать ситуации, когда гражданин пишет запрос на электронку отдела продаж и его запрос долго передают ответственному за обработку персданных.
Штраф за нарушение до 80 тыс. рублей компании, до 12 тыс. рублей руководителю по ч. 4 ст. 13.11 КоАП РФ.
Нарушение № 6. Не уничтожают персональные данные работника по его требованию
Гражданин и Роскомнадзор вправе письменно потребовать уточнить, заблокировать или уничтожить персональные данные, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
Так, одна компания размещала на сайте информацию о своих сотрудниках-специалистах. После увольнения работник потребовал удалить информацию. А компания отказалась и получила максимальный на тот момент штраф 25 тыс. рублей. С 21 марта 2021 штрафы увеличили. См. Постановление 2 КСОЮ от 30.11.2021 № 16-9529/21.
Штраф за нарушение до 90 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 5 ст. 13.11 КоАП РФ.
Нарушение № 7. Хранят данные в базах данных, находящихся не в России
Как работодателю не налететь на штраф из-за защиты персональных данных
Работодатель, принимая на работу нового сотрудника, запрашивает у него согласие на обработку персональных данных.
Сегодня разберем, что такое персональные данные, какой правовой режим устанавливается в отношении персональных данных и какие обязанности возникают у работодателя.
Трудовой кодекс РФ (далее — ТК РФ) устанавливает особенности защиты, а также хранения, использования и передачи персональных данных работника в Главе 14 «Защита персональных данных работника». Правила работы с персональными данными содержатся в Федеральном законе «О персональных данных» от 27.07.2006 № 152-ФЗ.
Под персональными данными понимаетсялюбая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Т.е. персональными данными является огромное количество информации, позволяющей идентифицировать человека, начиная от даты рождения, фамилии, имени, отчества, и заканчивая информацией о расовой, национальной принадлежности человека, его политических взглядах.
Можно привести примерный перечень персональных данных работника:
- фамилия, имя, отчество;
- дата рождения;
- адрес места регистрации/места жительства;
- сведения, содержащиеся в документах, предоставляемых при трудоустройстве: паспорте, трудовой книжке, документе об образовании, свидетельстве о государственном пенсионном страховании;
- сведения о трудовом (страховом) стаже;
- сведения о привлечении работника к материальной ответственности;
- сведения о состоянии здоровья и результатах медицинского обследования работника;
- любые иные сведения, позволяющие определить работника.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В терминах Закона № 152-ФЗ организация-работодатель является оператором персональных данных, так как организует и осуществляет обработку персональных данных, а также совершает иные действия с персональными данными. Следовательно, работодатель при принятии на работу работника, оформляя должным образом все необходимые документы, будет являться оператором, осуществляющим обработку персональных данных.
Источник получения персональных данных
Источником получения персональных данных о работнике может являться не только он сам. Однако, для исключения возможных неточностей все персональные данные работника следует получать у него самого.
Если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных.
Например, если работодатель решит получить дополнительную информацию о профессиональной подготовке работника в другой организации, то ему необходимо получить письменное согласие работника на такой запрос. Для получения согласия работодатель может направить работнику уведомление о получении персональных данных работника от третьих лиц с просьбой дать согласие на получение таких данных.
Работа с персональными данными
Согласие на обработку персональных данных оформляется исключительно в письменной форме.
Однако из данного правила имеются исключения.
В частности, допускается обработка персональных данных в случаях, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Данное правило распространяется и на стороны трудового договора, то есть работника и работодателя.
Из сказанного следует, если работодатель получает от работника, хранит и передает лишь ту информацию, которая необходима для исполнения трудового договора, получение согласия работника на такие действия не требуется.
Возникает большое количество вопросов относительно контактных данных работника, ведь отсутствие такой информации не влечет невозможность исполнения трудового договора.
Согласно статье 65 ТК РФ предоставление каких-либо документов с контактными данными не требуется.
Поэтому, если работодатель желает получить такого рода информацию (а также иную информацию, неполучение которой не влечет невозможность исполнения договора), ему необходимо получить на это согласие работника.
Между тем, даже если у работника не берется согласие на обработку персональных данных, в целях соблюдения положений статьи 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Статьей 88 ТК РФ установлены требования к передаче персональных данных работника.
Так, работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника и в иных предусмотренных законодательством случаях. Были даны разъяснения, в каких случаях при передаче персональных данных работника третьим лицам согласия работника не требуется:
- в Фонд социального страхования РФ, Пенсионный фонд РФ;
- в банковские организации, открывающие и обслуживающие банковские карты для начисления заработной платы в случаях:
- когда договор на выпуск банковской карты заключался напрямую с работником и в его тексте предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
- наличия у работодателя доверенности на представление интересов работника;
- когда соответствующая форма и система оплаты труда прописана в коллективном договоре
Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований законодательства, а именно путем утверждения Положения о хранении и использовании персональных данных работников. В Положении стоит указать порядок допуска к работе с персональными данными, перечень данных, с которыми работают должностные лица, порядок передачи данных внутри и за пределы организации.
Доступ к персональным данным работника должен быть разрешен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
Защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет собственных средств.
Отдельные вопросы порядка работы с персональными данными
Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством. К таким случаям, в частности, относится обработка персональных данных для целей бухгалтерского и налогового учета.
Также в случаях наличия согласия работника работодатель вправе хранить копию трудовой книжки уволенного работника.
Интересна позиция Роструда при оформлении пропусков для доступа к месту работы, которые представляют собой копию паспорта работника.
Так, на сайте Роструда был задан вопрос, нарушает ли положение о защите персональных данных предъявление такого рода пропуска сотрудникам охранной организации (то есть третьему лицу).
По мнению Роструда, оформление такого рода пропусков и обязание работников предъявлять такие пропуска сторонней организации возможно только с письменного согласия работника.
Необходимо отметить, что в случае хранения в личном деле каких-либо документов, касающихся родственников работников (например, копия свидетельства о рождении ребенка для получения вычета, копии свидетельства о заключении брака, др.), работодатель должен получить согласие на обработку персональных данных либо от совершеннолетних членов семьи, либо от самого работника, как полномочного представителя своих несовершеннолетних детей.
Кроме того, в целях соблюдения положений законодательства о персональных данных, не допускается издание одного приказа, например, о переводе нескольких работников на новые должности, так как такой приказ будет нарушать конфиденциальность персональных данных: в приказ включается информация о заработной плате каждого работника, а такие сведения не подлежат разглашению третьим лицам.
Многих работодателей интересует вопрос о возможности ведения видеонаблюдения на территории организации и необходимости получения согласия работников. Из статьи 22 ТК РФ вытекает право работодателя осуществлять контроль за трудовой деятельностью работников.
Формы такого контроля законодательством не установлены. Они закрепляются локальными нормативными актами, действующими в организации.
Следовательно, для введения системы видеонаблюдения работодателю необходимо издать соответствующий локальный нормативный акт, с которым ознакомить работников.
При осуществлении контроля работодатель обязан соблюдать конституционные права граждан, а также требования законодательства о защите персональных данных работников.
Ответственность за нарушения в сфере обработки персональных данных
Статьей 13.11 КоАП РФ предусмотрена ответственность за обработку персональных данных в случаях, не предусмотренных законодательством РФ, либо их обработка, не совместимая с целями сбора персональных данных. Организация по этой норме будет оштрафована на сумму от 30 000 до 50 000 рублей.
Частью 2 статьи 13.
11 КоАП РФ выделен самостоятельный состав правонарушения, который образует обработка персональных данных без письменного согласия их субъекта (работника) либо обработка персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие.
Должностному лицу компании-работодателя грозит штраф в размере от 10 000 до 20 000 рублей, а организации — от 15 000 до 75 000 рублей.
По материалам журнала «Наша бухгалтерия»
Чиновникам-руководителям разрешили работать до 70 … Чиновникам-руководителям разрешили работать до 70 … ⚡ В четырех новых регионах вводят военное положени… Четырех по 10 не предлагать! Марафон желаний для бухгалтера ну конечно же — она оказалась не виновата! ) Марафон желаний для бухгалтера ⚡ Число мобилизованных в России не превысит 300 ты…
Персональные данные сотрудника: как с ними работать
Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ (ст. 24) и Федеральный закон от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных).
В ст. 24 Конституции РФ говорится, что «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются».
Закон о персональных данных определяет значение не только ключевых понятий, с которыми придется сталкиваться на практике каждому работодателю, но и вводит принципы и условия обработки персональных данных, права субъекта персональных данных и другие важные моменты.
Вопросам защиты персональных данных работника посвящена гл. 14 ТК РФ.
Что включают персональные данные работника
Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.
В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции.
К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании.
Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.
Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы.
Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников?
На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.
Что делать с персональными данными кандидата
Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.
В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.
Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.
Но есть и исключения, когда такое согласие не требуется:
- если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
- при самостоятельном размещении резюме в интернете.
В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность. Можно воспользоваться образцом согласия на обработку персональных данных.
Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.
Что делать, если персональные данные собираются с помощью анкеты
Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.
А во-вторых, она должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Это значит, что:
- в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
- в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
- анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;
- в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле.
Что делать с данными кандидата, которого не взяли на работу
В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.
Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.
Направление запросов на прежние места работы
На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.
Для этого ему обязательно нужно заручиться согласием соискателя.
Сбор и обработка персональных данных при приеме на работу
Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно ст. 65 ТК РФ, запрашиваются:
- паспорт или иной документ, удостоверяющий личность;
- трудовая книжка;
- документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
- при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.
На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется. Когда он подписывает трудовой договор, то тем самым уже дает свое согласие.
Оформление зарплатной карты и персональные данные работника
Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно.
При этом важно, чтобы:
- перечень персональных данных строго соответствовал тому, что передается в банк;
- была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.
Роскомнадзор определяет случаи, когда передача персональных данных работника банку для открытия зарплатных карт должна происходить без согласия:
- договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;
- у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;
- соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 ТК РФ).
Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.
В прошлом году была установлена ответственность за «зарплатное рабство». Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата.
Сотрудник сменил фамилию — что делать с трудовым договором?
В этом случае нужно обязательно внести изменения в трудовой договор. Главное — сделать это правильно.
Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.
Правильно будет внести изменение непосредственно в текст трудового договора, вручную.
Размещение «черных списков» сотрудников на сайте
Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.
Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в Письме от 08.10.2018 N 14-2/В-803.
В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.
Роскомнадзор в своих рекомендациях формулирует следующие требования:
- Содержание согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.
- Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
- Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно ч. 4 ст. 9 Закона о персональных данных.
Оформление доски почета
Противоположная ситуация — это поощрение работника в виде доски почета. Но и здесь есть свои тонкости.
Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.
Для использования фото сотрудника тоже придется заручиться согласием.
Персональные данные для пропуска
В большинстве организаций сейчас действует пропускной режим. Соответственно, новым работникам требуется оформление пропуска.
В данном случае нет необходимости в получении согласия на обработку персональных данных, если:
- компания самостоятельно осуществляет пропускной режим;
- если обработка соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со ст. 372 ТК РФ.
В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно.
Кадровый и бухгалтерский учет на аутсорсе и персональные данные
Если работодатель решает вопросы кадрового и бухгалтерского характера при помощи аутсорса, то есть силами сторонних организаций, то он должен соблюдать требования, обозначенные ч. 3 ст. 6 Закона о персональных данных.
Что делать с персональными данными уволенных сотрудников
Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета.
Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (пп. 5 п. 3 ст. 24 НК РФ). И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется.
Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет. Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется.
Как оформить согласие на обработку персональных данных в 2022 году
- Главная →
- Журнал →
- Бизнес →
- Риски
Согласие на обработку персональных данных — письменный или цифровой документ, который подтверждает добровольное решение гражданина передать оператору свою личную информацию для определенных целей. По Закону № 152-ФЗ оператор должен его получать в большинстве случаев. Разбираемся, когда требуется разрешение на обработку ПД, и какие к нему есть требования в 2022 году.
Согласие на обработку персональных данных в 2022 году должно быть конкретным, предметным, информированным, сознательным и однозначным (ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ). Это означает, что в нем есть:
- конкретная цель обработки — например, для оформления трудовых отношений;
- перечень ПД — например, ФИО, дата рождения, сведения об образовании, месте работы, адресе;
- список действий с персональными данными — к примеру, сбор, хранение;
- место и способы обработки ПД — адрес оператора, автоматизированная или неавтоматизированная обработка;
- срок действия согласия;
- наименование, ФИО, адрес лица, которое обрабатывает ПД, если оператор поручает это другому лицу;
- ясно выраженное согласие гражданина — подпись, галочка или другая отметка.
По умолчанию любые действия с личной информацией без согласия субъекта или законных оснований не допускаются (ст. 6, 9 152-ФЗ). При этом на распространение ПД документ оформляют отдельно (ст. 10.1 152-ФЗ).
Согласие получают конкретно для каждой цели. То есть у оператора будет несколько документов. Это следует из части 4 ст. 9 152-ФЗ, где цель указана в единственном числе, а также из требования не хранить в одной базе данных сведения для несовместимых целей (ч. 3 ст. 5 152-ФЗ).
Работать с персональными данными можно только на законных основаниях (ст. 5 152-ФЗ). Обработка без разрешения субъекта допускается в случаях, предусмотренных международными договорами или нормативными правовыми актами (ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 152-ФЗ). Например:
- личная информация обрабатывается при участии физлица в судебном процессе;
- гражданин регистрируется на портале Госуслуг;
- сведения нужны для исполнения условий договора с субъектом ПД;
- специальные персональные данные, например, о состоянии здоровья обрабатываются в соответствии с трудовым, социальным или пенсионным законодательством.
Гражданин имеет право отозвать выданное согласие на обработку ПД в любой момент. В этом случае действия с его личной информацией можно продолжать только при наличии указанных выше правовых оснований. Обязанность доказать законность обработки: предоставить согласие гражданина или отдельную норму права, возложена на оператора (ч. 2 ст. 9 152-ФЗ).
Работодателям стоит помнить, что обработка биометрических персональных данных работников в рамках трудовых отношений возможна только с письменного согласия сотрудника (ст. 11 152-ФЗ). Для специальных и общедоступных ПД оно не нужно. Это значит, что ФИО, сведения об образовании обрабатываются свободно. А вот видеонаблюдение за работником возможно только с его письменного разрешения.
Закон разрешает получить согласие физического лица на обработку его ПД в любом виде. Главное подтвердить, что оно есть и дано именно субъектом персональных данных либо его представителем (ч. 1 ст. 9 152-ФЗ). То есть теоретически согласие можно оформить даже в виде записи на диктофон, если по ней точно идентифицируется личность гражданина.
Если по Закону согласие должно быть оформлено именно в письменном виде — например, на обработку биометрических данных, то электронный документ с электронной подписью (ЭП) признается равнозначным бумажному оригиналу с личной подписью субъекта (ч. 4 ст. 9 152-ФЗ). Главное, чтобы ЭП соответствовала требованиям (Приказ ФСБ России от 27.12.2011 № 796).
Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!
Попробовать
Утвержденного бланка согласия на обработку ПД нет. Общие требования к его содержанию приведены в статье 9 152-ФЗ.
В интернете доступно много образцов согласия, например, на сайте Управления Роскомнадзора Сибирского ФО. Пользоваться ими нужно аккуратно, с учетом изменений в Законе 152-ФЗ:
- одна цель обработки — одно согласие;
- разрешение на распространение ПД оформляется отдельно.
Лицо, которое обрабатывает ПД по поручению оператора, согласие субъекта не получает (ч. 4 ст. 6 152-ФЗ).
В некоторых случаях оператор раскрывает персональные данные неопределенному кругу лиц. Например, публикует на сайте отзыв клиента, содержащий ФИО, email и другую личную информацию. Или помогает заказчику получить кредит и отправляет от его имени заявку в разные банки и МФО.
Это называется распространением персональных данных, на которое нужно получать отдельное согласие субъекта ПД (ч. 1 ст. 10.1 152-ФЗ). Требования к содержанию такого разрешения определены Роскомнадзором (Приказ от 24.02.2021 № 18).
Сдать всю отчетность через интернет — с подсказками и проверкой на ошибки
Попробовать
Согласие на распространение может быть оформлено двумя способами (ч. 6 ст. 10.1 152-ФЗ):
- передано субъектом непосредственно оператору;
- заполнено с использованием информационной системы Роскомнадзора.
В первом случае оператор может получить шаблон документа на сайте Роскомнадзора. Для подготовки разрешения, адаптированного под конкретную деятельность, понадобится подтвержденная учетная запись на портале Госуслуг организации, ИП или физического лица.
На портале Роскомнадзора через ЕСИА формируется запрос. В результате оператор получает доступ к форме согласия на распространение ПД, которую он заполняет с учетом своей специфики. Готовый шаблон можно отправить на проверку в Роскомнадзор и получить его рекомендации.
Форму согласия на распространение ПД можно подготовить с использованием информационного ресурса Роскомнадзора.
Если оператор решит разработать свой бланк, то он должен указать в нем обязательные пункты по Приказу от 24.02.2021 № 18. По каждой категории и перечню ПД у субъекта должна быть возможность выбора одной из трех категорий:
- разрешено;
- запрещено;
- разрешено с условиями — указать условия.
Молчание или бездействие гражданина ни при каких обстоятельствах не считаются согласием на обработку ПД, разрешенных для распространения (ч. 8 ст. 10.1 152-ФЗ).
Оператор обязан в течение трех рабочих дней с даты получения разрешения на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц (ч. 10 ст. 10.1 152-ФЗ). Например, разместить ее на своем сайте.
Эта мера нужна для защиты права субъекта ПД на конфиденциальность. Лица, получающие доступ к его личной информации, должны соблюдать условия и запреты, перечисленные в согласии на распространение.