Проблемы

В каких случаях не требуется письменное согласие работника на использование его персональных данных

Бухгалтеры и специалисты по кадровому учету уже давно привыкли, что при приеме на работу нового сотрудника у него нужно брать Согласие на обработку персональных данных.

А если сотрудник отказывается подписывать его? Какие штрафы ждут организацию за отсутствие этого документа? Да и как показывает судебная практика по таким вопросам, не все так просто, как кажется на первый взгляд.

В этой статье мы подробно разберем все нюансы и расскажем о нововведениях в работе с личными данными в 1С: Бухгалтерии предприятия ред. 3.0.

В рамках трудовых отношений компании — работодателю необходимо обладать личными данными физ. лица для корректного оформления кадровых документов и выполнения работником своих трудовых функций.

Персональные данные (по тексту далее ПДн) — это информация, которую можно отнести к конкретному физ. лицу (Закон от 27.07.2006 № 152-ФЗ). Как правило, такими данными является Ф.И.О., сведения о предыдущих местах работы, паспортные данные, и прочие.

Стоит заметить, что работодатель вправе запрашивать только те сведения, которые нужны для выполнения должностных обязанностей. Это значит, что информацию, касающуюся национальной принадлежности, политических взглядов, вероисповедания и другие подобные сведения работодатель запрашивать не имеет права.

Форма согласия

Форма документа не регламентирована, а значит может составляться по шаблону, разработанному фирмой самостоятельно. Но следует помнить, что статья 9 ФЗ от 27.07.2006 № 152-ФЗ содержит перечень обязательных требований.

Новые правила с 2021 года

1 марта произошли изменения в ФЗ от 27.07.2006 № 152-ФЗ, которые внес ФЗ от 30.12.2020 № 519-ФЗ.

Рассмотрим основные нововведения.

1. Появился документ «Согласие на распространение ПДн сотрудника».

Теперь, получив от сотрудника согласие на обработку ПДн, компания не может их распространять. Для этих целей необходимо получить от физ.

лица отдельный документ, который позволяет оператору распространять данные, например, размещать их на сайте компании, на доске почета, передавать банку и другое.

В этом документе важно предоставить сотруднику возможность указать какую именно информацию он разрешает распространять работодателю.

2. Молчание субъекта ПДн не может быть расценено, как согласие на распространение ПДн. Это актуально и для бездействия сотрудника (п. 8 ст. 10.1 Закона № 152-ФЗ).

3. Любые ПДн о физ. лице можно публиковать только при наличии его письменного согласия, даже если лицо самостоятельно их разместило в общедоступном месте (интернет или социальные сети). Раньше такие личные данные можно было распространять без получения согласия от их владельца (п. 2 ст. 10.1 Закона № 152-ФЗ).

Отказ от согласия

В случае, если сотрудник не дал согласия на распространение ПДн, но при этом дал согласие на обработку, то работодатель не в праве передавать информацию третьим лицам (п. 4 ст. 10.1 Закона № 152-ФЗ).

Правило не распространяется на передачу ПДн гос. органам (ИФНС, ФСС, ПФР, полиции и другим).

Стоит отметить, что сотрудник и вовсе может отказаться от дачи согласия на обработку ПДн. Но это не значит, что работодатель не вправе обрабатывать такие данные. Это возможно в случаях, указанных в ч. 2 ст. 9 Закона № 152-ФЗ. Одним из которых является выполнение возложенных законом обязанностей на компанию.

Как работодателю получить согласие?

Получить согласие на распространение ПДн можно двумя способами:

1. Непосредственно у физ. лица, то есть с личной подписью на бумаге;

2. Через информационную систему Роскомнадзора. Любое физ. лицо может подключиться к системе для того, чтобы указать какие ПДн и кому он разрешает распространять.

Оператор, в свою очередь, также имеет возможность подключиться к данной системе и не получать от конкретного физического лица письменное согласие, а использовать информацию, содержащуюся в системе Роскомнадзора. Это возможность станет доступной с 1 июля 2021 года.

Форма документа

Требования к содержанию согласия на распространение персональных данных утверждены Приказом Роскомнадзора от 24.02.2021 N 18. Стоит заметить, что не нужно уведомлять Роскомнадзор о своем намерении распространять персональные данные, имея на это разрешение субъекта.

Можно ли получить одно согласие от работника, прописав в нем все возможные цели обработки/распространения?

Зачастую документ «Согласие» содержит в себе не одну цель обработки и не одно третье лицо, которому распространяется информация, а сразу несколько, что по мнению Роскомнадзора противоречит действующему законодательству.

Согласно позиции ведомства, на каждую цель и на каждое третье лицо, которому разглашается информация о физическом лице, должно быть свое согласие. Это следует из ч. 4 ст. 9, ч. 5 ст. 18 Закона от 27.07.2006 № 152-ФЗ.

В этих статьях «цель обработки» и третье лицо указаны в единственном числе, следовательно, совмещать несколько целей и несколько третьих лиц в одном документе неправомерно.

Данное правило применимо ко всем случаям, когда необходимо получить письменное согласие работника.

Судебная практика на данный момент не на стороне работодателя (Постановление от 15 января 2018 г. по делу № А40-81171/2017). В связи с этим компаниям придется оформлять большое количество согласий от работников, чтоб соблюсти нормы законодательства.

Отзыв согласия

  • Работник организации в любой момент имеет право отозвать свое согласие на обработку и распространение персональных данных.
  • Для этого ему достаточно будет подтвердить свое решение письменным требованием в произвольной форме.
  • В документе следует указать:
  • ФИО заявителя;
  • контакты заявителя;
  • ПДн, обработку и распространение которых необходимо прекратить.

Работодатель должен прекратить пользоваться информацией в течение трех рабочих дней.

Иначе сотрудник имеет право обратиться в суд (п. 14 ст. 10.1 Закона № 152-ФЗ).

Не стоит забывать, что есть ПДн, на обработку которых согласие сотрудника не требуется, например, те, что нужны для исполнение трудового договора. Все остальные данные компании-работодателю стоит уничтожить.

Штрафы

Компаниям и ИП однозначно стоит уделить внимание новшествам, описанным выше, так как штрафные санкции увеличились вдвое.

Начиная с 27 марта 2021 г. за работу с ПДн сотрудников без их письменного согласия ИП ждет штраф от 20 000 до 40 000 руб., организации, при аналогичном нарушении должны будут уплатить от 30 000 до 150 000 руб.

Если же ИП нарушит законодательство повторно, то штраф будет составлять от 100 000 до 300 000 руб., а для компаний — от 300 000 до 500 000 руб. (ч. 2 ст. 13.11 КоАП). Наказание за такое правонарушение может последовать в течение года (ст. 4.5 КоАП РФ).

Подведем итог: правила обработки личных данных касаются абсолютно всех физических и юридических лиц.

В этой связи, работодателям целесообразно брать с сотрудников:

1. согласия на обработку персональных данных;

2. согласия на распространение персональных данных.

Документы составляются в соответствии с требованиями действующего законодательства.

Игнорирование правил обработки и распространения данных может привести к серьезным финансовым потерям.

Учет персональных данных в 1С: Бухгалтерии предприятия ред. 3.0

В программах 1С новый документ «Согласие на распространение персональных данных» на данный момент не реализован. Но и о наличии согласия на обработку персональных данных знают далеко не все бухгалтеры.

Первое, что необходимо знать — это то, что все данные хранятся в карточках физ. лиц. При приеме на работу личные данные субъекта в справочнике «Физические лица» заполняются автоматически на основании справочника «Сотрудники».

В каких случаях не требуется письменное согласие работника на использование его персональных данных

Не заметить кнопку, выводящую на печать нужный нам документ сложно, ведь она располагается прямо на панели инструментов

В каких случаях не требуется письменное согласие работника на использование его персональных данных

Рассмотрим подробнее алгоритм заполнения Согласия на обработку ПНд.

Основные сведения о физ. лице и о компании заполняются автоматически.

Следует проверить отраженные программой информации и заполнить следующие строки:

1. Ответственный за обработку — выбираем работника организации, на которого возложена ответственность за обработку данных;

2. ФИО ответственного лица для печати.

Самая частая ошибка в этом документе — это дата получения согласия.

  1. Зачастую документ печатают позже необходимой даты и уделяют внимание лишь полю «дата», меняя значение на корректное, но забывают сменить дату в поле «согласие получено».
  2. В итоге показатели в этих полях существенно различаются и могут не соответствовать действительности.
  3. Поле «Срок действия» заполняется только в том случае, если согласие предоставлено на определенные период времени, иначе конечную дату устанавливать не нужно, согласие будет бессрочным.

В каких случаях не требуется письменное согласие работника на использование его персональных данных

Распечатать документ можно в формате Word или в табличном формате 1С.

В каких случаях не требуется письменное согласие работника на использование его персональных данных

При получении от сотрудника письменного заявления на отзыв согласия на обработку ПДн, есть возможность сформировать одноименный документ из «Согласие на обработку ПДн».

Нужная для этого кнопка располагается на панели инструментов.

В каких случаях не требуется письменное согласие работника на использование его персональных данных

В отзыве снова заполняем ответственное лицо и его ФИО.

Особое внимание стоит уделить полям «Дата» и «Согласие отзывается». Они должны соответствовать дате заявления работника. Документ оповещает нас о том, что ранее у субъекта было получено Согласие.

В нашем примере оно было бессрочным. Данный документ не имеет печатной формы, но в 1С сведения регистрируются.

В каких случаях не требуется письменное согласие работника на использование его персональных данных

Все полученные и отозванные физическими лицами согласия можно найти в отчетах по кадрам.

В каких случаях не требуется письменное согласие работника на использование его персональных данных

Здесь интересны сразу два отчета, выделенные на скриншоте ниже. Они позволяют отследить действующие согласия и согласия, по которым истекает срок действия.

Также возможно увидеть отзывы согласий сотрудников.

В каких случаях не требуется письменное согласие работника на использование его персональных данных

Сформируем отчет по действующим согласиям.

У Васильева К.М. дата получения согласия и дата документа основания совпадают, чего нельзя сказать о Березовском А.

В каких случаях не требуется письменное согласие работника на использование его персональных данных

Двойным щелчком мыши по документу основанию можно открыть Согласие на обработку ПДн.

Дата получения согласия существенно отличается от даты создания документа. Если различие дат является ошибкой, то это необходимо исправить.

Обратим внимание, что в документе установлена дата, до которой будет действовать согласие, т.е. данное согласие не бессрочно.

В каких случаях не требуется письменное согласие работника на использование его персональных данных

Теперь сформируем отчет «Согласие на обработку ПДн, срок действия которых истекает».

По этому отчету легко проследить сроки действия согласий. Если данное поле пустое, значит согласие действует бессрочно. Также с помощью этого отчета можно увидеть отзывы согласий.

В соответствии с ФЗ от 27.07.2006 No 152-ФЗ работодатели обязаны сохранять конфиденциальность персональных данных, полученных от физических лиц.

В 1С можно отследить информацию по работе пользователей с данными.

Для этого необходимо произвести следующие настрой программы. Переходим в «Администрирование» — «Настройки пользователей и прав».

  • Раскрываем группу «Защита персональных данных».
  • Сначала зайдем в «Настройки регистрации событий доступа к персональным данным».
  • По умолчанию здесь не проставлены галочки, но для того, чтобы программа регистрировала события доступа к ПДн, необходимо проставить галочки вручную.

Список данных предопределен. Пользователю надо выбрать ту информацию, по которой предполагается отслеживание изменений.

После того, как в программе будут установлены необходимые галочки, станет доступен журнал «Защита персональных данных».

Данный журнал позволяет отследить действия сотрудников в программе.

Важно, чтоб каждый из них заходил под своим именем и паролем. Регистрация в программе происходит в режиме реального времени. В журнале удалить данные нельзя. Все необходимые кнопки по отбору вынесены на панель инструментов.

Таким образом программа 1С позволяет регистрировать события доступа к персональным данным физических лиц.

  • Как защититься во время совместных проверок полиции и налоговиков

Обработка персональных данных родственников и третьих лиц — надо ли брать согласие?

25 ноября

7307

#CNT# data-template-html-inactive=В избранное #CNT#>

С персональными данными родственников работника и других третьих лиц также могут производиться операции по их обработке. Их производит работодатель в качестве оператора ПД.

В зависимости от количества заключаемых договоров, наличия социальных программ на предприятии и прочих обстоятельств, субъектами ПД выступают партнеры, ближайшие родные сотрудников — люди, которые по отношению к работодателю не являются ни соискателями, ни работниками.

Более подробно об обработке персональных данных родственников и иных лиц, имеющих отношение к работникам (детей, родителей, супругов и др.) вы узнаете, если запишетесь на наш дистанционный курс по персональным данным.

Важно понимать, что характер конфиденциальной информации, собираемый по каждому субъекту, подчинен целям обработки. Какие цели могут обусловить сбор конфиденциальных сведений о третьих лицах:

  • внесение в ИСПДн, обеспечение дополнительными социальными льготами;
  • оформлении кадровой номенклатуры дел (сведения о родных по форме Т-2);
  • обеспечение исполнения договорных обязательств; другое.
Что нового появилось в трудовом законодательстве на этой неделе расскажет Валентина Митрофанова. Смотрите новый выпуск  «Кадрового обзора».
Важно!
Не нужно получать согласие родных работника на обработку их личных сведений в границах, предусмотренных личной карточкой по форме Т-2 — п. 2 разъяснений Роскомнадзора от 14 декабря 2012 г.

В каких случаях не требуется письменное согласие работника на использование его персональных данных

Совет Как быть, если сотрудник отказывается сообщать данные о родственниках для заполнения Т-2? На основании ст. 9 Закона No 152-ФЗ сотрудник передает собственные персональные данные. При уклонении от предоставления информации о родственниках работодатель не вправе их требовать — ч. 1 ст. 9 No 152-ФЗ, п. 3 ст. 86 ТК РФ. В этом случае некоторые разделы личной карточки Т-2 останутся незаполненными по объективным причинам. Чтобы обезопасить себя от претензий со стороны проверяющих, рекомендуем составить акт или взять с работника соответствующее заявление об отказе.

Для достижения целей обработки ПД при:

  • выполнении обязанностей, возложенных законом на оператора;
  • исполнении условий договора с сотрудником необходимая обработка персональных данных родственников производится без согласия субъекта — статья 6 No 152-ФЗ.

Если случаи обработки конфиденциальной информации не предусмотрены действующим законодательством, необходимо получить согласие на обработку персональных данных от самого работника, от его родственников (жены, мужа, брата, сестры, родителей, совершеннолетних детей) и иных третьих лиц, чьи ПнД подлежат обработке.

Необходимо взять согласие родственников и прочих лиц на обработку персональных данных до того, как вы начнете производить какие-либо операции с ними.

В каких случаях не требуется письменное согласие работника на использование его персональных данных

Какие сведения указывают в согласии:

  • ФИО, регистрация третьего лица, данные паспорта;

В каких случаях не требуется письменное согласие работника на использование его персональных данных

  • название, расположение оператора;
  • цель обработки конфиденциальных сведений;
  • перечисляются сведения, на обработку которых получено согласие;

В каких случаях не требуется письменное согласие работника на использование его персональных данных

  • перечисляются действия, которые будут производиться с персональными данными родственников работника;
  • используемые работодателем методы обработки;
  • на какой срок выдано согласие на обработку ПД;
  • как можно отозвать согласие на обработку ПД (если другое не определено законом);
  • подпись родственника или другого третьего лица как субъекта персональных данных.

В каких случаях не требуется письменное согласие работника на использование его персональных данных

Важно! Законным представителем несовершеннолетнего выступает сам работник  — его родитель, поэтому отдельного документа — согласия на обработку ПД не требуется.

Обработка персональных данных родственников и членов семей может осуществляться двумя способами:

  1. Получение отдельного документа  — заявления от родственника сотрудника на обработку его персональных данных. Здесь согласие оформляет и подписывает сам член семьи (третье лицо).
  2. Оформление работником согласия на обработку персональных данных от лица родственника. Здесь работник выступает как его представитель на основании нотариальной доверенности.

Хранение персональных данных близких родственников работников, третьих лиц определяется целью их обработки. Она указана в согласии, также, как и срок действия документа.

По истечению срока, достижении целей обработки ПД, при отзыве согласия на обработку персональных данных конфиденциальная информация о любом третьем лице должна уничтожаться. Это требование статьи 21 Федерального закона No 152-ФЗ «О персональных данных».

Важно! Личные сведения уничтожаются со всех носителей, где они присутствуют — из ИСПДн и с бумажных носителей.

Регламент аннулирования персональных данных прописывается в ЛНА по ПД в организации. Он определяется работодателем самостоятельно. Для этого может быть создана специальная комиссия, состав которой определяется приказом. Состав комиссии может меняться в зависимости от вида ликвидируемых персональных данных.

Распространенные методы документальной фиксации уничтожения личной информации о субъекте — оформление акта об окончании обработки персональных данных или регистрация факта уничтожения ПнД в специальном журнале. Форма акта и журнала утверждается работодателем.

Речь идет об уничтожении персональных данных с бумажных носителей, из инфосистем.

Важно! Согласие на обработку персональных данных третьих лиц не уничтожается. Срок хранения согласий на обработку персональных данных определяет Приказ Росархива от 20.12.2019 No 236. Этот документ замещает отмененный в 2019 году приказ Минкульта РФ No 558.
Как должна происходить передача персональных данным третьим лицам (банкам, страховым компаниям и т.д.), потребность в которых возникает в процессе трудовой деятельности? Об этом и многом другом наш новый курс в рамках программы повышения квалификации.

 

Согласие собственников на обработку персональных данных

Считается, для того, чтобы работать с персональными данными собственников, необходимо с каждого из них собрать согласие на обработку персональных данных. Это и верно, и нет, — зависит от ситуации.

Сегодня мы расскажем, в каких случаях согласие на обработку персональных данных нужно получить и что делать, если собственник его не даёт.

В каких случаях не требуется письменное согласие работника на использование его персональных данныхРоскомнадзор об обработке персональных данных

Персональные данные собственников

1 июля 2017 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Теперь есть 7 составов правонарушений, за которые управляющие компании могут привлечь к административной ответственности за нарушение законодательства о персональных данных.

Ужесточилась административная ответственность за нарушение требований ст. 13.11 КоАП РФ – суммарный размер штрафа может составить 275 000 рублей. Многие управляющие компании не знают, как правильно работать с ПД.

Для них 4 октября мы провели вебинар «7 ошибок при работе с персональными данными, за которые УО получит штраф». Мы рассказали об обязанностях оператора ПД, дали рекомендации по выполнению требований статьи 13.11 КоАП РФ и отдельно внимание уделили вопросу получения согласия на обработку ПД.

Когда нужно получить согласие на обработку ПД

Если вы управляющая компания и у вас нет согласия на обработку ПД от собственников, но вы их обрабатываете внутри организации и не отдаёте их в сторонние организации, в таком случае согласие на обработку персональных данных не требуется.

Если вы будете передавать персональные данные собственников третьим лица, согласие на обработку нужно обязательно получить. При этом лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать отдельное согласие субъекта ПД на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

В № 152-ФЗ перечислены случаи, когда согласие на обработку ПД для передачи третьим лицам не требуется:

  1. Если это разрешает Федеральный закон. Так, например, для размещения информации в ГИС ЖКХ согласия на обработку ПД не нужно.
  2. Если вы передаёте данные платёжному агенту и расчётным центрам (ч. 16 ст. 155 ЖК РФ).

Когда вы привлекаете представителя для расчётов с собственниками и нанимателями жилых помещений и взимания платы за жилое помещение и коммунальные услуги, согласие субъектов ПД на передачу персональных данных таким представителям не требуется.

Но в договоре между вами и представителем необходимо закрепить положение о конфиденциальности персональных данных (ч. 10 ст. 3, ч. 4 ст. 6, ч. 1 ст. 7 № 152-ФЗ).

В каких случаях не требуется письменное согласие работника на использование его персональных данныхПравомерность обнародования списка должников ЖКУ

Каким должно быть согласие на обработку ПД

Субъект передаёт управляющей компании согласие на обработку персональных данных в любой форме, позволяющей подтвердить факт получения:

  • в договоре управления,
  • в договоре ресурсоснабжения,
  • в уставе товарищества собственников жилья.

Роскомнадзор советует оформлять его в письменной форме отдельным документом. Единственный минус такой позиции – управляющая компания может физически не собрать со всех субъектов персональных данных такое согласие.

Субъект ПД принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Полные требования к содержанию согласию описаны в ч. 4 ст. 9 № 152-ФЗ.

Согласие должно быть:

  • конкретным,
  • информированным,
  • осознанным.

Независимо от того, как вы оформите согласие на обработку ПД, в нём обязательно должны быть:

  • ФИО, адрес субъекта персональных данных или его представителя, реквизиты документа, удостоверяющего его личность;
  • наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
  • цель обработки персональных данных;
  • перечень ПД, на обработку которых дают согласие;
  • наименование или ФИО и адрес лица, обрабатывающего ПД по поручению оператора;
  • перечень действий с ПДн, на совершение которых даётся согласие;
  • общее описание используемых оператором способов обработки ПД;
  • срок действия согласия субъекта ПД;
  • подпись субъекта ПД;
  • условия прекращения работы с персональными данными.

В каких случаях не требуется письменное согласие работника на использование его персональных данныхПоявятся ли персональные данные собственников помещений в МКД в открытом доступе?

Согласие на обработку ПД в договоре управления МКД

Согласие на обработку персональных данных можно включить в приложение к договору управления МКд. Договор управления МКД собственники заключают с управляющей компанией в письменной форме. Составляется один документ и подписывается сторонами (ст. 162 ЖК РФ).

Ответы Роскомнадзора на вопросы о персональных данных

В сентябре Роскомнадзор дал разъяснения по закону о персональных данных в форме вопросов и ответов. Публикуем их.

Уполномоченный орган — федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи.

В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 года № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.

В соответствии с п. 2 ст.3 Федерального закона от 27.07.

2006 № 152-ФЗ «О персональных данных» оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

В соответствии с ч. 2 ст.7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обеспечения конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Согласно ч. 2 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;(п. 1.1 введен Федеральным законом от 25.11.2009 № 266-ФЗ)

  • 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
  • 3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  • 4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • 5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
  • 6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • 7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Получить согласие работника на передачу его персональных данных для обработки другому оператору должна администрация предприятия, на котором работает субъект персональных данных.

В соответствии с ч.1 ст.22 Федерального закона от 27.07.

2006 № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Исключение составляют случаи, предусмотренные ч.2 комментируемой статьи, при обработке персональных данных:

  1. 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
  2. 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  3. 3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
  4. 4) являющихся общедоступными персональными данными;
  5. 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
  6. 6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  7. 7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  8. 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации

.Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Роскомнадзора.

Кроме того, на портале Персональные данные реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.

Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.

Вы вправе обратиться в ближайшее территориальное управление Роскомнадзора. Адреса и контактные телефоны указаны на официальном сайте Роскомнадзора.

Ст.24 Федерального закона «О персональных данных» определяет ответственность за нарушение данного Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.Административная ответственность за нарушение настоящего Федерального закона наступает за:

— неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст.5.39 КоАП РФ);

— нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст.13.11 КоАП РФ);

— разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст.13.14 КоАП);

— непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст.19.7 КоАП РФ).

Кроме того, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность, предусмотренная ст.137, 272 УК РФ.

Персональные данные субъектов персональных данных, полученные кредитной организацией при рассмотрении заявок на получение кредита, в случае отрицательного решения кредитной организации подлежат уничтожению в срок, не превышающий трех рабочих дней с даты принятия соответствующего решения.

Обращаем Ваше внимание, что типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных, могут храниться в формате цифровых копий при соблюдении требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.

При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных, является файл электронной цифровой подписи.

Кроме того, предложение оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта. Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

В соответствии с ч.3 ст.10 Федерального закона «О персональных данных» обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

До начала осуществления трансграничной передачи персональных данных оператор, осуществляющий обработку персональных данных (далее — Оператор) на территории Российской Федерации, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

Критериев, определяющих адекватность защиты прав субъектов персональных данных на территории иностранного государства, действующим законодательством Российской Федерации не предусмотрено.

Оператору, осуществляющему трансграничную передачу персональных данных, необходимо руководствоваться законодательством иностранного государства, на территорию которого осуществляется передача персональных данных, законодательством Российской Федерации в области защиты прав субъектов персональных данных, а также международными нормативными актами, в том числе Конвенцией о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года ETS № 108 с учетом перечня стран, подписавших и ратифицировавших данную Конвенцию. Это Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония.

Вторая группа, которые могут претендовать на статус стран, обеспечивающих адекватную защиту персональных данных, это страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных. Это Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония.

Требования Федерального закона «О персональных данных» распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации.

Согласно пункту 9 статьи 3 Федерального закона «О персональных данных» информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.В случае соответствия веб-сайта указанным требованиям он является информационной системой.

Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора.

Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале.

Типовая форма акта и журнала утверждаются самим Оператором.

  • Да, такие документы, разработанные отдельными представителями операторского сообщества, существуют:
  • — стандарты и рекомендации в области стандартизации Банка России;
  • — концепция защиты персональных данных в информационных системах персональных данных оператора связи;
  • — методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости.

Источник: Информация Роскомнадзора от 25.09.2015

Персональные данные: что можно делать без согласия работника, а что — нельзя?

Трудовые отношения между работодателем и работником неразрывно связаны с обработкой персональных данных, которые работодатель при приеме сотрудников в организацию должен собирать, хранить, передавать и т.д.

В данной статье мы решили ответить на вопросы, которые чаще всего возникают у работодателя при обработке персональных данных сотрудников.

Как быть, если при заключении трудового договора работник отказывается дать согласие на обработку его персональных данных? Либо если работник сначала дал свое согласие, но позже отозвал его – ведь по закону работодатель обязан передавать сведения о работнике в государственные органы, например, в Пенсионный фонд?

Прежде всего, необходимо помнить, что работодателю не требуется получать согласие работника на обработку таких сведений о нем, как фамилия, имя, отчество, паспортные данные, номер телефона, адрес места проживания, либо иных сведений, не относящихся к категориям специальных или биометрических персональных данных, при условии, что обработка этих сведений осуществляется работодателем в целях исполнения трудового договора.

Так, не требуется получать согласие на обработку персональных данных (например, паспортных данных) от юриста при оформлении доверенности для представления интересов организации в судебном процессе.

Также без согласия работников осуществляется передача персональных данных в Фонд социального страхования РФ и Пенсионный фонд РФ.

Стоит отметить, что работодатель также освобождается от получения согласия работника на обработку специальной категории  персональных данных в случаях, когда обработка осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством и пенсионным законодательством РФ.

Так, например, работодателю, являющемуся медицинской организацией, не нужно получать согласие своих работников на опубликование и размещение сведений об уровне их образования и квалификации, потому что обязанность по размещению данной информации предусмотрена федеральным законом. Работодатель имеет право обрабатывать сведения о состоянии здоровья работника без его согласия и в том случае, если такие сведения влияют на возможность выполнения работником своей трудовой функции.

Например, получение работодателем информации о результатах предрейсового и послерейсового медицинского осмотра водителя не будет являться нарушением законодательства об обработке персональных данных, поскольку такая информация необходима работодателю для определения пригодности работника к выполнению его должностных обязанностей. Нам часто звонят из банков, где работник хочет взять кредит, или из визовых центров, куда работник обратился за визой, и спрашивают, числится ли в штате сотрудник и каков размер его заработной платы.

Можем ли мы давать такую информацию без согласия работника?

Сообщение информации банку или визовому центру о наличии трудовых отношений с каким-либо работником, равно как и подтверждение или опровержение такой информации, а также указание  размера заработной платы является передачей персональных данных работника. Предоставление этих сведений банку и визовому центру не обусловлено исполнением трудового договора с указанным работником, поэтому может осуществляться только с его письменного согласия. Мы предоставляем своим работникам добровольное медицинское страхование.

Для этого мы передаем страховой компании персональные данные наших работников.

Должны ли мы получать согласие работников на это?

Да, должны, поскольку эти действия не связаны непосредственно с исполнением трудового договора с работником и не являются обязательными в рамках трудового законодательства.

Аналогично только при наличии согласия работника возможна передача работодателем его персональных данных банку в целях перечисления заработной платы, типографской организации для оформления визиток и т.д.

Мы получили запрос из прокуратуры о предоставлении информации о нашем работнике.

Нам нужно получать его согласие?

Нет, не нужно.

Согласие работника не требуется при получении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, от государственных инспекторов труда и иных органов, уполномоченных запрашивать информацию о работниках в соответствии со своей компетенцией. Мы привлекли стороннюю организацию для ведения кадрового и бухгалтерского учета.

Требуется ли согласие работников на передачу их персональных данных этой организации?

Да, согласие работников необходимо, поскольку в данной ситуации работодатель поручает обработку персональных данных другому лицу, что допускается только при наличии согласия работника. Соискатель прислал резюме на вакансию, открытую в нашей компании.

Можем ли мы хранить его резюме или иным образом обрабатывать персональные данные, содержащиеся в резюме, без согласия соискателя?

Нет.

Обработка персональных данных соискателя на период принятия работодателем решения о приеме либо отказе в приеме на работу может осуществляться только с согласия соискателя.

В случае отрицательного решения сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней, за исключением случаев, предусмотренных законодательством о государственной гражданской службе, где срок хранения персональных данных соискателя составляет 3 года.

А если мы нашли резюме соискателя на сайте для поиска работы?

Соискатель разместил свое резюме в интернете, тем самым сделав его доступным неограниченному кругу лиц.

В этом случае закон не обязывает работодателя получать согласие соискателя на обработку данных из его резюме. Таким образом, мы рассмотрели ряд практических ситуаций, связанных с обработкой персональных данных.

Нюансов, касающихся данной темы очень много, и чтобы осветить их все, одной статьи не хватит.

Источник: SpecLook.ru