Согласие на обработку персональных данных

Суть термина

Контрагенты, устанавливающие правоотношения с физическими лицами, должны требовать от них предоставить возможность осуществлять действия с использованием персональных данных – получение, сбор, обеспечение хранения и использования. Давая письменное согласие на осуществление второй стороной вышеозначенных действий, граждане России вправе получить гарантию того, что предоставленная ими информация не будет использована в противозаконных целях.

Данные о физическом лице, которые носят конфиденциальный характер, делятся на три категории:

1. Общедоступные.
2. Биометрические.
3. Специальные.

Согласие заполняется, если физическое лицо:

• устраивается на новое место работы;
• получает услуги государственных организаций;
• заключает договора с учреждениями и организациями.

Согласие физического лица нужно, независимо от характера информации (открытая, конфиденциальная или закрытая).

В каких случаях нужно уведомлять Роскомнадзор?

К персональным данным закон относит всякую информацию, которая прямо или косвенно относится определяемому лицу. Но что именно считается такой информацией – нужно выяснять в каждом отдельном случае.

Так, чаще всего, сочетание имени, фамилии, отчества, физического адреса, электронной почты, номера телефона, даты или места рождения, изображения или фото человека, информация о его профессиональной деятельности, уровне зарплаты, даты и места рождения, а также семейном положении дают не только исчерпывающие сведения о человеке, но и делают его уязвимым.

Нужно задаться вопросом: можно ли по собранной информации определить личность? Если ответ положительный, то владелец сайта, требующий эти сведения, уже является оператором

И не важно, в какой форме происходит запрос – обратная связь, регистрация, размещение объявлений

Важно! Одного имени для наступления юридической ответственности мало. Номер телефона тоже может быть запрошен анонимно

Но сведения, в сумме дающие конкретное представление о человеке, могут считаться персональными данными.

Например, просто имя или электронная почта не учитываются, а соединение этих сведений уже дает представление о человеке и, значит, обязывает соблюдать закон.

Статья 22 Федерального закона «О персональных данных» предписывает операторам уведомить уполномоченный орган, а именно – Роскомнадзор. И сделать это нужно до того, как заработала непосредственно форма сбора.

Персональные данные на работе

Чаще всего личную информацию предоставляют при трудоустройстве. Законом установлен перечень обязательных сведений о работнике, без которых приём на работу невозможен:

• имя, отчество, фамилия;
• дата рождения;
• место жительства;
• серия, номер, дата выдачи паспорта;
• регистрационные налоговые и страховые номера;
• семейное положение;
• состояние здоровья и некоторые другие сведения.

С получением указанных данных закон связывает определённые правовые последствия по оплате труда, предоставлению отпусков, льгот и многим другим вопросам.

Разумеется, каждый гражданин может отказаться от разглашения сведений о себе, но в этом случае работодатель получает право отказать ему в приёме на работу — такова правовая взаимосвязь. Чаще всего проблем при оформлении не возникает, так как работник добровольно предоставляет нужную информацию.

Впрочем, следует помнить, что работодатель не имеет права на операции с данными работника о национальной или партийной принадлежности, религиозных взглядах и некоторых других.

Согласие работника на обработку персональных данных

Для обработки ПД работников лишь в целях исполнения трудового договора получать у них согласие не нужноп. 5 ч. 1 ст. 6 Закона № 152-ФЗ. Например, не понадобится согласие работника на указание его ПД в кадровой документации, на передачу ПД между структурными подразделениями работодателя, при оформлении на него доверенности на представительство.

Также согласия не требуется и в случаях:

• сбора ПД у соискателей, так как это делается в целях заключения трудового договора по их инициативеп. 5 ч. 1 ст. 6 Закона № 152-ФЗ;
• сдачи персонифицированной отчетности в органы ПФР, отчетности по НДФЛ в ИФНС, хранения документов с ПД в течение установленных сроков и в других подобных ситуациях, когда работодатель исполняет возложенные на него законодательством обязанностип. 2 ч. 1 ст. 6 Закона № 152-ФЗ;
• передачи ПД работников страховой компании в целях заключения договора на их добровольное медицинское страхование (ДМС) либо передачи ПД иным лицам для заключения иных договоров, по которым работник будет являться выгодоприобретателемп. 5 ч. 1 ст. 6 Закона № 152-ФЗ;
• обработки общедоступных ПД работниковп. 10 ч. 1 ст. 6 Закона № 152-ФЗ. Например, тех ПД работника, по которым он дал письменное согласие на их общедоступность.

В остальных случаях обработки ПД работников, в том числе передачи ПД третьим лицам, у работников придется получать согласиеп. 1 ч. 1, ч. 3 ст. 6, ст. 7, ч. 3 ст. 9 Закона № 152-ФЗ; ст. 88 ТК РФ. К примеру, при передаче:

• сведений о должности и размере зарплаты работника банку, запрошенных им в связи обращением этого работника за получением кредита;
• копий дипломов работников лицензирующему органу для получения лицензии;
• ПД работников сторонней организации, оказывающей услуги по ведению бухучета.

Что должно содержать согласие, покажем на примереч. 4 ст. 9 Закона № 152-ФЗ.

СОГЛАСИЕна обработку персональных данных

Я, Иванов Иван Иванович, паспорт серии 77 08 № 123456, выдан ОВД Лефортово г. Москвы 15.08.2005, зарегистрированный по адресу: г. Москва, Рязанский проспект, д. 20, кв. 96, даю согласие ООО «Стройцентр» (г. Москва, ул. Большая Пироговская, д. 53, корп. 1) на передачу всех моих персональных данных, обрабатываемых им в целях исполнения заключенного между нами трудового договора и выполнения возложенных на него законодательством обязанностей, в ООО «Нивал» (г. Москва, ул. Профсоюзная, д. 34, корп. 2) в целях их любой обработки в рамках договора оказания услуг по ведению бухгалтерского учета б/н от 03.03.2011.

Настоящее согласие действует в течение всего срока действия трудового договора и может быть мною отозвано в письменном виде.

Какие санкции предусмотрены за нарушение порядка обращения с личной информацией?

• Дисциплинарная. Применяется к работникам, в нарушение должностных обязанностей не обеспечившим защиту персональных данных.
• Административная. Ответственность в виде штрафов довольно серьёзна и налагается на виновное лицо (на граждан — в размере от 300 до 500 руб.; на должностных лиц — от 500 до 1000 руб.; на юридических лиц – от 5000 до 10 000 руб. — в зависимости от совершённого правонарушения и правового статуса нарушителя).
• Материальная. Может наступить по решению суда, если нарушением прав лица на сохранность персональных данных ему причинен материальный или моральный ущерб.

Информация о лице защищена законом в силу её особой важности, а значит, необходимо выполнять все требования закона о защите персональных данных

Форма согласия на обработку ПД

Отключить

Роскомнадзор в Разъяснениях рекомендует согласие работника либо оформлять в виде отдельного документа, либо закреплять в тексте трудового договора. Требования к содержанию такого документа указаны в ч. 4 ст. 9 Закона о персональных данных.

Согласие в письменной форме должно включать в себя, в частности:

1. фамилию, имя, отчество, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;
2. фамилию, имя, отчество, адрес представителя субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПД);
3. наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПД;
4. цель обработки персональных данных;
5. перечень ПД, на обработку которых дается согласие субъекта ПД;
6. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки;
8. срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва, если иное не установлено федеральным законом;
9. подпись субъекта персональных данных.

форме электронного документа

Отключить

Что грозит за разглашение персональных данных

Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.

Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.

Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.

В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).

Образец согласия

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:

• наименование компании-работодателя;
• место и дата составления документа;
• фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.

Далее в основной части подробно указывается:

• каких именно персональных данных касается документ;
• в каких целях и что именно допустимо с ними делать;
• срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).

Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.

СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

г. Иваново

03.08.2018 г.

Я, Ковтун Инна Олеговна, паспорт 2495 564738, выдан Ленинским РОВД г. Иваново, адрес регистрации: г. Иваново, ул. Мельничная д.73, кв. 8, даю свое согласие ОАО «КомЖилФонд» на обработку моих персональных данных. Согласие касается фамилии, имени, отчества, данных о поле, дате рождении, гражданстве, типе документа, удостоверяющем личность (его серии, номере, дате и месте выдачи), а также сведений из трудовой книжки: опыте работы, месте работы и должности.

Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях. Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч. передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.

До моего сведения доведено, что ОАО «КомЖилФонд» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.

Подтверждаю, что давая согласие я действую без принуждения, по собственной воле и в своих интересах.

Ковтун И.О. (подпись)

Согласие на обработку моих персональных данных

Я, ____________________________________________________________, настоящим

(Ф.И.О. сотрудника)

выражаю своё согласие на обработку (действия (операции) с персональными данными) моих персональных данных, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ООО «Микрофон» и его представителями моих персональных данных, переданных мною лично при поступлении в ООО «Микрофон», также полученных ООО «Микрофон» с моего письменного согласия от третьей стороны в частности, следующих моих персональных данных:

• фамилия, имя, отчество;
• дата и место рождения;
• гражданство;
• сведения о знании иностранных языков;
• образование (наименование учебного заведения, год окончания, документ об образовании, квалификация специальность),
• профессия; стаж работы (общий, непрерывный, дающий право на выслугу лет);
• семейное положение;
• состав семьи (степень родства (ближайшие родственники, Ф.И.О. родственников, год их рождения);
• паспорт (номер, дата выдачи, кем выдан);
• адрес места жительства (по паспорту, фактический), дата регистрации по месту жительства;
• номер телефона (домашний, сотовый);
• сведения о воинском учёте;
• сведения о состоянии здоровья, необходимые работодателю для определения пригодности для выполнения поручаемой работы и предупреждения профессиональных заболеваний, предусмотренные действующим законодательством Российской Федерации;
• содержание заключённого со мной контракта или трудового договора;
• сведения об аттестации, повышении квалификации, профессиональной переподготовке;
• сведения об использованных отпусках;
• сведения об имеющихся наградах (поощрениях), почётных званиях;
• сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
• сведения об идентификационном номере налогоплательщика;
• сведения о социальных льготах (в соответствии с действующим законодательством Российской Федерации);
• дополнительные сведения, представленные мною по собственному желанию (сведения о национальности, о пребывании за границей, о членстве в общественных организациях, выборных органах и др.), биометрические персональные данные (личные фотографии); другие персональные данные, необходимые работодателю в соответствии с действующим законодательством Российской Федерации в области персональных данных.

ООО «Микрофон» может обрабатывать мои персональные данные в следующих целях: обеспечение соблюдения законов и иных нормативных правовых актов в области персональных данных; содействие в трудоустройстве; обучение и продвижении по службе; обеспечение моей личной безопасности; контроль количества и качества выполняемой работы; обеспечение сохранности имущества.

Обработка (на бумажных носителях; в информационных системах персональных данных и без использования средств автоматизации, а также смешанным способом) ООО «Микрофон» моих персональных данных должна осуществляться в соответствии с требованиями Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных», главы 14 Трудового кодекса РФ, Положением «Об обработке и защите персональных данных» ООО «Микрофон».

Срок действия настоящего согласия с ООО «Микрофон» начинается с даты подписания и заканчивается в соответствии с требованиями Положения «Об обработке и защите персональных данных» ООО «Микрофон» или в связи с увольнением согласно ТК РФ.

Настоящее согласие может быть отозвано представленным письменным заявлением начальнику отдела кадров Положением «Об обработке и защите персональных данных» ООО «Микрофон».

«__» ___________ 20__ г.               ___________            _________________

                                                                                                     (подпись)                               (расшифровка)

Руководителю _____________________

_________________________________

От ______________________________

                           (Ф.И.О.)

_________________________________

                (должность, подразделение)

_________________________________

_________________________________

                                (дата рождения)

Проживающего ___________________

по адресу: ________________________

паспорт:__________________________

выдан: ___________________________

В чём заключается обработка персональных данных?

Каждый гражданин может знакомиться со сведениями о другом лице как по роду работы, так и в процессе неофициального общения, читая газеты или просматривая интернет-страницы. Такое ознакомление не означает обработку персональных данных: прочёл, услышал, узнал — и, возможно, забыл. Или просто взял на заметку.

Если же информация о лице собирается для последующей систематизации, использования, передачи или хранения — это уже обработка личных данных. Такой процедурой занимаются, например, поликлиники или школы: полученные данные регистрируются, заносятся в базы и каталоги, классифицируются для последующего использования в своих уставных целях.

Журналист, писатель или частное лицо может обрабатывать личную информацию исключительно в творческих целях без соблюдения юридических норм.

Отказ предоставить персональные данные

Находящаяся в открытом доступе информация из личных удостоверяющих, первичных и иных документов физического лица, используется предприятиями и организациями без его согласия, так как находится в открытом доступе. Цель её использования – реализация положений трудового договора. Главное условие – действовать в рамках моральных, этических норм и законодательства РФ.

Согласие оформляется в отношении информации специального и биометрического характера. Гражданин РФ вправе не предоставлять такие данные, если это ущемляет его права, интересы и моральные принципы. Российским законодательством наказание за это не предусмотрено. Нарушения, допущенные при получении согласия, можно обжаловать в суде. Ответственность за использование данных лежит на стороне, получившей разрешение. Нарушение ведёт к административной или уголовной ответственности.

Законодательством не установлена единая форма письменного отказа физического лица от предоставления своих данных. Отказ оформляется в двух идентичных экземплярах. Один из них направляется адресату, второй с отметкой о дате вручения остаётся в распоряжении «отказника». В тексте следует указать следующие данные:

• наименование предприятия, организации, учреждения;
• реквизиты руководителя;
• данные гражданина РФ, который оформляет отказ.

В описательной части необходимо указать причину отказа от предоставления информации, перечислить законодательные акты и другие документы, как основания для этого. В тексте должна быть сделана отметка об ознакомлении, и указание на то, что физическое лицо имеет право обжаловать в суде санкции противоположной стороны.

Нотариальное согласие

Иногда просто согласия недостаточно. При некоторых обстоятельствах необходимо согласие, заверенное у нотариуса. В частности, оно необходимо при этих ситуациях:

• Согласие супруга на сделку по приобретению или отчуждению имущества, нуждающегося в госрегистрации или заверении у нотариуса.
• Отказ от приватизации лица, которое зарегистрировано в жилье.
• Выезд за границу несовершеннолетнего ребенка.
• Оформление прописки в жилье на определенный срок.

Согласие обычно действует на протяжении определенного срока. Срок действия определяется лицом, составляющим документ. Для оформления бумаги нужно обратиться в нотариальную контору. С собой требуется взять паспорт и правоустанавливающий документ. Вид последнего зависит от формы сделки. К примеру, если это операция с недвижимостью, понадобится свидетельство о праве собственности.

Положение о персональных данных

Любой работодатель должен закрепить на бумаге свою политику в области обработки и защиты ПД работниковп. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ; п. 8 ст. 86, статьи 87, 88 ТК РФ. Удобнее это сделать в одном локальном нормативном акте, который должен быть утвержден приказом и может именоваться как угодно, чаще всего — Положением о персональных данных.

Вот что должно содержаться в Положении о ПД:

• перечень обрабатываемых ПДп. 2 ст. 3 Закона № 152-ФЗ. То есть всех тех ПД работников, которые вам необходимы для оформления кадровой документации, составления отчетности в ИФНС, внебюджетные фонды и выполнения иных обязанностей, возложенных на вас законодательством, а также коллективным и трудовыми договорами. К примеру, это паспортные данные работников, сведения об их образовании, семейном положении, воинской обязанности, состоянии здоровья, доходах и т. д.;
• цели обработки ПДп. 2 ст. 3, ч. 2 ст. 5 Закона № 152-ФЗ. Их можно переписать из Трудового кодексап. 1 ст. 86 ТК РФ;
• перечень действий с ПДп. 2 ст. 3 Закона № 152-ФЗ. Они перечислены в определении понятия «обработка персональных данных». Например, это сбор ПД, их накопление, уточнение, хранение, удаление и т. п.п. 3 ст. 3 Закона № 152-ФЗ В принципе, работодатели могут предпринимать все из указанных в этом определении действий;

• права и обязанности работников в сфере обработки ПДп. 8 ст. 86 ТК РФ. Их тоже можно переписать из Закона о ПД и Трудового кодексаст. 14 Закона № 152-ФЗ; ст. 89 ТК РФ. К примеру, работники имеют право получать доступ к своим ПД и информацию об их обработкеч. 1 ст. 14, ч. 1 ст. 18, ч. 1 ст. 20 Закона № 152-ФЗ;
• порядок обработки ПД, в том числе хранения, использования и передачип. 8 ст. 86, статьи 87, 88 ТК РФ. Здесь нужно указать:

— общие требования к обработке ПДстатьи 5—7, ст. 9 Закона № 152-ФЗ; ст. 86, ст. 88 ТК РФ. В частности, все ПД работника нужно получать у него самогоп. 3 ст. 86 ТК РФ, обрабатывать их можно лишь в соответствии с целями их сборач. 4 ст. 5 Закона № 152-ФЗ; п. 1 ст. 86 ТК РФ, нельзя сообщать их третьим лицам без согласия работникаст. 7 Закона № 152-ФЗ; ст. 88 ТК РФ. Работодатель обязан ознакомить работников с локальными актами, устанавливающими порядок обработки ПДп. 8 ст. 86 ТК РФ, разрешать доступ к ПД только уполномоченным работникамст. 88 ТК РФ;

— состав и перечень ваших мер по обеспечению защиты ПДст. 18.1, ст. 19 Закона № 152-ФЗ. Например, перечислите, где хранятся ПД, кто из работников имеет доступ к ним без дополнительного разрешения, как оформляется допуск к ПД иным работникам, какие используются средства защиты информации в компьютерах и т. п.;

ответственность работников за нарушение требований к обработке и защите ПД. Они могут нести дисциплинарную, материальную, административную и даже уголовную ответственностьст. 90 ТК РФ; ч. 1 ст. 24 Закона № 152-ФЗ.

Кто может выступать в качестве оператора

Статьёй 3 закона №152-ФЗ определено, что оперировать персональными данными о физическом лице могут несколько категорий контрагентов:

1. юридические лица – работодатели;
2. индивидуальные предприниматели;
3. прочие лица, получившие такое право от имени физического лица.

К действиям, которые совершаются в отношении информации о физическом лице, относятся:

• сбор;
• фиксация;
• упорядочение;
• накопление и хранение;
• внесение изменений;
• использование;
• предоставление доступа;
• передача;
• блокировка и уничтожение.

Установлены три режима работы с информацией о физических лицах:

1. Ручной.
2. Бумажный.
3. Электронный.

Весь комплекс действий в отношении получаемой от гражданина информации (полностью или частично) должен быть легализован оператором путём получения от него письменного согласия для целей обработки, регулируемых статьёй 86 ТК РФ.

Варианты текста

В составленном документе необходимо обязательно указывать, в отношении какой конкретно информации гражданин соглашается на совершение определённых манипуляций, осуществляемых второй стороной после его подписания. Текст может изменяться в зависимости от того, какое учреждение требует согласия на использование персональных данных. Вот некоторые наиболее популярные варианты текстов:

Самая популярная форма – для физических лиц при смене места работы.

Для родителей

В детских учреждениях осуществляется обработка персональных данных несовершеннолетних детей и действующих от их имени родителей.

Для обучающихся

Учащиеся школ и лицеев, студенты высших учебных заведений предоставляют согласие учреждениям, предоставляющим услуги по получению среднего и высшего образования.

Для получения услуг в медицинском учреждении

При обращении в учреждения Министерства здравоохранения РФ (поликлиники, больницы, диспансеры, и пр.) физическим лицам предлагается оформить согласие на использование персональных данных.

В любой момент гражданин может письменно потребовать отзыва ранее предоставленной информации, сославшись на требования п.1 ст.9 и п.5 ст.22 закона №152. Наиболее распространённые причины такого шага:

• нарушение порядка обеспечения конфиденциальности после того, как информация о физическом лице поступила в распоряжение пользователя;
• удовлетворение заявления об увольнении работника.

В составленном документе необходимо перечислить порядок использования различной информации о работнике. Так как работодатель вправе использовать полученные данные исключительно для служебного пользования, все манипуляции с ними он может осуществлять только на основании закона. В частности, если предприятием используются сведения, согласие на обработку которых работник предоставить отказался, штраф Роскомнадзора может составить до 75 тыс.руб.

Сторона, получившая в своё распоряжение персональную информацию, обязана прекратить её использование, если ею получено требование об отзыве подписанного сторонами согласия. На выполнение требования об отзыве предоставляется один месяц.

Размещение

Закон «О персональных данных» предписывает российским и иностранным компаниям хранить персональные данные россиян на территории РФ. Хранение ПД осуществляется в любой форме, например, в бумажной. В том случае, если база данных в России содержит одинаковый или больший объем персональных данных, то их обработка может проходить за рубежом. Использоваться собранные сведения могут ТОЛЬКО в тех целях, для которых они были взяты.

По достижении результата (или в случае утраты необходимости достижения цели) данные надлежит уничтожить или обезличить. Например, при закрытии сайта с объявлениями сведения о его клиентах должны быть утилизированы. Закон предусматривает возможность для гражданина пожаловаться на неправомерное использование его данных.

Хозяин сайта обязан заблокировать персональные данные обратившегося и проверить, как это произошло. Неточность предоставленных сведений может стать поводом для блокировки.

В случае нарушения порядка сбора, хранения, использования или распространения информации о гражданах предусмотрено предупреждение или административный штраф.