В серии статей, посвященной данной тематике, мы поговорим о согласиях на обработку персональных данных по 152-ФЗ и ТК РФ. Во-первых, рассмотрим трудности и риски, связанные с использованием таких согласий. Во-вторых, разберем стандарты и требования, предъявляемые к ним. Кроме того, покажем доказательства и способы их подтверждения.
В первой части рассмотрим вопросы: что представляет собой Согласие, когда и почему его необходимо получать. Также дадим практическое руководство: как определить необходимость Согласия. Как его правильно оформить и где разместить. Отдельно разберем последствия, которые могут возникнуть при его отсутствии.
Согласие представляет собой одно из юридических условий, обеспечивающих законность обработки. При его получении необходимо соблюдать определенные требования. Они гарантируют справедливость и законность этого процесса.
Согласие должно быть выражено субъектом добровольно и в его интересах. Также должно быть осознанным и однозначным, исключая любые двусмысленности или неопределенные формулировки.
Необходимость получения Согласия на обработку данных возникает, в частности, если такая обязанность предусмотрена законодательством. Кроме того, она может быть обусловлена условиями соглашения с субъектом персональных данных. Либо с лицом, выполняющим обработку по поручению оператора. Также Согласие нужно, когда отсутствуют другие законные основания для обработки персональных данных.
Как правило, Согласие на обработку не требуется в следующих ситуациях:
- Существует соответствующая законная обязанность
- Данные обрабатываются в связи с участием в судебных процессах.
- Проводится исполнение судебного решения.
- Предоставляются государственные и муниципальные услуги, определенные 210-ФЗ.
- Субъектом был заключен договор.
- Обработка требуется для обеспечения защиты жизни, здоровья или других критически важных интересов субъекта. При этом получение согласия не представляется возможным.
- Ведется профессиональная деятельность журналиста и (или) СМИ.
- Имеют место другие случаи, указанные в ч.1 ст. 6 152-ФЗ.
Правовые основания, позволяющие работать без согласия на обработку персональных данных, различаются в зависимости от категорий данных:
- для специальных категорий они определены пп. 2-10 ч. 2 ст. 10 152-ФЗ;
- для биометрических — ч. 2 ст. 11 152-ФЗ;
- для данных, разрешенных субъектом для распространения — ч. 15 ст. 10.1 152-ФЗ.
Чтобы упростить работу с документами, можно использовать сервис 152DOC: в нем удобно формировать документы, связанные с персональными данными.
От того, насколько правильно определено правовое основание обработки ПДн, зависит ответ на вопрос: «Нужно ли получать согласие в конкретном случае?».
Рассмотрим некоторые вопросы, связанные с получением Согласия на обработку персональных данных. В качестве примера используем взаимоотношения работодателя и сотрудника.
В соответствии с общепринятыми принципами предварительное Согласие не требуется. Это относится к формированию трудовых отношений с новым сотрудником и подготовке документов. Трудовой договор как самостоятельное юридическое основание служит основой для обработки данных сотрудника. При этом обработка направлена на обеспечение трудоустройства, образовательных возможностей и профессионального роста. Также она включает обеспечение личной безопасности, контроль объема и качества работы и защиту имущества в соответствии с положениями статьи 88 Трудового кодекса Российской Федерации..
Несмотря на это, работодатели должны быть осторожными, если они планируют запросить у своих сотрудников копии документов. Сбор и хранение копий паспорта, СНИЛС и ИНН сотрудников допускается только при наличии соответствующего Согласия самих сотрудников.
В определенных ситуациях, предусмотренных коллективным договором или внутренними трудовыми правилами, не требуется получение Согласия сотрудников. Например, для открытия и обслуживания зарплатной карты работника банковские учреждения могут получать его персональные данные без явного согласия на их обработку. Это возможно при условии, что форма и система оплаты труда прописаны в коллективном договоре.
Кроме того, возможны ситуации, когда Согласие сотрудников не требуется в соответствии с федеральными законами и другими НПА. Это может происходить, например, при передаче личных данных в налоговые органы, военкоматы, профсоюзные органы и прочие уполномоченные инстанции.
В настоящее время вопрос о законном распространении персональных данных в интернете становится все более актуальным. Многие компании создают общедоступные ресурсы в сети, например телефонные справочники. Обычно это делают для информационной открытости и упрощения взаимодействия с клиентами. Они размещают информацию о своем персонале, включая ФИО, фотографии, должности, контакты, сведения об образовании и прочее.
При распространении персональных данных в сети Интернет может потребоваться получение одного из двух видов Согласий на их обработку:
- Письменное Согласие для включения ПДн в общедоступные источники (справочники, адресные, телефонные книги) в соответствии с ч. 4 ст. 9 152-ФЗ «О персональных данных».
- Согласие на обработку персональных данных, разрешенных субъектом для распространения, согласно статье 10.1 того же закона (при распространении ПДн на интернет-ресурсах, не являющихся справочниками и адресными книгами).
Сервис 152DOC поможет вашей компании сформировать необходимые формы согласий, а также полный пакет документов ОРД согласно 152-ФЗ.
Для ряда операторов предусмотрена законодательная обязанность публиковать информацию об отдельных группах сотрудников в открытом доступе. Например, это сведения о медицинском персонале и педагогическом составе. В этих случаях нет необходимости получения Согласия работника на раскрытие данных, при условии, что объем предоставляемой информации соответствует установленным законом нормам. Однако, если работодатель принимает решение расширить перечень публикуемых данных, Согласие сотрудника на такие изменения все же требуется.
Отметим некоторые категории Согласий, которые обязательно следует получить от сотрудников:
- Согласие на получение персональных данных из внешних источников: согласно п. 3 ст. 86 ТК РФ, это требуется, когда возникает потребность получения данных из сторонних источников в процессе трудовых отношений.
- Согласие на хранение копий документов, предоставленных при приеме на работу.
- Согласие на передачу персональных данных: согласно ст. 88 Трудового кодекса РФ, данное Согласие необходимо, например, при привлечении внешних организаций для управления кадровым и бухгалтерским учетом.
- Согласие на распространение персональных данных: в рамках ст. 10.1 152-ФЗ, работник обязан выразить согласие на распространение своих персональных данных на сайте организации по решению работодателя. Кроме этого, Согласие также требуется в соответствии со ст. 8 указанного закона при размещении личных данных в открытых источниках.
Требования к письменной форме Согласия установлены п. 4 ст. 9 Федерального закона № 152-ФЗ. Оформление письменного Согласия на обработку данных для распространения регламентируется приказом Роскомнадзора от 24.02.2021 года № 18.
Вне зависимости от формы, в Согласие следует включить следующее:
- Имя, фамилия, отчество субъекта персональных данных;
- Информация об операторе (официальное наименование/ФИО индивидуального предпринимателя, реквизиты);
- Законную, четко определенную цель обработки персональных данных;
- Список обрабатываемых личных данных;
- Список действий с личными данными;
- Информация о лицах, которым будут переданы личные данные (при передаче);
- Срок действия согласия.
Это требуется для соответствия критериям четкости, конкретности и однозначности, предусмотренным п. 1 статьи 9 152-ФЗ.
Полученное Согласие не является обязательным условием для публикации в открытых источниках. Однако в определенных ситуациях рекомендуется указать наличие таких Согласий или разместить форму Согласия на обработку данных:
- При осуществлении сбора персональных данных в сети Интернет следует добавить в каждую форму сбора специальное поле. В нем субъект данных сможет оставить отметку о своем Согласии на обработку. Кроме того, необходимо разместить текст данного Согласия для ознакомления.
- При публикации личных данных в интернете стоит указать на наличие Согласия от субъектов персональных данных на распространение. Кроме того, следует четко предоставить информацию о том, какие условия и запреты существуют относительно обработки опубликованных персональных данных неограниченным кругом лиц.
В случае неправомерной обработки персональных данных, либо отсутствия письменного Согласия на их обработку, возможно привлечение к административной ответственности в соответствии с нормами статьи 13.11 КоАП РФ и наложение штрафа в размере:
По ч. 1 данной статьи (обработка персональных данных в ситуациях, не предусмотренных законодательством РФ или обработка персональных данных, несовместимая с целями их сбора)
- Для должностных лиц — от 10 тыс. до 20 тыс. рублей. (при повторном нарушении от 20 тыс. до 50 тыс. рублей.)
- Для индивидуальных предпринимателей — при повторном нарушении от 50 тыс. до 100 тыс. рублей.
- Для юридических лиц — от 60 тыс. до 100 тыс. рублей. (при повторном нарушении от 100 тыс. до 300 тыс. руб.)
По ч. 2 данной статьи (обработка без получения письменного Согласия субъекта на обработку в случаях, когда такое Согласие обязательно в соответствии с законодательством Российской Федерации, либо обработка персональных данных с нарушением установленных требований к содержанию информации, включаемой в письменное Согласие субъекта персональных данных на их обработку)
- Для должностных лиц — от 20 тыс. до 40 тыс. руб. (при повторном нарушении от 40 тыс. до 100 тыс. руб.)
- Для индивидуальных предпринимателей — при повторном нарушении от 100 тыс. до 300 тыс. руб.
- Для юридических лиц — от 30 тыс. до 150 тыс. руб. (при повторном нарушении от 300 тыс. до 500 тыс. руб.)
Таким образом, мы рассмотрели, как получать Согласие на обработку персональных данных, требования к его форме и ответственность для операторов, не получивших Согласие в установленных случаях.
В следующей части руководства рассмотрим виды и формы согласий на обработку данных. Также разберем передачу данных третьим лицам и поручение обработки: в чем между ними разница, когда нужен договор поручения и требуется ли согласие при его оформлении. Отдельно уточним, нужно ли перечислять конкретных лиц в согласии на передачу данных.
Ветрова Зинаида
Кочергина Дарья
ГК «Астрал»