Согласие на обработку персональных данных

Страхование

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Согласие на обработку персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Общедоступные данные по-новому
2. Образец заполнения бланка
3. На обработку какой информации нужно согласие?
4. Согласие работника на обработку персональных данных
5. Заявление работника о согласии на обработку персональных данных
6. Для чего нужно письменное согласие работника на обработку его данных
7. Что делать, если сотрудник отказывается подписывать согласие?
8. Что является личной информацией граждан?
9. Особенности работы с персональными данными
10. Что должны знать работодатели?

Все правила обращения с личной информацией регулирует Федеральный закон №152-ФЗ «О персональных данных». Согласно статье 3 этого закона, персональными данными можно назвать любую информацию, которая касается непосредственно физического лица — субъекта этих данных. К информации личного характера следует отнести все паспортные данные: Ф. И. О., дату и место рождения, возраст, место проживания, семейный статус.

Общедоступные данные по-новому

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

Образец заполнения бланка

Согласие на обработку персональных данных — это документ свободной формы, поэтому в каждой организации разрабатывают подходящий вариант шаблона. Но условия согласия на обработку персональных данных говорят о том, что в документе обязательно должна быть такая информация:

  • наименование компании;
  • место и дата оформления документа;
  • Ф. И. О., паспортные данные субъекта;
  • Ф. И. О. человека, который представляет интересы компании;
  • Ф. И. О. и должность сотрудника, который будет производить обработку данных;
  • объяснение цели работы с предоставленными данными;
  • перечисление конкретных сведений о работнике, которые будут обрабатывать;
  • срок, в течение которого документ считается актуальным;
  • способ отказа от согласия;
  • подпись сотрудника.

На обработку какой информации нужно согласие?

К ПДн причисляют абсолютно все сведения, касающиеся человека (физического лица) и позволяющие отличить его от других граждан, а именно:

  • имя, фамилия, отчество;
  • день, месяц, год и место рождения;
  • регистрационный адрес;
  • семейное и финансовое положение;
  • социальный статус;
  • уровень доходов;
  • имеющиеся обязательства (алиментные выплаты, кредиты и т.д.);
  • образование;
  • место работы и профессия, стаж;
  • вероисповедание и национальность;
  • состояние здоровья;
  • вес, рост;
  • фотографии, видео, голос;
  • политические взгляды.

Информация может быть общедоступной, биометрической и специальной, а источниками и одновременно местами хранения ПДн являются различные документы:

  • справки НДФЛ;
  • паспорт (как российский, так и заграничный);
  • военный билет;
  • трудовая книжка;
  • паспорт моряка;
  • водительское удостоверение;
  • карточка сотрудника (форма Т-2);
  • заполненные анкеты;
  • документы, подтверждающие состав семьи, образование и т.д.

Согласие работника на обработку персональных данных

Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.

Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).

Читайте также:  Расторжение брака при наличии несовершеннолетних детей

Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).

Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).

Настоятельно рекомендуем включить в него следующую информацию:

  • цели получения персональных данных работника у третьих лиц;
  • предполагаемые источники информации (лица, у которых будете запрашивать данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.

    Заявление работника о согласии на обработку персональных данных

    Заявление о согласии на обработку персональных данных оформляется с учетом особенностей, установленных соответствующей отраслью права. Так, в трудовых отношениях оно оформляется в качестве отдельного документа или включается в текст трудового договора (в том числе в виде приложения).

    При этом согласно п. 3 ч. 1 ст. 86 Трудового кодекса РФ (далее — ТК РФ):

    • вся информация о сотруднике получается непосредственно от него;
    • для получения информации о сотруднике от третьих лиц необходимо заблаговременное получение письменного согласия сотрудника;
    • при запросе согласия сотрудника на получение информации о нем у сторонних субъектов организация-работодатель должна сообщить сотруднику, что это за информация, каковы цели получения, откуда она будет получена и каковы последствия того, что работник откажется соглашаться на получение указанной информации от третьих лиц.

    Для чего нужно письменное согласие работника на обработку его данных

    Получение письменного согласия человека на обработку его персональных данных становится необходимо юридическому или физлицу, которое получает доступ к этим данным. Основные вопросы, связанные с персональными сведениями о человеке, регулируются законом «О персональных данных» от 27.07.2006 № 152-ФЗ. В их число входит:

    • определение круга сведений, являющихся персональными;
    • установление условий обработки, хранения и уничтожения данных их получателем;
    • описание ситуаций, как требующих, так и не требующих согласия лица на обработку сведений о нем;
    • перечисление прав носителя персональных данных на ознакомление с результатами их обработки;
    • определение ответственности лиц, разгласивших персональную информацию.

    Наиболее частым случаем получения и обработки персональной информации о человеке является сбор и анализ работодателем сведений о своем работнике (уже работающем или вновь принимаемом на работу).

    Помимо общедоступных сведений, к которым закон № 152-ФЗ относит данные о Ф. И. О., принадлежности к определенному полу, дате рождения, работодателю оказывается нужна и иная информация, содержащаяся в документах, предъявляемых при трудоустройстве (ст. 65 ТК РФ):

    • в удостоверении личности (паспорте);
    • трудовой книжке;
    • свидетельстве ПФР;
    • документах об обучении;
    • документах воинского учета;
    • дополнительных справках (в частности, об отсутствии судимости) или документах, наличие которых является условием приема на определенную работу.

    Сбор и обработка таких данных требуют от работодателя получения предварительного письменного согласия работника на эти действия (п. 1 ст. 9 закона № 152-ФЗ). Согласие является добровольным и может быть отозвано работником.

    Что делать, если сотрудник отказывается подписывать согласие?

    Иногда встречаются ситуации, когда при приеме на работу некоторые люди отказываются подписывать соответствующие документы из-за своих личных убеждений. В большинстве своем, они вызваны опасениями, связанными с возможным использованием персональных данных в целях, которые могут нанести вред их владельцу. Эти опасения связаны в основном с незнанием законов, которые, наоборот, призваны защитить его персональные данные.

    Читайте также:  Вопросы добросовестного приобретения. Виндикационные иски.

    Закон в этом случае гласит о том, что предприятие не имеет права трудоустроить такого человека, так как тем самым оно нарушает закон, и может быть привлечено к ответственности. Получается, что избежать этой процедуры не удастся, так как, согласно делопроизводству, на предприятии должны храниться ксерокопию документа, удостоверяющего личность, оригинал трудовой книжки, копия диплома, и другие, в зависимости от профессии. Все это персональные данные, согласие на обработку которых получено не было.

    Единственный случай, когда можно применять обработку персональных данных без согласия их владельца, только в том случае, когда нужно реализовать новые цели по условиям договора, заключенного ранее, и это действует только с принятыми в штат сотрудниками.

    В любой момент человек давший согласие на обработку персональных данных может написать заявление об отзывы написанного ранее документа, однако, никакого реального эффекта данная мера не имеет, так как человек получившие на это право может им пользоваться в полной мере.

    Что является личной информацией граждан?

    Понятие информации о гражданине, относящейся к персональной, дано в ст.3 Закона 152. Это любые сведения, связанные с субъектом (физическим лицом) прямо или косвенно:

    • ФИО, пол, возраст;
    • семейное положение, а также родственные связи и наличие детей;
    • сведения об образовании и наличии квалификационных навыков;
    • адрес места жительства и прописки;
    • любые фото- и видеоматериалы, используемые оператором и позволяющие точно установить личность гражданина;
    • биографические данные, включая наличие судимости, прохождения службы в армии, предыдущих мест работы и т.д.);
    • сведения о заработке и финансовом положении;
    • иные сведения, позволяющие идентифицировать физическое лицо.

    Стоит перечислить и документы, в которых эти сведения содержатся:

    • гражданский паспорт, свидетельства о браке, рождении детей;
    • документы об образовании, повышении квалификации и т.д.;
    • трудовая книжка;
    • военный билет.

    Остальные документы, содержащие сведения о гражданах, хранятся у работодателя и необходимы для кадрового учета. Это, например, характеристики, личные карточки, анкеты и т.д.

    В ряде ситуаций требуется предоставление справки о доходах, полученных в определенный временной период. Гражданину следует знать, что без его согласия эти сведения не подлежат обработке.

    Особенности работы с персональными данными

    Работа с персональными данными предусматривает обязательность:

    • наличия согласия лица, к которому эти данные относятся, на их обработку;
    • выполнения обработки лишь для заранее определенных целей, разрешенных законодательством;
    • соблюдения конфиденциальности информации о персональных сведениях;
    • соблюдения сроков хранения, установленных для таких сведений;
    • публикации и передачи сторонним лицам этих данных лишь с согласия их носителя (кроме ситуаций, когда такое согласие не требуется по законодательству).

    Носитель персональных данных имеет право на:

    • доступ к относящимся к нему сведениям;
    • информацию о целях, порядке, ходе и результатах их обработки (кроме ситуаций, когда такое информирование запрещено законодательно);
    • сведения об операторе, лицах, осуществляющих обработку от его имени, и сторонних источниках, из которых оператор получает сведения, относящиеся к персональным;
    • отзыв выданного им согласия на обработку персональных данных;
    • судебную защиту своих интересов при осуществлении оператором неправомерных действий с информацией персонального характера.

    Что должны знать работодатели?

    При оформлении согласия работника на обработку персональных данных работодатели должны руководствоваться нормами ст. 86 и 87 ТК РФ. Так, в соответствии с п. 3 ст. 86 ТК РФ, в случае, если ПД работника могут быть запрошены только у третьей стороны, то работника потребуется заранее уведомить о таком запросе, а также получить от него письменное согласие на получение соответствующих персональных данных. Работодатель сообщает работнику о целях, вероятных источниках и механизмах получения ПД, о характере таких данных, а также о последствиях отказа работника предоставить письменное согласие, о котором идет речь.

    Читайте также:  Как оформить временную регистрацию в МФЦ: документы, сроки и стоимость

    Предприятия обязаны самостоятельно составлять нормативные положения по обработке персональных сведений по работникам. Выбранный порядок необходимо закрепить в отдельном локальном акте.

    Одна из обязанностей работодателя — защита персональных данных.

    В GDPR введено требование о том, что Согласие должно быть информированным. Основываясь на статье 5 GDPR, требование прозрачности является одним из основополагающих принципов, тесно связанных с принципами справедливости и законности. Предоставление информации субъектам данных до получения их Согласия имеет важное значение для принятия ими обоснованного решения, для понимания с чем именно они соглашаются, и, скажем, пониманием права отозвать свое Согласие. Если контролер не предоставляет доступную информацию, субъект данных не получает фактического контроля, и такое Согласие считается незаконным основанием для обработки.

    Следствием несоблюдения требования об информированном Согласии является его незаконность, и контролер, возможно, нарушает статью 6 GDPR.

    Статья 7(1) GDPR определяет явное обязательство контролера демонстрировать Согласие субъекта данных. В соответствии со статьей 7(1) бремя доказательств лежит на контролере.

    В пункте 42 говорится: “Если обработка осуществляется на основании согласия субъекта данных, контролер должен быть в состоянии продемонстрировать, что субъект данных дал согласие на операцию по обработке.

    Контролеры могут разрабатывать собственные методы соблюдения этого требования таким образом, чтобы они лучше соответствовали их деятельности. В то же время, обязанность демонстрировать полученное законное Согласие, сама по себе не должна приводить к чрезмерной дополнительной обработке данных. Это означает, у контролеров должно быть достаточно данных, чтобы продемонстрировать связь с обработкой (показать получение Согласия), но они не обязаны собирать данные сверх необходимого.

    Контролер обязан показать, что действующее Согласие было получено от субъекта данных. В GDPR точно не указано, как именно это должно быть сделано. Однако, контролер должен доказать, что субъект данных дал свое Согласие. Пока ведется деятельность по обработке данных, существует обязательство демонстрировать Согласие. После завершения обработки, в соответствии со статьями 17(3)(b) и (e), доказательство Согласия не должно храниться дольше строго необходимого для выполнения юридических обязательств, предъявления, исполнения или защиты юридических требований.

    Например, контролер может хранить протокол полученных заявлений о Согласии, чтобы показать, как и когда оно было получено, и какая именно информация была предоставлена субъекту данных в тот момент. Контролер также обязан показать, что субъект данных был проинформирован, и процесс получения соответствовал всем критериям законного Согласия. Логической причиной этой обязанности GDPR является то, что контролеры должны брать ответственность за получение законного Согласия субъекта и свои механизмы его получения. Например, в онлайн-контексте контролер может хранить информацию о сеансе, во время которого было дано Согласие вместе с документацией процесса получения и копией информации, которая была представлена субъекту данных в это время. Недостаточно просто сослаться на правильную конфигурацию веб-сайта.

    Пример 21
    Больница создает научно-исследовательскую программу под названием ”Проект X”, для которой необходимы стоматологические карты реальных пациентов. Участники набираются с помощью телефонных звонков пациентам, которые добровольно соглашаются быть в списке кандидатов. Контролер запрашивает явное Согласие субъекта данных на использование его стоматологической карты. Согласие дается во время телефонного разговора путем записи устного заявления субъекта данных, в котором он подтверждает дачу Согласия на использование данных в целях “Проекта X”.

    GDPR не определяет конкретный срок годности Согласия. Срок годности зависит от контекста, сферы применения и ожидания субъекта данных. Если операции обработки значительно меняются, то первоначальное Согласие перестает действовать. В таком случае необходимо получить новое разрешение.

    WP29 рекомендует время от времени обновлять Согласие. Повторное предоставление информации помогает обеспечить хорошую осведомленность субъекта данных об использовании его данных и правах.


    Похожие записи:

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *