Как оформить согласие на обработку персональных данных?

Опубликовано: Подсказки бухгалтеру
Согласие на обработку персональных данных: бланк и образец 2021 года

Когда можно использовать мультисогласие

Получения мультисогласия возможно только в случаях, когда обработка персональных данных не подпадает под обязательное требование получения письменной формы Согласия

Важно учесть, что согласие по закону должно быть конкретным, предметным, информированным, осознанным и однозначным. Поэтому, если в Согласии необходимо указать несколько целей обработки, рекомендуется руководствоваться принципом однородности в отношении включаемых целей и объёма обрабатываемых личных данных

Рассмотрим ситуацию на примере обработки персональных данных на сайте компании.

При получении информации через веб-ресурс возможно использование мультисогласия, так как:

  • для данной ситуации не требуется оформление письменной формы;
  • можно определить однородные цели, для которых объём обрабатываемых данных примерно одинаков. К этим целям можно, в частности, отнести: оказание информационно-консультационных и иных услуг в соответствии с деятельностью оператора; включение в члены сообщества; регистрация на мероприятия; осуществление обратной связи; осуществление заочных опросов с целью изучения мнения об оказанных услугах; сбор статистической информации о пользователях с использованием метрической программы Яндекс.Метрика; информационная рассылка.

Несмотря на то что объём обрабатываемых данных для каждой указанной цели будет примерно одинаков, в Согласии лучше указать категории данных по отношению к каждой цели – это увеличит соответствие Согласия принципам конкретности и однозначности.

Однако включить в мультисогласие на сайте цели, связанные с распространением персональных данных, не получится, поскольку:

  • при использовании общедоступных источников информации (например, телефонных справочников или адресных книг) требуется получение письменного Согласия;
  • при распространении персональных данных в сети Интернет на ресурсах, которые не являются адресными книгами или телефонными справочниками, необходимо соблюдать определённые условия. В частности, требуется получение специального Согласия от субъекта персональных данных на обработку информации, разрешённой для распространения. Это согласие должно быть оформлено отдельно от других видов согласий, и его состав регламентирован приказом Роскомнадзора от 24.02. 2021 № 18.

Ещё одним отличием в оформлении письменного Согласия от Согласия в свободной форме является требование указания лиц, как юридических, так и физических, которым предполагается передавать данные.

Ч. 4 ст. 9 152-ФЗ устанавливает требования для оформления письменного Согласия, включая указание наименования или фамилии, имени, отчества и адреса лица, которое будет осуществлять обработку персональных данных по поручению оператора, если обработка поручается указанному лицу.

Если передача данных происходит вне договора о поручении и осуществляется через оформление Согласия в свободной форме, то прямого требования указывать лиц, которым будут переданы данные, не существует. Тем не менее, рекомендуется включать подобную информацию в Согласие, чтобы сделать процесс обработки персональных данных в компании более прозрачным и понятным для субъектов. В таком случае возможны различные способы указания информации о лицах, которым будут переданы персональные данные.

Приведём несколько примеров для наглядности.

  • При передаче информации большому числу лиц возможно предусмотреть в Согласии условие о том, что в определённых целях данные могут быть переданы третьим лицам, например, партнёрам компании, с перечнем которых субъект персональных данных может ознакомиться на сайте оператора или в другом указанном источнике.
  • Если меняются получатели данных, но цели обработки и конкретная ситуация, связанная с передачей данных, не меняются (например, передача данных сотрудников для каждого электронного конкурса/аукциона, где необходимо предоставить их персональные данные для участия), то достаточно получить одно Согласие в целях участия в торгах, электронных конкурсах/аукционах на объём данных, необходимых для указанных целей и при подписании разъяснить (можно устно) сотруднику о необходимости обработки таких сведений с учётом его должностных обязанностей и требований законодательства о торгах. Аналогичная ситуация с передачей данных сотрудников в образовательные учреждения в целях повышения квалификации, переподготовки, обучения или получения дополнительного образования (возможно получение одного Согласия в указанных целях без указания конкретных образовательных учреждений).

Что входит в «персональные данные»?

В ФЗ-152 дано четкое определение, что такое персональные данные и какая информация относится к ним. Согласно этому законодательному акту к ним можно отнести:

  • ФИО человека;
  • паспортные данные и информацию из других документов человека;
  • дата и место его рождения;
  • характеристики личности (вероисповедание, состояние здоровья, наличие или отсутствие судимостей и др.).

Обычно, их принято условно разделять на три группы:

  1. Общедоступные. Установочные данные человека, место и дата его рождения, а также гражданином какой страны он является.
  2. Биометрические. Физиологические особенности организма человека, например, наличие у него группы инвалидности и его внешние биологические параметры
  3. Специальные. Включают в себя принадлежность человека к определенной национальности, его вероисповедание, здоровье. Сюда же в какой-то мере относится место его трудоустройство, а также привычки и судимости.

При этом согласие на обработку только, если собираются данные для хранения и использования из второй и третьей группы.

Виды согласия работников на обработку их персональных данных

Законом предусмотрено два типа согласия:

  1. Согласие на обработку персональных данных
  2. Согласие на обработку персональных данных, которые сотрудник разрешает для распространения

Разберем их подробнее.

Согласие на обработку персональных данных

Его составляют как отдельный документ или включают в трудовой договор. Помимо информации из паспорта, ИНН, СНИЛСа, номера телефона он может содержать также, если в этом есть необходимость, медицинские данные, национальность, религиозные взгляды, фото и видео. 

Согласие обязательно получают в следующих ситуациях:

Список данных выходит за пределы требований ТК РФ.

Пример: нужно фото для создания пропуска или личная электронная почта, которую укажут в визитке.

Необходимо уточнить информацию у третьих лиц.

Пример: согласие просят у кандидата, если собираются наводить справки о нем у бывшего начальства.

Запрашивается информация о здоровье, религиозных и политических взглядах специалиста.

Исключение – профессии, для которых эти данные входят в список обязательных для найма на работу.

Пример: у менеджера согласие просят, а вот у учителя – нет, потому что без справки от психиатра работать в школах запрещено по закону.

Данные будут использованы в коммерческих целях.

Пример: компания передает информацию о водителе-экспедиторе своим партнерам.

Нужны биометрические данные.

Пример: на территорию завода можно попасть только по отпечаткам пальцев или пропуску, для которого используют фото сотрудника.

Информация будет опубликована в общем доступе.

Пример: в выходных данных газеты указывают личные номера и электронные почты рекламных менеджеров. 

Скачать согласие на обработку персональных данных, образец

Согласие на обработку данных, разрешенных к распространению

Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. 

Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.

Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).

В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.

Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.

Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). 

Персональные данные − это прямо или косвенно относящаяся к физическому лицу информация, с помощью которой он может быть идентифицирован. К персональным данным относятся  ФИО, паспортные данные, ИНН, СНИЛС, дата рождения, адрес (регион, город, улица, дом, квартира), образование, место работы, семейное и социальное положение, сведения о здоровье, уровень дохода и т.д., то есть, любые сведения, по которым можно идентифицировать человека. При этом, чтобы считать данные персональными, их необходимо использовать в совокупности, так как только лишь по фамилии или по данным об образовании идентифицировать личность невозможно.  

Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.

Ответственность за разглашение персональных данных

За разглашение персональных данных 137 ук рф устанавливает несколько видов наказаний.

Сбор и распространение данных о частной жизни без согласия на это лица может наказываться:

  • Штраф до 200 тыс. р.;
  • Зарплата или другой доход за 18 месяцев;
  • Обязательные работы до 360 часов;
  • Исправительные работы до 1 года;
  • Принудительные работы до 2 лет с лишением возможности занимать конкретные должности на срок до 3 лет;
  • Арест до 4 месяцев;
  • Лишение свободы до 2 лет с лишением возможности занимать должность на срок до 3 лет.

Если нарушение было произведено с использованием служебного положения:

  • Штраф от 100 тыс. до 300 тыс. р.;
  • Зарплата или другой доход от 1 до 2 лет;
  • Лишение права находиться на должности в период от 2 до 5 лет;
  • Принудительные работы до 4 лет с лишением возможности занимать конкретные должности на период до 5 лет;
  • Арест до 6 месяцев;
  • Лишение свободы до 4 лет с лишением возможности занимать должность на период до 5 лет.

Что признаётся обработкой персональных данных

Порядок обработки персональных данных предусмотрен Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», и такими данными, согласно пункту 1 статьи 3 Закона, признается любая информация, прямо или косвенно относящаяся к определённому или определяемому человеку. Нормы данного закона также определяют, что обработкой персональных данных считается любое действие с этими сведениями. Примером таких действий может являться работа с резюме на сайте с открытыми вакансиями: когда кадровый служащий скачивает и изучает представленное резюме на выставленную вакансию, тем самым он обрабатывает личные данные кандидата для целей работодателя.

В пункте 3 статьи 3 Федерального закона №152-ФЗ дано определение самой операции обработки персональных данных и ею признается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Субъектом персональных данных будет являться любое физическое лицо, чьи личные данные будут обрабатываться. К субъектам будут относиться соискатели, сотрудники организации, подрядчики, с которыми заключаются договоры гражданско-правового характера.

Следовательно, организация, физическое лицо или надзорный орган, обрабатывающие персональные данные в определённых целях, будут являться оператором персональных данных, что также закреплено пунктом 2 статьи 3 №152-ФЗ. Таким образом, следуя примеру, приведённому выше, организация, кадровый служащий которой скачал резюме с сайта вакансий для его изучения, также является оператором персональных данных конкретно этого соискателя.

Основание для заполнения бланка

Согласие на обработку персональных данных требуется по закону № 152-ФЗ, последняя редакция которого приходится на 1 сентября 2015 года. В соответствии с этим актом, обработка, хранение личной информации, а также ее передача третьим лицам допустимы только с согласия обладателя.

Характеристики подразделяют на три группы:

  1. Общедоступные. Сюда входят такие анкетные данные, как ФИО, пол, возраст, реквизиты паспорта.
  2. Биометрические. Это физиологические данные и внешние особенности.
  3. Специальные. К этой группе относятся сведения о национальной и религиозной принадлежности, состоянии здоровья, подробностях трудовой деятельности, наличии/отсутствии судимости.

Чтобы получать и обрабатывать анкетные данные (общедоступные), необходимо оформлять письменное согласие. Проводить обработку персональных данных без согласия субъекта можно лишь в исключительных обстоятельствах. Например, это происходит при получении запроса от государственных органов с целью обеспечения социального, медицинского или пенсионного страхования.

Для чего формируется согласие на обработку при трудоустройстве

Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д. Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).

В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.

Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.

Надо ли уведомлять РКН об обработке данных сотрудников?

В некоторых случаях уведомление НЕ нужно:

  • когда данные обрабатывают на основании ТК РФ;
  • когда работник согласился на обработку информации, которая будет распространена;
  • когда человеку нужен пропуск, чтобы один раз попасть, например, на завод.

Во всех остальных случаях необходимо ставить в известность Роскомнадзор о том, что компания собирается обрабатывать данные сотрудника. Причем делать это нужно еще до обработки, перед тем, как оформить кандидата в штат. Иначе ждут штрафы: организацию обяжут заплатить до 5 тысяч рублей, а с руководителя потребуют 500 рублей. Форма уведомления есть на официальном сайте Роскомнадзора. Нужно просто ее заполнить и отправить.

Защита персональных данных в 1С

В программе «1С:Зарплата и управление персоналом 8» ред. 3 в соответствии с требованиями Федерального закона № 152-ФЗ реализована регистрация таких событий, как:

  • вход в программу;

  • выход из программы;

  • аутентификация;

  • отказ в аутентификации;

  • доступ к персональным данным;

  • отказ в доступе к персональным данным.

Внимание! Учет персональных данных кандидатов поддерживается только в версии 1С:ЗУП КОРП

Рис. 1. Настройки регистрации событий доступа к персональным данным в программе «1С:Зарплата и управление персоналом 8» ред. 3

Важные обращения к персональным данным в таблице будут выделены цветом. Также можно установить отбор по периоду или по событию.

При необходимости Журнал событий можно вывести в табличный документ. Для этого в окне Защита персональных данных (в соответствии с требованиями 152-ФЗ) нужно нажать на кнопку Еще и выбрать команду в списке Вывести список. Таблицу можно сохранить в файл или вывести на печать.

Как отправить Уведомление в Роскомнадзор

Уведомление передайте в РКН любым из способов:

  • отправьте письмом в адрес территориального отделения Роскомнадзора по месту регистрации компании или ИП (или привезите лично);
  • в электронном виде через сайт РКН, используя УКЭП;
  • через ЛК на портале Госуслуг с использованием средств аутентификации ЕСИА.

Кстати, Роскомнадзор планирует поменять форму уведомления и уже разработал три новых бланка:

  • о намерении осуществлять обработку персональных данных;
  • о внесении изменений в ранее представленные сведения;
  • о прекращении обработки персональных данных.

Проект приказа об утверждении этих форм опубликован на федеральном портале НПА ().

Подписывайтесь на наши YouTube
и Telegram чтобы не
пропустить важные изменения 1С и законодательства

Похожие записи:

  1. Обязательное психиатрическое освидетельствование с 1 сентября 2022 года: главные изменения
  2. Если работник не сообщит об изменениях сведений из карточки воинского учета, оштрафуют ответственное лицо компании? штраф — за каждого работника?
  3. Нормы площади на человека в офисе
  4. Упрощённая система налогообложения
0
Понравилась статья? Поделиться с друзьями:
Бухгалтерский фокус

Похожие записи:

  1. Обязательное психиатрическое освидетельствование с 1 сентября 2022 года: главные изменения
  2. Если работник не сообщит об изменениях сведений из карточки воинского учета, оштрафуют ответственное лицо компании? штраф — за каждого работника?
  3. Нормы площади на человека в офисе
  4. Упрощённая система налогообложения
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.