Согласие на обработку персональных данных с сентября 2022 года должно быть предметными и однозначными, а не просто сознательными, конкретными и информированными (Федеральный закон от 14.07.2022 № 266-ФЗ, далее – Закон № 266-ФЗ). Согласие на обработку персональных данных (бланк) закон по-прежнему не предусматривает, однако устанавливает его содержание, правила заполнения и условия обработки.
Когда и как заполнять согласие на обработку персональных данных с учетом требований Закона № 266-ФЗ, разберем в статье.
Уточните изменения в Законе № 152-ФЗ с 1 сентября 2022 года и с 1 марта 2023 года и постройте эффективный алгоритм работы с ПД в вашей компании благодаря новейшему обучающему курсу. |
Новые правила прекращения обработки персданных
Пример нового согласия на обработку персданных
Примеры случаев обработки персданных
Таблица новых штрафов за нарушения в работе с персданными (на декабрь 2023)
|
|
Нужно ли согласие на обработку персональных данных
Согласие на обработку персональных данных – обязательный документ при работе с персданными (кратко – ПД): работников, соискателей, контрагентов по договорам ГПХ и иных лиц. Его нужно получить в письменной форме от субъекта ПД или доверенного лица (ст. ст. 6 и 9 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ).
Решение о предоставлении ПД принимает их субъект: свободно, по своей воле и в своем интересе. При недееспособности согласие на обработку персданных дает законный представитель субъекта. В случае смерти субъекта согласие на обработку ПД дают его наследники, если оно не дано им при жизни (ч. 6 и 7 ст. 9 Закона № 152-ФЗ).
Персональные данные – любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (субъекту ПД) (п. 1 ч. 1 ст. 3 Закона № 152-ФЗ).
Оператор персональных данных
– это государственный или муниципальный орган, юридическое либо физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют ее цели; состав персданных, подлежащих обработке; а также действия (операции), совершаемые с ними (п. 2 ч. 1 ст. 3 Закона № 152-ФЗ).
Обработка персональных данных – любое действие (операция) или их совокупность, совершаемые с использованием средств автоматизации (или без них) с персданными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ч. 1 ст. 3 Закона № 152-ФЗ).
Предоставление персональных данных – действия, направленные на их раскрытие определенному лицу или кругу лиц (п. 6 ч. 1 ст. 3 Закона №152-ФЗ). |
Оператор (работодатель) может поручать обработку ПД другому лицу. Для этого нужно:
-
согласие субъекта;
-
договор с лицом, которому передается обработка;
-
перечень ПД в поручении;
-
документы и иная информация, которые предоставляются по запросу (в том числе до обработки) и подтверждают принятие мер и соблюдение требований закона в целях исполнения поручения оператора.
Поручитель не обязан получать согласие субъекта ПД на их обработку. При этом на него перекладывают все обязанности по защите ПД как на оператора (ч. 3–5 ст. 6 Закона № 152-ФЗ).
Иностранные лица с 1 сентября 2022 года также вправе обрабатывать ПД на основании согласия гражданина России (ч. 1.1 ст. 1 Закона № 152-ФЗ). Если обработка ПД поручается иностранному лицу, то ответственность перед их субъектом – солидарная. Следовательно, за нарушения, допущенные иностранным физическим или юридическим лицом, отвечает и оператор (ч. 6 ст. 6 Закона № 152-ФЗ).
Основные правовые нормы об обработке ПД
Основные требования к обработке ПД изложены в документах:
|
Новая ответственность операторов обработки ПД
Ужесточили ответственность за размещение персданных без письменного согласия или с нарушением закона(Федеральный закон от 12.12.2023 № 589-ФЗ). Теперь возможны такие штрафы:
Кроме того, за повторное нарушение ИП также грозит штраф – от 500 000 до 1 млн руб. |
Когда возможна обработка персональных данных без согласия
Существуют случаи, когда возможна обработка персональных данных без согласия субъекта (п. 2–11 ч. 1 ст. 6 Закона № 152-ФЗ). В частности, если личные сведения работника обрабатывают во исполнение закона (в силу нормативных требований). К примеру, трудовой договор нельзя заключить без паспортных данных, номера СНИЛС сотрудника и других его сведений (ст. 65 ТК РФ). В этом случае согласие лица на обработку персональных данных не нужно (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ).
По этой же причине не получают отдельного согласия от работника при ведении обязательного кадрового и воинского учета, исчислении и уплате обязательных взносов, отчислений и налогов, при передаче сведений в ПФР и ФСС России.
Важно! Не путайте согласие субъекта ПД на их обработку и уведомление Роскомнадзора о работе с ПД. Закон предусматривает случаи обработки персданных без согласия их субъекта, в то время как без уведомления Роскомнадзора теперь практически ни с какими ПД работать нельзя (кроме условий п. 8 ч. 2 ст. 22 Закона № 152-ФЗ). |
Если ПД потребовались для дополнительных действий работодателя, не указанных в законе, письменное согласие субъекта на обработку персональных данных – необходимо (п. 1 ч. 1 ст. 6 и ст. 9 Закона № 152-ФЗ).
Кроме того, теперь нельзя требовать предоставления биометрических сведений и обрабатывать их без согласия субъекта. Исключение составляют вопросы: обороны, безопасности, противодействии терроризму и коррупции, транспортной безопасности, оперативно-розыскной деятельности, государственной службы, уголовно-исполнительного законодательства России, порядка выезда и въезда в нашу страну, гражданства России и нотариата (ч. 2 и 3 ст. 11 Закона № 152-ФЗ).
Обработка ПД объектов государственной охраны и членов их семей осуществляют по Федеральному закону от 27 мая 1996 года № 57-ФЗ (ч. 1.1 ст. 6 Закона № 152-ФЗ).
Обратите внимание! Когда субъект ПД отказывается предоставить обязательные персданные, нужно разъяснить последствия такого отказа и (или) согласия на их обработку (ч. 2 ст. 18 Закона № 152-ФЗ). |
Случаи обработки персданных, включая специальные категории ПД, уточните здесь
Форма согласия на обработку персональных данных
Заполнение согласия на обработку персональных данных возможно в письменной (бумажной) либо электронной форме. Соответственно его заверяют – собственноручной либо электронной подписью (ч. 4 ст. 9 Закона № 152-ФЗ). Единой формы согласия работника на обработку персональных данных да нет, однако установлен перечень обязательных условий, которые важно в него включить.
Закон № 266-ФЗ установил дополнительные требования к содержанию согласия. Теперь согласие на обработку персональных данных с сентября 2022. должно быть еще и «предметным» и «однозначным», а не только сознательным, конкретным и информированным. Новые требования относятся к (ч. 1 ст. 9 Закона № 152-ФЗ):
-
цели обработки персональных данных;
-
перечню ПД, на обработку которых дается согласие их субъекта;
-
наименованию или фамилии, имени, отчеству и адресу лица, которое осуществляет обработку ПД по поручению оператора (если она поручена такому лицу);
-
перечню действий с ПД, на совершение которых дается согласие, а также – общему описанию способов обработки ПД, которые использует оператор;
-
сроку, в течение которого действует согласие субъекта ПД и способу его отзыва.
Согласие на обработку персональных данных – образец скачайте по ссылке.
В тексте согласия субъекта на обработку персональных данных избегайте общих и неопределенных формулировок. Его положения должны быть содержательными и относиться к теме (положениям закона). Определите ПД и цели для каждого вида данных (если их несколько). Для выполнения условий конкретности и информированности в одном документе лучше отметить одну цель и сведения для нее.
Когда вы указываете в согласии срок его действия, удостоверьтесь, что он совпадает с требованиями закона об архивном деле.
Новые правила прекращения обработки персональных данных скачайте по ссылке
Обязательные условия согласия на обработку ПД (ст. 9 Закона № 152-ФЗ):
|
Как организовать в компании хранение персданных и какие особенности при этом нужно учесть, узнайте в нашей статье.
Как обрабатывать ПД для дополнительных гарантий третьим лицам
Некоторые организации принимают расширенные социальные программы. Их действие в том числе распространяется на совершеннолетних и малолетних родственников работников. Это могут быть полисы ДМС, путевки и др. В таких ситуациях также обрабатывают личную информацию, хоть и третьих лиц. Следовательно, для обработки сведений также необходимо получить письменное согласие субъектов ПД (ст. 9 Закона № 152-ФЗ).
Оно должно быть оформлено в виде отдельного документа и подписано лично или получено через представителя (которым может выступить и сам работник). В частности, согласие на обработку персданных несовершеннолетних (сына или дочери) дает сам работник – их родитель. |
Согласие на обработку персональных данных соискателя
На стадии подбора кандидатов на должность, помимо общих сведений (ФИО, пола, даты рождения), работодателю нужна и другая информация из документов для трудоустройства (ст. 65 ТК РФ):
-
удостоверения личности (в частности, паспорта);
-
трудовой книжки (при ее ведении, либо – выписки по форме СТД-Р, Приказ Минтруда России от 20 января 2020 г. № 23н, Приказом Минтруда России от 19.05.2021 № 320н);
-
СНИЛС;
-
документа об образовании (квалификации);
-
документа воинского учета;
-
дополнительных справок (при необходимости), например, об отсутствии судимости) и др.
Для их обработки также нужно получить письменное согласие соискателя с учетом последних требований по Закону № 266-ФЗ (ст. 9 Закона № 152-ФЗ).
Узнайте, как провести аудит персданных своими силами и с помощью профессионалов. Найдите нарушения в работе с персданными раньше сотрудников Роскомнадзора – избегите многомиллионных штрафов.
Предоставление ПД в согласии лица на обработку персональных данных
К частным случаям передачи ПД относят их распространение и предоставление. При этом закон отмечает, что распространяют сведения – неограниченному кругу лиц, а предоставляют – конкретным субъектам (п. 5, 6 ч. 1 ст. 3 Закона № 152-ФЗ).
Вы не вправе распространять ПД неограниченному кругу третьих лиц на основании согласия на обработку персданных. Для этого нужно отдельное согласие – на их распространение. Однако предоставление сведений конкретным людям (организациям) и сейчас можно оформить в согласии на обработку ПД (п. 3 ч. 1 ст. 86, ст. 88 ТК, ст. 6, ст. 10.1 Закона № 152-ФЗ).
Актуальные сведения об административных штрафах за нарушения при работе с согласием на обработку ПД скачайте по ссылке
Персональные данные 1 сентября 2022 обрабатывают по новым требованиям. Как уведомлять Роскомнадзор, что изменить в Политике по обработке персданных и в Положении о персданных, что учесть при разработке нового согласия на обработку персданных, узнаете на нашем курсе. |
Топ-5 документов по персональным данным, которые скачивают ваши коллеги:
Бланк приказа о назначении ответственного за обработку персданных
Примерная форма политики по персданным
Пример нового согласия на обработку персданных
Таблица изменений в работе с персданными на 2022-2023 гг.
Чек-лист для аудита документов по персданным
|
|