Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как оформить согласие на обработку персональных данных субъекта». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Все правила обращения с личной информацией регулирует Федеральный закон №152-ФЗ «О персональных данных». Согласно статье 3 этого закона, персональными данными можно назвать любую информацию, которая касается непосредственно физического лица — субъекта этих данных. К информации личного характера следует отнести все паспортные данные: Ф. И. О., дату и место рождения, возраст, место проживания, семейный статус.
Какие данные относятся к персональным?
В этом же законе есть статья 10, которая вносит в список персональной информации подробности о расе, национальности, моральных убеждениях человека, личной жизни, а также сведения о его здоровье.
В статье 11 понятие «персональные данные» расширяется: под термином понимают любые сведения, фото- или видеоматериалы, по которым можно определить личность человека.
Чтобы предупредить неправомерные действия, личная информация каждого человека должна надежно сохраняться. Многие люди бережно относятся к сведениям о себе, и это оправдано. Поэтому, согласно действующим законам РФ, нельзя обрабатывать личную информацию без согласия субъекта (в некоторых случаях — письменного).
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Общедоступные данные по-новому
С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).
При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.
К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.
Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.
Принятие пользовательского соглашения
Принятие пользовательского соглашения может расцениваться как заключение договора оказания услуг. Оно производится в основном двумя способами:
- «Click-wrap agreement» – заключение соглашения происходит посредством щелчка по кнопке «Я согласен» (или реализацией чек-бокса), расположенной на странице с пользовательским соглашением. При этом не требуется каких-либо бумажных документов, подписей или прямого общения между пользователем и владельцем сайта.
- «Browse-wrap agreement» – от пользователя не требуется в прямом виде выражать свое согласие, достаточно ознакомиться с условиями договора по ссылке. Конклюдентным действием, то есть поведением пользователя, которое направлено на заключение сделки, является факт использования сайта.
Обе концепции в полной мере удовлетворяют требованиям российских законов, так как статьей 158 Гражданского кодекса выражение воли на совершение сделки может быть в конклюдентном виде, а в статье 434 ГК РФ разрешается составление договора в электронной форме.
На обработку какой информации нужно согласие?
К ПДн причисляют абсолютно все сведения, касающиеся человека (физического лица) и позволяющие отличить его от других граждан, а именно:
- имя, фамилия, отчество;
- день, месяц, год и место рождения;
- регистрационный адрес;
- семейное и финансовое положение;
- социальный статус;
- уровень доходов;
- имеющиеся обязательства (алиментные выплаты, кредиты и т.д.);
- образование;
- место работы и профессия, стаж;
- вероисповедание и национальность;
- состояние здоровья;
- вес, рост;
- фотографии, видео, голос;
- политические взгляды.
Информация может быть общедоступной, биометрической и специальной, а источниками и одновременно местами хранения ПДн являются различные документы:
- справки НДФЛ;
- паспорт (как российский, так и заграничный);
- военный билет;
- трудовая книжка;
- паспорт моряка;
- водительское удостоверение;
- карточка сотрудника (форма Т-2);
- заполненные анкеты;
- документы, подтверждающие состав семьи, образование и т.д.
Для чего нужно письменное согласие работника на обработку его данных
Получение письменного согласия человека на обработку его персональных данных становится необходимо юридическому или физлицу, которое получает доступ к этим данным. Основные вопросы, связанные с персональными сведениями о человеке, регулируются законом «О персональных данных» от 27.07.2006 № 152-ФЗ. В их число входит:
- определение круга сведений, являющихся персональными;
- установление условий обработки, хранения и уничтожения данных их получателем;
- описание ситуаций, как требующих, так и не требующих согласия лица на обработку сведений о нем;
- перечисление прав носителя персональных данных на ознакомление с результатами их обработки;
- определение ответственности лиц, разгласивших персональную информацию.
Наиболее частым случаем получения и обработки персональной информации о человеке является сбор и анализ работодателем сведений о своем работнике (уже работающем или вновь принимаемом на работу).
Помимо общедоступных сведений, к которым закон № 152-ФЗ относит данные о Ф. И. О., принадлежности к определенному полу, дате рождения, работодателю оказывается нужна и иная информация, содержащаяся в документах, предъявляемых при трудоустройстве (ст. 65 ТК РФ):
- в удостоверении личности (паспорте);
- трудовой книжке;
- свидетельстве ПФР;
- документах об обучении;
- документах воинского учета;
- дополнительных справках (в частности, об отсутствии судимости) или документах, наличие которых является условием приема на определенную работу.
Сбор и обработка таких данных требуют от работодателя получения предварительного письменного согласия работника на эти действия (п. 1 ст. 9 закона № 152-ФЗ). Согласие является добровольным и может быть отозвано работником.
Можно ли отменить или аннулировать соглашение
Со временем у гражданина может возникнуть ситуация, при которой он против, чтобы производилось использование ранее им переданных данных. При этом нужно обязательно выяснить, производил ли он подписание письменного соглашения на их обработку.
Если нет — то он должен обращаться в суд, поскольку был нарушен закон о неприкосновенности личной жизни. Если же согласие на обработку данных он давал, то нужно произвести его отзыв.
Внимание! Заявление на отзыв нужно составлять в двух копиях. Одна остается у оператора, у которого отзывается разрешение, а на второй нужно попросить поставить отметку о получении запроса. По закону, в течение оговоренного срока получатель заявления должен письменно ответить на него.
Если заявление на отзыв отправляется по почте, то делать это желательно заказным письмом как по фактическому, так и по юридическому адресам.
Производить отзыв рекомендуется в следующих случаях:
- После выплаты кредита банку;
- После пользования услугами организаций, в которых для их получения необходимо было сообщать сведения о себе;
- При переводе ребенка в другую школу;
- При смене места работы;
- При завершении лечения в медицинских центрах.
Когда требуется согласие на обработку персональных данных?
В большинстве случаев действия, касающихся использования личных сведений граждан, требуют соответствующего согласия. Но закон 152 допускает моменты, когда этот документ не требуется. При этом обязательно соблюдение законодательства и в рамках него не допускать превышения допустимого объема обработки. Также обязательно соответствие действий достижения целей, ради которых информация используется.
Потребуется согласие гражданина и в случае, когда его контактные данные, такие как номер мобильного телефона и адрес электронной почты, могут использоваться для иных целей.
Статья 86 Трудового кодекса гласит, что персональные данные оператор должен получать непосредственно от самого работника. При этом допускаются случаи, когда их можно получить только у третьей стороны. В такой ситуации следует учитывать, что предварительно работник должен быть осведомлен об этом и дать соответствующее согласие.
Перечислим случаи, когда от работника не требуется согласие на обработку его личных данных, если они получены:
- из документов, которые он представил для оформления трудового контракта;
- в результате обязательного медосмотра, пройденного гражданином перед поступлением на работу;
- из данных, содержащихся в личной карточке работника, а также в случаях, предусмотренных законодательством в рамках п.2 Разъяснений Роскомнадзора;
- из опубликованного на открытых ресурсах сети Интернет резюме;
- когда от имени соискателя на должность, вакантную в организации, выступает кадровое агентство и представляет персональные данные потенциального работника.
Можно ли отозвать согласие?
В случае обнаружения противоправных действий в отношении персональных данных, переданных для обработки оператору, а также при увольнении с работы или иных случаях гражданин вправе отозвать ранее переданное согласие. Чаще всего этот документ хоть и подписывается в сознательном порядке, но сам факт может забыться. Поэтому такие случаи достаточно редки.
При желании оформить отзыв согласия достаточно просто. Это делается путем написания заявления в произвольном виде с требованием:
- о прекращении любых действий с полученными ранее персональными данными;
- об уничтожении их.
При этом в заявлении можно сослаться на нормативную базу Федерального закона № 152, в частности п.2 ст.9. Оператор обязан в течение одного месяца после получения отзыва выполнить требования гражданина.
Отметим, что ответственность оператора в части обработки личных сведений закреплена ч.2 ст.13.11 КоАП и нарушением считается:
- обработка данных в случаях, когда требуется согласие, но оно не получено от субъекта в письменном виде;
- согласие составлено с нарушением требований с составу сведений, которые должны присутствовать в этом документе.
Что должны знать работодатели?
При оформлении согласия работника на обработку персональных данных работодатели должны руководствоваться нормами ст. 86 и 87 ТК РФ. Так, в соответствии с п. 3 ст. 86 ТК РФ, в случае, если ПД работника могут быть запрошены только у третьей стороны, то работника потребуется заранее уведомить о таком запросе, а также получить от него письменное согласие на получение соответствующих персональных данных. Работодатель сообщает работнику о целях, вероятных источниках и механизмах получения ПД, о характере таких данных, а также о последствиях отказа работника предоставить письменное согласие, о котором идет речь.
Предприятия обязаны самостоятельно составлять нормативные положения по обработке персональных сведений по работникам. Выбранный порядок необходимо закрепить в отдельном локальном акте.
Одна из обязанностей работодателя — защита персональных данных.
Согласие работника на обработку персональных данных
Основная часть персональных данных передается работником во время оформления на работу, их обработка (получение, передача, хранение и т.д.) регулируется трудовыми отношениями (N 152-ФЗ «О персональных данных»).
Когда нет необходимости брать согласие:
- Обработка данных осуществляется в ходе исполнения трудовых обязательств (например, при предложении вакантной должности);
- Если работа предполагает периодические медицинские осмотры, то данные о здоровье работника также считаются открытыми;
- Если нет возможности получить согласие при непосредственной угрозе жизни человека (например, он находится без создания).
В остальных случаях обработку персональных данных возможно выполнять только в рамках письменного согласия-заявления, которое содержит пункты:
- ФИО субъекта, его адрес, номер паспорта, дату его выдачи и сведения о выдавшем его органе;
- ФИО и адрес оператора;
- Перечень получаемых данных с указанием цели, для которой происходит их сбор и обработка;
- Срок действия согласия.
Базис законного интереса на практике
| Цель использования | Повышение стабильности продукта для соблюдения интересов лицензиата. |
| Необходимость | Иным способом получить статистику в совокупности необходимых параметров невозможно. |
| Баланс интересов | Обработка сбалансирована, а потенциальный вред не является существенным. |
| Открытость | Обработка данных открытая и очевидная для субъекта данных. |
Скачать бланк согласие на обработку персональных данных в 2020 году
К персональным данным относится личная информация, касающаяся какого-либо человека.
Сюда относятся не только ФИО и паспортные данные, это могут быть черты характера, место проживания, дата рождения, личные характеристики, информация, взятая из трудовой книжки или других документов.
Казалось бы, зачастую такие сведения являются общедоступными. Однако нужно понимать, их использование разрешено лишь в том случае, если физическое лицо предоставит на это разрешение.
Условно личная информация о человеке делится на три группы:
- Общедоступная. Такая информация может содержать дату рождения, ФИО, гражданство и пол физического лица.
- Биометрическая. Здесь указываются физиологические и внешние параметры и особенности.
- Специальная. Данные о месте работы, увлечениях, религии, здоровье, законопослушности.
Если кто-то будет использовать данные последних двух групп, не имея на это согласия их владельца, это считается нарушением закона. Естественно, за такие действия придется отвечать перед законом. Однако в современном мире, когда сохранности личных данных уделяется большое внимание, без разрешения нельзя использовать даже общедоступную информацию, относящуюся к первой группе.
Что делать, если сотрудник отказывается подписывать согласие?
Иногда встречаются ситуации, когда при приеме на работу некоторые люди отказываются подписывать соответствующие документы из-за своих личных убеждений. В большинстве своем, они вызваны опасениями, связанными с возможным использованием персональных данных в целях, которые могут нанести вред их владельцу. Эти опасения связаны в основном с незнанием законов, которые, наоборот, призваны защитить его персональные данные.
Закон в этом случае гласит о том, что предприятие не имеет права трудоустроить такого человека, так как тем самым оно нарушает закон, и может быть привлечено к ответственности. Получается, что избежать этой процедуры не удастся, так как, согласно делопроизводству, на предприятии должны храниться ксерокопию документа, удостоверяющего личность, оригинал трудовой книжки, копия диплома, и другие, в зависимости от профессии. Все это персональные данные, согласие на обработку которых получено не было.