Как оформить согласие на обработку персональных данных?
Согласие на обработку и распространение персональных данных работника
Одним из условий обработки персональных данных работников является получение работодателем согласия работников на это (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ). При этом закон выделяет ряд случаев, когда согласие не является обязательным.
Согласий на обработку персональных данных может быть два
С 1 марта 2021 года в закон введено новое понятие – "Персональные данные, разрешенные для распространения". Речь идет о случаях, когда персональные данные распространяются оператором среди неограниченного круга лиц, например, при их размещении на сайте, в СМИ, других общедоступных ресурсах.
Раньше оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персональных данных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение, ст. 10.1 Закона № 152-ФЗ). Таким образом, для обработки и распространения персональных данных работника нужно получить у него:
- согласие на обработку персональных данных (если персональные данные не планируется распространять среди неограниченного круга лиц);
- согласие на распространение персональных данных (если планируется распространять данные среди неограниченного круга лиц).
Оба вида согласий могут быть получены у работника как по отдельности, так и вместе.
Когда согласие на обработку персональных данных не требуется
Работодатель может осуществлять обработку персональных данных работника без его согласия:
- для осуществления оператором (работодателем) обязанностей, возложенных на него законом (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ). Речь идет об обязанности работодателя предоставлять персональные данные работника:
- во внебюджетные фонды (ПФР, ФСС) (абз. 15 ч. 2 ст. 22 ТК РФ, абз. 3 п. 4 Разъяснений Роскомнадзора "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве" (далее – Разъяснения);
- в трудовую инспекцию (абз. 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений);
- в профсоюзы (ст. 370 ТК РФ, абз. 5 п. 4 Разъяснений);
- в прокуратуру и правоохранительные органы (абз. 7 п. 4 Разъяснений);
- в налоговые органы и военные комиссариаты (пп. 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Разъяснений);
- в Роскомнадзор и его территориальные органы (ч. 4 ст. 20 Закона № 152-ФЗ);
- при реализации международных соглашений (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ);
- при осуществлении правосудия, исполнения судебного акта и иных актов, предусмотренных законодательством об исполнительном производстве (п. 3 ч. 1 ст. 6 Закона № 152-ФЗ);
- для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27.07.2010 № 210-ФЗ (п. 4 ч. 1 ст. 6 Закона № 152-ФЗ).
- для исполнения договора, стороной, выгодоприобретателем или поручителем по которому является работник (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ). Это положение позволяет работодателю не получать согласие работника, с которым заключен трудовой договор. Однако если эти данные передаются третьим лицам, то согласие необходимо (ст. 88 ТК РФ, за исключением случаев, когда такая передача обусловлена требованием закона);
- для защиты жизни, здоровья и иных интересов работника (п. 6 ч. 1 ст. 6 Закона № 152-ФЗ);
- для реализации прав и законных интересов оператора (работодателя) и третьих лиц или для достижения общественно значимых целей, если при этом не нарушаются права и свободы субъекта персональных данных (п. 7 ч. 1 ст. 6 Закона № 152-ФЗ);
- для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных (п. 8 ч. 1 ст. 6 Закона № 152-ФЗ);
- в статистических или иных исследовательских целях при условии обезличивания персональных данных (п. 9 ч. 1 ст. 6 Закона № 152-ФЗ).
Ответственность за обработку или распространение персональных данных без согласия работника
Если согласие на обработку или распространение персональных данных обязательно, но оно не было получено, либо не были соблюдены требования к составу сведений, которые должны быть в таком согласии, обработка персональных данных признается незаконной и может стать поводом для привлечения к ответственности на основании ч. 2 ст. 13.11 КоАП РФ в виде штрафа:
- на граждан - от 6 000 до 10 000 рублей;
- на должностных лиц - от 20 000 до 40 000 рублей;
- на организации - от 30 000 до 150 000 рублей.
Согласие на обработку персональных данных без их распространения
С 1 марта 2021 года законодательство о защите персональных данных предусматривает необходимость получать у субъекта персональных данных разные согласия на их обработку в зависимости от того, планируется ли распространять такие данные среди неограниченного круга лиц или нет. Соответственно, субъект персональных данных может дать как простое согласие на обработку персональных данных, так и согласие на распространение персональных данных. Напомним, что под обработкой персональных данных подразумевается любое действие с ними, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 Закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ).
Ниже рассмотрим порядок оформления и требования к содержанию простого согласия на обработку персональных данных без их распространения.
Содержание согласия на обработку персональных данных
Согласие на обработку персональных данных без их последующего распространения среди неограниченного круга лиц должно содержать следующие сведения (ч. 4 ст. 9 Закона № 152-ФЗ):
- фамилию, имя, отчество субъекта персональных данных;
- адрес субъекта персональных данных;
- номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных;
- номер основного документа, удостоверяющего личность представителя субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
Оформление согласия на обработку персональных данных
Действующее законодательство содержит перечень случаев, в которых согласие на обработку персональных данных обязательно должно быть оформлено в письменной форме. В частности, получить письменное согласие необходимо:
- при обработке биометрических персональных данных (ч. 1 ст. 11 Закона № 152-ФЗ);
- при трансграничной передаче персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (п. 1 ч. 4 ст. 12 Закона № 152-ФЗ);
- при принятии решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающего его права и законные интересы (ч. 2 ст. 16 Закона № 152-ФЗ);
- и т.д.
Если для конкретной ситуации законом предусмотрена необходимость оформления согласия на обработку персональных данных в письменной форме с личной подписью субъекта персональных данных, его следует оформить письменно. Кроме того, согласие может быть оформлено в виде электронного документа. В этом случае для его подписания понадобится электронная подпись (ч. 4 ст. 9 Закона № 152-ФЗ). Если письменная форма согласия законом не предусмотрена, оно может быть оформлено другими способами, например, путем проставления субъектом персональных данных отметки в соответствующем поле при заполнении данных на сайте. Заверять такое согласие электронной подписью не требуется.
Однако даже если закон не предусматривает обязательного письменного согласия на обработку персональных данных сотрудника, рекомендуется по возможности оформлять его письменно. В случае возникновения претензий со стороны работника такой документ может подтвердить право работодателя на обработку данных. Дело в том, что согласно ч. 3 ст. 9 Закона № 152-ФЗ доказывать наличие согласия должен именно оператор персональных данных, то есть работодатель. При отсутствии доказательств закон будет на стороне работника.
Согласие на обработку персональных данных, разрешенных для распространения
С 1 марта 2021 года законодательство о защите персональных данных предусматривает необходимость получать у субъекта персональных данных разные согласия на их обработку в зависимости от того, планируется ли распространять такие данные среди неограниченного круга лиц или нет. Ниже рассмотрим порядок оформления и требования к содержанию соглашения на обработку персональных данных, разрешенных для распространения. Такое согласие может быть дано работником наряду с обычным согласием на обработку персональных данных – они действуют независимо друг от друга.
Содержание согласия на обработку персональных данных, разрешенных для распространения
Перечень реквизитов, которые обязательно должны присутствовать в согласии на обработку персональных данных, разрешенных субъектом к распространению, закреплен в приказе Роскомнадзора от 24.02.2021 № 18, который действует с 1 сентября 2021 года. Начиная с этой даты, такое согласие должно содержать:
- фамилию, имя, отчество (при наличии) субъекта персональных данных;
- контактную информацию (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных);
- сведения об операторе-организации – наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);
- сведения об операторе-физлице – фамилия, имя, отчество (при наличии), место жительства или место пребывания;
- сведения об операторе-гражданине, являющемся индивидуальным предпринимателем, – фамилия, имя, отчество (при наличии), идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);
- сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;
- цель (цели) обработки персональных данных;
- категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:
- персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);
- специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
- категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень установленных условий и запретов (заполняется по желанию субъекта персональных данных);
- условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных);
- срок действия согласия.
Если к 1 сентября 2021 года работники уже давали похожее согласие на обработку и распространение персональных данных, следует пересмотреть его и привести в соответствие с приведенным выше перечнем. Для этого сотруднику следует отозвать прежнее согласие в письменном виде и подписать новое согласие, содержащее все обязательные реквизиты. В противном случае работодатель может быть привлечен к ответственности.
Оформление согласия на обработку персональных данных, разрешенных для распространения
Согласие на обработку персональных данных, разрешенных для распространения, может быть представлено оператору персональных данных (ч. 6 ст. 10.1 Закона № 152-ФЗ):
- непосредственно – то есть на бумаге, с личной подписью субъекта персональных данных;
- в электронном виде – через информационную систему Роскомнадзора. Правила предоставления согласия этим способом, действующие с 1 марта 2022 года, утверждены Роскомнадзором. Чтобы получить согласие этим способом, оператору персданных (работодателю) следует:
- подключить свой сайт к Единой системе идентификации и аутентификации (ЕСИА);
- после подписания субъектом персданных согласия (для этого ему понадобится электронная подпись) получить из Роскомнадзора сведения:
- о факте предоставления согласия;
- о цели обработки персональных данных;
- об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц к персональным данным;
- о категориях и перечне персональных данных, для обработки которых установлены условия и запреты;
- о перечне установленных запретов и условий в отношении персональных данных.
Обращаем ваше внимание, что с 1 июля 2021 года начал работу интернет-сервис Роскомнадзора для операторов персональных данных. С его помощью можно подготовить шаблон согласия на обработку персональных данных, разрешенных для распространения.
Уведомлять Роскомнадзор об обработке персональных данных, разрешенных для распространения, не нужно (пп. 4 п. 2 ст. 22 Закона № 152-ФЗ).