- Что такое персональные данные
- Что является личной информацией граждан
- Кто такие операторы пд и что они делают
- В каких документах содержатся персональные данные
- Для чего нужно письменное согласие работника на обработку его данных
- Документ о согласии 2020 – 2021 годов: форма и образец
- Как заполнить согласие на обработку персональных данных
- Кто имеет право обрабатывать сведения о лице
- Можно ли обрабатывать сведения о лице без согласия владельца
- Письменное заявление о согласии на обработку персональных данных
- Судебная практика: согласие на обработку персональных данных в электронном виде
- Требования к оформлению документов
- Штрафы за отсутствие разрешения сотрудника
- Выводы
Что такое персональные данные
Понятие персональных данных и обращение с ними регулирует Федеральный закон от 27.07.2006 № 152-ФЗ. В соответствии с этим документом под личными данными граждан, охраняемыми законодательством, следует понимать любую информацию, которая прямо или косвенно относится непосредственно к их субъекту (то есть физическому лицу).
Такая информация позволяет однозначно определить, о каком человеке идет речь. Но человек — полновластный хозяин своих данных, и если форма согласия на обработку персональных данных им не заполнена и не предоставлена, ни одна организация не вправе ими распоряжаться.
Что является личной информацией граждан
Конкретные указания на то, какая информация о человеке является его индивидуальными и охраняемыми данными, в законодательстве отсутствуют. По сложившейся практике под ней обычно скрывается:
- фамилия, имя, отчество;
- дата и место рождения;
- адрес проживания (место регистрации);
- семейное, социальное и имущественное положение;
- образование, профессия;
- доходы, имущество и обязательства.
Обычно такие сведения человек сообщает о себе сам во многих государственных органах, медицинских и образовательных учреждениях, кредитных организациях и даже в коммерческих структурах (при трудоустройстве). Кроме вышеперечисленных сведений, которые являются общими, есть еще специальные личные данные, такие как национальность, вероисповедание, политические взгляды, состояние здоровья и прочая информация подобного рода.
Кто такие операторы пд и что они делают
В статье 3 закона № 152-ФЗ сказано, что оператором ПД является лицо, которое организует и осуществляет обработку персональных данных. Все работодатели, как юрлица, так и ИП, являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус, практически не ограничен.
Отдельное внимание следует уделить понятию обработки личной информации. О ней везде говорят, но никто толком не знает, что это такое. Тогда как часть 3 все той же статьи 3 закона № 152-ФЗ регламентирует это понятие как любое действие (или их совокупность), совершаемое с личной информацией. Под действиями законодатели понимают:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление или уничтожение данных.
Все операции проходят или в бумажном ручном режиме, или с использованием средств автоматизации, в том числе в режиме онлайн. На все эти действия оператор обязан получить от владельца одобрение: например, заполненный бланк согласия.
Деятельность работодателей в качестве операторов регулирует статья 86 Трудового кодекса РФ.
В каких документах содержатся персональные данные
Существует целый ряд документов, которые по своей сути являются источниками и одновременно хранилищами личной информации. К ним, в частности, относятся:
- паспорт гражданина (внутренний и заграничный);
- другие документы, удостоверяющие личность;
- трудовая книжка;
- военный билет;
- свидетельство о рождении;
- документы об образовании;
- документы о составе семьи;
- справки о доходах;
- анкеты, заполняемые при трудоустройстве;
- автобиография;
- характеристики;
- личные карточки работников (форма Т-2);
- другие документы.
Очевидно, что большинство этих документов в подлинниках или копиях хранят работодатели граждан. Они и все остальные лица, к которым попадает такая информация, являются операторами ПД. В законе указано, что такое согласие на обработку персональных данных, которое обязаны получить все операторы.
Для чего нужно письменное согласие работника на обработку его данных
Получение письменного согласия человека на обработку его персональных данных становится необходимо юридическому или физлицу, которое получает доступ к этим данным. Основные вопросы, связанные с персональными сведениями о человеке, регулируются законом «О персональных данных» от 27.07.2006 № 152-ФЗ. В их число входит:
- определение круга сведений, являющихся персональными;
- установление условий обработки, хранения и уничтожения данных их получателем;
- описание ситуаций, как требующих, так и не требующих согласия лица на обработку сведений о нем;
- перечисление прав носителя персональных данных на ознакомление с результатами их обработки;
- определение ответственности лиц, разгласивших персональную информацию.
Наиболее частым случаем получения и обработки персональной информации о человеке является сбор и анализ работодателем сведений о своем работнике (уже работающем или вновь принимаемом на работу).
Помимо общедоступных сведений, к которым закон № 152-ФЗ относит данные о Ф. И. О., принадлежности к определенному полу, дате рождения, работодателю оказывается нужна и иная информация, содержащаяся в документах, предъявляемых при трудоустройстве (ст.
- в удостоверении личности (паспорте);
- трудовой книжке;
- свидетельстве ПФР;
- документах об обучении;
- документах воинского учета;
- дополнительных справках (в частности, об отсутствии судимости) или документах, наличие которых является условием приема на определенную работу.
Сбор и обработка таких данных требуют от работодателя получения предварительного письменного согласия работника на эти действия (п. 1 ст. 9 закона № 152-ФЗ). Согласие является добровольным и может быть отозвано работником.
Требования к хранению и защите персональных данных подробно изложены в Путеводителе по персональным данным работников системы КонсультантПлюс. Получите бесплатный пробный доступ к системе прямо сейчас.
О том, что еще понадобится сделать при заключении трудового договора, читайте в статье «Порядок заключения трудового договора (нюансы)».
Об ответственности за разглашение персональных данных читайте здесь.
Документ о согласии 2020 – 2021 годов: форма и образец
Бланк согласия на обработку персональных данных не имеет законодательно утвержденной формы. При его оформлении нужно только соблюсти обязательность включения в него сведений, предусмотренных п. 4 ст. 9 закона № 152-ФЗ. Каждый получатель персональной информации может разработать форму согласия самостоятельно, отразив в ней необходимый ему перечень сведений и особенности их обработки.
С 1 из образцов согласия на обработку персональных данных можно ознакомиться на нашем сайте:
Как заполнить согласие на обработку персональных данных
Требования к письменному согласию, которое дает владелец личной информации, определены в части 1 статьи 9 закона № 152-ФЗ. Они изменились с 01.03.2021. Главное требование — конкретика, информативность и обязательное оформление в письменной форме. Также допускается электронная форма, если взаимодействие владельца и оператора происходит через интернет. В любом случае у оператора должна иметься возможность в любой момент подтвердить факт получения.
Согласие субъекта персональных данных на обработку его персональных данных, составленное в письменной форме, с 01.03.2021 включает в себя срок, в течение которого оно действует, и способ его отзыва.
Вот так выглядит стандартная форма согласия, которую применяют в различных ситуациях:
И хотя в самом законе об утвержденной и регламентированной форме этого документа речи не идет, по нормам статьи 13.11 КоАП РФ наказание положено, если оператор начал обработку без письменного разрешения субъекта ПД.
По этой причине рекомендуется сразу оформить заявление о согласии на все манипуляции с ПД и больше не переживать по этому поводу. Универсальный бланк не предусмотрен: каждый оператор разрабатывает его самостоятельно. Для удобства рекомендуем воспользоваться образцами в конце статьи.
Этот образец — пример согласия на обработку персональных данных для работников коммерческой организации.
Произвольная форма заявления не исключает целого ряда требований, установленных в статье 9 закона № 152-ФЗ к его содержанию. В нем обязательно указываются:
- Фамилия, имя и отчество лица, его адрес, полные реквизиты документа, удостоверяющего его личность (аналогичные требования к представителям гражданина).
- Наименование или Ф.И.О. и адрес оператора.
- Цель получения личной информации.
- Перечень данных, которые подлежат обработке.
- Данные организации или ИП, которым оператор перепоручил любые манипуляции с данными.
- Перечень действий с информацией о человеке, на совершение которых он дал свое согласие, общее описание способов ее хранения и использования.
- Срок, в течение которого действует согласие, и способ его отзыва.
- Личная подпись гражданина.
Кто имеет право обрабатывать сведения о лице
Человек или организация, занимающаяся сбором и обработкой личной информации, называется оператором. К таким лицам выдвигаются определенные требования:
- Оператор должен позаботиться о том, чтобы получаемые данные были в полной сохранности;
- Контроль над соблюдением закона о персональных данных между работником и компанией;
- Следить за правильностью предоставления разрешения и отмены;
- Использовать полученные данные только по закону;
- Категорически запрещается без разрешения копировать информацию на любые носители, делать ее видео и фото;
- При занесении информации в компьютер оператор должен защитить ее от утечки.
Когда информация обрабатывается сотрудником компании, то правила его работы прописаны в должностных инструкциях. Безусловно, компания требует соблюдения конфиденциальности получаемой информации. При этом оператор должен любым удобным способом публично ознакомить всех сотрудников компании с правилами предоставления и обработки личных данных.
Можно ли обрабатывать сведения о лице без согласия владельца
Существуют ситуации, в которых согласие на обработку личной информации не является обязательным условием:
- Если предусмотрено размещение данных о сотрудниках в Интернете. Например, образовательные и медицинские учреждения должны предоставлять информацию о квалификации и образовании своих сотрудников;
- Когда необходима обработка информации близких родственников, к примеру, для оформления алиментов или социальных выплат;
- В том случае, если нужно знать о здоровье работника, чтобы понять, насколько он способен выполнять свои обязанности;
- При необходимости передать информацию в прокуратуру, полицию, военный комиссариат, службу безопасности, Пенсионный фонд;
- Для предотвращения угрозы жизни и здоровью гражданина.
Письменное заявление о согласии на обработку персональных данных
Любая работа с информацией должна начинаться только после получения письменного согласия. Достаточно заполнить бланк, в котором присутствуют следующие пункты:
- паспортные данные;
- цель обработки;
- название организации, для которой предоставляется информация;
- время действия разрешения;
- варианты отзыва;
- подпись человека, которому принадлежит информация.
Судебная практика: согласие на обработку персональных данных в электронном виде
Интересная цитата из решения ФАС: Согласие именно на обработку персональных данных не свидетельствует о волеизъявлении гражданина в получении рекламы от конкретного отправителя рекламы“…При этом указало, что Заявителем 02.10.2021 был оформлен заказа в ООО “З” на приобретение видеокамеры, путем заполнения электронной заявки, с проставлением согласия на обработку персональных данных. Условиями данного электронного заказа предусмотрено, что Заявитель выражает свое согласие на обработку персональных данных, проставлением слова “да”. Из чего, ООО “З” делается вывод, что клиент (Заявитель) предоставил обществу свое письменное согласие на осуществление с ним взаимодействия в целях продвижения и реализации ему продуктов ООО “З”, в том числе, путем осуществления прямых контактов с помощью средств электросвязи. Сообщения, с предложением товара направлялось клиенту (Заявителю) прямой адресной рассылкой по сети электросвязи и имело цель привлечь внимание и сформировать интерес к товарам ООО “З”. Лицо, которому направлялись сообщения по сети электросвязи, входит в неопределенный круг лиц возможного правоотношения, о которых заранее не известно вступят ли он в конкретные правоотношения с обществом по поводу предлагаемых товаров. Как отмечено в судебной практике (постановление Пятнадцатого арбитражного апелляционного суда от 15.09.2021 N 15АП-11319/2021 по делу N А53-9616/2021), реклама всегда нацелена на определенную часть населения, так называемую “целевую аудиторию” – группу потенциальных потребителей, в том числе на конкретных потребителей, систематически пользующихся услугами, товарами. При этом реклама может доводиться до их сведения в любой форме и любыми способами, в том числе посредством смс-сообщений и электронных отправлений. В зависимости от целей, которых стремится достигнуть реклама, круг адресатов рекламы бывает широким или, напротив, узким. Вопрос о том, какой будет целевая аудитория рекламы, решает рекламодатель. В этой связи обособление круга лиц, которым направляется какая-либо информация персонально (в том числе путем указания имени и отчества лица – потенциального адресата сообщения), не имеет значения в вопросах квалификации признаков рекламы в доведенной до их сведения информации, поскольку понятие неопределенного круга лиц как адресата рекламы не совпадает с понятием “целевая аудитория” рекламного послания. Довод ООО “З” о том, что сообщение адресовано конкретному клиенту общества, указывает лишь на то, что общество определило целевую аудиторию рекламы – клиентов и бывших клиентов, которым может быть интересно предложение об акциях и товарах ООО “З”, и не опровергает того, что рекламные сообщения адресованы неопределенному кругу лиц, то есть кругу, который не может быть заранее определен в качестве конкретной стороны правоотношения, возникающего по поводу реализации объекта рекламирования, поскольку неизвестно, кто из адресатов под воздействием рекламы обратится в общество за предлагаемым товаром. Согласно правовой позиции, изложенной в пункте 15 Пленума ВАС РФ от 08.10.2021 N 58 “О некоторых вопросах практики применения арбитражными судами Федерального закона “О рекламе” следует, что согласно части 1 статьи 18 Закона о рекламе распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом необходимо иметь в виду, что в данном случае под абонентом или адресатом надлежит понимать лицо, на чей адрес электронной почты или телефон поступило соответствующее рекламное сообщение. Однако Закон о рекламе не определяет порядок и форму получения предварительного согласия абонента на получение рекламы по сетям электросвязи Следовательно, согласие абонента может быть выражено в любой форме, достаточной для его идентификации и подтверждения волеизъявления на получение рекламы от конкретного рекламораспространителя. Буквальное толкование указанных положений позволяет сделать вывод о том, что согласие абонента на получение рекламы должно быть выражено явно, а обязанность доказывать наличие такого согласия возложена на рекламораспространителя. В данном случае в электронной заявке интернет – магазина “З” форма согласия на получения рекламы, как это предписано законом, не установлена. В рассматриваемом случае клиент интернет – магазина (Заявитель) выразил согласие именно на обработку своих персональных данных, что не свидетельствует о его волеизъявлении в получении рекламы от конкретного отправителя рекламы. Телефон и электронный адрес в электронной заявке был указан Заявителем с целью получения единожды конкретного товара. Подписывая согласие на обработку персональных данных, Заявитель тем самым не выражал согласия получать рекламные сообщения. При этом, в целях соблюдения баланса частных и публичных интересов (постановление Конституционного Суда Российской Федерации от 29.03.2021 N 2-П), стабильности публичных правоотношений, а также в целях защиты прав и законных интересов абонента как более слабой стороны в рассматриваемых правоотношениях, при получении такого согласия абоненту должна быть предоставлена возможность изначально отказаться от получения рекламных рассылок, а сама форма согласия должна быть прямой и недвусмысленно выражающей соответствующее согласие (абонент прямо выражает согласие на получение рекламы), в том числе, не посредством в предоставлении согласия на обработку персональных данных. Учитывая вышеизложенное, материалами дела установлено, что электронная заявка, содержащая согласие на обработку персональных данных, не может быть принята в качестве подтверждения наличия согласия со стороны Заявителя на получение рекламы. В рассматриваемом случае общество предпочло направить сообщения и привлечь внимание к рекламируемому товару, не оформив надлежащим образом, наличие согласия клиента (Заявителя) на получение сообщений рекламного характера. Таким образом, направление рассматриваемых сообщений на принадлежащий Заявителю электронный адрес, без получения предварительного согласия, не соответствует требованиям части 1 статьи 18 Закона о рекламе. Следовательно, реклама в рассматриваемом случае распространена с нарушением требований части 1 статьи 18 Закона о рекламе. Ответственность за нарушение части 1 статьи 18 Закона о рекламе, в соответствии с пунктом 7 статьи 38 Закона о рекламе, возложена на распространителя рекламы. Согласно статье 3 Закона о рекламе, рекламораспространитель – это лицо, осуществляющее распространение рекламы любым способом, в любой форме и с использованием любых средств. В качестве рекламораспространителя, в рассматриваемом случае, выступило, в том числе, ООО “Т” (ОГРН <…>, ИНН <…>, <…>).”
Интересная цитата из решения ФАС: Простое заполнение бланка/формы согласия, не позволяющее однозначно установить и подтвердить, кто именно заполнил такую форму, не обеспечивает соблюдение требований ч. 1 ст. 18 Закона о рекламеОднако, представленное согласие на обработку персональных данных на имя <…>, также не содержит полного объема данных заявителя <…>: данные совпадают только с фамилией, именем, отчеством и номером телефона заявителя <…>. Вместе с тем, по представленному согласию ООО МФК “ВЭББАНКИР” невозможно идентифицировать заявителя <…>, дата рождения которого <…>, номер телефона <…>, электронная почта <…>. Кроме того, любой пользователь сети “Интернет” мог воспользоваться “Личным кабинетом” на сайте ООО МФК “ВЭББАНКИР” и указать любое имя, в том числе <…> и его номер телефона.
Требования к оформлению документов
Определимся с общими требованиями к оформлению бумаг, которые подтверждают одобрение гражданина на действия с его личными данными. Необходимо учитывать, что форма для организаций и учреждений немного отличается от того, как выглядит заявление о согласии на обработку персональных данных (его берет с каждого нового сотрудника работодатель).
Нормами статьи 87 ТК РФ установлено, что все организации самостоятельно определяют порядок хранения и использования сведений, полученных от работников. Аналогичный принцип применим и ко всем остальным операторам.
Главное — не нарушать требования, установленные федеральными законами и кодексами. Прежде чем приступать к действиям с информацией, необходимо утвердить локальный акт по организации: «Положение о персональных данных». В этом документе должны содержаться все основные требования к правилам оформления документации.
Когда речь идет о работодателях, важно учесть, что по нормам п. 8 части 1 статьи 86 ТК РФ всех работников и их представителей следует ознакомить с утвержденным положением под подпись. Для этих целей даже заводят специальный журнал.
Штрафы за отсутствие разрешения сотрудника
Сотрудник, уже состоящий в штате, может отказаться от написания нового согласия на ОПД, и это зачастую не сильно повлияет на его дальнейшую работу. Но вот новый работник без такой бумаги не сможет устроиться на работу, потому что его данные будут необходимы для отдела кадров, бухгалтерии и канцелярии.
За нарушение законодательства в области взаимодействия с персональными данными и отсутствие письменных разрешений физических лиц работодатель может понести административную и даже уголовную ответственность.
Размеры штрафов устанавливаются ст. 13.11 КоАП РФ:
- ОПД в случаях, не предусмотренных законом – штраф в размере от 1 тысячи для граждан до 50 тысяч для юрлиц;
- за обработку без письменно оформленного согласия субъекта – административный штраф для граждан от 3 до 5 тысяч рублей, для должностных лиц – от 10 до 20 тысяч, для юридический лиц – от 15 до 75 тысяч рублей;
- невыполнение оператором неограниченного доступа к политике ОПД – от 700 до 1000 рублей на граждан, от 3000 до 6000 на должностных лиц, от 5000 до 10000 на ИП, от 15000 до 30000 на юрлиц;
- несвоевременная передача личных данных в государственные учреждения – взыскание в размере от 100 рублей до 5 тысяч рублей;
- незаконный сбор персональных данных – штраф до 200 тысяч рублей и до 360 часов исправительных работ;
- незаконное публичное распространение личных данных сотрудников – штраф до 300 тысяч рублей и принудительные работы на срок до 5 лет.
В менее тяжелых случаях работодатель может понести дисциплинарное или гражданско-правовое наказание.
Выводы
Работодатель обязан получить письменное разрешение от сотрудника на обработку персональных данных. Согласие оформляется в свободной форме с учетом реквизиты, установленных ст. 9 Закона 152-ФЗ.
В теле заявления следует перечислить необходимые личные данные и цель, для которой они могут использоваться работодателем. За нарушение законодательства работодателю грозит административная или уголовная ответственность. Так, за обработку данных без согласия предприятие будет оштрафовано на сумму до 75 тысяч рублей.