Как оформить согласие на обработку персональных данных
Согласие на обработку персональных данных нужно работодателю, чтобы пользоваться личной информацией о сотруднике. Гражданин самостоятельно решает, кому и к каким сведениям, а также на какой период дать доступ. С 1 сентября 2022 года порядок меняется.
Скачать бланк согласия на обработку персональных данных 2022 года, разрешенных субъектом для распространения (образец из КонсультантПлюс)
Что понимают под термином «персональные данные»
Сначала разберемся, что относится к личной информации и для чего ее охраняет закон. Заключение трудовых отношений между работником и работодателем обязывает последнего надлежащим образом осуществлять сбор, систематизацию, накопление, обновление, хранение и использование любой информации, относящейся к конкретному сотруднику или позволяющей его идентифицировать. Все личные сведения объединяются понятием персональных данных, а перечисленные процессы и операции называются обработкой. На законодательном уровне оба термина определяются и регулируются Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ и главой 14 Трудового кодекса Российской Федерации. Обязательный документ, который необходимо оформить на каждого работника и дать ему на подпись, — согласие на обработку персданных. В случае его отсутствия предприятие ждет штраф.
Что меняется с 1 сентября 2022 года
Работодатели являются операторами персданных. С 01.09.2022 они обязаны уведомлять Роскомнадзор об обработке личной информации, если (266-ФЗ от 14.07.2022):
- Сведения относятся к работникам.
- Сведения принадлежат контрагентам оператора, а он использует персданные для исполнения договоров или заключения новых соглашений с теми же гражданами. Но информацию не распространяют и не передают третьим лицам без согласия.
- Сведения нужны для однократного пропуска посетителя на территорию оператора для аналогичных целей.
Уведомление отправляют до обработки в форме бумажного документа или электронного файла, подписанного ЭП уполномченного лица. Оператор вправе обрабатывать личную информацию без уведомления Роскомнадзора только в ограниченных случаях — для защиты прав субъектов персданных (п. 2 ст. 22 152-ФЗ):
- если сведения включены в государственные информационные системы персданных, которые создали в целях защиты безопасности государства и общественного порядка;
- если оператор занимается обработкой личной информации исключительно без использования средств автоматизации;
- если сведения обрабатываются по закону о транспортной безопасности в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Если оператор получил персданные о сотруднике от третьих лиц, то он обязан перечислить их работнику до начала обработки. Кроме того, с 01.09.2022 операторы обязаны работать с системой ГосСОПКА — государственной информационной системой обнаружения, предупреждения и ликвидации последствий кибератак на информресурсы РФ. Через нее сообщают об утечке личных сведений.
Операторы должны сообщать Роскомнадзору нужные сведения по требованию ведомства в течение 10 рабочих дней после получения запроса.
Изменили порядок работы с биометрическими данными — их получают только с согласия граждан. Теперь операторы не вправе отказать физическим лицам в обслуживании, если они не соглашаются на обработку и не предоставляют биометрические сведения. Но есть случаи, когда получение биометрической информации обязательно:
- при реализации международных договоров Российской Федерации о реадмиссии;
- для осуществления правосудия и исполнения судебных актов;
- при обязательной государственной дактилоскопической регистрации;
- при выполнении требований законодательства об обороне, безопасности, противодействии терроризму и коррупции, транспортной безопасности, оперативно-разыскной, уголовно-исполнительной деятельности, нотариате;
- при выполнении условий закона о государственной службе;
- при выезде и въезде в РФ, получении российского гражданства.
Операторы разрабатывают локальные нормативы — положение об обработке персданных, политику такой обработки. Документы размещают на официальном сайте компании или на информационном стенде в офисе, если у организации нет официального сайта. Если же оператор собирает сведения с использованием информационно-телекоммуникационных сетей, то ему необходимо опубликовать политику и сведения о реализации требований по защите персданных в открытом доступе этой сети.
Состав личных данных
Законодательные документы не содержат строгого перечисления личных данных. Обычно работник предоставляет в распоряжение работодателя следующие сведения:
- об образовании;
- трудовом и общем стаже;
- составе семьи;
- воинском учете;
- заработной плате;
- социальных льготах;
- занимаемой должности;
- наличии судимостей;
- адресе по месту регистрации и проживания;
- контактных телефонах;
- местах работы или учебы членов семьи;
- условиях трудового договора;
- наличии декларируемых материальных ценностей;
- материалах по повышению квалификации, переподготовке, аттестации и служебных расследованиях и пр.
Как работодателю получить разрешение на работу с личными сведениями сотрудника
Начинать работу с информацией следует с получения согласия. Необходимость этого шага продиктована п. 1 ст. 6 закона № 152-ФЗ, который гласит:
«согласие… дано субъектом… или его представителем в любой, позволяющей подтвердить факт его получения, форме, если иное не установлено Федеральным законом».
Работодателям рекомендуют разработать образец заявления на обработку персональных данных с помощью нового онлайн-сервиса Роскомнадзора, в который включить:
- ФИО и паспортные данные сотрудника или его представителя;
- полное наименование и адрес работодателя;
- цель обработки информации;
- перечень запрашиваемых данных;
- срок действия разрешения;
- способы отзыва согласия;
- подпись работника.
С 1 сентября 2021 года вступил в силу Приказ Роскомнадзора от 24.02.2021 № 18, которым введены требования к содержанию разрешения на обработку персональных данных, разрешенных работником для распространения. Это отдельный вид согласия, оформляемый на основании ч. 1 ст. 10.1 № 152-ФЗ.
Отдельно работник соглашается на обработку персданных, если разрешает в дальнейшем распространять информацию (ч. 1 ст. 10.1 152-ФЗ). Гражданин сам определяет перечень сведений, который разрешает распространять. Физлицо вправе установить (ч. 9 ст. 10.1 152-ФЗ):
- запрет передачи (кроме распространения доступа) сведений неограниченному кругу лиц;
- запрет обработки (кроме получения доступа) неограниченным кругом лиц;
- условия такой обработки.
Отказывать в установлении таких запретов и условий нельзя.
Для чего формируется согласие при трудоустройстве
Фактически работодатель получает доступ к личным данным сотрудника в момент ознакомления с резюме или анкетой, т. е. до официального трудоустройства. И уже с этого момента должностные лица отвечают по ст. 90 ТК РФ за некорректное обращение с полученной информацией.
Чтобы защитить интересы обеих сторон, работник предоставляет разрешение на работу с личной информацией еще до заключения трудового договора.
Эксперты КонсультантПлюс разобрали, каким образом можно отозвать согласие на обработку персональных данных. Используйте эти инструкции бесплатно.
Если сотрудник отказывается подписывать согласие
В соответствии с п. 1 ст. 9 закона № 152-ФЗ физлицо предоставляет данные о себе добровольно. Таким образом, работник вправе не давать согласие, если использование сведений о нем не связано напрямую с выполнением должностных обязанностей. Иными словами, отказ подписать разрешение не препятствует трудовым отношениям. Тем более оно не требуется, когда речь идет о передаче сведений в Пенсионный фонд РФ, налоговую службу и другие установленные законодательством органы. Но на практике отказ иногда влечет за собой невозможность осуществлять трудовую деятельность — например, когда у работодателя установлен пропускной режим. Это и надо объяснить сотруднику, убедив, что для иных целей сведения о нем использовать никто не собирается.