Образец согласия на обработку персональных данных работника: когда необходимо, бланк, как составить

Образец согласия на обработку персональных данных работника: когда необходимо, бланк, как составить

Polina Vari для Skillbox Media

Образец согласия на обработку персональных данных работника: когда необходимо, бланк, как составить RTM Group

Управляющий RTM Group, эксперт в области IT-права и кибербезопасности. 15 лет в сфере защиты информации, из них более 10 лет — на руководящих позициях в крупных компаниях отрасли, включая Leta IT-Company и Swivel Secure. В 2018 году основал и возглавил группу компаний RTM Group, специализирующуюся на IT-праве, судебных компьютерных экспертизах и аудите в области ИБ и ИТ.

Сайт: RTM Group

Образец согласия на обработку персональных данных работника: когда необходимо, бланк, как составить

Дарья Сопина

Самозанятый автор. Создаёт статьи в блог и коммерческий контент. Пишет о маркетинге, финансах, бизнесе и YouTube.

Понятие персональных данных и правила их обработки содержатся в федеральном законе №152-ФЗ «О персональных данных». Согласно ему, персональные данные — это «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».

Это могут быть:

  • фамилия, имя, отчество;
  • мобильный телефон;
  • электронная почта;
  • адрес проживания;
  • фотография;
  • паспортные данные;
  • другие сведения, позволяющие идентифицировать человека.

Когда вы начинаете обрабатывать такие сведения, то становитесь оператором персональных данных. Под обработкой закон понимает любые действия: сбор, запись, систематизацию, накопление, хранение, — вплоть до уничтожения. Полный список можно посмотреть в этой статье.

Почти все компании в России — операторы персональных данных, потому что обрабатывают хотя бы сведения о сотрудниках. Также операторами становятся все, кто обрабатывает сведения о клиентах. Вот несколько типовых ситуаций:

  • Пользователи оставляют имя и email, чтобы подписаться на новостную рассылку.
  • Потенциальный покупатель заполнил заявку на бесплатный тест-драйв в автосалоне и указал имя и номер телефона.
  • Клиент оформил заказ на маркетплейсе и указал там номер банковской карты, адрес и Ф. И. О.

В тот момент, когда вы начинаете обработку персональных данных, запускается и механизм ответственности. Вы становитесь оператором со всеми последствиями.

О чём необходимо помнить операторам, когда они обрабатывают персональные данные граждан? Нужно определить цель и сроки обработки ПДн, содержание, объём, перечень и категории обрабатываемых данных, заручиться согласием субъекта. Ниже мы разберём подробнее, какие требования законодательства нужно выполнить.

Просто так начать обрабатывать персональные данные нельзя. До старта нужно уведомить Роскомнадзор. Только компании и учреждения, которые вели эту деятельность до выхода соответствующего закона, могут регистрироваться по факту. Другими словами, они могут уведомлять ведомство уже после того, как начали обработку.

Перед подачей заявления нужно подготовиться:

  1. Разработать пакет необходимых документов — например, положение об обработке персональных данных и приказы о назначении ответственных. Мы разбираем документы в специальном разделе.
  2. Выполнить ряд организационных и технических мер, в том числе ограничить доступ в помещения, установить пароли.

Уже после этого можно регистрироваться. Роскомнадзор разработал форму уведомления для всех, кто будет обрабатывать персональные данные. Есть три способа подать уведомление:

  • заполнить, распечатать и отправить в местное отделение Роскомнадзора;
  • заполнить, подписать и отправить в электронной форме на сайте Роскомнадзора;
  • заполнить форму и направить её ведомству на «Госуслугах», если у вас есть подтверждённая учётная запись. Если хотите подать уведомление от имени компании, ваша учётная запись должна быть привязана к организации на портале «Госуслуг».

Образец согласия на обработку персональных данных работника: когда необходимо, бланк, как составитьВ форме уведомления нужно предоставить сведения об операторе, о целях обработки, о хранении и защите данных. Скриншот: сайт Роскомнадзора

Регулятор вносит сведения в реестр операторов персональных данных в течение 30 дней с даты поступления уведомления. Когда вы начнёте обрабатывать данные и потребуются какие-либо изменения, нужно будет сообщить о них Роскомнадзору. Также нужно будет уведомить, если вы прекратите собирать и обрабатывать данные.

Можно ли обойтись без регистрации в Роскомнадзоре? Можно, но в редких случаях — они описаны в статье 22 №152-ФЗ. В основном это прямые договоры с клиентами, когда вы никому не передаёте информацию о клиентах, а также не предоставляете им дополнительных услуг. Ещё можно обойтись без уведомления, если вы:

  • обрабатываете данные сотрудников по ТК РФ;
  • используете только Ф. И. О.;
  • выдаёте разовый пропуск на территорию.

Но всё это — только если правоотношения строятся «в чистом виде», что на практике практически невозможно. Например, работодатель наверняка имеет зарплатный проект и передаёт сведения в банк.

Если у вас есть хотя бы небольшие сомнения, лучше спросить регулятора о вашем конкретном случае, чем в одностороннем порядке решить, что предписания к вам не относятся.

Случай из практики. Автосалон не зарегистрировали в качестве оператора персональных данных.

Руководители организации решили, что организация подпадает под исключения из части 2 статьи 22 152-ФЗ.

Все случаи обработки персональных данных, решили они, — это исключения: автосалон выдаёт разовые пропуска, заключает договоры купли-продажи авто и обрабатывает сведения о работниках.

Организация сообщила об этом в Роскомнадзор информационным письмом. В ответ регулятор разъяснил, что пройти процедуру придётся. Аргументы Роскомнадзора были такими:

  • Когда салон продаёт автомобиль, в том числе конкретному клиенту, он взаимодействует с дилерами.
  • Организация предоставляет услуги по гарантийному и техническому обслуживанию транспортных средств.
  • Салон выступает посредником при продаже услуг страхования.
  • Компания предлагает тест-драйв авто, собирая персональные данные в заявках, без договора.

Поскольку салон оказывает сопутствующие и посреднические услуги, ему пришлось зарегистрироваться в качестве оператора.

Правильно разработанная юридическая документация поможет свести к минимуму риск, что компанию обвинят в нарушении законодательства о персональных данных. Список необходимых документов включает:

  • Политику конфиденциальности.
  • Правила работы с персональными данными.
  • Согласие на обработку персональных данных.
  • Обязательство о неразглашении персональных данных.

В разделе мы расскажем об этих документах подробнее.

Политика конфиденциальности и правила работы с персональными данными. В документах многих компаний содержится одна и та же ошибка: правила работы с персональными данными они называют политикой конфиденциальности. Однако это разные документы.

Правила работы с персональными данными должны содержать то, что рекомендует Роскомнадзор и требует 152-ФЗ. Политика конфиденциальности шире: документ описывает работу со всей конфиденциальной информацией, в том числе с персональными данными. В политику добавляют то, что нужно защитить дополнительно. Например, это договоры, переписка с клиентами и партнёрами, внутренняя документация.

Два документа можно объединить в один, это не противоречит законодательству. Когда пользователи регистрируются на сайте, их нужно познакомить с политикой конфиденциальности и правилами работы с персональными данными до процедуры регистрации.

Образец согласия на обработку персональных данных работника: когда необходимо, бланк, как составитьПолитику конфиденциальности публикуют в открытом доступе, обычно в подвале (внизу) сайта. Скриншот: сайт Skillbox

Согласие на обработку персональных данных. Форма, которую должен заполнять субъект персональных данных. В ней обязательно должны быть сведения об информационных ресурсах оператора.

Это адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имени файла веб-страницы.

Нужно указать адреса всех сайтов, которые будут обрабатывать сведения о пользователях.

Согласие должно быть написано чёткими и ясными фразами, чтобы пользователь понял, кому и в каких случаях вы можете передавать его данные.

Ошибкой будет написать что-то вроде «Пользователь ознакомлен и согласен с тем, что передача его персональных данных может осуществляться маркетплейсом в объёме, необходимом для получения Пользователем доступа к Платформе, любым третьим лицам, в том числе осуществляющим техническое обслуживание сайта и поддержку Пользователя».

Если собираете данные только в интернете, достаточно прописать в политике конфиденциальности случаи, в которых пользователь выражает согласие на обработку. Например, если он заполняет чекбокс.

Шаблон Согласия на обработку персональных данных

Образец согласия на обработку персональных данных работника: когда необходимо, бланк, как составитьПример, как можно прописать согласие на обработку в политике конфиденциальности. Скриншот: сайт Skillbox

Обязательство о неразглашении персональных данных. Документ обязывает работников не разглашать персональные данные, полученные компанией. Его должны подписывать все сотрудники, у которых есть доступ к сведениям о клиентах.

Шаблон Обязательства о неразглашении персональных данных

Приказ о назначении ответственного за работу с персональными данными. Внутренний документ. Его не нужно нигде публиковать, но Роскомнадзор может попросить его при проверке. Как правило, ответственным назначают IT-специалиста или сотрудника службы безопасности.

Важно! Если на сайте можно зарегистрироваться, нужно знакомить пользователей с политикой конфиденциальности и получать согласие на обработку персональных данных перед тем, как он отправит анкетные сведения.

Когда клиент подписался на новостную рассылку на сайте, оформил заказ на маркетплейсе или оставил заявку на тест-драйв авто, он сообщил как минимум своё имя, номер телефона или email. Это основание запросить и получить согласие на обработку персональных данных.

Пользователь должен принять решение о предоставлении данных свободно и по своей воле. В подтверждение он должен подписать официальное согласие на обработку такой информации.

Законодательство не предполагает конклюдентного подтверждения: то есть пользователь не может дать согласие, выполнив определённые действия. Нельзя прописать в политике, что клиент выражает согласие на обработку его данных, заполняя форму для заказа в интернет-магазине.

Получить согласие на обработку можно в любой форме, позволяющей подтвердить факт его получения. Например, чекбоксом — пунктом, в котором пользователь должен поставить галочку. Предустанавливать её нельзя: субъект персональных данных должен сам выразить согласие. Разместить чекбокс нужно во всех формах, в которых собирают персональные данные.

Образец согласия на обработку персональных данных работника: когда необходимо, бланк, как составитьТак выглядит чекбокс: рядом с окном находится текст, уведомляющий пользователя об обработке данных. Скриншот: сайт Soldi Marketing

Также можно поместить уведомление о согласии на обработку рядом с кнопкой. Нажав на неё, пользователь согласится с тем, что вы будете обрабатывать его данные. Часто веб-сервисы собирают разрешения в личных кабинетах, где пользователи также проставляют метки в специальных формах.

Образец согласия на обработку персональных данных работника: когда необходимо, бланк, как составитьТак выглядит получение согласия с помощью кнопки. Скриншот: сайт RTM Group

Важно! Если собираете биометрические данные (фото пользователей или аудио с их голосом), нужно получать только письменное согласие на обработку персональных данных. Чекбокс не подойдёт.

В любой момент пользователь может отозвать согласие на обработку персональных данных. Тогда вы должны будете прекратить обрабатывать их, то есть удалить.

Бывают ли случаи, когда не нужно брать согласие на обработку персональных данных? Бывают, но их мало.

Закон разрешает не брать согласие, если «обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора».

Не забывайте получать согласие на обработку персональных данных, даже если это кажется избыточным. Самые частые нарушения, за которые штрафуют операторов: компании обрабатывали данные без согласия владельцев или объём запрошенных данных не соответствовал целям обработки. Эти нарушения приводят не только к штрафам, но и к утечкам.

Правомерную обработку персональных данных контролирует Роскомнадзор, иногда это делают также Роструд и ФАС. Ответственность за нарушения в этой сфере год за годом ужесточается. Подробнее о видах ответственности читайте здесь.

По статье 13.11 КоАП РФ Роскомнадзор может возбудить дело об административном правонарушении и наложить штраф:

  • для граждан — от 700 до 100 000 рублей;
  • для должностных лиц — от 3000 до 800 000 рублей;
  • для индивидуальных предпринимателей — от 5000 до 20 000 рублей;
  • для юридических лиц — от 15 000 до 18 000 000 рублей.

Риск привлечения к ответственности и размер штрафа не зависят от масштабов компании. Главное — характер и злостность нарушения.

Кейс. Роскомнадзор выявил нарушения на интернет-ресурсе, принадлежащем французскому регистратору доменов Gandi SAS. Когда клиент проставлял галочку о согласии на обработку персональных данных, он не получал информации об операторе.

Кроме того, компания обрабатывала личные сведения граждан России на территории США с нарушением требований 152-ФЗ.

Согласно пункту 5 статьи 18 152-ФЗ, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить обработку персональных данных с использованием баз данных, находящихся на территории России.

У компании также не было политики обработки персональных данных. В результате рассмотрения дела ресурс включили в Реестр нарушителей прав субъектов персональных данных.

Только за 2020 год число заблокированных Роскомнадзором ресурсов превысило 190 тысяч. У регулятора есть широкий список оснований, в соответствии с которыми он может включить ресурс в список нарушителей. Подробный список представлен здесь.

Читайте также:  Водитель такси. профессия водитель. словарь профессий

Кроме того, в июле 2021 года вступил в силу 355-ФЗ, который внёс поправки в статью 7 115-ФЗ — закона о борьбе с легализацией доходов и финансированием терроризма.

Согласно новой редакции закона, банки обязаны принимать на обслуживание только те компании, сайт которых работает легитимно. А значит, он не заблокирован, не нарушает правила обработки персональных данных и другие предписания Роскомнадзора. Если есть какие-то нарушения, банк обязан отказать в обслуживании: компания не сможет совершать любые операции по расчётному счёту.

Закон касается не только новых компаний, но и тех, кто давно работает с расчётным счётом. Сфера бизнеса и организационно-правовая форма не имеют значения — никаких исключений нет. Банкам предписано выборочно проверять сайты на соответствие закону и бить тревогу, если выявлены нарушения.

Согласие на обработку персональных данных: оформляем правильно

Понятие персональных данных и обращение с ними регулирует Федеральный закон от 27.07.2006 № 152-ФЗ.

В соответствии с этим документом под личными данными граждан, охраняемыми законодательством, следует понимать любую информацию, которая прямо или косвенно относится непосредственно к их субъекту (то есть физическому лицу). Такая информация позволяет однозначно определить, о каком человеке идет речь.

Но человек — полновластный хозяин своих данных, и если форма согласия на обработку персональных данных им не заполнена и не предоставлена, ни одна организация не вправе ими распоряжаться.

Что является личной информацией граждан

Конкретные указания на то, какая информация о человеке является его индивидуальными и охраняемыми данными, в законодательстве отсутствуют. По сложившейся практике под ней обычно скрывается:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес проживания (место регистрации);
  • семейное, социальное и имущественное положение;
  • образование, профессия;
  • доходы, имущество и обязательства.

Обычно такие сведения человек сообщает о себе сам во многих государственных органах, медицинских и образовательных учреждениях, кредитных организациях и даже в коммерческих структурах (при трудоустройстве).

Кроме вышеперечисленных сведений, которые являются общими, есть еще специальные личные данные, такие как национальность, вероисповедание, политические взгляды, состояние здоровья и прочая информация подобного рода.

В каких документах содержатся персональные данные

Существует целый ряд документов, которые по своей сути являются источниками и одновременно хранилищами личной информации. К ним, в частности, относятся:

  • паспорт гражданина (внутренний и заграничный);
  • другие документы, удостоверяющие личность;
  • трудовая книжка;
  • военный билет;
  • свидетельство о рождении;
  • документы об образовании;
  • документы о составе семьи;
  • справки о доходах;
  • анкеты, заполняемые при трудоустройстве;
  • автобиография;
  • характеристики;
  • личные карточки работников (форма Т-2);
  • другие документы.

Очевидно, что большинство этих документов в подлинниках или копиях хранят работодатели граждан. Они и все остальные лица, к которым попадает такая информация, являются операторами ПД. В законе указано, что такое согласие на обработку персональных данных, которое обязаны получить все операторы.

Кто такие операторы ПД и что они делают

В статье 3 закона № 152-ФЗ сказано, что оператором ПД является лицо, которое организует и осуществляет обработку персональных данных.

Все работодатели, как юрлица, так и ИП, являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус, практически не ограничен.

Это любое лицо, которому человек сделал заявление и согласие на ОПД, то есть доверил личную информацию о себе оператору и разрешил ее использовать для определенных целей.

Отдельное внимание следует уделить понятию обработки личной информации. О ней везде говорят, но никто толком не знает, что это такое. Тогда как часть 3 все той же статьи 3 закона № 152-ФЗ регламентирует это понятие как любое действие (или их совокупность), совершаемое с личной информацией. Под действиями законодатели понимают:

  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передачу (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление или уничтожение данных.

Все операции проходят или в бумажном ручном режиме, или с использованием средств автоматизации, в том числе в режиме онлайн. На все эти действия оператор обязан получить от владельца одобрение: например, заполненный бланк согласия.

Деятельность работодателей в качестве операторов регулирует статья 86 Трудового кодекса РФ.

Требования к оформлению документов

Определимся с общими требованиями к оформлению бумаг, которые подтверждают одобрение гражданина на действия с его личными данными. Необходимо учитывать, что форма для организаций и учреждений немного отличается от того, как выглядит заявление о согласии на обработку персональных данных (его берет с каждого нового сотрудника работодатель).

Нормами статьи 87 ТК РФ установлено, что все организации самостоятельно определяют порядок хранения и использования сведений, полученных от работников. Аналогичный принцип применим и ко всем остальным операторам. Главное — не нарушать требования, установленные федеральными законами и кодексами.

Прежде чем приступать к действиям с информацией, необходимо утвердить локальный акт по организации: «Положение о персональных данных». В этом документе должны содержаться все основные требования к правилам оформления документации. Положение утверждает руководитель с одобрения профсоюзного органа (при его наличии).

В нем прописывают, как выглядит подписанное согласие на обработку персональных данных и сколько оно хранится.

Когда речь идет о работодателях, важно учесть, что по нормам п. 8 части 1 статьи 86 ТК РФ всех работников и их представителей следует ознакомить с утвержденным положением под подпись. Для этих целей даже заводят специальный журнал. Если положение в организации-операторе отсутствует, это является грубым нарушением, за которое нормами статьи 13.11 КоАП РФ предусмотрен штраф.

Как заполнить согласие на обработку персональных данных

Новое согласие на обработку персональных данных 2022

Практически каждая организация так или иначе работает с персональными данными. В большинстве случаев на такую обработку требуется отдельное письменное согласие.

Еще несколько лет назад, когда штрафы за нарушение законодательных норм о личной информации не были столь велики, многие игнорировали правила обработки персданных.

Однако недавно прошла новая волна повышения штрафов за неправильную обработку личных данных, поэтому ошибка может стоить организации сотен тысяч рублей. Работникам также будет полезно знать, нужно ли на работе предоставлять согласие на обработку личной информации.

В данной статье мы расскажем о требованиях к согласию на обработку персданных, рассмотрим последние изменения по данному вопросу и потенциальные штрафы. Также вы сможете скачать образцы согласия, которые разработали специалисты сайта «Время Бухгалтера».

Обязательно ли согласие на обработку персональных данных

Обработкой личных данных законодатель считает любые действия, которые вы проводите с ними. А персональные данные — это всевозможные сведения о гражданах.

Таким образом, даже если вы, например, всего лишь получаете паспортные реквизиты своих клиентов или создаете базу их телефонных номеров, вы обрабатываете личную информацию и признаетесь их оператором. Это значит, что вы обязаны под риском ответственности соблюдать требования, которые предъявляются к обработке личной информации.

Так, вы должны определить цель обработки и строго ей следовать, при необходимости получать согласие на обработку и уведомлять о ней Роскомнадзор, а также принимать меры по защите информации.

По общему правилу обрабатывать персональные данные гражданина можно лишь с его согласия (п. 1 ч. 1 ст. 6 закона о персональных данных). Причем субъект данных имеет право в любой момент такое согласие отозвать (тогда продолжать обрабатывать данные можно лишь в строго установленных законом случаях).

Согласие на действие с личными данными должно быть конкретным, информированным и сознательным. Обязанность доказать наличие такого согласия или обстоятельств, в силу которых это согласие не требуется, возлагается на оператора.

Из данной нормы видно, что действует презумпция отсутствия согласия у гражданина, поэтому разрешение не должно быть устным.

Самыми распространенными ситуациями, когда потребуется согласие на обработку персданных, это сбор данных (заявок) клиентов и прием новых сотрудников на работу (это включает в себя даже этап рассмотрения резюме, ведь там содержатся персональные данные).

Не требуется согласие на обработку персональных данных физического лица в случаях, приведенных в пп. 2—11 ч. 1 ст. 6 закона о персональных данных.

Так, согласие не потребуется, если обработка необходима:
1) для заключения договора по инициативе гражданина или договора, по которому он будет выгодоприобретателем или поручителем.

Например, если физическое лицо арендует у вас помещение или квартиру;
2) для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является гражданин.

Так, не требуется дополнительное согласие, если гражданин заказал доставку на дом, а его адрес необходимо уточнить;
3) для осуществления и выполнения функций, полномочий и обязанностей, которые возложены на вас законодательством. Например, если магазин уточняет у клиента адрес его электронной почты, чтобы направить ему электронный кассовый чек согласно закону № 54-ФЗ;

4) для осуществления прав и законных интересов либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина. Например, охранник может записывать данные посетителей бизнес-центра, не получая от них дополнительное письменное согласие.

Инструкция как оформить согласие на обработку персональных данных субъекта

Личную информацию человека можно использовать только после его разрешения. JCat.Работа поможет разобраться, как получить и оформить согласие сотрудников на обработку их персональных данных. 

Чтобы понять, как работать с документом, важно знать, какие данные считаются персональными и, соответственно, требуют особого внимания к ним. 

На законодательном уровне есть несколько определений этого понятия, но конкретного списка нет ни в одном документе. Это одновременно оставляет пространство для объяснения термина и становится причиной разногласий главного кандидата на должность и специалистов кадровой службы.

Какие данные относятся к персональным?

Все правила обращения с личной информацией регулирует Федеральный закон №152-ФЗ «О персональных данных».

Читайте также:  Досталась Квартира по Наследству Что Делать

Согласно статье 3 этого закона, персональными данными можно назвать любую информацию, которая касается непосредственно физического лица — субъекта этих данных.

К информации личного характера следует отнести все паспортные данные: Ф. И. О., дату и место рождения, возраст, место проживания, семейный статус. 

В этом же законе есть статья 10, которая вносит в список персональной информации подробности о расе, национальности, моральных убеждениях человека, личной жизни, а также сведения о его здоровье. 

В статье 11 понятие «персональные данные» расширяется: под термином понимают любые сведения, фото- или видеоматериалы, по которым можно определить личность человека. 

Чтобы предупредить неправомерные действия, личная информация каждого человека должна надежно сохраняться. Многие люди бережно относятся к сведениям о себе, и это оправдано. Поэтому, согласно действующим законам РФ, нельзя обрабатывать личную информацию без согласия субъекта (в некоторых случаях — письменного).

Как происходит обработка персональных данных?

Понятие «обработка» подразумевает все действия, которые происходят с данными, начиная с момента их сбора. Передача, запись, распределение, хранение, применение, удаление — эти и многие другие действия входят в понятие «обработка персональных данных».

Все в том же законе №152-ФЗ указано, что обработка персональной информации должна происходить с соблюдением основных принципов:

  • соблюдение требований актуального законодательства;
  • цель обработки необходимо определить и озвучить субъекту заранее;
  • собирать и обрабатывать можно только информацию, которая соответствуют указанной цели;
  • оператор обязан обеспечить точность данных, предупредить их искажение, а ответственные лица должны периодически следить за актуальностью информации;
  • после достижения финальной цели данные нужно уничтожить.

Когда необходимо подписать согласие на обработку данных работника?

Получение согласия на обработку персональных данных необходимо в любом случае, когда заинтересованная сторона планирует собирать личную информацию о будущем сотруднике.

Субъект должен подтвердить, что он не против, чтобы с этой информацией проводили определенные манипуляции и использовали ее в конкретных целях. Чаще всего в рамках организации речь идет о трудоустройстве на работу.

Письменное согласие заявителя на обработку персональных данных — обязательный атрибут комплекта документов будущего сотрудника.

Что делать, если работник отказывается подписывать документ?

Предоставление согласия на обработку персональных данных должно быть абсолютно добровольным. Это означает, что у работодателя нет права заставить человека подписать документ.

В практике сотрудников кадровой службы могут встретиться люди, которые будут настороженно относиться к документу или даже откажутся его подписывать.

Но отказ будущего работника подписывать соглашение в большинстве случаев связан с непониманием цели обработки его данных. 

В таком случае важно объяснить человеку, что его личную информацию, согласно закону, будут использовать исключительно в служебных целях.

Кроме того, этот документ создан для того, чтобы защищать права субъекта персональных данных. Это тоже важно донести до потенциального работника.

Если на момент подписания согласия трудовой договор между работодателем и будущим работником еще не подписан, это может повлечь за собой потерю рабочего места. 

В каких случаях не нужно оформлять согласие?

Сотрудник может не подписывать документ только в том случае, если он уже работает в компании. Тогда обработка его данных возможна, но только в целях выполнения условий трудового договора. 

В некоторых случаях прибегают к обработке, в частности, к передаче данных без согласия субъекта. Например, если эти действия нужны для предотвращения угрозы здоровью или жизни сотрудника, или их передают по требованию уполномоченных органов, в его разрешении нет необходимости.

Как уведомить Роскомнадзор?

О намерении произвести обработку персональных данных нужно уведомить Роскомнадзор. Этот уполномоченный орган защищает права их владельцев. 

Чтобы подать уведомление в Федеральную службу, специальную электронную форму необходимо заполнить и отправить любым удобным способом из указанных на портале Роскомнадзора.

После отправки документа в информационную систему службы его нужно напечатать на фирменном бланке организации, затем внимательно заполнить и направить в Управление Роскомнадзора по Центральному федеральному округу. В течение 15 дней после этого сотрудники органа озвучат решение о включении оператора в соответствующий реестр. 

Ответственность за несоблюдение условий соглашения

В тексте согласия точно указывается цель обработки личных данных. «Отклоняться» от нее запрещено. В случае, если работодатель превысит свои полномочия, его может ожидать дисциплинарная, административная и даже уголовная ответственность.

Чтобы защитить свои интересы, будущий сотрудник может воспользоваться услугами юриста, прежде чем подписать форму соглашения.

Специалист поможет проанализировать правомерность действий работодателя, правильность составления согласия и объем данных, которые нужно предоставить сотруднику при поступлении на работу.

Например, информация о состоянии здоровья и пребывании в местах лишения свободы нужна только для определенного ряда специальностей. 

Образец заполнения бланка

Согласие на обработку персональных данных — это документ свободной формы, поэтому в каждой организации разрабатывают подходящий вариант шаблона. Но условия согласия на обработку персональных данных говорят о том, что в документе обязательно должна быть такая информация:

  • наименование компании;
  • место и дата оформления документа;
  • Ф. И. О., паспортные данные субъекта;
  • Ф. И. О. человека, который представляет интересы компании;
  • Ф. И. О. и должность сотрудника, который будет производить обработку данных;
  • объяснение цели работы с предоставленными данными;
  • перечисление конкретных сведений о работнике, которые будут обрабатывать;
  • срок, в течение которого документ считается актуальным;
  • способ отказа от согласия;
  • подпись сотрудника.

В документе обязательно должно быть указано, что он подписан добровольно. Это подтверждает подпись будущего сотрудника. 

Работодатель может найти на просторах интернета готовый бланк согласия и адаптировать его под свою организацию (рис. 1). 

Заявление на отзыв персональных данных

Персональные данные — это определенный набор личной информации, имеющей отношение только к определенному конкретному человеку.

Такую информацию можно получать (запрашивать), хранить, обрабатывать и предоставлять лишь в случае оформления согласия на такие действия самого гражданина.

В отдельных исключительных случаях, определенных законом № 152-ФЗ, для работы с личными сведениями не требуется разрешение человека.

Также есть возможность подать заявление на отзыв персональных данных, и запретить их последующую обработку. Как правило — в коммерческих целях, то есть для извлечения прибыли. О правилах и правовых последствиях подачи заявления о запрете на обработку персональных данных (об отзыве перс.данных) читайте в нашем материале.

Что такое отзыв персональных данных

Режим персональных данных обеспечивает неприкосновенность и охрану частной жизни, семейную и личную тайну. Главным нормативным актом, по которому допускается работа с такой информацией, является закон № 152-ФЗ «О персональных данных». К персональным относятся сведения, которые позволяют идентифицировать определенное лицо.

Статистически это следующие данные:

  • ФИО (фамилия, имя, отчество);
  • паспортные данные;
  • дата рождения;
  • адрес регистрации или местонахождения;
  • информация о доходах, месте трудоустройства, об образовании;
  • сведения о семейном и имущественном положении;
  • данные о социальном статусе и положении;
  • номер СНИЛС, ИНН, номер загранпаспорта;
  • иная информация.

Не все сведения из перечисленного списка обязательно будут рассматриваться как персональные данные. Например, ФИО (Иванов Иван Иванович), взятое отдельно от других данных, само по себе, не позволяет идентифицировать конкретное лицо, так как могут быть и другие люди с аналогичными данными ФИО.

Но в привязке к дате рождения и к паспортным реквизитам ФИО «Иванов Иван Иванович» уже позволит определить и идентифицировать конкретное лицо. Поэтому в указанном случае фамилия, имя, отчество будут относиться к персональным данным.

Гражданин может давать разрешение на обработку его персональных сведений. Указанное разрешение оформляется в виде согласия, обязательно до начала каких-либо правоотношений.

Например, согласие оформляется при получении медицинских услуг в поликлинике или больнице (в любом пункте приема и оказания медуслуг), при зачислении ребенка в школу, при оформлении человека на работу.

Еще одним примером является оформление согласия при подаче заявки на кредит, при заключении договора с банком, или на займ в МФО.

Получив такое разрешение, третье лицо сможет получить доступ к персональным сведениям гражданина, обрабатывать и хранить их, соблюдая ограничения, налагаемые по закону «О персональных данных».

Какие данные обо мне получит банк, если я подпишу соглашение на передачу ему персональных

данных? Спросите юриста

Ранее выданное согласие (разрешение) в любой момент можно отозвать. Фактически, это будет запрет на дальнейшие действия, в которых используется персональная информация о человеке. Получив отзыв на согласие, третье лицо обязано немедленно прекратить обработку, хранение и другие действия со сведениями.

Только в отдельных случаях, прямо регламентированных законом № 152-ФЗ, можно работать с данными без разрешения человека или после подачи им отзыва. Например, это ситуации работы с информацией о предотвращении террористического акта.

Когда можно отозвать согласие

Согласие можно отозвать в любой момент.

Например, если гражданин ранее был клиентом одного оператора мобильной связи, но затем решил сменить его, то при расторжении договора (или позже) можно отозвать согласие на обработку своих персональных данных.

Еще одним примером является увольнение с работы. Так как трудовой договор расторгается, бывший работник может требовать прекращения работы с его персональными сведениями.

Контроль за соблюдением законодательства о персональной информации граждан осуществляется Роскомнадзор. В это ведомство можно обращаться, если после подачи отзыва третье лицо продолжит использовать личные данные человека.

Например, нарушением закона будет передача информации иным лицам, использование ее в рекламных целях и т.д.

Например, вы подали заявление об отзыве своих персональных данных в банк, а он продолжает заваливать вас рекламными смсками, письмами и звонками. Это уже незаконно.

Но в некоторых случаях работа с личными сведениями граждан будет законной даже после подачи отзыва. Подробнее об этом расскажем ниже.

Что надо писать в заявлении на отзыв разрешения на обработку персональных

Читайте также:  Что Будет Если Поменять Фамилию

данных? Спросите юриста

Кто может подать отзыв

Оформить и подать отзыв вправе сам субъект персональных данных. Это гражданин, ранее разрешивший сбор, хранение, обработку и предоставление персональных данных о себе. За другое лицо подать отзыв нельзя. Исключение предусмотрено только для несовершеннолетних детей, иных недееспособных лиц. За них согласие и отзыв могут оформлять родители, опекуны, другие законные представители.

В какие организации можно подать заявление

В законе № 152-ФЗ есть такое понятие, как оператор персональных данных.

Это может быть: орган власти, организация, предприниматель или частное лицо, которое получит от человека согласие на работу с его личными сведениями. Соответственно, отзыв нужно подавать тому же оператору, которому ранее давалось согласие.

Как правило, это такие организации:

  • банк или МФО — например, отзыв можно подать после расторжения договора кредитования, после закрытия счетов и сдачи карт;
  • медицинская организация — после оказания услуг по договору, после снятия с учета и приписке к другой поликлинике и т.д.;
  • работодатель — при увольнении с работы, издании приказа о расторжении трудового договора;
  • школа или иное образовательное учреждение — после перевода ребенка на учебу в другое место, после завершения обучения и т.д.

Естественно, это только примерный перечень операторов персональных данных. Многие структуры могут вообще получать личную информацию о гражданине и работать с ними без согласия.

Например, это может быть суд или правоохранительный орган, если в отношении гражданина возбуждено уголовное дело.

Соответственно, в указанных ситуациях отзыв не повлечет запрет за работу с информацией персонального характера.

В некоторых правоотношениях оператором может быть иное лицо, которому напрямую не давалось разрешение на обработку данных. Приведем пример. Если при подаче заявки на кредит дать согласие на все виды действий с персональной информацией, то банк может передать ее страховой компании, в Бюро кредитных историй.

Поэтому отзыва согласия только в адрес банка может оказаться недостаточно, так как личные данные уже есть у третьих лиц. В страховую компанию можно подать отдельный отзыв с запретом на обработку информации персонального характера.

А вот в БКИ подавать такое заявление бесполезно. Бюро обрабатывают информацию и ведут вашу кредитную историю согласно тем функциям, которыми их наделил закон об их профессиональной деятельности.

Этот же закон им запрещает разглашать данную информацию кому-то, кроме самого владельца КИ, финансовых организаций, когда человек подает запрос на кредит или займ, и еще ряда юр лиц (тех же правоохранительных органов).

Какую персональную информацию БКИ открывает кредиторам?

Закажите звонок юриста

Когда данные могут обрабатывать без разрешения гражданина

Прежде чем рассказать о порядке заполнения отзыва согласия на обработку своих персональных данных, отметим несколько исключений. Даже после подачи отзыва передачи персональной информации может продолжиться работа с ней:

  • если это нужно для исполнения ранее заключенного договора — например, если у вас есть незакрытый договор на кредит или на счет, то для предоставления услуг банк сможет работать с персональными данными даже после отзыва. Но в этом случае и сам отзыв писать бессмысленно;
  • если гражданин является участником гражданских, арбитражных, административных или уголовных дел — например, если истец взыскивает долг и подает в суд договор (расписку), то отзыв не будет действовать в рамках судопроизводства;
  • если гражданин является получателем пенсий, социальных пособий, выплат и льгот — для предоставления таких мер поддержки государственные ведомства вправе сами запрашивать и обрабатывать информацию, даже если гражданин подал отзыв;
  • если гражданин получает медицинскую помощь и социальные услуги — защита данных будет гарантирована врачебной тайной, а получать и обрабатывать информацию медики могут для спасения и лечения пациента.

Полный список исключений, когда заявление не повлечет запрет на работу с личной информацией о человеке, можно найти в статьях 6, 10 и 11 закона № 152-ФЗ.

Заявление на отзыв персональных данных подается тому оператору, которому ранее и давалось согласие на работу с перс. информацией

После подачи отзыва оператор обязан прекратить любые действия с персональными данными. Но все-таки он не обязан удалять их из своей базы. Нарушение этого правила грозит ответственность по КоАП РФ. В некоторых случаях, указанных в законе № 152-ФЗ, допускается обработка данных без согласия гражданина или после подачи отзыва согласия.

Отдельно отметим правила отзыва данных из банка, МФО, коллекторских организаций. Отзыв повлечет запрет на работу с информацией, только если у гражданина нет действующих обязательств с указанными структурами.

Поэтому заявление на отзыв персональных данных из банка, МФО или коллекторской фирмы не имеет смысла подавать в случаях, если:

  • если у вас есть незакрытый договор на кредит или микрозайм;
  • если у вас в банке открыты счета или вклады, получены карты;
  • если коллекторское бюро легально занимается взысканием долга, соблюдает ограничения и запреты законов № 152-ФЗ и закона, регламентирующего коллекторскую деятельность — 230-ФЗ.

В перечисленных случаях обработка данных нужна, чтобы обеспечить исполнение обязательств.

Что в реальности означает термин «запрет на обработку данных»?

Закажите консультацию юриста

Вернее будет сказать так — если у вас есть долг перед конкретным банком или МФО, и вас замучили звонками и смсками, а платить вам нечем, то вы имеете право написать заявление на отзыв согласия. Это право появляется после 4 месяцев от начала вашей просрочки по уплате взносов по кредиту (займу).

Кредиторы и коллекторы обязаны прекратить с вами личное общение. Но не забывайте, что ваш долг от этого никуда не исчезнет — кредиторы будут вправе переписываться с вами по обычной почте. И, конечно, за ними остается опция — подать на вас в суд за неуплату долга.

Как правильно написать заявление на отзыв

Бланк универсального заявления на отзыв персональных данных можно найти на сайте Роскомнадзора. Это общая форма отзыва, которую можно взять за основу.

В зависимости от того, куда вы обращаетесь с заявлением, его можно заполнять в письменном или электронном виде.

При оформлении электронного отзыва заверить его можно ЭЦП, учетной записью госуслуг (исходя из того, какие варианты доступны на сайте оператора персональных данных).

Как на сайте Роскомнадзора найти документы о персональных данных

Форма и содержание документа

Электронная или письменная форма заявления должна содержать ряд обязательных сведений, чтобы у оператора возникли основания прекратить работу с информацией персонального характера. В заявлении всегда указывается:

  • наименование или ФИО оператора (государственное ведомство, юридическое или частное лицо, ИП);
  • адрес оператора;
  • информация о заявителе (субъекте персональных данных), в том числе ФИО, адрес, реквизиты паспорта;
  • текст заявления, т.е. указание на отзыв ранее выданного согласия и запрет на дальнейшую обработку данных;
  • дата;
  • подпись с расшифровкой.

Указывать реквизиты ранее выданного согласия необязательно. Но если указать его, то проще будет контролировать исполнение отзыва.

Пример письменного заявления может содержать описание незаконных действий при обработке данных, с которыми столкнулся заявитель.

Например, это может быть использование личной информации для рассылки рекламных сообщений и спама, неправомерная передача ее лицам, которые не имеют никакого отношения к обязательствам гражданина.

Если в заявлении указано на незаконность использования информации, оператор обязан предпринять меры к устранению нарушений.

Образец заполнения заявления на отзыв обработки персональных данных

Предлагаем скачать шаблон заявления на отзыв согласия. Так как точное содержание документа зависит от конкретной ситуации, рекомендуем проконсультироваться у наших юристов. Они помогут учесть все нюансы закона № 152-ФЗ, добиться защиты персональных данных.

Как правильно подать заявление

Обычно отзыв подается тем же способом, что и первоначальное согласие на работу с первоначальными сведениями.

Письменный документ можно сдать уполномоченному лицу оператора (например, сотруднику банка), либо направить по почте.

При личной подаче документа убедитесь, что на вашем экземпляре проставлена отметка о регистрации, входящий номер, дата. Это позволит привлечь виновника к ответственности, если будет выявлено нарушение закона.

В цифровой форме заявление можно подать, если это допускается правилами оператора. Например, если договор заключался через сайт онлайн-магазина, там предлагается подтвердить разрешение на обработку персональных данных.

Через личный кабинет онлайн-магазина можно подать и отзыв согласия, если это допускается функционалом сайта. Отметим, что при подаче онлайн-отзыва сложнее контролировать его исполнение. Поэтому, если есть возможность, лучше продублировать заявление по почте.

Через сколько времени оператор обработки данных должен дать мне ответ на мое

требование о запрете обработки?

Что грозит за отказ по заявлению

Если оператор продолжит обработку персональной информации после получения отзыва согласия, ему грозит штраф по ч. 2 ст. 13.11 КоАП РФ.

Размер штрафа может составить:

  • для физических лиц — от 6 000 до 10 000 рублей;
  • для должностных лиц — от 20 000 до 40 000 рублей;
  • для организаций — от 30 000 до 150 000 рублей.

Жалобы по факту нарушений нужно подавать в Роскомнадзор. Сделать это можно по почте или через сайт ведомства.

При повторном нарушении будет применяться уже ч. 3 ст. 13.11 КоАП РФ. Там штрафы еще больше. Если неисполнение требований в отзыве повлекло разглашение сведений в сфере частной жизни, личной и семейной тайны, то нарушителю грозит уголовная ответственность по статье 137 УК РФ.

Если у вас возникли вопросы, связанные с отзывом своих персональных данных, обращайтесь к нашим специалистам. Мы поможем даже в самой сложной ситуации!

Бесплатная консультация по списанию долгов

Оставьте свой телефон, специалист перезвонит вам в течение 1 минуты

Ссылка на основную публикацию
Adblock
detector