Как оформить согласие на обработку персональных данных субъекта

Личную информацию человека можно использовать только после его разрешения. JCat.Работа поможет разобраться, как получить и оформить согласие сотрудников на обработку их персональных данных.

Чтобы понять, как работать с документом, важно знать, какие данные считаются персональными и, соответственно, требуют особого внимания к ним.

На законодательном уровне есть несколько определений этого понятия, но конкретного списка нет ни в одном документе. Это одновременно оставляет пространство для объяснения термина и становится причиной разногласий главного кандидата на должность и специалистов кадровой службы.

Что вкладывается в термин «персональные данные»

Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • сведения из паспорта, трудовой книжки и прочих документов;
  • а также некоторые характеристики его личности.

При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.

В частности их условно можно поделить на три основных вида:

  1. общедоступные данные (ФИО, пол, дата, место рождения, гражданство и т.п.)
  2. биометрические (физиологические особенности индивида, его внешние параметры)
  3. специальные (народность, религия, здоровье и т.д.). Сюда же в некоторой степени относится и информация о месте работы человека, его отношениях с законодательством, привычках и т.п.

По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.

Как происходит обработка персональных данных?

Понятие «обработка» подразумевает все действия, которые происходят с данными, начиная с момента их сбора. Передача, запись, распределение, хранение, применение, удаление — эти и многие другие действия входят в понятие «обработка персональных данных».

Все в том же законе №152-ФЗ указано, что обработка персональной информации должна происходить с соблюдением основных принципов:

  • соблюдение требований актуального законодательства;
  • цель обработки необходимо определить и озвучить субъекту заранее;
  • собирать и обрабатывать можно только информацию, которая соответствуют указанной цели;
  • оператор обязан обеспечить точность данных, предупредить их искажение, а ответственные лица должны периодически следить за актуальностью информации;
  • после достижения финальной цели данные нужно уничтожить.

Для чего формируется согласие на обработку при трудоустройстве

Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д. Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).

В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.

Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.

Если сотрудник отказывается подписывать согласие

Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.

Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.

В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.

Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.

Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.

Административная ответственность с 1 июля.

Федеральным законом от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который вступит в силу 1 июля 2022 года,ст. 13.11 КоАП РФ, устанавливающая ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), излагается в новой редакции.

По сравнению с действующей редакцией, вместо одного общего состава правонарушения установлено семь самостоятельных составов. Значительно увеличился размер штрафа. И сделано еще одно серьезное изменение: привлекатьк административной ответственности по ст. 13.11 КоАП РФ с 1 июля будут не прокуроры, а должностные лицаРоспотребнадзора.

А теперь рассмотрим, за что и в каком размере смогут оштрафовать работодателей в случае нарушения ими законодательства о персональных данных работников в соответствии со ст. 13.11.

Часть 1.Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 13.11, если эти действия не содержат уголовно наказуемого деяния, влечет предупреждение или наложение штрафа:

  • на должностных лиц – от 5 000до 10 000 руб.;
  • на юридических лиц – от 30 000 до 50 000 руб.

Часть 2.Обработка персональных данных без письменного согласия субъекта на обработку его данных в случаях, когда согласие должно быть получено, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку егоданных, влечет наложение штрафа:

  • на должностных лиц – от 10 000 до 20 000 руб.;
  • на юридических лиц – от 15 000 до 75 000 руб.

Часть 3. Невыполнение оператором персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных влечет предупреждение или наложение штрафа:

  • на должностных лиц – от 3 000 до 6 000 руб.;
  • на юридических лиц – от 15 000 до 30 000 руб.

Часть 4. Невыполнение оператором персональных данных обязанности по предоставлению их субъекту информации, касающейся обработки его персональных данных, влечет предупреждение или наложение штрафа:

  • на должностных лиц – от 4 000 до 6 000 руб.;
  • на юридических лиц – от 20 000 до 40 000 руб.

Часть 5. Невыполнение оператором в сроки, установленные законодательством, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, влечет предупреждение или наложение штрафа:

  • на должностных лиц – от 4 000 до 10 000 руб.;
  • на юридических лиц – от 25 000 до 45 000 руб.

Часть 6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность персональных данных при хранении их материальных носителей и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении данных, при отсутствии признаков уголовно наказуемого деяния влечет наложение штрафа:

  • на должностных лиц – от 4 000 до 10 000 руб.;
  • на юридических лиц – от 25 000 до 50 000 руб.

Часть 7. Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию данных влечет предупреждение или наложение на должностных лиц штрафа в размере от 3 000до 6 000 руб.

Что грозит за разглашение персональных данных

Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.

Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.

Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.

В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).

Как хранить данные клиентов

Мало просто добавить на сайт правильный документ и чекбоксы. Данные, которые вам доверил клиент, надо правильно хранить. И не просто потому, что того требует закон. Вряд ли кому-то из ваших клиентов захочется, чтобы их адрес, телефон или другие личные данные оказались в открытом доступе. И они вполне могут пожаловаться, если заподозрят, что утечка данных произошла у вас.

Вот минимальные меры предосторожности, которых стоит придерживаться:

  1. Придумайте надёжный пароль на вход в админку вашего сайта и подключите двухфакторную идентификацию по телефону для входа в почту.
  2. Не копируйте данные клиентов и заказов из админки магазина в документы на компьютере или в сети. Так за их сохранностью будет сложнее уследить.
  3. Предупредите своих сотрудников о том, как обращаться с данными клиентов и почему это важно.

Читайте подробнее, как обеспечить безопасность интернет-магазина и данных клиентов.

И, конечно вы обязаны удалять данные клиентов по их первому требованию.

Можно ли отозвать согласие

Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает. Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.

Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).

Это требование должно быть выполнено не позже чем через месяц после написания отзыва.

Пример политики конфиденциальности (готовый шаблон)

Совместно с юристом мы подготовили шаблон «Политики конфиденциальности» для интернет-магазина:

  1. Скопируйте текст к себе (сам шаблон по ссылке нельзя редактировать, он для общего пользования).
  2. Заполните все пробелы информацией о своей компании (они отмечены красным цветом).
  3. Разместите готовый текст на сайте на отдельной странице.

«Политики конфиденциальности» и используйте в своём магазине

Все формулировки в шаблоне юридически выверены и подойдут большинству интернет-магазинов. Но мы всё равно рекомендуем вам проконсультироваться с юристом: возможно у вашей компании есть особенности и их стоит добавить в политику.

Рейтинг
( 2 оценки, среднее 4.5 из 5 )
Понравилась статья? Поделиться с друзьями:
Для любых предложений по сайту: [email protected]