Письменное согласие работника на обработку персональных данных. Почему опасно подписывать соглашение на использование и обработку персональных данных в России

Обработка персональных данных в 2018: как избежать штрафа

Письменное согласие работника на обработку персональных данных. Почему опасно подписывать соглашение на использование и обработку персональных данных в России

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы 

ОснованиеРазмер штрафа
ФизлицаДолжностные лицаЮрлицаИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДнпредупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до 10 000 руб.предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб.от 10 000 до 20 000 руб.от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДнот 700 до 1500 руб.от 3000 до 6000 руб.от 15 000 до 30 000 руб. от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработкепредупреждение или штраф — от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 6000 руб.предупреждение или штраф — от 20 000 до 40 000 руб.предупреждение или штраф — от 10 000 до 15 000 руб. 
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)предупреждение или наложение штрафа в размере от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 10 000 руб.предупреждение или штраф — от 25 000 до 45 000 руб.  предупреждение или штраф — от 10 000 до 20 000 руб. 
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копированияот 700 до 2000 руб.от 4000 до 10 000 руб.от 25 000 до 50 000 руб.от 10 000 до 20 000 руб. 
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДнпредупреждение или наложение административного штрафа — от 3000 до 6000 руб. 

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:  

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?  

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан. 

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора  

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально.

 На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.         

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.

1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft.

 Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда.

 За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн. 

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;  
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

5 базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов 

Источник: https://kontur.ru/articles/4816

Нужно ли согласие на обработку персональных данных в 2020 году

Письменное согласие работника на обработку персональных данных. Почему опасно подписывать соглашение на использование и обработку персональных данных в России

Данную статью посвятим тому, что собой представляют персональные данные, каким должно быть согласие на обработку персональных данных при приеме на работу, при каких обстоятельствах и кто может обладать доступом к субъектным сведениям о персонале.

Что считается персональными данными

Согласно статье 23 Конституции РФ, каждый человек обладает правом на неприкосновенность жизни, семейную, частную тайну, защиту своих имени и чести. Совокупностью правовых норм, установленных главой 14 ТК РФ, регулируются действия по сбору, хранению, обработке, передаче и использованию субъектных данных персонала организаций.

Среди локальных нормативных актов стоит акцентировать внимание на Положении о персонале, которые разрабатывается работодателем, и своим действием распространяется на коллектив компании, Положении о порядке использования личных сведений кадрового состава предприятия и других, подобных им.

Персональными данными сотрудника считаются сведения, необходимые работодателю для вступления с ним в трудовые отношения. Такие данные относятся к группе документированной информации, то есть сведений, зафиксированных на материальном носителе с идентифицирующими их реквизитами.

Объем и вид информации, составляющих личные данные, должны быть определены в соответствующем локальном акте компании.

Информацией, составляющей личные сведения, считается следующая:

  • данные, которые предоставляет работник при трудоустройстве, установленные ст. 65 ТК РФ;
  • данные, получаемые и создаваемые работодателем в период осуществления принятым на работу гражданином трудовой деятельности;
  • сведения о сотруднике, которые хранятся у работодателя после расторжения с ним трудовых взаимоотношений.

Данные личного характера разделяются на два вида:

  1. сведения, являющиеся фактами, и не подлежащие субъективной оценке, к примеру, специальность, приобретенная сотрудником в ходе обучения в каком-либо учебном заведении;
  2. сведения оценочного характера, содержащиеся, в частности, в заключении аттестационной комиссии, характеристике и др.

Обработка персональных данных

Процедура обработки личных данных специалиста – совокупность отношений, которые возникают в процессе:

  1. формирования информационной базы на основе получения, комбинирования, хранения, документирования сведений о конкретном трудоустраиваемом гражданине в порядке, регламентированном ст. 86 ТК РФ;
  2. использования отдельной документации, а также иного рода информации, которая относится к числу личных данных специалиста, находящихся на хранении у нанимателя.

Субъектами таких взаимоотношений выступают:

  • работодатель;
  • работник (или его представитель);
  • должностные лица, которые осуществляют обработку персональной информации;
  • третьи лица, предоставляющие (или получающие) информацию о сотруднике.

Цели обработки субъектной информации кадров в организации:

  1. обеспечение соблюдения норм законодательства;
  2. обеспечение личной безопасности соискателей/рабочих;
  3. содействие в их трудоустройстве/карьерном росте;
  4. контролирование количества и качества трудовых процессов и обеспечение сохранности имущества организации.

Нужно ли оформлять согласие

Законом не закреплена процедура обработки данных индивидуального характера о работниках, но в ст. 86 Трудового кодекса РФ приведен список общих требований, которые для обеспечения прав граждан предъявляются к обработке подобных сведений.

Среди них стоит назвать следующие:

  1. обрабатываться личные сведения о трудоустроенных могут исключительно в ранее указанных целях;
  2. определяя количественный перечень подлежащих анализу персональных сведений сотрудника, работодатель должен опираться на Конституцию РФ и содержимое иных федеральных законов;
  3. вся информация данного типа должна получаться исключительно у работника. В случае ее предоставления третьими лицами должно быть предоставлено согласие работника на обработку персональных данных в письменной форме;
  4. наниматель не обладает правом получения и обработки данных сотрудника о его частной (личной) жизни и религиозных, политических и любых других убеждениях. Если же подобное требуется условиями предстоящей профессиональной деятельности, то работа с такими материалами возможна лишь при документальном, то есть письменном, согласии на то работника;
  5. работодатель не может использовать данные личного характера, отражающих участие сотрудников в деятельности профсоюзных организаций или членство в общественных объединениях. Исключение являются случаи, определенные соответствующими федеральными законами;
  6. принимая решения, затрагивающие индивидуальные интересы сотрудника, наниматель не может брать за основу личные сведения о нем, которые были получены после проведения автоматизированного сбора подобных материалов;
  7. защищены данные личного характера персонала от утраты и неправомерного использования должны быть нанимателем за его счет в установленном ФЗ порядке;
  8. работник и/или его представитель должны быть под роспись ознакомлены с документацией организации, утверждающей порядок обработки субъектных данных каждого сотрудника, а также о своих обязанностях и правах в данной области;
  9. работники не обязаны отказываться от прав на защиту и сохранение тайны;
  10. меры по защите личных сведений о кадровом составе компании должны быть выработаны совместно работодателем, представителем работника и ним лично.

Нужно ли согласие

Согласно общим правилам, обрабатываться данные работников могут только с согласия на то последних (п. 1 ст. 6 Закон о персональных данных). Однако обязан ли работодатель при приеме на работу брать заявление об обработке персональных данных?

Статьей 6 указанного выше Закона установлено, что в большинстве случаев нанимателю не требуется получать согласие рабочего на обработку его личных данных, поскольку осуществление этой процедуры происходит в целях исполнения контракта о сотрудничестве.

Вместе с тем нередко на практике случается так, что получить заявление о согласии работника на обработку персональных данных при приеме на работу необходимо.

В таком случае данного рода разрешение может быть составлено в устной или письменной форме.

Получение письменного разрешения на обработку личных сведений необходимо:

  • при обработке информации личного характера, касающейся частной жизни;
  • при обработке биометрических данных;
  • для осуществления трансграничной передачи личных сведений;
  • для принятия решений на основе только автоматизированной обработки данных персонального характера.

Важно отметить, что согласие на обработку персональных данных работника обязательно должно быть получено при включении последних в общедоступные источники. В таком случае письменное согласие должно содержать:

  • Ф.И.О., адрес трудоустраиваемого, номер основного удостоверяющего личность документа, сведения о последнем: дата выдачи и орган, выдавший его;
  • название и адрес оператора, который получил согласие субъекта личной информации;
  • цель обработки субъектной информации;
  • список персональных сведений, которые могут обрабатываться согласно этому разрешению;
  • перечень действий, которые могут быть совершены с персональными сведениями, основываясь на этом согласии, общее описание допустимых для применения оператором способов;
  • срок действия согласия и порядок его отзыва.

Подобное согласие может быть отозвано субъектом в любой момент. В таком случае обработка данных индивидуального характера о нем должна быть прекращена, а все сведения уничтожены в трехдневный срок с даты составления отзыва.

Об этой возможности сотрудник должен быть уведомлен до момента составления разрешительного документа на обработку личных сведений.

Кроме того, существует возможность установления иного срока и условий по обоюдной договоренности сторон.

Может ли сотрудник отказать

Если работник не подписывает согласие на обработку персональных данных, обрабатываться сведения о нем должны сотрудниками кадровой службы организации в пределах, установленных действующим российским трудовым законодательством.

Если же предполагаемые действия приведут к выходу за пределы законов, необходимо будет получить от работника соответствующее согласие, то есть документированное добровольное волеизъявление сотрудника о предоставлении разрешения на использование его личных данных для сформулированных целей.

Права сотрудников и персональные данные

Права рабочих в сфере защиты их личных данных регламентированы ст. 88 ТК РФ.

Условно права трудящихся в данном направлении делятся на три группы:

  • информация о персональных данных в полном объеме, включая допустимую их обработку;
  • запрос устранения недостатков, которые имеют место в личном деле рабочего в информационной базе компании;
  • защита от бездействия или неправомерных действий работодателя любыми определенными законом способами.

Вышеназванные права работников четко прописаны в ФЗ «Об информации, ее защите и информатизации» от 20 февраля 1995 г., а также установлены отдельными федеральными актами, постановлениями Правительства России, указами Президента РФ.

Также трудовым законодательством предусмотрена возможность требования работником выдачи ему копии любой записи из личного дела, содержащей персональные данные о нем.

Ответственность за разглашение личных данных

В соответствии со ст. 90 Трудового кодекса РФ, лица, из-за действий или бездействия которых были нарушены нормы, регулирующие получение, защиту и обработку персональных сведений кадрового состава компании, несут юридическую ответственность.

Так, согласно ст. 24 ФЗ № 24 от 20 февраля 1995 г.

, ответственность за ограничение доступа в незаконном порядке к сведениям и нарушение порядка защиты последних возлагается на руководящие лица и других служащих организаций, органов государственной власти при наличии вины с их стороны в соответствии с действующим гражданским, уголовным законодательством и законами об административных правонарушениях.

Согласно ст.

13 Кодекса об административных правонарушениях РФ, при нарушении утвержденного законом порядка хранения, сбора и использования, в том числе распространения, сведений о гражданах, предусмотрена административная ответственность посредством наложения штрафа размером до пяти минимальных оплат труда или предупреждения об этой возможности в отношении рядовых работников. При совершении должностными лицами аналогичных действий размер административного штрафа для них может достигать десяти минимальных зарплат, и для юридических лиц в таких случаях – ста минимальных заработных плат.

Ст.

137 УК РФ установлена уголовная ответственность за противозаконное распространение или сбор информации о частной жизни граждан, составляющей их семейную/личную тайну, без их на то согласия, либо распространение сведений данной категории в публичном выступлении, если подобные деяния совершались из корыстной или любой другой личной заинтересованности и способны были причинить вред правам граждан. Наказанием в таком случае выступает штраф размером от 250 до 500 заработных плат.

Источник: https://podborkadrov.com/priem-na-rabotu/obshhie-voprosy/soglasie-na-obrabotku-personalnyx-dannyx.html

Водителю
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: