Согласие на обработку персональных данных не требуется

Персональные данные работников: каким должно быть согласие на их обработку

Согласие на обработку персональных данных не требуется

Любой работодатель вынужден обрабатывать персональные данные сотрудников: без этого невозможно ни провести собеседование, ни заключить трудовой договор.

Однако, согласно действующему законодательству, в отдельных случаях работодателю не нужно никаких дополнительных разрешений или согласий на обработку персональных данных.

Чтобы в кадровых документах был порядок, давайте разберемся, в каких случаях и с какой целью работодатель может обрабатывать персональные данные работников, а также выясним, что должно содержаться в согласии на их обработку.

Что такое персональные данные?

Для начала определимся с понятиями. В соответствии со статьей 3 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных», персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Иными словами, это сведения, с помощью которых можно идентифицировать конкретное лицо (в нашем случае — работника). К персональным данным работника можно отнести его фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию или другую информацию. Под обработкой персональных данных следует понимать любое действие или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Когда требуется согласие на обработку персональных данных?

Возникает вопрос: на каких условиях и в каких пределах работодатель может обрабатывать персональные данные работников? Для начала обратимся к Трудовому кодексу РФ. В соответствии со статьей 86 ТК РФ, обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. При этом при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом и иными федеральными законами, к которым в первую очередь относится Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных». Теперь выясним, в каких случаях работодатель может обрабатывать персональные данные работника. Основания для этого перечислены в статье 6 закона «О персональных данных». Данная статья содержит более 10 оснований для обработки персональных данных, но особое внимание стоит обратить на первые два.1) Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Иными словами, оператор (в нашем случае — работодатель) может обрабатывать персональные данные при наличии согласия работника. 2) Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей. Иными словами, работодатель имеет право обрабатывать персональные данные работника без каких-либо дополнительных согласий в случае, если такая обработка требуется для достижения целей и задач, предусмотренных законом. Приведем пример. В соответствии со статьей 57 Трудового кодекса РФ, при заключении трудового договора работодатель обязан включить в него обязательные сведения о работнике, к которым относятся его фамилия, имя, отчество, а также сведения о документе, удостоверяющем личность (проще говоря, паспортные данные). Нужно ли получать от работника согласие на то, чтобы обрабатывать такие персональные данные в указанных целях? Нет, согласие получать не нужно, поскольку работодатель в данном случае выполняет прямое указание закона. Аналогичная ситуация будет во всех случаях, когда, обрабатывая персональные данные работника, работодатель выполняет требование закона — осуществляет воинский учет, подает отчетность в государственные органы и прочее. Для обработки персональных данных в таких случаях и в таких целях согласие не требуется. Приведем другой пример. Предположим, персональные данные работника нужны работодателю в иных целях, прямо не предусмотренных законом (например, для размещения информации на сайте, для предоставления корпоративных бонусов, для оформления зарплатного проекта и т.п.). В этом случае основание, которое мы рассматривали выше, уже не будет работать. Если основание для обработки персональных данных, используемое работодателем, не подходит под другие основания, указанные в статье 6 Закона «О персональных данных», обработку следует совершать с согласия субъекта (работника).

Что нужно указать в согласии?

Вопрос о форме такого согласия на практике является спорным. В соответствии с частью 1 статьи 9 закона «О персональных данных», согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Требования согласия на обработку персональных данных устанавливаются в случаях, когда закон требует получения согласия именно в письменной форме — к примеру, в случае обработки биометрических персональных данных, специальных категорий персональных данных (национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья). В остальных случаях прямого указания на то, что согласие должно быть получено в письменном виде, нет. А следовательно, не должно быть и жестких требований к такому согласию. Тем не менее не будет лишним использование работодателем формы согласия на обработку персональных данных по тем требованиям, которые закон предъявляет к письменной форме. В этом случае риск споров с инспекционными органами и самими работниками в разы сокращается. Требования к письменной форме согласия на обработку персональных данных приведены в части 4 статьи 9 закона «О персональных данных». Так, в согласии нужно указать следующее: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;4) цель обработки персональных данных;5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;9) подпись субъекта персональных данных.

Какой должна быть цель обработки персональных данных

Важно правильно определить цель, с которой работодатель получает персональные данные работника (учитывая, что цель — это не выполнение требования закона, а что-то другое). Обратите внимание, обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных. и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Таким образом, в отношении каждой категории персональных данных, которые получает работодатель от работника, должна быть четко сформулирована цель, очевидная и понятная. Данная цель должна быть прямо указана в согласии на обработку персональных данных (вместе с самими персональными данными, согласие на обработку которых дает работник). В случае достижения цели оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение. Именно от цели обработки персональных данных зависит то, какие действия сможет предпринимать работодатель и как распоряжаться персональными данными работника.

Наша рубрика с материалами экспертов по кадровому делопроизводству пополняется еженедельно. Чтобы не пропустить самое важное, подпишитесь на наш Телеграм-канал.

Источник: https://www.SuperJob.ru/pro/5365/

Персональные данные: обработка, защита, согласие на обработку

Согласие на обработку персональных данных не требуется

Под персональными данными, как следует из ст. 3 №152- ФЗ, подразумевается любая информация, имеющая отношение к физлицу: информация, указанная в паспорте (ФИО, дата рождения, адрес регистрации, семейное положение и др.), а также сведения об образовании, занимаемой должности, зарплате и даже росте, весе, цвете глаз и др.

Закон распространяется абсолютно на все организации. Поскольку в каждой организации есть работники, то их данные так или иначе используются при заключении трудового договора, начислении зарплаты и в других случаях. Персональные данные вносятся в личные дела сотрудников, которые хранятся у кадровиков.

Под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных.

Распространение персональных данных — это действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2. Компании могут использовать данные различных категорий субъектов

С каждой из категорий субъектов персональных данных компанию связывает определенный тип правоотношений. Некоторые компании обрабатывают персональные данные не только работников, но и клиентов, например, производственные компании.

Так, компании из сферы услуг (автошколы, салоны красоты, парикмахерские, туристические агентства и др.) взаимодействуют с клиентами-физлицами, обрабатывая их персональные данные с целью предоставления, например, дисконтных карт.

Интернет-магазины собирают данные физлиц, чтобы осуществлять доставку товаров.

Существует определенная категория лиц, которая не является ни клиентами, ни работниками компании, однако она передает свои данные в организацию, где они хранятся и обрабатываются. К такой категории относятся соискатели, принимающие участие в конкурсе на вакансию и передающие потенциальному работодателю свои персональные данные в виде резюме или анкеты на сайте компании.

Сотрудники могут работать в организации по договору подряда. Оформляя человека по такому договору, компания может не запрашивать у него сведений о семейном положении или ограничений по здоровью. В случае с работником, оформленным по трудовому договору, компания должна это делать.

У товариществ собственников жилья нет ни работников, ни клиентов. Это сообщество, в котором состоят члены. Существуют и другие виды организаций с подобной структурой и без трудовых или гражданских правоотношений: общественные организации, политические партии, религиозные организации и др.

3. Обработке подлежат персональные данные, отвечающие целям их обработки

Важно понимать, какие данные каких субъектов используются, чтобы устанавливать цель обработки персональных данных.

Организациям необходимо иметь представление не только о том, данные каких категорий субъектов они обрабатывают, но и с какой целью они это делают, исходя из специфики деятельности. Например, у интернет-магазина и автошколы цель обработки данных может заключаться в выполнении условий договора с клиентами.

4. Необходимо знать, какие именно данные нужно использовать

Закон требует от компаний понимания, какие именно персональные данные в отношении каждой категории субъектов они обрабатывают.

Очевидно, что если в случае с работником необходимо знать об ограничениях по здоровью для начисления социальных выплат, имеются ли у него дети до 18 лет, чтобы предоставить ему налоговый вычет, то в отношении клиента интернет-магазина, который заказал товар, эти сведения не нужны. В этом случае достаточно знать имя, адрес и телефон покупателя.

Закон запрещает обрабатывать персональные данные, которые не требуются для достижения цели их обработки.

Достигнув цели обработки данных, компания должна прекратить обработку этих данных. Так, если интернет-магазин осуществил доставку товара клиенту, то в дальнейшем ему уже не потребуются его номер мобильного телефона и адрес доставки.

5. Необходимо понимать, когда требуется согласие на обработку данных

Для каждой категории субъектов (работников, клиентов, соискателей и др.) определяется цель обработки данных. Порой эта цель заключается в выполнении требований определенных законов.

В этом случае организация может абсолютно спокойно собирать данные соответствующей категории и обрабатывать их.

Так, в отношении работников организации выполняют трудовое законодательство, многие кредитные и финансовые организации обязаны на своем официальном сайте публиковать сведения об аффилированных лицах, ОАО должно размещать у себя на сайте информацию о структуре акционеров.

Если цель обработки данных какой-то категории субъектов установлена компанией самостоятельно, исходя из специфики деятельности, то она должна взять согласие об обработке персональных данных у субъекта данных (ст. 9 №152- ФЗ).

Например, если компания принимает на работу сотрудника по трудовому договору, то по трудовому законодательству она должна знать, как его зовут, где он прописан, какое у него образование. И эти сведения компания может получать у человека без его согласия.

Если же компания собралась выплачивать сотруднику зарплату на банковскую карту и планирует передавать сведения о нем в банк, то она обязана взять на это согласие, так как прямого требования передавать персональные данные в банк для выплаты заработной платы в законе нет.

Если интернет-магазин после доставки товара планирует рассылать клиентам SMS-сообщения о скидках, то он должен заранее сформулировать эту цель и взять с клиентов согласие на использование данных именно с этой целью. В ч.1 ст.15 №152- ФЗ есть упоминание о том, что рекламные контакты с клиентами совершаются только с их согласия.

Закон отдельно выделяет требования для данных, неправомерные действия с которыми могут нанести вред субъекту персональных данных. Речь идет о специальной категории персональных данных (ст. 10 №152- ФЗ) и биометрических персональных данных (ст. 11 №152-ФЗ).

К биометрическим данным относятся сведения, которые отражают физиологические особенности человека и необходимы для установления его личности (например, если в компании используются системы контроля доступа).

К специальной категории данных относятся сведения о национальной, расовой принадлежности, философских, политических и религиозных убеждениях, состоянии здоровья и интимной жизни.

Эти данные выделяются в отдельную категорию, так как закон прямо запрещает их использовать, за исключением ряда случаев (один из них — если субъект дал на то свое письменное согласие).

Отдельно закон говорит о передаче данных за границу (ст. 12 №152- ФЗ).

С учетом всех базовых принципов, описанных выше, требования к обработке данных можно разделить на три больших блока (ст. 19 №152- ФЗ):

1. Правовые меры

Организация решает, как будет соблюдать законодательство, оформляет решение в виде внутренних документов, например, «Политики в отношении обработки персональных данных», издает приказ, в котором назначает ответственного за организацию процесса обработки персональных данных и т д.

2. Организационные меры

Эти меры связаны с деятельностью компании. Закон требует, чтобы «Политика в отношении обработки персональных данных» была доступна для всех категорий субъектов персональных данных. Ее рекомендуется размещать на информационном стенде, где с ней смогут ознакомиться не только работники, но и клиенты.

По закону любой субъект персональных данных может написать в компанию письмо с требованием уточнить, обрабатывает ли она его данные. Если обрабатывает, то какие данные, с какой целью и на каком основании. Также любой субъект имеет право потребовать прекратить обработку своих персональных данных.

Рассмотрение этого письма и подготовка ответа на него — деятельность, относящаяся к организационным мерам. О том, как отвечать на такие письма, уточняется в ст. 20-21 №152-ФЗ.

3. Технические меры

Связаны с использованием средств защиты информации. Это могут быть как примитивные средства — сургучовые печати, решетки на окнах, так и высокотехнологичные способы — антивирусы, межсетевые экраны, средства защиты от несанкционированного доступа, средства криптографической защиты и др.

При обработке персональных данных организации следует:

  1. Разобраться, с данными каких категорий субъектов она имеет дело, на каком основании и с какой целью она их использует.
  2. Ознакомиться с законом и решить, как будут выполняться требования, отразить это в локальных нормативных актах.
  3. Принять соответствующие организационные меры.

    Например, опубликовать «Политику в отношении обработки персональных данных» и  быть готовой выполнять те организационные требования, которые необходимы в ходе операционной деятельности.

  4. Позаботиться о технических мерах, понять, какие технические меры должны быть приняты, обеспечить принятие этих мер.

Существенное дополнение: в рамках текущего законодательства ни у одного контролирующего органа нет полномочий на то, чтобы контролировать выполнение технических мер у коммерческих частных организаций.

Роскомнадзор может контролировать только выполнение правовых и организационных мер у частных компаний. Поэтому о четвертом шаге можно говорить формально: закон предоставляет возможность коммерческим компаниям большую свободу в выборе технических мер. Что касается государственных организаций, то для них требования по использованию средств защиты информации четко определены и подробно описаны.

Игорь Луканин, руководитель продукта «Контур.Персональные данные»

Источник: https://kontur.ru/articles/1293

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.