Федеральный закон №152-ФЗ от 27.07.2006 требует от работодателей соблюдать определенные правила в процессе обработки, хранения и уничтожения личных сведениях о работниках. При приеме на работу требовалось получать разрешение на использование предоставляемых реквизитов новым сотрудником.
С 1 марта 2021 в Закон №152-ФЗ вносятся изменения на основании закона №519-ФЗ от 30.12.2020, который добавляет новую статью 10.1. Суть обновлений в том, что теперь работодателям нужно отдельно получать с персонала согласия на распространение персональных данных, к которому можно отнести любую передачу сведений третьим лицам, а также их размещение на различных ресурсах, печатном СМИ, в интернете.
Содержание
- Что изменилось для работодателей?
- Когда нужно получать согласие работника на распространение персональных данных?
- Штрафы за отсутствие разрешения
- Как оформить заявление о согласии?
- Скачать образец
Что изменилось для работодателей?
Изменение заключается в появлении новой статьи 10.1 в Законе №152-ФЗ, которая регулирует процесс распространения персональных данных сотрудников.
Работодатели обязаны получить личное согласие работника, прежде, чем передавать любые сведения о нем в сторонние организации, публиковать их где-либо.
Ранее достаточно было иметь одно общее заявление, разрешающее обрабатывать информацию, предоставляемую человеком, оформлялось оно обычно при трудоустройстве. Как оформить заявление на обработку персональных данных?
Отдельное заявление на распространение данных законодательство не требовало. С 1 марта 2021 года ситуация кардинально изменилась — наличие согласия стало обязательным требованием для передачи персональных сведений третьим лицам.
Оформить его работник может:
- в письменном виде на бумаге — написать лично и заверить своей подписью либо доверить этот процесс своему представителю, действующему по доверенности;
- в электронном виде с обязательным заверением электронной подписью.
Важно! Получать такое разрешение работодатель должен каждый раз, когда планируется направить информацию о работнике сторонним лицам.
К персональным данным, распространение которых запрещено без разрешения владельца, относится любая информация, предоставленная человеком:
- фамилия, имя, отчетство;
- возраст;
- дата рождения;
- место рождения;
- о полученном образовании;
- о трудовой деятельности;
- номера ИНН, СНИЛС;
- паспортные реквизиты;
- сведения о составе семьи, социальном статусе, гражданстве;
- фотографии;
- данные о состоянии здоровья и т.д.
Важно: Молчание работника и отсутствие возражений с его стороны не лишает работодателя обязанности по получению заверенного согласия на распространение информации. Согласно ст.10.1 Закона №152-ФЗ, если человек молчит, это не означает, что он согласен — разрешение нужно все равно получить.
В новой ст. 10.1 Закона №152-ФЗ также определены случаи, когда не нужно запрашивать согласия работника на обработку и распространение его персональных сведений:
- в государственных, общественных и других публичных интересах, установленных законами РФ.
- в целях исполнения законодательства РФ органами исполнительной власти.
Когда нужно получать согласие работника на распространение персональных данных?
Заверенное разрешение нужно получать с человека каждый раз, когда планируется передача личной информации, а также его публикация.
К таким случаям можно отнести:
- передача информации в банк для оформления зарплатной карты;
- размещение сведений о работнике на официальном сайте компании;
- размещение фото, ФИО и прочих сведений на доске почета;
- размещение заметок в бумажных и электронных СМИ;
- передача данных работника охранной компании для выписка пропуска на территорию организации;
- прочие случаи распространения информации в различных целях.
Ситуации, когда не нужно согласие, указаны в п. 11 и п. 15 ст. 10.1 Закона 152-ФЗ — связаны они с исполнением норм российского законодательства.
Штрафы за отсутствие разрешения
Закон №19-ФЗ от 24.02.2021 внес изменения ст. 13.11 КоАП РФ относительно размеров штрафов за различные правонарушения.
В ст. 13.11 КоАП РФ прописаны суммы штрафов для случаев нарушения в области взаимодействия с персональными данными работникам.
В зависимости от вида нарушения размер административной ответственности могут достигать:
- для организаций — 300 тыс. руб., а при повторных нарушениях — 500 тыс. руб.;
- для ИП — 20 тыс. руб., а при повторных случаях — 100 тыс. руб.;
- для должностных лиц — 20 тыс. руб., а при повторных правонарушениях — 50 тыс. руб.
Новые штрафы вступают в силу с марта 2021 года. Суммы существенные, поэтому рекомендуется соблюдать законодательство в области персональных данных сотрудников, прописанных в Законе 152-ФЗ.
Рекомендуем: образец согласия на обработку персональных биометрических данных.
Как оформить заявление о согласии?
Типового бланка законодательством не разработано. Текст оформляется в свободной форме в виде заявления на имя руководителя организации.
Можно составить на бумаге, можно в электронном виде, но обязательна подпись заявителя (рукописная или электронная) либо его представителя, на которого оформлена доверенность, дающая право представлять интересы доверителя в данных вопросах.
Несмотря на отсутствие типового бланка, ст. 9 Закон 152-ФЗ предъявляет определенные требования к оформлению, указывая перечень реквизитов, которые дожно содержать согласие.
В заявлении работник должен указать:
- название организации, ФИО руководителя, его должность — обычно пишется в правом верхнем углу;
- свои ФИО, адрес регистрации, паспортные данные — также в правом углу;
- название документа — согласие на обработку персональных данных в целях распространения;
- ссылка на ст. 10.1 Закона 152-ФЗ, где содержится обязательство предоставлять разрешение на распросранение информации;
- согласие на передачу сведений организации;
- конкретная цель распространения — например, размещение информации в СМИ;
- список данных, которые заявитель разрешает распространять;
- срок предоставления согласия;
- дата составления;
- подпись заявителя.
Разрешение обязательно должно иметь срок действия и конкретные цели распространения. Не допустимо требовать с человека одно общее бессрочное согласие на распространение данных — это противозаконно.
В любом момент человек вправе отозвать свое согласие, потребовав прекратить передачу данных сторонним лицам либо публикацию.
Скачать образец
Скачать образец согласия на распространение персональных данных работника.
Пример оформления для случая публикации информации о сотруднике на сайте компании:
Согласие на обработку персональных данных нужно работодателю, чтобы пользоваться личной информацией о сотруднике. Гражданин самостоятельно решает, кому и к каким сведениям, а также на какой период дать доступ.
Что понимают под термином «персональные данные»
Сначала разберемся, что относится к личной информации и для чего ее охраняет закон. Заключение трудовых отношений между работником и работодателем обязывает последнего надлежащим образом осуществлять сбор, систематизацию, накопление, обновление, хранение и использование любой информации, относящейся к конкретному сотруднику или позволяющей его идентифицировать. Все личные сведения объединяются понятием персональных данных, а перечисленные процессы и операции называются обработкой. На законодательном уровне оба термина определяются и регулируются Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ и главой 14 Трудового кодекса Российской Федерации. Обязательный документ, который необходимо оформить на каждого работника и дать ему на подпись, — согласие на обработку персданных. В случае его отсутствия предприятие ждет штраф.
Что изменилось в правилах с 1 сентября 2022 года
Работодатели являются операторами персданных. С 01.09.2022 они обязаны уведомлять Роскомнадзор об обработке личной информации, если (266-ФЗ от 14.07.2022):
- Сведения относятся к работникам.
- Сведения принадлежат контрагентам оператора, а он использует персданные для исполнения договоров или заключения новых соглашений с теми же гражданами. Но информацию не распространяют и не передают третьим лицам без согласия.
- Сведения нужны для однократного пропуска посетителя на территорию оператора для аналогичных целей.
Уведомление отправляют до обработки в форме бумажного документа или электронного файла, подписанного ЭП уполномченного лица. Оператор вправе обрабатывать личную информацию без уведомления Роскомнадзора только в ограниченных случаях — для защиты прав субъектов персданных (п. 2 ст. 22 152-ФЗ):
- если сведения включены в государственные информационные системы персданных, которые создали в целях защиты безопасности государства и общественного порядка;
- если оператор занимается обработкой личной информации исключительно без использования средств автоматизации;
- если сведения обрабатываются по закону о транспортной безопасности в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Если оператор получил персданные о сотруднике от третьих лиц, то он обязан перечислить их работнику до начала обработки. Кроме того, с 01.09.2022 операторы обязаны работать с системой ГосСОПКА — государственной информационной системой обнаружения, предупреждения и ликвидации последствий кибератак на информресурсы РФ. Через нее сообщают об утечке личных сведений.
Операторы должны сообщать Роскомнадзору нужные сведения по требованию ведомства в течение 10 рабочих дней после получения запроса.
Изменили порядок работы с биометрическими данными — их получают только с согласия граждан. Теперь операторы не вправе отказать физическим лицам в обслуживании, если они не соглашаются на обработку и не предоставляют биометрические сведения. Но есть случаи, когда получение биометрической информации обязательно:
- при реализации международных договоров Российской Федерации о реадмиссии;
- для осуществления правосудия и исполнения судебных актов;
- при обязательной государственной дактилоскопической регистрации;
- при выполнении требований законодательства об обороне, безопасности, противодействии терроризму и коррупции, транспортной безопасности, оперативно-разыскной, уголовно-исполнительной деятельности, нотариате;
- при выполнении условий закона о государственной службе;
- при выезде и въезде в РФ, получении российского гражданства.
Операторы разрабатывают локальные нормативы — положение об обработке персданных, политику такой обработки. Документы размещают на официальном сайте компании или на информационном стенде в офисе, если у организации нет официального сайта. Если же оператор собирает сведения с использованием информационно-телекоммуникационных сетей, то ему необходимо опубликовать политику и сведения о реализации требований по защите персданных в открытом доступе этой сети.
Состав личных данных
Законодательные документы не содержат строгого перечисления личных данных. Обычно работник предоставляет в распоряжение работодателя следующие сведения:
- об образовании;
- трудовом и общем стаже;
- составе семьи;
- воинском учете;
- заработной плате;
- социальных льготах;
- занимаемой должности;
- наличии судимостей;
- адресе по месту регистрации и проживания;
- контактных телефонах;
- местах работы или учебы членов семьи;
- условиях трудового договора;
- наличии декларируемых материальных ценностей;
- материалах по повышению квалификации, переподготовке, аттестации и служебных расследованиях и пр.
Как работодателю получить разрешение на работу с личными сведениями сотрудника
Начинать работу с информацией следует с получения согласия. Необходимость этого шага продиктована п. 1 ст. 6 закона № 152-ФЗ, который гласит:
«согласие… дано субъектом… или его представителем в любой, позволяющей подтвердить факт его получения, форме, если иное не установлено Федеральным законом».
Работодателям рекомендуют разработать образец заявления на обработку персональных данных с помощью нового онлайн-сервиса Роскомнадзора, в который включить:
- ФИО и паспортные данные сотрудника или его представителя;
- полное наименование и адрес работодателя;
- цель обработки информации;
- перечень запрашиваемых данных;
- срок действия разрешения;
- способы отзыва согласия;
- подпись работника.
Отдельно работник соглашается на обработку персданных, если разрешает в дальнейшем распространять информацию (ч. 1 ст. 10.1 152-ФЗ). Гражданин сам определяет перечень сведений, который разрешает распространять. Физлицо вправе установить (ч. 9 ст. 10.1 152-ФЗ):
- запрет передачи (кроме распространения доступа) сведений неограниченному кругу лиц;
- запрет обработки (кроме получения доступа) неограниченным кругом лиц;
- условия такой обработки.
Отказывать в установлении таких запретов и условий нельзя.
Для чего формируется согласие при трудоустройстве
Фактически работодатель получает доступ к личным данным сотрудника в момент ознакомления с резюме или анкетой, т. е. до официального трудоустройства. И уже с этого момента должностные лица отвечают по ст. 90 ТК РФ за некорректное обращение с полученной информацией.
Чтобы защитить интересы обеих сторон, работник предоставляет разрешение на работу с личной информацией еще до заключения трудового договора.
Если сотрудник отказывается подписывать согласие
В соответствии с п. 1 ст. 9 закона № 152-ФЗ физлицо предоставляет данные о себе добровольно. Таким образом, работник вправе не давать согласие, если использование сведений о нем не связано напрямую с выполнением должностных обязанностей. Иными словами, отказ подписать разрешение не препятствует трудовым отношениям. Тем более оно не требуется, когда речь идет о передаче сведений в Пенсионный фонд РФ, налоговую службу и другие установленные законодательством органы. Но на практике отказ иногда влечет за собой невозможность осуществлять трудовую деятельность — например, когда у работодателя установлен пропускной режим. Это и надо объяснить сотруднику, убедив, что для иных целей сведения о нем использовать никто не собирается.
Как правильно организовать работу с персональными данными в организации, видео
Согласие на распространение персональных данных
Скачайте этот пример согласия в Word и вставьте в него свои данные. Справа сбоку вы найдете статьи про оформление и работу с согласиями на обработку персональных данных
Выбери свой вариант доступа
Получать бесплатные
статьи на e-mail
Подписаться на
журнал на почте
Подписаться на
журнал сейчас
Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для
этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:
- его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
- все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение
действия комплексной подписки.
А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои
рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей
помощью!
Используем Cookies на нашем веб-сайте для того, чтобы обеспечить пользователям максимальное удобство. Подробнее
А.И. Петрову
от Ефремова Дмитрия Валентиновича,
работающего в должности
регионального менеджера,
зарегистрированного по адресу:
117393, г. Москва, ул. Новаторов, д. 36, к. 1, кв. 10,
паспорт серии 46 08 № 102525
выдан Отделением по району Обручевский
УФМС России по г. Москве 14.04.2008
тел. 8-916-175-15-25
e-mail: efremovdv@mail.ru
СОГЛАСИЕ
Я, Ефремов Дмитрий Валентинович, в соответствии со ст. 10.1 Федерального закона № 152-ФЗ от 27 июля 2006 г. ООО «Бета», расположенному по адресу: 117525, г. Москва, ул. Сумская, д. 8, ИНН 7736046991, ОГРН 1236547890123, на распространение моих персональных данных, а именно:
Согласие на распространение указанных выше персональных данных дается в целях размещения на корпоративном сайте работодателя (ООО «Бета») – .
Настоящее согласие дано мной добровольно и действует со дня его подписания и до дня отзыва его в письменной форме.
Оставляю за собой право в любое время потребовать прекратить распространение моих персональных данных путем направления соответствующего требования работодателю. В случае получения требования работодатель обязан немедленно прекратить распространение моих персональных данных, а также сообщить перечень третьих лиц, которым они были переданы.
________________ Д.В. Ефремов
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Содержание
-
Что указывать в согласии на распространение персональных данных?
- В документе обязательно должны быть:
-
Право сотрудника установить запрет
- Прекращение работы с персональными данными сотрудника
- СКАЧАТЬ ОБРАЗЕЦ СОГЛАСИЯ НА РАСПРОСТРАНЕНИЕ
Обратите внимание: согласие на распространение персональных данных — отдельный документ, его нельзя оформлять в совокупности с другими документами.
Что указывать в согласии на распространение персональных данных?
Содержание согласия определяется приказом Роскомнадзора от 24.02.2021 № 18.
В документе обязательно должны быть:
- Фамилия, имя, отчество субъекта персональных данных.
- Контактная информация субъекта персональных данных: номер телефона, адрес электронной или обычной почты.
- Сведения об организации — операторе персональных данных, которому человек предоставляет согласие.
Если оператором выступает юридическое лицо, субъект должен указать наименование организации, адрес из ЕГРЮЛ, ИНН и госномер, если он его знает. Если ИП — ФИО, ИНН и госномер, если знает.
4. Сведения об информационных ресурсах оператора, с помощью которых он распространяет персональные данные:
- наименование протокола — http/https, сервера, домена, имя каталога на сервере и имя файла каталога.
Если вы размещаете сведения на нескольких сайтах, укажите полные адреса всех. Человек должен знать, где будет опубликована информация о нем.
5. Цель или цели обработки и распространения персональных данных.
6. Категории и перечень ПД, которые можно распространять. Приказ № 18 предлагает объемный перечень, куда входят ФИО субъекта персональных данных, дата рождения, образование, профессия, доходы и пр. В этот раздел может быть отнесена биометрия, а также все, что ст. 10 и 11 Закона № 152-ФЗ относят к специальной категории ПД: национальность, расовая принадлежность, политические взгляды, религиозные и философские убеждения и пр.
Обратите внимание: сотрудник не обязан давать согласие на распространение всех сведений из списка. Он может установить запрет в отношении любого вида информации.
7. Категории и перечень персональных данных, которые субъект запрещает распространять.
Здесь же указываются условия запрета. Исключения — информация, которая необходима в рамках действующего законодательства, исполнения требований судебными органами и пр. Здесь никто ограничивать работу с персональными данными не может.
8. Условия передачи оператором данных:
- только по внутренним сетям, доступ к которым имеет ограниченный круг сотрудников;
- по информационно-телекоммуникационным сетям;
- полный запрет на передачу сведений куда-либо.
9. Срок действия согласия, который устанавливает сам субъект.
Молчание или бездействие сотрудника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных им для распространения.
Право сотрудника установить запрет
В согласии на обработку персональных данных, разрешенных сотрудником для распространения, он вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных работодателем неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.
Отказ работодателя в установлении работником персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.
Прекращение работы с персональными данными сотрудника
Передача (распространение, предоставление, доступ) персональных данных, разрешенных сотрудником для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) сотрудника, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только раболотодателем, которому оно направлено.
Образец Согласия на обработку персональных данных, разрешенных для распространения.
СКАЧАТЬ ОБРАЗЕЦ СОГЛАСИЯ НА РАСПРОСТРАНЕНИЕ
Бесплатно найти и скачать образцы этого документа в КонсультантПлюс
Скачать бланк согласия на обработку персональных данных при приеме на работу в 2022 году
Скачать бланк согласия на обработку персональных данных в Ворде, если субъект разрешил их распространение
Скачать бланк согласия на обработку персональных данных для госслужащих
Скачать актуальный образец согласия на обработку персональных данных при приеме на работу
Скачать образец заполнения согласия на обработку персональных данных для школы в 2022 году
Скачать образец формы согласия на обработку персональных данных 2022 года, разрешенных для распространения из КонсультантПлюс
Невозможно жить и не рассказывать о себе. А сообщая о себе, человек становится субъектом персональных данных. И прежде чем обработать такую информацию, организация обязана получить письменное разрешение от владельца.
Что относится к персональным данным
Индивидуальные сведения о людях называются персональными данными. Они охраняются специальным Федеральным законом № 152-ФЗ от 27.07.2006. Говорится о них и в Конституции Российской Федерации. Актуальность повысилась с развитием информационных систем, баз данных, интернета в целом. Одна из целей закона о персданных — защитить людей от незаконных посягательств, предотвратить преступления в этой сфере.
Наличие закона не свело к нулю все проблемы, в частности, из-за человеческой невнимательности и попустительства, мы часто подписываем согласие на использование информации, не вникая в нюансы. Например, можем пропустить оговорку, которая позволяет компании разместить сведения на официальном сайте, а банку — передать информацию коллекторам.
Перечень того, что подпадает под определение персданных, таков:
- паспорт (данные о самом документе);
- дата и место рождения;
- данные об имени и фамилии;
- информация об отчестве (при наличии);
- телефонные номера;
- место жительства;
- СНИЛС и ИНН;
- размер зарплаты;
- биометрические (вес, цвет волос, ДНК и т.д.).
Сюда же относится и специфическая информация, которая не всегда встречается в анкете психолога или в расширенном опроснике при трудоустройстве, но характеризует человека:
- верит ли он в бога, и если да, то в какого (религиозные);
- имеется ли собственная система философских убеждений и в чем ее особенность;
- национальность.
Кто относится к операторам персданных
В законе говорится, что оператором становится любая организация (государственная, муниципальная, ООО, ОАО, ИП — не важно) и даже физическое лицо, если самостоятельно или при помощи третьего лица собирает и обрабатывает личные сведения.
Откуда берут информацию
Она хранится на бумажных и электронных носителях. Сведения доступны на сайте организации, на визитках, в документах бухгалтерии и отдела кадров, в личных документах человека, в заключенных с ним договорах. Совершая покупку или регистрируясь на каком-то форуме (не анонимном), вы автоматически даете согласие на обработку.
Что делают с персданными
В законе указано следующее:
- использовать их для оформления бумаг, передачи другим лицам для исполнения ими своих обязанностей;
- вносить в базы данных, в приказы и соглашения;
- использовать при начислении и уплате налогов налоговым агентом, при отчислении в Пенсионный фонд.
Это не полный перечень. Под обработкой понимается любое действие с персданными. Но что бы ни делали операторы, владелец сведений обязан заранее одобрить работу с ними. Для этого подписывается форма согласия на обработку персональных данных, затем оператор уведомляет Роскомнадзор, что намерен работать с персданными, если правоотношения не подпадают под исключения, перечисленные в ч. 2 ст. 22 152-ФЗ.
Обязательно ли получать согласие на обработку
Да, в противном случае обработка неправомерна. С 2021 года вступили в силу поправки в КоАП РФ, и административная ответственность ужесточилась. Штрафы выросли (ст. 13.11 КоАП РФ):
- для граждан — от 2000 до 6000 рублей;
- на должностных лиц — от 10 000 до 20 000 рублей;
- на юридических лиц — от 60 000 до 100 000 рублей.
За повторное нарушение взыскание существенно увеличивается. Чтобы избежать ответственности, строго контролируйте, что физлицо подписало соглашение.
Организация должна не только получить разрешение, но и уведомить Роскомнадзор о том, что она обрабатывает персданные. Требование прописано в статье 22 ФЗ-152. Там же указаны и исключения, среди которых:
- работодатели, которые используют персданные для внутреннего использования;
- лица, обрабатывающие сведения с целью обеспечения безопасности на транспорте.
В 2021 году появилось понятие персональных данных, разрешенных субъектом для распространения (519-ФЗ от 30.12.2020). К ним относится информация, для доступа неограниченному кругу лиц к которой необходимо предоставить отдельное согласие. Оператор обязан обеспечить такому субъекту возможность определить перечень сведений для распространения по каждой категории, указанной в соглашении на обработку. Если субъект бездействует или не отвечает на запрос оператора, это не является согласием на использование персданных, разрешенных для распространения.
Согласие на обработку данных, разрешенных для распространения оформляют отдельно от остальных разрешений (ч. 1 ст. 10.1 152-ФЗ). Требования к его заполнению строго регулируются (ч. 9 ст. 9, ч. 1 ст. 23 152-ФЗ, п. 1 Положения из ПП РФ № 228 от 16.03.2009). Порядок утвержден приказом Роскомнадзора № 18 от 24.02.2021.
В форму, разрешающую распространение персданных, включают:
- ФИО субъекта персданных;
- сведения оп операторе;
- цель сбора информации;
- категории и перечень сведений;
- срок действия документа.
Гражданин вправе установить запрет передачи и обработки, условия обработки (кроме предоставления и получения доступа) сведений неограниченному кругу лиц (ч. 9 ст. 10.1 152-ФЗ). Отказывать в установлении запретов и условий гражданам нельзя.
С 1 сентября 2022 года 152-ФЗ снова меняют. Теперь операторы обязаны подавать в Роскомнадзор уведомления об обработке личной информации (266-ФЗ от 14.07.2022). Уведомлять РКН надо в таких случаях:
- Когда персданные относятся к работникам.
- Когда персданные принадлежат контрагентам оператора, а он использует сведения для исполнения договоров или заключения новых соглашений с теми же гражданами. Информацию нельзя распространять и не передавать третьим лицам без согласия.
- Когда персданные требуются для оформления однократного пропуска.
Уведомление необходимо отправить еще до обработки личной информации. Операторы уведомляют Роскомнадзор в бумажной или электронной форме. Если работодатели-операторы получают сведения о субъекте персданных от третьих лиц, то необходимо перечислить полученную информацию работнику до начала обработки сведений.
Если информацию обрабатывают для защиты прав субъектов персданных, то уведомлять Роскомнадзор не требуется (п. 2 ст. 22 152-ФЗ). Это касается сведений, которые:
- включены в государственные информационные системы персданных, созданные для защиты безопасности государства и общественного порядка;
- обрабатываются без использования средств автоматизации;
- обрабатываются по закону о транспортной безопасности в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Операторы сообщают сведения по запросу РКН в течение 10 рабочих дней после получения такого требования. Кроме того, операторы начинают работать с Государственной информационной системой обнаружения, предупреждения и ликвидации последствий кибератак на информресурсы РФ (ГосСОПКА). В этой же системе сообщают об утечке личной информации.
Как правильно оформить согласие
Единственное неукоснительное правило: письменно. Унифицированные бланки отсутствуют, организации сами разрабатывают шаблоны. Общие правила, как заполнить согласие на обработку персональных данных, таковы:
- Подробно перечислите информацию, которую вы собираете с лица.
- Укажите, что планируете делать со сведениями. Пропишите ограничения. Примерная фраза для заявки: «Любая предоставленная информация обрабатывается и используется по усмотрению организации в тех пределах, что позволяет законодательство».
- Включите информацию об отзыве разрешения. Такие права закреплены законом. Укажите, требуется ли заполнять письменное заявление и куда его направить.
В конце документ подписывается и ставится дата.
ЛНА в компании, кто будет нести ответственность за соблюдение мер защиты персданных? кто будет иметь к ним доступ? Какими документами регламентировать?
Как писали выше, для штатного персонала обязательно должен быть локальный нормативный акт в котором вся информации о порядке работы, мерах защиты и т.д. прописаны. Персонал с ним ознакомлен до момента передачи работодателю своих данных.
можно скачать Образец_Согласие на обработку персональных данных 2022
Положение об обработке персональных данных работников – имеет определённый требования к разработке с учетом изменений 2021 и 2022 г. Оно не всегда будет универсальным, поэтому разрабатывается отдельно.
Помимо работников, компании свои персданные могут передавать и клиенты или посетители сайта. Для клиентов компании разрабатывают не положение, а политику обработки ПД –публикуют на сайте, доступную к ознакомлению, о чем обязательно оповещают посетителей страницы. (подп. 2 п. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Если ПД клиент передает нарочно в вашем офисе, то политику обработки персданных предоставляют к ознакомлению в печатном виде.
Помимо обработки, обязанность на работодателе лежит еще и по защите полученных персданных. (п. 7 ст. 86 ТК РФ).
Защита персональных данных в организации — это не только не допустить посторонних к месту хранения (в бумажном, цифровом или другом виде) персданных, но и запретить тем, кто доступ будет иметь по роду деятельности, ПД раскрывать и распространять.
Круг лиц, как правило, формируется из функционала работников:
- секретарь для покупки авиа /ж/д билетов, трансферов или заказа гостиницы;
- бухгалтер для формирования отчётности, перечисления ЗП;
- кадровик для оформления кадровых документов.
Запретить распространять чужие ПД кругу лиц необходимо письменно, подписав с ним соответствующее соглашение о неразглашении с указанием ответственности в случае нарушения.
Ответственный за персональный данные в организации
Внутренним приказом в каждой компании назначается 1, двоих и более недопустимо, за соблюдение всего процесса работы с ПД. (п. 1 ст. 22.1 ФЗ от 27.07.2006 № 152-ФЗ). Этот работник должен осуществлять контроль за организацией обработки персданных в компании и утвердить перечень (можно также приказом), кто в силу своих трудовых обязанностей будет иметь к ним доступ, (п. 13 Положения, утв. постановлением Правительства от 15.09.2008 № 687) как мы писали в примере выше. Доступность всех ПД также придется ограничить и от указанного круга лиц в том числе. Свободный доступ они должны иметь только к тем, какие им нужны для работы.
Образец _ Приказ о назначении ответственного за персональные данные
Помимо политик, положений и приказов, для контроля можно разрабатывать сопутствующие документы, такие как:
- регламенты и допуски;
- планы, частота и порядок проведения проверок;
- проверочные листы и т.д.
Распространение персональных данных в 2022
Если компания планирует передавать персональные данные и точно может указать кому именно, то предварительно необходимо получите согласие на такие действия, указав перечень этих 3-х лиц. Например, для оформления:
- ДМС;
- зарплатной карты;
пропуска; - передача компании, осуществлявшей аутсорсинг кадрового или бухгалтерского учета и т.д.
Чтобы оптимизировать документооборот наших клиентов, мы разработали бланк, совмещающий в себе Согласие работника на обработку и распространение персональных данных 2021 работника третьим лицам (банк, страховая, по договору аутсорсинга).
Скачать бланк на обработку персональных данных можно по ссылке Образец _ Согласие на обработку и предоставление персональных данных
Если компания собирается раскрыть данные для всех желающих, т.е. круг лиц неограничен и не может быть предварительно перечислен или зафиксирован (например, опубликовать где-либо), во избежание проблем и нарушений возьмите на это действие отдельное письменное согласие на распространение персональных данных работника. (ст. 88 ТК, ст. 10.1 ФЗ от 27.07.2006 № 152-ФЗ, приказ Роскомнадзора от 24.02.2021 № 18).
До 30 августа 2021 года не было требований к такому документу, но с 01 сентября 2021 года Роскомнадзор ввел их:
- ФИО;
- Номер мобильного, email, адрес для получения простых писем;
- Данные о компании или ИП из их выписок (полное название, юрадрес, ИНН, ОГРН);
- Ссылка на сайт, где данные будут опубликованы с указанием для чего это делается, и что именно из персданных субъект разрешает там опубликовать;
- Важно не забыть указать на сколько дано это согласие по времени.
Мы также готовы поделиться формой. Образец _ Согласие сотрудника на распространение его персональных данных неограниченному кругу лиц
Когда субъект решит, что больше он не согласен с распространение его персданных –попросите его написать об этом в заявлении.
Образец _ Отзыв согласия на распространение и передачу персональных данных работников в 2022 году
Если сомневаетесь, можно посоветоваться с Роскомнадзором по применяемым формам согласия на распространение персональных данных. Отправьте свой бланк им по ссылке: https://pd.rkn.gov.ru/soglasiya/maket/
Не хотите тратить время на согласование и брать наш, можно получить макет / шаблон согласия для распространения от самого Роскомнадзора по ссылке: https://pd.rkn.gov.ru/soglasiya/
Хранить персданные работодатель обязан в течение времени, указанном в статье 22.1 Федерального закона от 22.10.2004 № 125-ФЗ и перечне, утвержденном приказом Росархива от 20.12.2019 № 236.