Согласие на обработку персональных данных: оформляем правильно
Согласие на обработку персональных данных работника — это документ, который дает право на использование третьими лицами сведений из паспорта, адреса, даты рождения и даже фамилии, имени и отчества гражданина. Эту информацию охраняет законодательство.
Что такое персональные данные
Что является личной информацией граждан
Конкретные указания на то, какая информация о человеке является его индивидуальными и охраняемыми данными, в законодательстве отсутствуют. По сложившейся практике под ней обычно скрывается:
Обычно такие сведения человек сообщает о себе сам во многих государственных органах, медицинских и образовательных учреждениях, кредитных организациях и даже в коммерческих структурах (при трудоустройстве). Кроме вышеперечисленных сведений, которые являются общими, есть еще специальные личные данные, такие как национальность, вероисповедание, политические взгляды, состояние здоровья и прочая информация подобного рода.
В каких документах содержатся персональные данные
Существует целый ряд документов, которые по своей сути являются источниками и одновременно хранилищами личной информации. К ним, в частности, относятся:
Очевидно, что большинство этих документов в подлинниках или копиях хранят работодатели граждан. Они и все остальные лица, к которым попадает такая информация, являются операторами ПД. В законе указано, что такое согласие на обработку персональных данных, которое обязаны получить все операторы.
Специально для кадровиков эксперты КонсультантПлюс разработали подробный путеводитель по персданным сотрудников. Разобрали, что к ним относится, как их обрабатывать, какие документы нужно получить от работников и т. д. Все актуально на 2021 год. Используйте эти инструкции бесплатно.
Кто такие операторы ПД и что они делают
В статье 3 закона № 152-ФЗ сказано, что оператором ПД является лицо, которое организует и осуществляет обработку персональных данных. Все работодатели, как юрлица, так и ИП, являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус, практически не ограничен. Это любое лицо, которому человек сделал заявление и согласие на ОПД, то есть доверил личную информацию о себе оператору и разрешил ее использовать для определенных целей.
Отдельное внимание следует уделить понятию обработки личной информации. О ней везде говорят, но никто толком не знает, что это такое. Тогда как часть 3 все той же статьи 3 закона № 152-ФЗ регламентирует это понятие как любое действие (или их совокупность), совершаемое с личной информацией. Под действиями законодатели понимают:
Все операции проходят или в бумажном ручном режиме, или с использованием средств автоматизации, в том числе в режиме онлайн. На все эти действия оператор обязан получить от владельца одобрение: например, заполненный бланк согласия.
Деятельность работодателей в качестве операторов регулирует статья 86 Трудового кодекса РФ.
Требования к оформлению документов
Определимся с общими требованиями к оформлению бумаг, которые подтверждают одобрение гражданина на действия с его личными данными. Необходимо учитывать, что форма для организаций и учреждений немного отличается от того, как выглядит заявление о согласии на обработку персональных данных (его берет с каждого нового сотрудника работодатель).
Нормами статьи 87 ТК РФ установлено, что все организации самостоятельно определяют порядок хранения и использования сведений, полученных от работников. Аналогичный принцип применим и ко всем остальным операторам. Главное — не нарушать требования, установленные федеральными законами и кодексами. Прежде чем приступать к действиям с информацией, необходимо утвердить локальный акт по организации: «Положение о персональных данных». В этом документе должны содержаться все основные требования к правилам оформления документации. Положение утверждает руководитель с одобрения профсоюзного органа (при его наличии). В нем прописывают, как выглядит подписанное согласие на обработку персональных данных и сколько оно хранится.
Когда речь идет о работодателях, важно учесть, что по нормам п. 8 части 1 статьи 86 ТК РФ всех работников и их представителей следует ознакомить с утвержденным положением под подпись. Для этих целей даже заводят специальный журнал. Если положение в организации-операторе отсутствует, это является грубым нарушением, за которое нормами статьи 13.11 КоАП РФ предусмотрен штраф.
Как заполнить согласие на обработку персональных данных
Требования к письменному согласию, которое дает владелец личной информации, определены в части 1 статьи 9 закона № 152-ФЗ. Они изменились с 01.03.2021. Главное требование — конкретика, информативность и обязательное оформление в письменной форме. Также допускается электронная форма, если взаимодействие владельца и оператора происходит через интернет. В любом случае у оператора должна иметься возможность в любой момент подтвердить факт получения.
Вот так выглядит стандартная форма согласия, которую применяют в различных ситуациях:
И хотя в самом законе об утвержденной и регламентированной форме этого документа речи не идет, по нормам статьи 13.11 КоАП РФ наказание положено, если оператор начал обработку без письменного разрешения субъекта ПД. Его следует получить по законодательству РФ обязательно с соблюдением всех требований от владельца ПД. Разрешение оптом и «по умолчанию» больше не допускается ни в каких ситуациях.
По этой причине рекомендуется сразу оформить заявление о согласии на все манипуляции с ПД и больше не переживать по этому поводу. Универсальный бланк не предусмотрен: каждый оператор разрабатывает его самостоятельно. Для удобства рекомендуем воспользоваться образцами в конце статьи.
Этот образец — пример согласия на обработку персональных данных для работников коммерческой организации.
Произвольная форма заявления не исключает целого ряда требований, установленных в статье 9 закона № 152-ФЗ к его содержанию. В нем обязательно указываются:
Новое согласие на обработку персональных данных — 2021
Практически каждая организация так или иначе работает с персональными данными. В большинстве случаев на такую обработку требуется отдельное письменное согласие. Еще несколько лет назад, когда штрафы за нарушение законодательных норм о личной информации не были столь велики, многие игнорировали правила обработки персданных. Однако недавно прошла новая волна повышения штрафов за неправильную обработку личных данных, поэтому ошибка может стоить организации сотен тысяч рублей. Работникам также будет полезно знать, нужно ли на работе предоставлять согласие на обработку личной информации. В данной статье мы расскажем о требованиях к согласию на обработку персданных, рассмотрим последние изменения по данному вопросу и потенциальные штрафы. Также вы сможете скачать образцы согласия, которые разработали специалисты сайта «Время Бухгалтера».
Обработкой личных данных законодатель считает любые действия, которые вы проводите с ними. А персональные данные — это всевозможные сведения о гражданах.
Таким образом, даже если вы, например, всего лишь получаете паспортные реквизиты своих клиентов или создаете базу их телефонных номеров, вы обрабатываете личную информацию и признаетесь их оператором. Это значит, что вы обязаны под риском ответственности соблюдать требования, которые предъявляются к обработке личной информации. Так, вы должны определить цель обработки и строго ей следовать, при необходимости получать согласие на обработку и уведомлять о ней Роскомнадзор, а также принимать меры по защите информации.
По общему правилу обрабатывать персональные данные гражданина можно лишь с его согласия (п. 1 ч. 1 ст. 6 закона о персональных данных). Причем субъект данных имеет право в любой момент такое согласие отозвать (тогда продолжать обрабатывать данные можно лишь в строго установленных законом случаях). Согласие на действие с личными данными должно быть конкретным, информированным и сознательным. Обязанность доказать наличие такого согласия или обстоятельств, в силу которых это согласие не требуется, возлагается на оператора. Из данной нормы видно, что действует презумпция отсутствия согласия у гражданина, поэтому разрешение не должно быть устным.
Самыми распространенными ситуациями, когда потребуется согласие на обработку персданных, это сбор данных (заявок) клиентов и прием новых сотрудников на работу (это включает в себя даже этап рассмотрения резюме, ведь там содержатся персональные данные).
Не требуется согласие на обработку персональных данных физического лица в случаях, приведенных в пп. 2—11 ч. 1 ст. 6 закона о персональных данных. Так, согласие не потребуется, если обработка необходима:
1) для заключения договора по инициативе гражданина или договора, по которому он будет выгодоприобретателем или поручителем. Например, если физическое лицо арендует у вас помещение или квартиру;
2) для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является гражданин. Так, не требуется дополнительное согласие, если гражданин заказал доставку на дом, а его адрес необходимо уточнить;
3) для осуществления и выполнения функций, полномочий и обязанностей, которые возложены на вас законодательством. Например, если магазин уточняет у клиента адрес его электронной почты, чтобы направить ему электронный кассовый чек согласно закону № 54-ФЗ;
4) для осуществления прав и законных интересов либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина. Например, охранник может записывать данные посетителей бизнес-центра, не получая от них дополнительное письменное согласие.
Во всех остальных случаях согласие обязательно. Обработка персданных без согласия субъекта грозит внушительными штрафами, о которых мы расскажем ниже.
В марте текущего года вступил в силу Федеральный закон от 30.12.2020 № 519-ФЗ. Теперь на персданные, которые будут передаваться третьим лицам или открыто публиковаться для распространения (например, на сайте), нужно дополнительное отдельное согласие помимо основного разрешения на обработку. При этом из текста закона исключено понятие персональных данных, ставших общедоступными.
Уточняется, что для нового вида персданных будут действовать отдельные требования:
• одобрение на работу с новой категорией данных фиксируется в письменном виде исключительно отдельно от общего согласия;
• лицо, распространившее личную информацию, обязано доказать законность совершенных действий;
• безмолвие субъекта не считается одобрением на распространение;
• субъект персданных может потребовать закончить распространение когда угодно;
Также 27.03.2021 вступил в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который внес изменения в КоАП РФ в части штрафов за нарушения в работе с персданными. За обработку личных данных в незаконных случаях должностных лиц и ИП теперь штрафуют на сумму от 10 до 20 тыс. рублей, а компании — от 60 до 100 тыс. рублей. Наказание ждет также в том случае, если персданные обрабатывались в целях, не заявленных гражданину. До этого штраф был на 100 процентов меньше, а за нарушение могли всего лишь предупредить.
Приказом Роскомнадзора от 24.02.2021 № 18 утверждены обязательные требования к согласию на обработку персональных данных разрешенных для распространения. В согласии среди прочего должны указывать такие сведения:
— Ф.И.О. субъекта персданных, его контактную информацию;
— данные оператора, его информационные ресурсы;
— цель обработки, категории и перечень персданных;
— срок действия согласия.
Документ вступил в силу 1 сентября 2021 года и будет действовать до 1 сентября 2027 года.
С 1 июля заработал новый интернет-сервис для операторов персональных данных. Он поможет правильно подготовить шаблон формы согласия на обработку данных, которые лицо разрешило распространять. В нем учтены обязательные с 1 сентября требования.
Оператор заполнит необходимые поля в формате конструктора. Шаблон рассмотрит специалист Роскомнадзора и при необходимости даст рекомендации по доработке. Форму согласия оператор сможет использовать в своей деятельности.
Кроме того, вдвое увеличены штрафы за обработку персональных данных без письменного согласия гражданина, если оно обязательно. Должностные лица и ИП заплатят от 20 до 40 тыс. рублей, а компании — от 30 до 150 тыс. рублей.
Появился состав о повторном нарушении. Он предусматривает штраф:
— для должностных лиц — от 40 до 100 тыс. рублей;
— для ИП — от 100 до 300 тыс. рублей;
— для компаний — от 300 до 500 тыс. рублей.
По ссылке ниже вы можете скачать образец уже заполненного согласия. Учтите, что заполнение данного документа зависит от целей обработки данных и типа организации. В данном примере приведено согласие от работника по трудовому договору: образец заполнения согласия на обработку персональных данных — 2021
По ссылке ниже вы можете скачать пустой бланк согласия на обработку персданных. Вам необходимо будет самостоятельно заполнить пустые поля в соответствии с законом о персональных данных: бланк согласия на обработку персональных данных — 2021
Как мы уже упоминали, в 2021 году были существенно увеличены штрафы за обработку персданных без согласия субъекта. Ответственность за данное нарушение установлена ч. 2 и п. 2.1 ст. 13.11 КоАП РФ. ИП могут быть оштрафованы до 20 тыс. рублей за первое нарушение (до 40 тыс. рублей за повторное), а юридические лица — до 100 тыс. рублей за первое нарушение (до 300 тыс. рублей — за повторное). Оспорить такой штраф в суде очень сложно. Приведем лишь один недавний пример из судебной практики.
Прокуратура Республики Башкортостан провела проверку соблюдения ООО «Микрокредитная компания «МФЦ» законодательства о микрофинансовой деятельности, законодательства о персональных данных, в ходе которой было установлено, что компания требовала от клиентов заявление на предоставление потребительского займа, анкету клиента-физлица, согласие на обработку персональных данных. Однако, помимо информации о клиентах, компания просила также указать Ф.И.О., контактные номера и сведения о работе близких людей заемщиков.
Мировой судья признал ООО виновной в совершении административного правонарушения, предусмотренного ч. 2 ст. 13.11 КоАП РФ, и назначил компании штраф 15 тыс. рублей. ООО попыталось оспорить штраф в вышестоящем суде, но районный суд оставил штраф в силе. При этом судьи не приняли довод компании, что, собирая персональные данные третьих лиц заемщика, она осуществляет свои права и законные интересы взыскателя в рамках договора займа (Решение Баймакского районного суда Республики Башкортостан от 03.03.2021 по делу № 12-30/2021).
Тиу согласие на обработку персональных данных образец
Согласие на обработку персональных данных
СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
зарегистрированной(го) по адресу: ________________________ даю _____________________________________________
(ОГРН _____________, ИНН __________), зарегистрированному по адресу: ______________________ _________________________________________________, (далее – оператор) согласие на обработку своих персональных данных.
В лице представителя субъекта персональных данных (заполняется в случае получения согласия от представителя субъекта персональных данных)
(фамилия, имя, отчество полностью)
паспорт серия _____ № ______ выдан «__» ______ г. __________________________________________________________,
(кем выдан)
проживающий по адресу: __________________________________________________________________________________
действующий от имени субъекта персональных данных на основании
(реквизиты доверенности или иного документа, подтверждающего полномочия представителя)
Цель обработки персональных данных:
— обеспечение соблюдения требований законодательства Российской Федерации;
— оформление и регулирование трудовых отношений;
— отражение информации в кадровых документах;
— начисление заработной платы;
— исчисление и уплата налоговых платежей, предусмотренных законодательством Российской Федерации;
— представление законодательно установленной отчетности в отношении физических лиц в ИФНС и внебюджетные фонды;
— подача сведений в банк для оформления банковской карты и последующего перечисления на нее заработной платы;
— предоставление налоговых вычетов;
— обеспечение безопасных условий труда;
— исполнение обязательств, предусмотренных договорами _____________________________________________________
(указать иные цели (при наличии)
Перечень персональных данных, на обработку которых дается согласие:
— фамилия, имя, отчество;
— год, месяц, дата и место рождения;
— свидетельство о гражданстве (при необходимости);
— реквизиты документа, удостоверяющего личность;
— идентификационный номер налогоплательщика, дата постановки его на учет, реквизиты свидетельства постановки на учет в налоговом органе;
— номер свидетельства обязательного пенсионного страхования, дата регистрации в системе обязательного пенсионного страхования;
— номер полиса обязательного медицинского страхования;
— адрес фактического места проживания и регистрации по месту жительства и (или) по месту пребывания;
— почтовый и электронный адреса;
— сведения об образовании, профессии, специальности и квалификации, реквизиты документов об образовании;
— сведения о семейном положении и составе семьи;
— сведения об имущественном положении, доходах, задолженности;
— сведения о занимаемых ранее должностях и стаже работы, воинской обязанности, воинском учете;
(указать иные категории ПДн, в случае их обработки)
Наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу___________________________________________
(указать полное наименование юридического лица, фамилия, имя, отчество и адрес физического лица, осуществляющего обработку персональных данных по поручению оператора, которому будет поручена обработка)
Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных:
Обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (только те, которые применяются реально)
Обработка вышеуказанных персональных данных будет осуществляться путем ________________________________
___________________________________________________________________________ обработки персональных данных.
(указать способ обработки (смешанной, автоматизированной, неавтоматизированной)
Даю согласие на передачу (предоставление) оператором моих данных: ___________________________________________
(указать полное наименование юридического лица; фамилия, имя, отчество и адрес физического лица; передачу которым дается согласие)
(предоставления, допуска, предоставления)
Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
Настоящее согласие на обработку персональных данных действует с момента его представления оператору
до «__» _________20___ г. или на период действия ________________ и может быть отозвано мной в любое время путем подачи оператору заявления в простой письменной форме.
Персональные данные субъекта подлежат хранению в течение сроков, установленных законодательством Российской Федерации. Персональные данные уничтожаются: по достижению целей обработки персональных данных; при ликвидации или реорганизации оператора; на основании письменного обращения субъекта персональных данных с требованием о прекращении обработки его персональных данных (оператор прекратит обработку таких персональных данных в течение 3 (трех) рабочих дней, о чем будет направлено письменное уведомление субъекту персональных данных в течение 10 (десяти) рабочих дней.
____________________________________ /______________/ «__» ________ 20__ г.
Время публикации: 03.10.2009 03:00
Последнее изменение: 14.06.2017 11:11
© 2009-2021, Версия 2.15.18
Официальный интернет-ресурс Федеральной службы по надзору
в сфере связи, информационных технологий и массовых коммуникаций
Согласие работника на обработку персональных данных: бланк на 2021 год
Работа с персональными данными работника требует выполнения определенных требований. О том, что представляют собой персональные данные, об условиях работы с ними и оформлении согласия на их обработку — в нашем материале.
Состав персональных данных и виды их обработки
В число персональных данных входят любые сведения, прямо или косвенно относящиеся к определенному человеку (п. 1 ст. 3 Закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
Их обработкой считаются действия по (п. 3 ст. 3 Закона № 152-ФЗ):
Осуществляются такие действия в отношении персональной информации многими ее получателями: госорганами, юридическим и физическими лицами. И, конечно, необходимость в работе с персональными данными есть у каждого работодателя. Именно поэтому в ТК РФ имеется особая глава (гл. 14), посвященная персональным данным и устанавливающая:
Положения ТК РФ, касающиеся персональных данных, применяются с учетом правил, установленных Законом № 152-ФЗ.
Особенности работы с персональными данными
Работа с персональными данными предусматривает обязательность:
Носитель персональных данных имеет право на:
Письменное согласие от работника потребуется, если работодатель намерен получать информацию персонального характера от иных лиц (п. 3 ст. 86 ТК РФ) или передавать такую информацию иным лицам (ст. 88 ТК РФ).
В силу того, что работодатель регулярно сопровождает индивидуальными сведениями передаваемые в ИФНС и ПФР данные по налоговым начислениям, страховым взносам, страховому стажу, а также дает доступ к ним при начислении социальных выплат, оформлении зарплатных карт и проведении внешних проверок, ему необходимо наличие согласия работников (как и лиц, оформленных по договору ГПХ) на их обработку. Потребуется такое согласие также от претендентов на вакантные должности, если предоставленную ими информацию работодатель намерен проверять у иных лиц. Для них срок действия согласия будет ограничен временем, отведенным на принятие решения о приеме на работу.
Полезная информация от КонсультантПлюс
В трудовом договоре согласие на обработку персональных данных предусматривается, только если он в соответствии со ст. 309.2 ТК РФ заключается по типовой форме, утвержденной Постановлением Правительства от 27.08.2016 № 858. Для этого в типовую форму включен отдельный пункт. В отсутствие у работодателя – субъекта малого предпринимательства, который отнесен к микропредприятиям, локальных нормативных актов, определяющих порядок хранения и использования персональных данных работников, этот пункт не может быть исключен из трудового договора (ст. 309.2 ТК РФ, Письмо Минтруда России от 30.06.2017 № 14-1/В-591). Читать далее…
Форма согласия на обработку персональных данных
Законодательно утвержденной формы у согласия на обработку персональных данных нет. Допустимым является его оформление не только на бумаге, но и в виде электронного документа, подписанного электронной подписью (п. 4 ст. 9 Закона № 152-ФЗ), а также подача через представителя (п. 1 ст. 9 Закона № 152-ФЗ).
Законодательно утвержден список сведений, которые должны присутствовать в согласии на обработку (п. 4 ст. 9 Закона № 152-ФЗ):
Отсутствие утвержденной формы дает возможность каждому из работодателей разработать бланк согласия на обработку персональных данных самостоятельно, утвердив его для применения внутренним документом.
С сентября 2021 года — новые требования к согласию на обработку персональных данных
С сентября 2021 года действуют скорректированные правила, касающиеся заполнения согласия на обработку персональных данных. Они будут работать до 1 сентября 2027 года.
С 1 марта 2021 года начали действовать изменения, внесенные в Закон от 27.07.2006 г. № 152-ФЗ. Данные корректировки коснулись вопроса предоставления доступа к информации субъекта через согласие на ее обработку. Нововведения были приняты для решения проблемы бесконтрольного использования персональных сведений граждан третьими лицами.
В обновлениях указывалось, что согласие на обработку персональных данных, которые разрешены для распространения, нужно оформлять отдельно. Если владелец данных молчит или бездействует, то это нельзя считать, как его согласие на обработку информации.
В согласии может быть установлен запрет на:
По требованию владельца данных их распространение должно быть сразу же приостановлено. Этот момент касается и ситуации, когда изначально субъект давал свое согласие.
В п. 9 ст. 9 Закона № 152-ФЗ указывается, что требования к информации, включаемой в согласие на обработку персональных данных, определяет Роскомнадзор. Данные требования он указал в Приказе от 24.02.2021 г. № 18 — документ вступил в законную силу с 1 сентября 2021 года.
Какие требования предъявляются к согласию на обработку персональных данных
Имеется конкретный список обязательных данных владельца персональной информации, которые должны быть в согласии:
Если владелец персональных данных захочет, то можно заполнить и такую информацию:
Бланк согласия на обработку персональных данных
Роскомнадзор предоставил для использования специальный конструктор, с помощью которого можно сформировать шаблон согласия. Данный документ только рекомендован, однако он соответствует предъявляемым к нему требованиям и учитывает особенности конкретного оператора.
Для создания шаблона нужно заполнить необходимые графы, после чего он рассматривается экспертами Роскомнадзора. Если необходимо, оператору выдаются рекомендации, как доработать документ. Результаты проведенной проверки пересылаются на адрес электронной почты, который указывается в форме.
После этого оператор может применять проверенную форму документа.
В шаблоне учитываются все обязательные данные, которые нужно отражать в согласии на основании Приказа от 24.02.2021 г. № 18.
Кроме того, в шаблоне указываются и такие персональные данные:
Внимание! С 27 марта 2021 года значительно повысились штрафные санкции за нарушения при работе с персональными данными (Закон от 24.02.2021 г. № 19-ФЗ).