- Что относится к персональным данным
- Кто относится к операторам персданных
- Откуда берут информацию
- Что делают с персданными
- Обязательно ли получать согласие на обработку
- Как правильно оформить согласие
- Форма согласия
- Когда чаще всего требуется согласие
- Кто имеет право обрабатывать сведения о лице
- Когда требуется?
- Что входит в «персональные данные»?
- Для чего формируется согласие на обработку при приеме на работу?
- Что делать, если сотрудник отказывается подписывать согласие?
- Бланк и образец 2022 года
- Ответственность за разглашение
- Заполнение Согласия для совершеннолетнего заявителя
Согласие на обработку персональных данных получают, если нужно собрать, проанализировать, хранить и использовать информацию о гражданине. С 01.09.2022 правила работы с персданными меняются.
Невозможно жить и не рассказывать о себе. А сообщая о себе, человек становится субъектом персональных данных. И прежде чем обработать такую информацию, организация обязана получить письменное разрешение от владельца.
Что относится к персональным данным
Индивидуальные сведения о людях называются персональными данными. Они охраняются специальным Федеральным законом № 152-ФЗ от 27.07.2006. Говорится о них и в Конституции Российской Федерации.
Актуальность повысилась с развитием информационных систем, баз данных, интернета в целом. Одна из целей закона о персданных — защитить людей от незаконных посягательств, предотвратить преступления в этой сфере.
Наличие закона не свело к нулю все проблемы, в частности, из-за человеческой невнимательности и попустительства, мы часто подписываем согласие на использование информации, не вникая в нюансы. Например, можем пропустить оговорку, которая позволяет компании разместить сведения на официальном сайте, а банку — передать информацию коллекторам.
Перечень того, что подпадает под определение персданных, таков:
- паспорт (данные о самом документе);
- дата и место рождения;
- данные об имени и фамилии;
- информация об отчестве (при наличии);
- телефонные номера;
- место жительства;
- СНИЛС и ИНН;
- размер зарплаты;
- биометрические (вес, цвет волос, ДНК и т.д.).
Сюда же относится и специфическая информация, которая не всегда встречается в анкете психолога или в расширенном опроснике при трудоустройстве, но характеризует человека:
- верит ли он в бога, и если да, то в какого (религиозные);
- имеется ли собственная система философских убеждений и в чем ее особенность;
- национальность.
Кто относится к операторам персданных
В законе говорится, что оператором становится любая организация (государственная, муниципальная, ООО, ОАО, ИП — не важно) и даже физическое лицо, если самостоятельно или при помощи третьего лица собирает и обрабатывает личные сведения.
Откуда берут информацию
Она хранится на бумажных и электронных носителях. Сведения доступны на сайте организации, на визитках, в документах бухгалтерии и отдела кадров, в личных документах человека, в заключенных с ним договорах. Совершая покупку или регистрируясь на каком-то форуме (не анонимном), вы автоматически даете согласие на обработку.
Что делают с персданными
В законе указано следующее:
- использовать их для оформления бумаг, передачи другим лицам для исполнения ими своих обязанностей;
- вносить в базы данных, в приказы и соглашения;
- использовать при начислении и уплате налогов налоговым агентом, при отчислении в Пенсионный фонд.
Это не полный перечень. Под обработкой понимается любое действие с персданными. Но что бы ни делали операторы, владелец сведений обязан заранее одобрить работу с ними.
Для этого подписывается форма согласия на обработку персональных данных, затем оператор уведомляет Роскомнадзор, что намерен работать с персданными, если правоотношения не подпадают под исключения, перечисленные в ч. 2 ст. 22 152-ФЗ.
Обязательно ли получать согласие на обработку
Да, в противном случае обработка неправомерна. С 2021 года вступили в силу поправки в КоАП РФ, и административная ответственность ужесточилась. Штрафы выросли (ст. 13.11 КоАП РФ):
- для граждан — от 2000 до 6000 рублей;
- на должностных лиц — от 10 000 до 20 000 рублей;
- на юридических лиц — от 60 000 до 100 000 рублей.
За повторное нарушение взыскание существенно увеличивается. Чтобы избежать ответственности, строго контролируйте, что физлицо подписало соглашение.
Организация должна не только получить разрешение, но и уведомить Роскомнадзор о том, что она обрабатывает персданные. Требование прописано в статье 22 ФЗ-152. Там же указаны и исключения, среди которых:
- работодатели, которые используют персданные для внутреннего использования;
- лица, обрабатывающие сведения с целью обеспечения безопасности на транспорте.
В 2021 году появилось понятие персональных данных, разрешенных субъектом для распространения (519-ФЗ от 30.12.2020). К ним относится информация, для доступа неограниченному кругу лиц к которой необходимо предоставить отдельное согласие. Оператор обязан обеспечить такому субъекту возможность определить перечень сведений для распространения по каждой категории, указанной в соглашении на обработку.
Если субъект бездействует или не отвечает на запрос оператора, это не является согласием на использование персданных, разрешенных для распространения.
Согласие на обработку данных, разрешенных для распространения оформляют отдельно от остальных разрешений (ч. 1 ст. 10.1 152-ФЗ). Требования к его заполнению строго регулируются (ч. 9 ст. 9, ч. 1 ст. 23 152-ФЗ, п. 1 Положения из ПП РФ № 228 от 16.03.2009). Порядок утвержден приказом Роскомнадзора № 18 от 24.02.2021.
В форму, разрешающую распространение персданных, включают:
- ФИО субъекта персданных;
- сведения оп операторе;
- цель сбора информации;
- категории и перечень сведений;
- срок действия документа.
Гражданин вправе установить запрет передачи и обработки, условия обработки (кроме предоставления и получения доступа) сведений неограниченному кругу лиц (ч. 9 ст. 10.1 152-ФЗ). Отказывать в установлении запретов и условий гражданам нельзя.
С 1 сентября 2022 года 152-ФЗ снова меняют. Теперь операторы обязаны подавать в Роскомнадзор уведомления об обработке личной информации (266-ФЗ от 14.07.2022). Уведомлять РКН надо в таких случаях:
- Когда персданные относятся к работникам.
- Когда персданные принадлежат контрагентам оператора, а он использует сведения для исполнения договоров или заключения новых соглашений с теми же гражданами. Информацию нельзя распространять и не передавать третьим лицам без согласия.
- Когда персданные требуются для оформления однократного пропуска.
Уведомление необходимо отправить еще до обработки личной информации. Операторы уведомляют Роскомнадзор в бумажной или электронной форме. Если работодатели-операторы получают сведения о субъекте персданных от третьих лиц, то необходимо перечислить полученную информацию работнику до начала обработки сведений.
Если информацию обрабатывают для защиты прав субъектов персданных, то уведомлять Роскомнадзор не требуется (п. 2 ст. 22 152-ФЗ). Это касается сведений, которые:
- включены в государственные информационные системы персданных, созданные для защиты безопасности государства и общественного порядка;
- обрабатываются без использования средств автоматизации;
- обрабатываются по закону о транспортной безопасности в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Операторы сообщают сведения по запросу РКН в течение 10 рабочих дней после получения такого требования. Кроме того, операторы начинают работать с Государственной информационной системой обнаружения, предупреждения и ликвидации последствий кибератак на информресурсы РФ (ГосСОПКА). В этой же системе сообщают об утечке личной информации.
Как правильно оформить согласие
Согласие на обработку персональных данных
К персональным данным относится личная информация, касающаяся какого-либо человека. Сюда относятся не только ФИО и паспортные данные, это могут быть черты характера, место проживания, дата рождения, личные характеристики, информация, взятая из трудовой книжки или других документов. Казалось бы, зачастую такие сведения являются общедоступными.
Однако нужно понимать, их использование разрешено лишь в том случае, если физическое лицо предоставит на это разрешение.
Условно личная информация о человеке делится на три группы:
- Общедоступная. Такая информация может содержать дату рождения, ФИО, гражданство и пол физического лица.
- Биометрическая. Здесь указываются физиологические и внешние параметры и особенности.
- Специальная. Данные о месте работы, увлечениях, религии, здоровье, законопослушности.
Если кто-то будет использовать данные последних двух групп, не имея на это согласия их владельца, это считается нарушением закона. Естественно, за такие действия придется отвечать перед законом. Однако в современном мире, когда сохранности личных данных уделяется большое внимание, без разрешения нельзя использовать даже общедоступную информацию, относящуюся к первой группе.
Файлы для скачивания:
Форма согласия
Чтобы дать свое согласие на использование личной информации в каких-либо определенных целях, достаточно заполнить специальный бланк. Конечно, согласие можно написать в письменном виде в произвольной форме. Однако более удобным будет использование шаблона.
Заполнять его можно не только от руки, но и на компьютере. Если согласие заключается внутри организации, здесь используется специальный бланк. При этом в него вносится не только информация о сотруднике, но и название компании, работником которой он является.
Рекомендуется внимательно подойти к процедуре составления разрешения. Здесь владелец данных имеет возможность отметить, какую именно информацию можно использовать. Также указывает, что именно он разрешает делать с этой информацией.
Хотя законом предусмотрен определенный срок действия этого документа и возможность в любой момент отозвать его, это также рекомендуется указать в документе. Кроме этого, физическое лицо должно указать, что добровольно дает разрешение, без какого-либо принуждения. Свои слова человек подтверждает подписью.
Когда чаще всего требуется согласие
Учебные, медицинские, государственные и другие учреждения достаточно часто просят личную информацию с разрешением на ее обработку. Наиболее часто она запрашивается:
- при трудоустройстве;
- при оформлении ребенка в школьное или дошкольное учреждение;
- при составлении договора финансовой или страховой организацией.
Разрешение использовать информацию обязан получить каждый оператор. Но закон предусматривает исключения при определенных обстоятельствах:
- При сборе информации федеральными службами;
- Для оказания государственных услуг;
- Для судебных разбирательств;
- Для защиты прав гражданина, когда нет возможности получить его согласия;
- Для защиты прав третьих лиц;
- Журналистам разрешено использовать некоторые данные без согласия гражданина;
- Если на законном основании открытые данные стали доступны, их также можно использовать без разрешения.
Во многих других ситуациях разрешение − необходимое условие для использования информации. При этом каждый гражданин, подтверждая такой документ, должен иметь представление о том, в каких целях будет использоваться информация. Например, если после покупки магазин просит вашего разрешения, чтобы оповещать об акциях, это четко должно быть сформулировано.
В некоторых случаях брать персональные данные у граждан обязывает закон. К примеру, устраиваясь на работу, сотруднику придется указать персональные данные. Ведь трудовой договор обязывает компанию знать, где прописан сотрудник, какое имеет образование, как его зовут.
Хотя согласия здесь не нужно, ведь компания не собирается использовать эти данные. Однако в том случае, если подразумевается перевод заработной платы на банковскую карточку, компании придется предоставить ваши данные финансовой организации. Естественно, для этого понадобится ваше разрешение.
Читайте также: Согласие на обработку персональных данных несовершеннолетнего
Кто имеет право обрабатывать сведения о лице
Человек или организация, занимающаяся сбором и обработкой личной информации, называется оператором. К таким лицам выдвигаются определенные требования:
- Оператор должен позаботиться о том, чтобы получаемые данные были в полной сохранности;
- Контроль над соблюдением закона о персональных данных между работником и компанией;
- Следить за правильностью предоставления разрешения и отмены;
- Использовать полученные данные только по закону;
- Категорически запрещается без разрешения копировать информацию на любые носители, делать ее видео и фото;
- При занесении информации в компьютер оператор должен защитить ее от утечки.
Когда информация обрабатывается сотрудником компании, то правила его работы прописаны в должностных инструкциях. Безусловно, компания требует соблюдения конфиденциальности получаемой информации. При этом оператор должен любым удобным способом публично ознакомить всех сотрудников компании с правилами предоставления и обработки личных данных.
Когда требуется?
Соглашение на обработку персональных данных требуется при трудоустройстве на работу или может потребоваться:
- при обращении в банк или страховое агентство;
- при посещении государственных и муниципальных заведений;
- при устройстве ребенка в школу или детский сад;
- при посещении медицинских учреждений и т.д.
Что входит в «персональные данные»?
В ФЗ-152 дано четкое определение, что такое персональные данные и какая информация относится к ним. Согласно этому законодательному акту к ним можно отнести:
- ФИО человека;
- паспортные данные и информацию из других документов человека;
- дата и место его рождения;
- характеристики личности (вероисповедание, состояние здоровья, наличие или отсутствие судимостей и др.).
Обычно, их принято условно разделять на три группы:
- Общедоступные. Установочные данные человека, место и дата его рождения, а также гражданином какой страны он является.
- Биометрические. Физиологические особенности организма человека, например, наличие у него группы инвалидности и его внешние биологические параметры
- Специальные. Включают в себя принадлежность человека к определенной национальности, его вероисповедание, здоровье. Сюда же в какой-то мере относится место его трудоустройство, а также привычки и судимости.
При этом согласие на обработку только, если собираются данные для хранения и использования из второй и третьей группы.
Для чего формируется согласие на обработку при приеме на работу?
После принятия и вступления в силу Федерального закона № 152 «О персональных данных» с 30 января 2007 года любое использование личной информации происходит только с согласия ее владельца. При устройстве на работу в обязательном порядке соискатель предоставляет пакет документов, таких как паспорт, СНИЛС, ИНН, они содержат общедоступные сведения, согласие брать в этом случае необязательно.
А вот при предоставлении таких документов, как справка о состояние здоровья, или наличия (отсутствия) судимости требует оформление бланка данного согласия в обязательном порядке. Поэтому до заключения трудового договора соискатель должен составить согласие в письменной форме, так как, попадая к специалисту отдела кадров, все данные становятся конфиденциальными (ст. 14 ТК РФ).
На это указывает пункт 8 статьи 65 Трудового кодекса РФ.
В бланке согласия на обработку персональных данных должно быть подробно написано для каких целей собирается информация о соискателе при устройстве на работу.
Согласно законодательству, при передаче работодателю они могут использоваться строго для служебных целей.
Что делать, если сотрудник отказывается подписывать согласие?
Иногда встречаются ситуации, когда при приеме на работу некоторые люди отказываются подписывать соответствующие документы из-за своих личных убеждений. В большинстве своем, они вызваны опасениями, связанными с возможным использованием персональных данных в целях, которые могут нанести вред их владельцу. Эти опасения связаны в основном с незнанием законов, которые, наоборот, призваны защитить его персональные данные.
Закон в этом случае гласит о том, что предприятие не имеет права трудоустроить такого человека, так как тем самым оно нарушает закон, и может быть привлечено к ответственности. Получается, что избежать этой процедуры не удастся, так как, согласно делопроизводству, на предприятии должны храниться ксерокопию документа, удостоверяющего личность, оригинал трудовой книжки, копия диплома, и другие, в зависимости от профессии. Все это персональные данные, согласие на обработку которых получено не было.
Единственный случай, когда можно применять обработку персональных данных без согласия их владельца, только в том случае, когда нужно реализовать новые цели по условиям договора, заключенного ранее, и это действует только с принятыми в штат сотрудниками.
В любой момент человек давший согласие на обработку персональных данных может написать заявление об отзывы написанного ранее документа, однако, никакого реального эффекта данная мера не имеет, так как человек получившие на это право может им пользоваться в полной мере.
Бланк и образец 2022 года
Согласие пишется в произвольной или по форме установленной на предприятии. Указываются обязательные данные:
- наименование организации, которая предоставляет вакансию;
- дата и место составления документа;
- установочные данные работника, сведения из паспорта, адрес проживания.
Основная часть содержит следующую информацию:
- какие персональные данные будут использованы;
- для каких целей они берутся;
- срок действия и возможность отзыва (правда, это итак гарантированно законодательством).
В согласии обязательно нужно поставить отметку о том, что разрешение пишется в добровольном порядке и без принуждения.
Ответственность за разглашение
Федеральный закон не предусматривает единых требований по хранению персональных данных, однако, организация обязана обеспечить их сохранность. Как и за любые противоправные деяния, за разглашение персональных данных предусмотрена ответственность в соответствии с российским законодательством.
Для нарушителей, возглавивший персональную информацию предусмотрено четыре вида наказания:
- Дисциплинарное. Дисциплинарное взыскание, неполное служебное соответствие с занесением всего этого в трудовую книжку.
- Административное. Виновное лицо может понести ответственность в виде назначения штрафа в размере 300-500 рублей для физических лиц, 500-1000 для должностных, 5000- 10000 для ЮЛ.
- Материальное. Если человеку было нанесен материальный ущерб, виновное лицо может выплатить ущерб, назначенный время судебного заседания.
- Уголовное. Если распространение персональных данных подпадает под уголовную ответственность, то виновному может грозить реальный тюремный срок.
Некоторые организации могут запрашивать персональную информацию неправомерно. Бывают случаи, когда на должность, например, торгового представителя в обязательном порядке требуется предоставить справку о наличии или отсутствии судимости. Такие неправомерные требования также подпадают под ответственность перед законом.
Согласно нормам российского законодательства, уполномоченные лица в организации обязаны сообщать Роскомнадзору о данных, которые поступают в распоряжение предприятия (статья 22 закона № 152-ФЗ). Проверить исполняет ли организация эту норму можно на сайте этой госструктуры.
Персональные данные являются информацией особой важности, защищаются при этом законодательством Российской Федерации. Соответственно требует к себе полного соблюдения требований, находящихся в соответствующем Федеральном законе.
Заполнение Согласия для совершеннолетнего заявителя
- Укажите город подачи документов.
- Укажите дату подачи документов.
Заполните только верхнюю часть Согласия в поле «Субъект персональных данных»:
- Укажите полностью ФИО.
- Укажите данные Вашего гражданского паспорта (номер, дата выдачи, кем выдан).
- Укажите адрес проживания (либо по прописке, либо адрес фактического проживания).
Внизу формы еще раз укажите полностью ФИО и поставьте подпись.
Больше ничего заполнять не нужно.
Не забудьте приложить копию российского паспорта (основная страница + страница с регистрацией).