Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Согласие на обработку персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.
Уведомление об изменении персональных данных: новый срок
Все, кто обрабатывает персональные данные, являются операторами персональных данных. Такие организации отправляют в Роскомнадзор уведомление о сборе персональных данных и уведомление об изменении представленной информации.
Ранее отправлять уведомление об изменении представленных персональных данных операторам нужно было в течение 10 дней с момента их корректировки. С 1 марта 2023 года этот срок увеличен. Теперь, если ПД изменились, оператору можно отправить соответствующее уведомление в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. При представлении используется форма из приложения № 2 приказа Роскомнадзора от 28.10.2022 № 180.
Уничтожение персональных данных: новые правила
Согласно Приказу Роскомнадзора от 28.10.2022 № 179, операторам ПД нужно подтверждать уничтожение сведений о персональных данных. В документе прописаны порядок и требования к данной процедуре.
Уничтожение персональных данных на бумажных носителях должны фиксироваться актом. В нём указывают категорию уничтожаемых ПД, Ф.И.О. и должности участников процедуры, их подписи, причины и способы уничтожения и т.п.
Если электронные персональные данные удаляют из хранилища информационной системы, то достаточно выгрузки журнала, где зарегистрированы все события. Если в выгрузке какие-либо сведения не будут указаны, их дополняют бумажным актом. В нём дописывают недостающую информацию. Срок хранения акта 3 года.
Как подтвердить уничтожение персональных данных
Правила подтверждения факта уничтожения персональных данных утверждены приказом Роскомнадзора от 28.10.2022 № 179, вступившим в силу с 1 марта 2023 года. По новым правилам, если обработка персональных данных осуществляется вручную, без применения компьютеров, то уничтожение персональных данных нужно подтверждать специальным актом об уничтожении. Если же компания обрабатывает персональные данные с использованием компьютерной техники, то она по завершении уничтожения данных должна представить и соответствующий акт, и выгрузку из журнала регистрации событий в информационной системе персональных данных. То же самое касается и случаев, когда обработка персональных сведений в компании производится и вручную и с применением компьютерной техники.
Никакой специальной формы для акта об уничтожении персональных данных законодательством не предусмотрено. Компания может составить его в произвольной форме. Главное, чтобы акт содержал следующие реквизиты и сведения:
- наименование организации или ФИО предпринимателя и их адрес местонахождения;
- ФИО лиц, чьи персональные данные были уничтожены;
- ФИО и должность лица, уничтожившего персональные данные, а также его подпись;
- перечень категорий уничтоженных персональных данных;
- наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных вручную);
- наименование информационной системы персональных данных, из которой были уничтожены персональные данные (в случае их обработки на компьютере);
- способ уничтожения персональных данных;
- причину уничтожения данных и дату уничтожения.
Выгрузка из журнала регистрации должна содержать:
- ФИО лиц, чьи персональные данные были уничтожены;
- перечень категорий уничтоженных персональных данных;
- наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
- причину уничтожения персональных данных и дату их уничтожения.
Какие есть требования к согласию на обработку ПД
Согласие на обработку персональных данных должно быть предметным и однозначным, в частности, в отношении:
- цели обработки персональных данных;
- перечня персональных данных, на обработку которых даёт согласие их субъект;
- наименования или ФИО и адреса лица, осуществляющих обработку персональных данных по поручению оператора;
- перечня действий с персональными данными, в отношении которых даётся согласие, и описания способов обработки персональных данных, которые использует оператор;
- срока, в течение которого действует согласие субъекта персональных данных и способу его отзыва.
Если субъект ПД отказывается предоставить обязательные персональные данные, ему нужно разъяснить последствия такого отказа (ч. 2 ст. 18 Закона № 152-ФЗ)!
Для каждой цели обработки персональных данных нужно отдельно указывать:
- категории и перечень персональных данных
- категории субъектов, персональные данные которых обрабатываются;
- способы и сроки хранения персональных данных;
- порядок уничтожения персональных данных при достижении целей их обработки (ст. ст. 18.1, 21 Закона № 152-ФЗ).
Рекомендации по составлению Политики
Итак, поскольку обязанность по созданию Политики существует давно, в большинстве организаций она разработана, правда, не факт, что опубликована. Иногда Политику публикуют так, что ее сложно найти. Поэтому организациям следует рассмотреть этот документ с учетом Рекомендаций и при необходимости внести изменения путем утверждения нового документа, разместив его в соответствии с требованиями законодательства. А работодателям, у которых этого документа нет, следует его срочно составить, руководствуясь Рекомендациями.
Обратите внимание: рекомендации изданы в целях выработки унифицированного подхода к структуре и форме документа, определяющего политику оператора в отношении обработки персональных данных.
Итак, исходя из Рекомендаций, в Политику надо включить такие разделы:
Обязанности лиц, которые осуществляют обработку персональных данных по поручению оператора
В случае, если оператор персональных данных поручает обработку персональным данным другим физическим или юридическим лицам, то такие лица обязаны принять меры по обеспечению соблюдения требований 152-ФЗ. Оператор персональных данных вправе запросить у таких лиц документы и иную информацию, которая подтверждает соблюдение этими лицами требований 152-ФЗ. В случае возникновения инцидентах, которые могут повлечь нарушение прав субъектов персональных данных, лица, обрабатывающие персональные данные по поручению оператора, обязаны уведомить оператора об инциденте и о мерах, принятых по предотвращению повторных инцидентов и устранению его последствий.
В новой редакции лица, обрабатывающие персональные данные по поручению оператора (в том числе если они являются иностранными физическими или юридическими лицами), несут ответственность перед субъектами персональных данных вместе с оператором.
Что такое персональные данные?
Персональные данные — информация, прямо или косвенно соотносимая с конкретным физическим лицом, субъектом ПД (ст. 3 Закона от 27.07.2006 № 152-ФЗ). Любое действие с ПД (например, получение, размещение на носителе, распространение) представляет собой их обработку. Лицо, ее осуществляющее, признается оператором ПД.
Обработка ПД в общем случае законна, только если субъект ПД дал на то согласие. Но если оно не получено, то обработка возможна, в частности (ст. 6 Закона № 152-ФЗ):
- для участия гражданина в судопроизводстве (исполнения судебного акта);
- для реализации полномочий органом власти при оказании гражданину услуг;
- в целях исполнения обязательств по договору (гражданско-правовому, трудовому), заключенному между оператором ПД и субъектом.
Согласие при этом может предусматривать или, наоборот, не предусматривать (запрещать) возможность распространения ПД (то есть, ознакомления с ними неопределенного круга лиц — в СМИ, онлайн).
Предусмотрена обработка следующих видов ПД:
- общих (например, ФИО, номер телефона);
- специальных (политическая позиция, расовая принадлежность);
- биометрических (отпечаток пальцев, рисунок сетчатки глаз);
- иных (не попадающих под вышеуказанные категории).
В целях обеспечения законности обработки ПД их оператор разрабатывает обширную документальную базу. Рассмотрим ее состав.
Какие меры необходимо предпринять по защите персональных данных сотрудников?
При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.
Среди мер защиты выделяют:
-
ограниченное число работников, которые имеют доступ к персданным;
-
принятие нормативных документов;
-
утверждение перечня документов, которые содержат пнд;
-
внедрение программных для защиты информации на эл. носителях – например, антивирусную защиту;
-
проведение профилактических работ с сотрудниками – тесты на знание правил хранения пнд;
-
установление режима по пропускам;
Этот список можно продолжать до бесконечности, так как перечень защитных мер работодатели вправе определять самостоятельно.
Обработка персональных данных
В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)
Согласие работника на обработку персональных данных
Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.
Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).
Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.
В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).
Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).
Настоятельно рекомендуем включить в него следующую информацию:
- цели получения персональных данных работника у третьих лиц;
- предполагаемые источники информации (лица, у которых будете запрашивать данные);
- способы получения данных, их характер;
- возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.
Какие документы можно хранить в личном деле с согласия сотрудника
Отвечая на вопрос, что должно храниться в личном деле сотрудника в 2020 году, стоит упомянуть и медицинские книжки работников, которые некоторые работодатели хранят в ЛД. Действительно, если должность сотрудника предполагает его контакт с пищевыми продуктами, детьми или же, например, медикаментами – наниматель, согласно действующему законодательству, имеет право потребовать этот документ. Однако, его хранение становится возможным исключительно после получения от работника согласия на обработку его персональных данных.
Это же правило касается и следующих документов:
- аттестационных листов;
- дипломов, справок и других бумаг об образовании;
- справок об отсутствии судимости или её наличии;
- документов о повышении квалификации;
- характеристик с образовательных заведений, а также прошлых мест работы.
Напомним также, что трудовые книжки работников необходимо хранить отдельно от остальной кадровой документации. В большинстве фирм для этого используются надёжные сейфы, доступ к которым имеют только кадровики.
Документы для личного дела работника и его формирование
После увольнения работника его личное дело передается на хранение. На основании Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденного Приказом Минкультуры РФ от 25.08.2010 № 558, личные дела должны храниться в учреждении 75 лет.
Однако прежде, чем передать дело на хранение после увольнения работника, оттуда следует изъять копии паспорта, СНИЛС, документов об образовании и других предоставленных работником документов, содержащих его персональные данные (п. 7 ст. 5 Закона № 152-ФЗ). Эти данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. Поэтому в личном деле оставляют только оригиналы и копии документов, которые касаются работы в учреждении. На них также составляются описи.
Из документов личного дела извлекаются все скрепки и скобы степлера.
При передаче дел в архив, если они небольшие, допускается сшивать их в «наряды». В этом случае составлять внутренние описи к каждому личному делу не обязательно. Но в начале наряда необходимо поместить общую внутреннюю опись вошедших в него личных дел – после обложки.
* * *
Остается отметить, что если вы решили оформлять на работников личные дела, то для начала желательно установить порядок их формирования, хранения, использования и защиты локальным актом организации. Кроме этого, возможно, придется приобрести специальные шкафы или сейфы. Ну и конечно, не следует забывать о том, что к работнику, осуществляющему обработку персональных данных и ответственному за их хранение, и к организации могут быть применены меры административной ответственности по ст. 13.11 КоАП РФ, согласно которой обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями их сбора, влечет предупреждение или наложение административного штрафа: на должностных лиц – от 5 000 до 10 000 руб., на юридических лиц – от 30 000 до 50 000 руб.
Уведомление Роскомнадзора об обработке персональных данных работников
Ранее компании-работодатели вправе были не уведомлять Роскомнадзор об обработке персональных данных работников, в том случае, когда такая обработка происходила в соответствии с трудовым законодательством. Данное исключение было предусмотрено подп. 1 п. 2 ст. 22 Закона 152-ФЗ.
С 1 сентября 2022 года данная норма утратила силу. Соответственно, даже если компания обрабатывает персональные данные своих сотрудников исключительно в целях соблюдения трудового законодательства, необходимо уведомить об этом Роскомнадзор.
Изменился и состав сведений, которые должно содержать уведомление (п. 3.1 ст. 22 закона 152-ФЗ). Оператор должен указать для каждой цели обработки персональных данных (далее – ПДн):
- категории ПДн;
- категории субъектов, персональные данные которых обрабатываются;
- правовое обоснование обработки ПДн;
- перечень действий с ПДн;
- способы обработки ПДн.
Какие данные сотрудников компании являются персональными?
Персональные данные — это любая информация, которая относится прямо или косвенно к конкретному человеку (субъекту персональных данных). Это могут быть фамилия, имя, отчество, мобильный телефон, электронная почта, адрес проживания, фотография, паспортные данные и другие данные, позволяющие идентифицировать человека. При трудоустройстве работодателю могут предоставляться личные документы: паспорт, трудовая книжка, СНИЛС, документ об образовании, медицинская книжка, военный билет и другие.
Как только работодатель получает от работника вышеуказанные документы, на него возлагается обязанность обеспечить хранение и защиту персональных данных, в них содержащихся, что обеспечивается статьей 14 Трудового Кодекса РФ.
Для дальнейшего использования персональных данных необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ, ст. 6 152-ФЗ).
Мы знаем, какие требования по защите персональных данных должен соблюдать работодатель. Подготовим пакет документов в соответствии с требованиями ТК РФ и 152-ФЗ.
Какими нормативными актами нужно руководствоваться при разработке и внедрении документов по обработке персональных данных?
- Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных»;
- Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ;
- Постановление Правительства Российской Федерации от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»;
- Постановление Правительства от 1 ноября 2012 г. № 1119;
- Постановление Правительства от 15 сентября 2008 г. № 687;
- Приказ ФСТЭК России от 18 февраля 2013 г. № 21;
- Приказ Министерства связи и массовых коммуникаций РФ от 14 ноября 2011 г. № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных»;
- Приказ Министерства связи и массовых коммуникаций РФ от 21.12.2011 № 346 (ред. от 28.08.2015) «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных»;
- Федеральная служба по надзору в сфере связи и массовых коммуникаций от 27 июля 2017 года «Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- Приказ ФСБ России от 10 июля 2014 г. N 378;
- «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК России 15.02.2008, № 1679 дсп от 25.03.2008;
- «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК России 14.02.2008, № 1682 дсп от 25.03.2008.
Обращаем Ваше внимание (!): необходимо следить за изменениями в законодательстве и использовать актуальные редакции нормативных документов.