Согласие на обработку персональных данных — 2024: понятие, форма, образец 10845
Из нашей консультации вы узнаете, что представляет собой согласие на обработку персональных данных, как должно выглядеть такое согласие и сколько его нужно хранить.
Что вкладывается в термин персональные данные
Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физлицу (субъекту персональных данных) (ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ). По сути, персональные данные – это те, данные которые позволяют идентифицировать человека.
К персональным данным, в частности, относятся:
- ФИО;
- пол;
- возраст;
- место жительства;
- семейное положение;
- образование;
- место работы;
- сведения о зарплате (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681).
Те, кто организуют и/или осуществляют обработку персональных данных, являются операторами персональных данных. Например, абсолютно все работодатели являются операторами персональных данных в отношении работников.
Так вот, для обработки персональных данных по общему правилу оператору требуется согласие субъекта таких данных (п. 1 ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ).
Когда согласие на обработку персональных данных не нужно
Есть ряд случаев, когда не требуется согласие на обработку персональных данных. Например, обработка персональных данных без согласия субъекта разрешена:
- когда обработка персональных данных необходима для исполнения заключенного с работником договора или возложенных на работодателя обязанностей, функций и полномочий (п. 2, 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ);
- при проведении обработки персональных данных близких родственников работника в случаях, установленных законодательством РФ (к примеру, при получении алиментов, оформлении соцвыплат) (Разъяснения Роскомнадзора).
Больше полезной информации по теме вы найдете в Путеводителе по кадровым вопросам: Персональные данные работников, оформив бесплатный пробный доступ к системе КонсультантПлюс.
Что собой представляет согласие
Утвержденной формы согласия на обработку персональных данных нет. Как говорится в Законе о персональных данных, согласие должно быть (ч. 1 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ):
- конкретным;
- предметным;
- информированным;
- сознательным;
- однозначным.
При этом в общем случае согласие на обработку персональных данных может быть дано в любой форме, позволяющей оператору подтвердить факт его получения. Например, вы наверняка не раз сталкивались в Интернете с необходимостью дать согласие на обработку персональных данных на сайте, а без этого действия, как правило, дальнейшие манипуляции на сайте невозможны.
В качестве примера согласия на обработку персональных данных приведем страницу одного из сервисов ФНС.
Как видим, согласие на обработку персональных данных необязательно должно быть оформлено на бумаге. Но если оператор персональных данных очно взаимодействует с субъектом таких данных, то, конечно же, имеет смысл оформить именно письменное согласие на обработку персональных данных.
Что должно быть в согласии на обработку персональных данных
В согласии, как правило, перечисляются те персональные данные, на обработку которых физлицо дает свое согласие.
Кроме того, в согласии отражается:
- что подразумевается под обработкой (сбор, запись, хранение, удаление и т.д.);
- для каких именно целей осуществляется обработка персональных данных.
Согласие на обработку персональных данных: образец
Приведем образец согласия на обработку персональных данных сотрудника.
Если сотрудник отказывается подписывать согласие
На самом деле отказ работника от подписания согласия на обработку его персональных данных особой роли для работодателя не сыграет. Дело в том, что работодателю, осуществляющему обработку персональных данных своих работников, не обязательно получать их согласие на обработку в силу п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ.
Согласие работника на обработку персональных данных не потребуется при условии, что объем персональных данных, обрабатываемых работодателем, не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством (Разъяснения Роскомнадзора).
В частности, работодатель имеет право без согласия работника осуществлять обработку его персональных данных в случаях, предусмотренных коллективным договором, соглашением, а также ЛНА, принятыми в порядке, установленном ст. 372 ТК РФ.
Можно ли отозвать согласие
Субъект персональных данных может отозвать свое согласие на обработку персональных данных (ч. 2 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ). При этом нужно иметь в виду, что даже при отзыве согласия оператор вправе продолжить обработку персональных данных без согласия субъекта при наличии определенных оснований. К таким основаниям в том числе относятся (п. 2 – 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Федерального закона от 27.07.2006 N 152-ФЗ):
- обработка необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
- обработка осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
- обработка нужна для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Соответственно, к примеру, на вопрос: «Может ли работник отозвать согласие на обработку персданных?» ответ будет утвердительным. При этом, поскольку в некоторых случаях работодателю для обработки персональных данных не требуется согласие, то и отзыв такого согласия особо на обработке не скажется (Консультация Роструда).
Отзыв согласия на обработку персональных данных может выглядеть так.
Срок согласия на обработку персональных данных
Законодательством не установлен срок действия согласия на обработку персональных данных. Этот срок фиксируется в самом согласии и, по сути, может быть любым. Нередко, конкретный срок действия согласия не устанавливается, а указывается, что согласие действует до его отзыва.
Сколько хранить согласия о персональных данных
На хранение согласий на обработку персональных данных отводится определенный срок. Так, хранить согласия об обработке персональных данных необходимо 3 года после истечения срока действия согласия или его отзыва, если иной срок хранения не предусмотрен федеральным законом, договором (п. 441 Перечня, утв. Приказом Росархива от 20.12.2019 N 236).
Должен ли работодатель уведомлять Роскомнадзор
По общему правилу до начала обработки персональных данных оператор обязан уведомить Роскомнадзор о своем намерении осуществлять такую обработку (ч. 1 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ).
А так как все работодатели являются операторами персональных данных, соответственно, в их обязанности входит уведомление Роскомнадзора. Заполнить это уведомление и направить его можно через сайт Роскомнадзора.
Важно отметить, что есть случаи, когда не требуется уведомлять Роскомнадзор о начале обработки персональных данных. Например, это не нужно делать, если работодатель осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации (п. 8 ч. 2 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ).
Какие еще документы нужно оформить работодателю для обработки персональных данных, вы узнаете из Типовой ситуации «Персональные данные работников: понятие, обработка, защита и передача» (если вы не являетесь подписчиком нашего журнала, то для ознакомления с материалом вы можете получить пробный доступ).
Как наказывают работодателей за нарушения в работе с персональными данными
За нарушение законодательства в области персональных данных предусмотрены разные виды ответственности (ч. 1 ст. 24 Федерального закона от 27.07.2006 N 152-ФЗ, ст. 90 ТК РФ):
- административная;
- уголовная;
- дисциплинарная;
- материальная;
- гражданско-правовая.
Например, обработка персональных данных без соответствующего письменного согласия субъекта таких данных в случаях, когда такое согласие должно быть получено (за исключением случаев, предусмотренных ст.17.13 КоАП РФ), если эти действия не содержат уголовно наказуемого деяния, в общем случае наказывается штрафом в размере (ч. 2 ст. 13.11 КоАП РФ):
- от 100000 руб. до 300000 руб. – для должностных лиц организации;
- от 300000 руб. до 700000 руб. – для самой организации.
Подробнее о наказании при обработке персональных данных, в том числе о том, что грозит за разглашение персональных данных, можно прочитать в статье «Ответственность за нарушение законодательства о персональных данных», оформив бесплатный пробный доступ к системе КонсультантПлюс.