персональные данные

Не берут согласие на передачу персональных данных третьим лицам

Пример 1. ИП торгует через свой интернет-магазин. Для доставки товаров он заключил договор с курьерской службой и передаёт ей Ф.И.О., адрес проживания покупателей. Согласия от клиентов на передачу данных третьим лицам он не получает, думая, что личная информация нужна для исполнения договора купли-продажи.

Пример 2. ИП-работодатель сдаёт отчётность в Социальный фонд через СБИС. Для этого он передаёт в СБИС персональные данные сотрудников: Ф.И.О., СНИЛС. Согласия от работников на передачу личной информации третьим лицам он не получает. Он думает, что раз сдавать отчётность он обязан по закону, об этом не нужно предупреждать сотрудников.

Пример 3. Владелец интернет-магазина делает email-рассылки своим клиентам с новостями по акциям, скидкам, поступлению новых товаров. Для этого он использует почтовый сервис UniSender или аналогичную программу и туда загружает базу контактов. Согласия от клиентов на передачу их данных разработчикам программы он не получает.

В этих ситуациях ИП нарушает ч. 3 ст. 6 закона от 27.07.2006 № 152-ФЗ О персональных данных. Передавать личную информацию третьим лицам можно только с согласия гражданина. Предпринимателя могут оштрафовать как должностное лицо на сумму от 10 000 до 20 000 рублей по ч. 1 ст. 13.11 КоАП РФ.

Роскомнадзор узнаёт о нарушениях операторов персональных данных в ходе проверок: плановых и внеплановых. Если он получит жалобу от граждан или информацию о возможной утечке личной информации, то придёт с визитом к предпринимателю в любое время. Пожаловаться в Роскомнадзор могут работники, клиенты, сотрудники подрядчиков.

Ответственность за конфиденциальность персональных данных несёт оператор — тот, кто заключил с гражданином договор. Он должен получить согласие, обеспечить защиту личной информации и предотвратить её утечки.

Чтобы разделить ответственность с третьей стороной при возможных сливах данных, надо включить в договор с ней дополнительные условия:

• Третья сторона не обязана получать согласия с клиентов ИП на обработку их персональных данных. Она не несёт ответственности за сохранность ПД, если оператор не позаботится указать это в договоре с ней.

Если не уверены, нужно получать согласие на обработку ПД или нет, всегда получайте согласие. За это не штрафуют.

Как работать с персональными данными работников в 2022

Корчагина Ксения, юрист

Казалось бы, есть всего один закон 152-ФЗ о персональных данных. Но в нем все так описано, что тонут даже юристы. Не всегда понятно, может ли работодатель не уведомлять Роскомнадзор, когда нужно согласие работника на обработку персональных данных, а когда можно работать без него. Нужно ли согласие на обработку от соискателя.

Персональные данные и их обработка в России

Персональные данные — это ФИО работника, ИНН, СНИЛС, телефон, размер зарплаты и даты рождения его детей. Это любая информация, прямо или косвенно относящаяся к сотруднику, как указано в ст. 3 закона о персональных данных 152-ФЗ. Даже просто ФИО Иванов Иван Иванович без даты рождения или номера телефона Роскомнадзор считает персональными данными.

Взаимодействие с персональными данными

Кадровик сталкивается с персональными данными, когда получает резюме соискателя, сообщает охраннику данные кандидата для оформления пропуска, заполняет трудовой договор или отправляет СЗВ-ТД в Пенсионный фонд.

Любые действия кадровика с персональными данными работника называются обработкой персональных данных. По п. 3 ст. 3 закона о персональных данных обработка персональных данных включает в себя сбор, запись, систематизацию, использование, распространение, удаление данных.

Защита персональных данных и нарушения

Как только работодатель приступил к обработке персональных данных, он обязан их защищать, хранить и обрабатывать по правилам закона о персональных данных, гл. 14 Трудового кодекса. Иначе Роскомнадзор оштрафует по жалобе работника или при проверке. За грубейшие нарушения возможна уголовная ответственность.

Вот популярные нарушения работодателей в работе с персональными данными.

Нарушение № 1. Отсутствие согласия на обработку данных

• Компания публикует фотографии работников на сайте без их согласия.
• Перевод зарплаты работника на счет супруга без ее согласия.

Штраф за такие нарушения до 150 тыс. рублей для компании и до 40 тыс. рублей для руководителя.

Нарушение № 2. Обработка данных в непредусмотренных случаях

• Магазин собирает справки об отсутствии судимости у своих работников без необходимости.
• Школа имеет право запрашивать такие справки у своих работников.

Штраф за нарушение до 100 тыс. рублей для компании и до 20 тыс. рублей для руководителя.

Нарушение № 3. Использование данных для других целей

Работодатель использует персональные данные работника без его согласия для других целей.

Нарушение № 4. Отсутствие публикации политики обработки персональных данных

Политика обработки персональных данных обязательна и должна быть доступна всем работникам.

Все эти нарушения могут повлечь штрафные санкции от Роскомнадзора, поэтому важно соблюдать законодательство по обработке персональных данных.

Штраф за нарушение до 60 тыс. рублей компании, до 12 тыс. рублей руководителю по ч. 3 ст. 13.11 КоАП РФ.

Нарушение № 5. Не вовремя реагируют на запрос гражданина о его персональных данных

Работодатель должен ознакомить работника с обрабатываемыми персональными данными в день обращения или в течение 30 дней с даты получения запроса работника. Иначе будет наложен штраф.

Защита компании

Для защиты компании работодатели прописывают в политике обработки адрес для таких запросов. Это помогает избежать ситуации, когда гражданин направляет запрос на электронную почту отдела продаж и его запрос долго передают ответственному за обработку персональных данных.

Штраф за нарушение до 80 тыс. рублей компании, до 12 тыс. рублей руководителю по ч. 4 ст. 13.11 КоАП РФ.

Нарушение № 6. Не уничтожают персональные данные работника по его требованию

Гражданин и Роскомнадзор могут письменно потребовать уточнить, заблокировать или уничтожить персональные данные, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Пример

Одна компания размещала на своем сайте информацию о своих сотрудниках-специалистах. После увольнения работника компания отказалась удалить информацию, и получила максимальный штраф в размере 25 тыс. рублей. С 21 марта 2021 года штрафы увеличились. См. Постановление 2 КСОЮ от 30.11.2021 № 16-9529/21.

Штраф за нарушение до 90 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 5 ст. 13.11 КоАП РФ.

Нарушение № 7. Хранят данные в базах данных, находящихся не в России

Согласие на обработку персональных данных — письменный или цифровой документ, который подтверждает добровольное решение гражданина передать оператору свою личную информацию для определенных целей.

Требования к согласию в 2022 году

Согласие на обработку персональных данных в 2022 году должно быть конкретным, предметным, информированным, сознательным и однозначным (ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ).

Согласие каждой цели

Согласие получают конкретно для каждой цели. Работать с персональными данными можно только на законных основаниях.

Правила получения и отзыва согласия на обработку персональных данных в России

Гражданин имеет право отозвать выданное согласие на обработку ПД в любой момент. В этом случае действия с его личной информацией можно продолжать только при наличии указанных выше правовых оснований. Обязанность доказать законность обработки: предоставить согласие гражданина или отдельную норму права, возложена на оператора (ч. 2 ст. 9 152-ФЗ).

Обработка биометрических данных работников

Работодателям стоит помнить, что обработка биометрических персональных данных работников в рамках трудовых отношений возможна только с письменного согласия сотрудника (ст. 11 152-ФЗ). Для специальных и общедоступных ПД оно не нужно. Это значит, что ФИО, сведения об образовании обрабатываются свободно. А вот видеонаблюдение за работником возможно только с его письменного разрешения.

Получение согласия на обработку персональных данных

Закон разрешает получить согласие физического лица на обработку его ПД в любом виде. Главное подтвердить, что оно есть и дано именно субъектом персональных данных либо его представителем (ч. 1 ст. 9 152-ФЗ). То есть теоретически согласие можно оформить даже в виде записи на диктофон, если по ней точно идентифицируется личность гражданина.

Виды согласий и их оформление

Если по Закону согласие должно быть оформлено именно в письменном виде — например, на обработку биометрических данных, то электронный документ с электронной подписью (ЭП) признается равнозначным бумажному оригиналу с личной подписью субъекта (ч. 4 ст. 9 152-ФЗ). Главное, чтобы ЭП соответствовала требованиям (Приказ ФСБ России от 27.12.2011 № 796).

Примеры согласий и распространение персональных данных

Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!

Утвержденного бланка согласия на обработку ПД нет. Общие требования к его содержанию приведены в статье 9 152-ФЗ.

В интернете доступно много образцов согласия, например, на сайте Управления Роскомнадзора Сибирского ФО. Пользоваться ими нужно аккуратно, с учетом изменений в Законе 152-ФЗ.

Распространение персональных данных

В некоторых случаях оператор раскрывает персональные данные неопределенному кругу лиц. Например, публикует на сайте отзыв клиента, содержащий ФИО, email и другую личную информацию. Или помогает заказчику получить кредит и отправляет от его имени заявку в разные банки и МФО.

Это называется распространением персональных данных, на которое нужно получать отдельное согласие субъекта ПД (ч. 1 ст. 10.1 152-ФЗ). Требования к содержанию такого разрешения определены Роскомнадзором (Приказ от 24.02.2021 № 18).

Оформление разрешения на распространение ПД

Согласие на распространение может быть оформлено двумя способами (ч. 6 ст. 10.1 152-ФЗ):

• В первом случае оператор может получить шаблон документа на сайте Роскомнадзора. Для подготовки разрешения, адаптированного под конкретную деятельность, понадобится подтвержденная учетная запись на портале Госуслуг организации, ИП или физического лица.

На портале Роскомнадзора через ЕСИА формируется запрос. В результате оператор получает доступ к форме согласия на распространение ПД, которую он заполняет с учетом своей специфики. Готовый шаблон можно отправить на проверку в Роскомнадзор и получить его рекомендации.

Форму согласия на распространение ПД можно подготовить с использованием информационного ресурса Роскомнадзора.

Если оператор решит разработать свой бланк, то он должен указать в нем обязательные пункты по Приказу от 24.02.2021 № 18. По каждой категории и перечню ПД у субъекта должна быть возможность выбора одной из трех категорий:

Молчание или бездействие гражданина ни при каких обстоятельствах не считаются согласием на обработку ПД, разрешенных для распространения (ч. 8 ст. 10.1 152-ФЗ).

Оператор обязан в течение трех рабочих дней с даты получения разрешения на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц (ч. 10 ст. 10.1 152-ФЗ). Например, разместить ее на своем сайте.

Эта мера нужна для защиты права субъекта ПД на конфиденциальность. Лица, получающие доступ к его личной информации, должны соблюдать условия и запреты, перечисленные в согласии на распространение.

Нарушение требований в области размещения биометрических персональных данных

23 декабря в КоАП РФ появилась новая статья о нарушении требований в области размещения биометрических персональных данных.Статья устанавливает ответственность для банков и ряда других юрлиц за нарушение требований к тому, как размещать и обновлять биометрические персональные данные в единой системе идентификации и аутентификации физических лиц с использованием биометрических персональных данных. Штрафы:

Как работодателю не налететь на штраф из-за защиты персональных данных

Работодатель, принимая на работу нового сотрудника, запрашивает у него согласие на обработку персональных данных.

Сегодня разберем, что такое персональные данные, какой правовой режим устанавливается в отношении персональных данных и какие обязанности возникают у работодателя.

Трудовой кодекс РФ (далее — ТК РФ) устанавливает особенности защиты, а также хранения, использования и передачи персональных данных работника в Главе 14 «Защита персональных данных работника». Правила работы с персональными данными содержатся в Федеральном законе «О персональных данных» от 27.07.2006 № 152-ФЗ.

Под персональными данными понимаетсялюбая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Т.е. персональными данными является огромное количество информации, позволяющей идентифицировать человека, начиная от даты рождения, фамилии, имени, отчества, и заканчивая информацией о расовой, национальной принадлежности человека, его политических взглядах.

Можно привести примерный перечень персональных данных работника:

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В терминах Закона № 152-ФЗ организация-работодатель является оператором персональных данных, так как организует и осуществляет обработку персональных данных, а также совершает иные действия с персональными данными. Следовательно, работодатель при принятии на работу работника, оформляя должным образом все необходимые документы, будет являться оператором, осуществляющим обработку персональных данных.

Источник получения персональных данных

Источником получения персональных данных о работнике может являться не только он сам. Однако, для исключения возможных неточностей все персональные данные работника следует получать у него самого.

Если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных.

Например, если работодатель решит получить дополнительную информацию о профессиональной подготовке работника в другой организации, то ему необходимо получить письменное согласие работника на такой запрос. Для получения согласия работодатель может направить работнику уведомление о получении персональных данных работника от третьих лиц с просьбой дать согласие на получение таких данных.

Работа с персональными данными

Согласие на обработку персональных данных оформляется исключительно в письменной форме.

Однако из данного правила имеются исключения.

В частности, допускается обработка персональных данных в случаях, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

Данное правило распространяется и на стороны трудового договора, то есть работника и работодателя.

Из сказанного следует, если работодатель получает от работника, хранит и передает лишь ту информацию, которая необходима для исполнения трудового договора, получение согласия работника на такие действия не требуется.

Возникает большое количество вопросов относительно контактных данных работника, ведь отсутствие такой информации не влечет невозможность исполнения трудового договора.

Согласно статье 65 ТК РФ предоставление каких-либо документов с контактными данными не требуется.

Поэтому, если работодатель желает получить такого рода информацию (а также иную информацию, неполучение которой не влечет невозможность исполнения договора), ему необходимо получить на это согласие работника.

Между тем, даже если у работника не берется согласие на обработку персональных данных, в целях соблюдения положений статьи 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Статьей 88 ТК РФ установлены требования к передаче персональных данных работника.

Так, работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника и в иных предусмотренных законодательством случаях. Были даны разъяснения, в каких случаях при передаче персональных данных работника третьим лицам согласия работника не требуется:

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований законодательства, а именно путем утверждения Положения о хранении и использовании персональных данных работников. В Положении стоит указать порядок допуска к работе с персональными данными, перечень данных, с которыми работают должностные лица, порядок передачи данных внутри и за пределы организации.

Доступ к персональным данным работника должен быть разрешен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

Защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет собственных средств.

Отдельные вопросы порядка работы с персональными данными

Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством. К таким случаям, в частности, относится обработка персональных данных для целей бухгалтерского и налогового учета.

Также в случаях наличия согласия работника работодатель вправе хранить копию трудовой книжки уволенного работника.

Интересна позиция Роструда при оформлении пропусков для доступа к месту работы, которые представляют собой копию паспорта работника.

Так, на сайте Роструда был задан вопрос, нарушает ли положение о защите персональных данных предъявление такого рода пропуска сотрудникам охранной организации (то есть третьему лицу).

По мнению Роструда, оформление такого рода пропусков и обязание работников предъявлять такие пропуска сторонней организации возможно только с письменного согласия работника.

Необходимо отметить, что в случае хранения в личном деле каких-либо документов, касающихся родственников работников (например, копия свидетельства о рождении ребенка для получения вычета, копии свидетельства о заключении брака, др.), работодатель должен получить согласие на обработку персональных данных либо от совершеннолетних членов семьи, либо от самого работника, как полномочного представителя своих несовершеннолетних детей.

Кроме того, в целях соблюдения положений законодательства о персональных данных, не допускается издание одного приказа, например, о переводе нескольких работников на новые должности, так как такой приказ будет нарушать конфиденциальность персональных данных: в приказ включается информация о заработной плате каждого работника, а такие сведения не подлежат разглашению третьим лицам.

Многих работодателей интересует вопрос о возможности ведения видеонаблюдения на территории организации и необходимости получения согласия работников. Из статьи 22 ТК РФ вытекает право работодателя осуществлять контроль за трудовой деятельностью работников.

Формы такого контроля законодательством не установлены. Они закрепляются локальными нормативными актами, действующими в организации.

Следовательно, для введения системы видеонаблюдения работодателю необходимо издать соответствующий локальный нормативный акт, с которым ознакомить работников.

При осуществлении контроля работодатель обязан соблюдать конституционные права граждан, а также требования законодательства о защите персональных данных работников.

Ответственность за нарушения в сфере обработки персональных данных

Статьей 13.11 КоАП РФ предусмотрена ответственность за обработку персональных данных в случаях, не предусмотренных законодательством РФ, либо их обработка, не совместимая с целями сбора персональных данных. Организация по этой норме будет оштрафована на сумму от 30 000 до 50 000 рублей.

Частью 2 статьи 13.

11 КоАП РФ выделен самостоятельный состав правонарушения, который образует обработка персональных данных без письменного согласия их субъекта (работника) либо обработка персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие.

Должностному лицу компании-работодателя грозит штраф в размере от 10 000 до 20 000 рублей, а организации — от 15 000 до 75 000 рублей.

По материалам журнала «Наша бухгалтерия»

Что собой представляет согласие

Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.

Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.

Когда чаще всего требуется согласие

Сейчас согласие необходимо писать почти повсеместно:

Иными словами, везде, где гражданин предоставляет свои личные документы или документы лица, представителем которого он является, заполняет различного рода тесты и анкеты, он подписывается такое согласие.

Что вкладывается в термин «персональные данные»

Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:

При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.

В частности их условно можно поделить на три основных вида:

По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.

Для чего формируется согласие на обработку при трудоустройстве

Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д.

Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).

В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.

Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.

Если сотрудник отказывается подписывать согласие

Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.

Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.

В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.

Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.

Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.

Что грозит за разглашение персональных данных

Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.

Можно ли отозвать согласие

Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает.

Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия.

Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.

Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).

Это требование должно быть выполнено не позже чем через месяц после написания отзыва.

Образец согласия

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:

Далее в основной части подробно указывается:

Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Я, Ковтун Инна Олеговна, паспорт 2495 564738, выдан Ленинским РОВД г. Иваново, адрес регистрации: г. Иваново, ул. Мельничная д.73, кв. 8, даю свое согласие ОАО «КомЖилФонд» на обработку моих персональных данных.

Согласие касается фамилии, имени, отчества, данных о поле, дате рождении, гражданстве, типе документа, удостоверяющем личность (его серии, номере, дате и месте выдачи), а также сведений из трудовой книжки: опыте работы, месте работы и должности.

Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях.

Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч.

передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.

До моего сведения доведено, что ОАО «КомЖилФонд» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.

Подтверждаю, что давая согласие я действую без принуждения, по собственной воле и в своих интересах.

Ковтун И.О. (подпись)

Требования к согласию на распространение персональных данных

Новое согласие на распространение персональных данных необходимо для публикаций на корпоративных сайтах, в иных СМИ и соцсетях, на досках почета и т.п. (п. 3 ч. 1 ст. ТК, ст. 6, ст. 10.1 Закона ).

Ранее в обработку ПД входило такое понятие, как передача персданных третьим лицам без каких-либо оговорок. Понятие «распространение» не только было перечислено в этой группе (как и сейчас), но и могло быть оформлено в общем согласии на обработку (до вступления в силу Федерального закона от 30.12.2020 № 519-ФЗ).

С принятием статьи 10.1 Закона 152 о персональных данных к распространению применяют новые требования. Главная цель новаций – сдержать бесконтрольное использование ПД, которые публикуют в открытых источниках информации. Теперь субъект может сам определить, какие сведения о себе он раскрывает неопределенному кругу лиц, а к какие – нет. Согласие на распространение получают в виде отдельного документа. Особые требования к его содержанию устанавливает Приказ Роскомнадзора от 24.02.2021

Кроме того, с 1 сентября 2022 года согласие на распространение как частный вид согласия на обработку ПД должно быть составлено предметно и однозначно, а не только конкретно, сознательно и информировано.

С 1 сентября 2022 года предусмотрена новая обязанность оператора при выявлении случайной или неправомерной передачи ПД (включая их распространение): в течение 24 часов сообщить об этом в Роскомнадзор и в течение 72 часов отчитаться о результатах внутреннего расследования (ч. 3.1 ст. 21, ч. 10, 11 ст. 23 Закона № 152-ФЗ).

Новая ответственность операторов обработки ПД

Ужесточили ответственность за размещение персданных без письменного согласия или с нарушением закона(Федеральный закон от 12.12.2023 ). Теперь возможны такие штрафы:

Кроме того, за повторное нарушение ИП также грозит штраф – от 500 000 до 1 млн руб.

Обработка персональных данных – любое действие (операция) или их совокупность, совершаемые с ПД с использованием средств автоматизации (или без них), включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ч. 1 ст. 3 Закона ).

Персональные данные, разрешенные субъектом персональных данных для распространения, – это персданные, доступ неограниченного круга лиц к которым предоставлен субъектом ПД с его разрешения в согласии на обработку ПД (п. 1.1 ч. 1 ст. 3 Закона № 152-ФЗ).

Распространение персональных данных – действия, направленные на их раскрытие неопределенному кругу лиц (п. 5 ч. 1 ст. 3 Закона № 152-ФЗ).

Предоставление персональных данных – действия, направленные на их раскрытие определенному лицу или кругу лиц (п. 6 ч. 1 ст. 3 Закона № 152-ФЗ).

Оператор персональных данных – это государственный или муниципальный орган, юридическое либо физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют ее цели; состав персданных, подлежащих обработке; а также действия (операции), совершаемые с ними (п. 2 ч. 1 ст. 3 Закона № 152-ФЗ).

Различия в способах оформления предоставления ПД (конкретным лицам) и их распространения ПД (неопределенному кругу лиц) (ст. 3 Закона № 152-ФЗ)

Форма согласия на распространение персональных данных – устно или письменно?

Получение согласия предусмотрено двумя способами (ч. 6 ст. 10.1 Закона ):

Что означает «непосредственно от работника»? Например, возможно ли записать телефонный разговор, где субъект четко отвечает на все пункты требований? Закон прямо этого не запрещает. Однако в таком случае вы должны доказать, что звонил именно субъект ПД (не сосед или родственник), а также – установить порядок хранения таких аудиозаписей.

Самая простая форма получения согласия на распространение – письменная. Поэтому продумайте понятную и удобную форму согласия на обработку ПД, разрешенных для распространения. Затем – закрепите ее в локальном нормативном акте компании и используйте (ст. и ТК РФ, ст. 10.1 Закона № 152-ФЗ).

Порядок взаимодействия субъекта ПД с оператором (работодателем) при использовании информационной системы уполномоченного органа по защите прав субъектов ПД определяет этот орган – Роскомнадзор (ч. 7 ст. 10.1 Закона № 152-ФЗ, Приказы Роскомнадзора от 24.02.2021 и от 21.06.2021 № 106).

Прекращение действия согласия о распространении персональных данных

Передача ПД, разрешенных их субъектом для распространения, по его требованию должна быть прекращена в любое время (ч. 12 ст. 10.1 Закона ). Такое требование оформляют письменно, и оно должно включать:

Сведения, указанные в этом требовании, может обрабатываться только оператор, которому оно направлено.

Если работодатель игнорирует требование, субъект ПД вправе обратиться непосредственно к лицу, обрабатывающему персданные, или в суд (ч. 14 ст. 10.1 Закона № 152-ФЗ).

В этом случае передача ПД, ранее разрешенных для распространения, должна быть прекращена в течение трех рабочих дней с момента получения требования от субъекта ПД (или в срок, указанный во вступившем в законную силу решении суда). Если такой срок не определен – то в течение трех рабочих дней с момента вступления решения суда в законную силу (ч. 14 ст. 10.1 Закона № 152-ФЗ).

Персональные данные 1 сентября 2022 обрабатывают по новым требованиям. Как уведомлять Роскомнадзор, что изменить в Политике по обработке персданных и в Положении о персданных, что учесть при разработке нового согласия на обработку персданных, узнаете на нашем

Незаконная обработка персональных данных

Законодатели планируют увеличить штрафы за незаконную обработку персональных данных, а также за обработку персональных данных, несовместимую с целями сбора (ч. 1, 1.1 ст. 13.11 КоАП РФ).

Обработка, несовместимая с целями сбора: к примеру, это когда оператор собирает персональные данные сотрудников, а после их увольнения переносит контакты в клиентскую базу и использует для повышения продаж.

Сравнительная таблица с действующими и планируемыми суммами штрафов

Действующий штрафПланируемый штраф

Граждане 2 000–6 000 руб.10 000–15 000 руб.

Должностные лица10 000–20 000 руб.50 000–100 000 руб.

Организации60 000–100 000 руб.150 000–300 000 руб.

Граждане 4 000–12 000 руб.15 000–30 000 руб.

Должностные лица20 000–50 000 руб.100 000–200 000 руб.

Организации100 000–300 000 руб.300 000–500 000 руб.