Считается, для того, чтобы работать с персональными данными собственников, необходимо с каждого из них собрать согласие на обработку персональных данных. Это и верно, и нет, — зависит от ситуации.
Сегодня мы расскажем, в каких случаях согласие на обработку персональных данных нужно получить и что делать, если собственник его не даёт.
Роскомнадзор об обработке персональных данных
Персональные данные собственников
1 июля 2017 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Теперь есть 7 составов правонарушений, за которые управляющие компании могут привлечь к административной ответственности за нарушение законодательства о персональных данных.
Ужесточилась административная ответственность за нарушение требований ст. 13.11 КоАП РФ – суммарный размер штрафа может составить 275 000 рублей. Многие управляющие компании не знают, как правильно работать с ПД.
Для них 4 октября мы провели вебинар «7 ошибок при работе с персональными данными, за которые УО получит штраф». Мы рассказали об обязанностях оператора ПД, дали рекомендации по выполнению требований статьи 13.11 КоАП РФ и отдельно внимание уделили вопросу получения согласия на обработку ПД.
Когда нужно получить согласие на обработку ПД
Если вы управляющая компания и у вас нет согласия на обработку ПД от собственников, но вы их обрабатываете внутри организации и не отдаёте их в сторонние организации, в таком случае согласие на обработку персональных данных не требуется.
Если вы будете передавать персональные данные собственников третьим лица, согласие на обработку нужно обязательно получить. При этом лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать отдельное согласие субъекта ПД на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.
В № 152-ФЗ перечислены случаи, когда согласие на обработку ПД для передачи третьим лицам не требуется:
- Если это разрешает Федеральный закон. Так, например, для размещения информации в ГИС ЖКХ согласия на обработку ПД не нужно.
- Если вы передаёте данные платёжному агенту и расчётным центрам (ч. 16 ст. 155 ЖК РФ).
Когда вы привлекаете представителя для расчётов с собственниками и нанимателями жилых помещений и взимания платы за жилое помещение и коммунальные услуги, согласие субъектов ПД на передачу персональных данных таким представителям не требуется.
Но в договоре между вами и представителем необходимо закрепить положение о конфиденциальности персональных данных (ч. 10 ст. 3, ч. 4 ст. 6, ч. 1 ст. 7 № 152-ФЗ).
Правомерность обнародования списка должников ЖКУ
Каким должно быть согласие на обработку ПД
Субъект передаёт управляющей компании согласие на обработку персональных данных в любой форме, позволяющей подтвердить факт получения:
- в договоре управления,
- в договоре ресурсоснабжения,
- в уставе товарищества собственников жилья.
Роскомнадзор советует оформлять его в письменной форме отдельным документом. Единственный минус такой позиции – управляющая компания может физически не собрать со всех субъектов персональных данных такое согласие.
Субъект ПД принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Полные требования к содержанию согласию описаны в ч. 4 ст. 9 № 152-ФЗ.
Согласие должно быть:
- конкретным,
- информированным,
- осознанным.
Независимо от того, как вы оформите согласие на обработку ПД, в нём обязательно должны быть:
- ФИО, адрес субъекта персональных данных или его представителя, реквизиты документа, удостоверяющего его личность;
- наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
- цель обработки персональных данных;
- перечень ПД, на обработку которых дают согласие;
- наименование или ФИО и адрес лица, обрабатывающего ПД по поручению оператора;
- перечень действий с ПДн, на совершение которых даётся согласие;
- общее описание используемых оператором способов обработки ПД;
- срок действия согласия субъекта ПД;
- подпись субъекта ПД;
- условия прекращения работы с персональными данными.
Появятся ли персональные данные собственников помещений в МКД в открытом доступе?
Согласие на обработку ПД в договоре управления МКД
Согласие на обработку персональных данных можно включить в приложение к договору управления МКд. Договор управления МКД собственники заключают с управляющей компанией в письменной форме. Составляется один документ и подписывается сторонами (ст. 162 ЖК РФ).
Источник: https://roskvartal.ru/deyatelnost-uk/8236/soglasie-sobstvennikov-na-obrabotku-personalnyh-dannyh
Согласие на обработку персональных данных и его отзыв
Что такое обработка персональных данных
В соответствии со статьей 3 Закона о персональных данных обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Таким образом, любое действие с вашими персональными данными является их обработкой, т.е.
во всех случаях, когда вы предоставляете сведения о себе (фамилия, имя, отчество, данные документа, удостоверяющего личность, данные СНИЛС, ИНН, номер телефона и другую информацию о себе) лицо, которое получает такие данные их обрабатывает, поэтому в силу Закона № 152-ФЗ обязан хотя бы собрать и предпринять меры к их сохранности, т.е. — обработать.
Чаще всего люди сталкиваются с такой ситуацией при трудоустройстве.
Когда и как нужно получать согласие работника на обработку его персональных данных
Согласно пункту 1 статьи 6 и статье 9 Закона о персональных данных обработка персональных данных осуществляется с согласия работника.
- Поскольку в случае возникновения спора доказать получение согласия работника на обработку его персональных данных должен работодатель (часть 3 статьи 9 Закона о персональных данных), целесообразно оформить такое согласие письменно.
- Согласие работника на обработку персональных данных должно включать (часть 4 статьи 9 Закона о персональных данных):
-
Фамилию, имя, отчество, адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе.
-
При получении согласия от представителя работника — его фамилию, имя, отчество, адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя.
-
Наименование или фамилию, имя, отчество и адрес работодателя.
-
Цель обработки персональных данных.
-
Перечень персональных данных, которые подлежат обработке.
-
Фамилию, имя, отчество и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации.
-
Перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки.
-
Срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия.
-
Подпись работника.
При этом согласно части 2 статьи 9 Закона о персональных данных работник в любое время вправе отозвать согласие на обработку персональных данных. В таком случае продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в подпунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных.
24.12.
2012 Роскомнадзор в своих Разъяснениях «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» пояснил, что получать согласие на обработку персональных данных нужно не только у работника, но и у соискателя. Однако если от имени соискателя действует кадровое агентство, с которым он заключил соответствующий договор, либо соискатель сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц, то согласие на обработку его персональных данных не требуется.
Согласие не требуется и в тех случаях, когда:
- обработка необходима в целях исполнения заключенного с работником договора или возложенных на работодателя обязанностей, функций и полномочий (п. п. 2, 5 ч. 1 ст. 6 Закона о персональных данных). К таким случаям относятся запросы уполномоченных гос. органов, передача сведений в ФСС и ПФР и некоторых других;
- это предусмотрено коллективным договором, соглашением, а также локальными нормативными актами работодателя, принятыми в установленном ст. 372 ТК РФ порядке;
- обязанность по обработке предусмотрена законодательством, в том числе для опубликования и размещения персональных данных работников в Интернете. К примеру, медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием Интернета, о своих медицинских работниках, уровне их образования, квалификации;
- обработка сведений о состоянии здоровья работника касается возможности выполнения им трудовой функции (п. 2.3 ч. 2 ст. 10 Закона о персональных данных). Такая обработка допускается, например, в отношении сведений о состоянии здоровья педагогических работников (абз. 6 ч. 2 ст. 331 ТК РФ);
- обработка персональных данных специальных категорий проводится органами прокуратуры при условии, что такие данные были получены в установленных законодательством РФ случаях (п. 7.1 ч. 2 ст. 10 Закона о персональных данных);
- проводится обработка персональных данных близких родственников работника в объеме, предусмотренном личной карточкой Т-2, а также при получении алиментов, оформлении социальных выплат, допуска к государственной тайне и др.;
- обработка персональных данных связана с выполнением работником своих трудовых обязанностей;
- обработка персональных данных проводится в целях организации работодателем пропускного режима на территорию его служебных зданий и помещений;
- персональные данные работника передаются третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных федеральными законами (абз. 2 ст. 88 ТК РФ);
- обработка персональных данных осуществляется в отношении уволенных работников, например, в рамках бухгалтерского и налогового учета (пп. 5 п. 3 ст. 24 НК РФ, ст. 29 Федерального закона от 06.12.2011 № 402-ФЗ);
- если данные получены:
- из документов (сведений), предъявляемых при заключении трудового договора в соответствии со ст. 65, ч. 4 ст. 275 ТК РФ;
- от кадрового агентства, действующего от имени соискателя;
- из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.
Согласие работника на получение работодателем персональных данных
При получении согласия на обработку персональных данных необходимо иметь в виду, что:
- все персональные данные работника следует получать у него самого (п. 3 ст. 86 ТК РФ);
- решение работника (соискателя) о предоставлении своих персональных данных должно быть добровольным, какое-либо давление на него недопустимо (п. 1 ст. 9 Закона о персональных данных);
- принимая решение о предоставлении своих данных, работник дает согласие на их обработку (п. 1 ст. 9 Закона о персональных данных);
- согласие должно быть конкретным, информированным и сознательным (п. 1 ст. 9 Закона о персональных данных). Не требуется согласие на обработку персональных данных работника (соискателя).
Образец согласия на обработку его персональных данных
- Руководителю ООО «Ромашка» ______________ (ФИО)
- от ______________________________________ (ФИО)
- зарегистрированного по адресу: _________________
паспорт серии 00 00 № 123456 выдан __.__._______
_________________________________ (кем выдан)
Согласие на обработку персональных данных
Я, _____________________________ (фамилия, имя, отчество полностью), в соответствии со статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в целях:
- обеспечения соблюдения законов и иных нормативных правовых актов;
- заключения и регулирования трудовых отношений и иных непосредственно связанных с ними отношений;
- отражения информации в кадровых документах;
- начисления заработной платы;
- исчисления и уплаты предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование;
- представления работодателем установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ, сведений о налоге на доходы физических лиц, в ФНС России, сведений в ФСС РФ;
- предоставления сведений в банк для оформления банковской карты и перечисления на нее заработной платы;
- предоставления сведений третьим лицам для оформления полиса ДМС;
- предоставления налоговых вычетов;
- обеспечения моей безопасности;
- контроля количества и качества выполняемой мной работы;
- обеспечения сохранности имущества работодателя,
даю согласие
Обществу с ограниченной ответственностью «Ромашка» (ООО «Ромашка»), расположенному по адресу: _______________________, на автоматизированную, а также без использования средств автоматизации обработку моих персональных данных, а именно совершение действий, предусмотренных пунктом 3 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Перечень моих персональных данных, на обработку которых я даю согласие:
- фамилия, имя, отчество;
- пол, возраст;
- дата и место рождения;
- паспортные данные;
- адрес регистрации по месту жительства и адрес фактического проживания;
- номер телефона (домашний, мобильный);
- данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации;
- семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления мне льгот, предусмотренных трудовым и налоговым законодательством;
- отношение к воинской обязанности;
- сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
- СНИЛС;
- ИНН;
- информация о приеме, переводе, увольнении и иных событиях, относящихся к моей трудовой деятельности в ООО «Ромашка»;
- сведения о доходах в ООО «Ромашка»;
- сведения о деловых и иных личных качествах, носящих оценочный характер.
Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.
__.__.______
__________/___________________ (подпись, расшифровка подписи)
Приложение № 1 к письму ФНС России от 12.10.2017 № БС-4-21/20636@ Форма по КНД 1150059
Типовая (рекомендуемая) форма согласия налогоплательщика — физического лица на обработку и распространение персональных данных в связи с необходимостью запроса налоговой инспекции в орган, организацию, должностному лицу, у которых имеются сведения, подтверждающие право налогоплательщика на налоговую льготу
-
Сведения о лице, выражающем согласие на обработку персональных данных:
- Фамилия: __________________________________________________________________
- Имя: ______________________________________________________________________
- Отчество (при наличии): ___________________________________________________
- Адрес: ____________________________________________________________________
- Сведения о документе, удостоверяющем личность:
- Вид документа: ____________________________________________________________
- Серия и номер документа: __________________________________________________
- Дата выдачи документа: ____________________________________________________
- Орган, выдавший документ: _________________________________________________
-
Содержание согласия на обработку персональных данных:
-
Подпись субъекта персональных данных: _________________/_________________________/
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» в связи с поданным мною в налоговый орган заявлением от «__»________ 20__ г.
о предоставлении налоговой льготы по транспортному налогу, земельному налогу, налогу на имущество физических лиц (далее — заявление), в котором указаны мои персональные данные, настоящим выражаю согласие на их обработку, использование и распространение налоговым органом в целях и в объеме, необходимых для направления запроса в орган, организацию, должностному лицу, у которых имеются сведения, подтверждающие мое право на указанную в заявлении налоговую льготу.
Перечень персональных данных, на обработку которых дается настоящее согласие, совпадает с полным содержанием моих персональных данных, указанных в заявлении.
Настоящее согласие дается с момента получения налоговым органом моего заявления на срок, необходимый для завершения рассмотрения заявления, и может быть отозвано способом и в форме, совпадающими со способом и формой представления мною заявления.
Образец отзыва согласия на обработку его персональных данных
Как известно, свое согласие на обработку персональных данных можно отозвать в любое время. Для этого необходимо написать заявление. Оно пишется в свободной форме, но должно содержать определенные законом сведения. Такой отзыв может выглядеть так:
- Руководителю ООО «Ромашка» ______________ (ФИО)
- от ______________________________________ (ФИО)
- зарегистрированного по адресу: _________________
паспорт серии 00 00 № 123456 выдан __.__._______
_________________________________ (кем выдан)
Отзыв согласия на обработку его персональных данных
Я, ______________________________ (ФИО полностью), в соответствии с частью 2 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», отзываю у общества с ограниченной ответственностью «Ромашка» согласие на обработку моих персональных данных.
Прошу прекратить обработку моих персональных данных в течение трех рабочих дней с момента поступления настоящего отзыва.
__.__.______
__________/___________________ (подпись, расшифровка подписи)
Источник: https://yuridicheskaya-konsultaciya.ru/trudovoe_pravo/soglasie-na-obrabotku-personalnyh-dannyh.html
Согласие сотрудника на обработку персональных данных
Понятие персональных данных дается в ст. 3 одноименного закона № 152-ФЗ от 27.07.2006. Это все сведения, относящиеся к человеку, то есть к физическому лицу. Иными словами, персональными данными можно считать абсолютно любую информацию — от имени до содержания трудовой книжки.
Однако, несмотря на то, что на обработку (то есть изучение, хранение, передачу и т. д.) таких сведений необходимо согласие их носителя, далеко не все из них требуют соблюдения конфиденциальности.
Закон «О персональных данных» делит их на 3 категории:
- общедоступные — основные анкетные данные (имя, отчество, фамилия, гендерная принадлежность, дата рождения и т. д.);
- биометрические — внешние данные и некоторые физиологические особенности (последние — при условии их визуального определения);
- специальные — национальность, вероисповедание, сведения о состоянии здоровья, а также данные о взаимоотношениях с законом (судимость, привлечение к ответственности), частично — информация в сфере занятости (причины увольнения и т. д.).
Согласие на обработку персональныхданных требуется от их носителя только при использовании второй и третьей категорий, то есть специальных и биометрических. Общедоступная информация может использоваться свободно в рамках закона, а также в соответствии с общепринятыми канонами морали и этики.
Защита персональных данных работника
Действующее законодательство об охране личной информации граждан не содержит для них обязательных требований по предоставлению согласия на ее обработку. Таким образом, отказ действующего работника компании подписать согласие на обработку персональных данных по образцу, установленному законодательством, не может рассматриваться работодателем как нарушение трудовой дисциплины.
Обратите внимание! Работодатель вправе без письменного согласия осуществлять обработку тех персональных данных сотрудника, для которых такое согласие не требуется.
Тем не менее, если речь идет о соискателе, трудоустройство которого пока только рассматривается, работодатель может принять во внимание тот факт, что отказ от предоставления согласия на обработку личных данных может повлечь за собой определенных неудобства для организации. О том, какие именно случаи могут потребовать наличия такого документа, мы рассказываем в этом материале.
Поэтому в случае если работодатель находится в процессе выбора между двумя кандидатами со сходными квалификационными и иными существенными характеристиками, он вполне может отдать предпочтение тому из них, который выражает свое согласие с политикой компании в области обращения с личными данным сотрудников.
Законодательные документы не содержат строгого перечисления личных данных. Как правило, сотрудник предоставляет в распоряжение работодателя следующие сведения:
- об образовании;
- трудовом и общем стаже;
- составе семьи;
- воинском учете;
- заработной плате;
- социальных льготах;
- занимаемой должности;
- наличии судимостей;
- адресе по месту регистрации и проживания;
- контактных телефонах;
- местах работы или учебы членов семьи;
- условиях трудового договора;
- наличии декларируемых материальных ценностей;
- материалах по повышению квалификации, переподготовке, аттестации и служебных расследованиях и прочие.
Обработка персональных данных осуществляется с согласия субъекта персональных данных, то есть физлица (подп. 1 п. 1 ст. 6 Закона № 152-ФЗ). Но существуют случаи, когда согласие не нужно, в частности, когда обработка осуществляется для выполнения обязанностей, возложенных на оператора (работодателя) законодательством (подп. 2 п. 1 ст.
6 Закона № 152-ФЗ).
Коммерсант как работодатель обрабатывает персональные данные сотрудника для выполнения своих обязанностей, как стороны трудового договора, а именно составление отчетности, представление сведений о доходах, удержание и перечисление налога, то есть выполняет требования закона. Тем не менее, многие работодатели перестраховываются и запрашивают согласие у всех сотрудников, поскольку формулировки Закона № 152-ФЗ нечеткие, а в Трудовом кодексе эта ситуация не оговаривается.
в согласии работника обязательно должны указываться ФИО и адрес сотрудника и предпринимателя, реквизиты паспорта работника, цель обработки данных (кадровый учет, отчетность); перечень данных, на обработку которых дается согласие; перечень действий с персональными данными, на совершение которых дается согласие; срок действия согласия, способ отзыва, подпись работника (ст. 9 Закона № 152-ФЗ).
Нужно ли согласие работника, если коммерсант самостоятельно не составляет отчетность, а привлекает сторонних специалистов? Однозначного ответа на данный вопрос нет, разъяснений ведомств тоже. Отдельные налоговые представители требуют предоставить согласие каждого сотрудника и даже предлагают собственный бланк заявления.
Конечно, документ лишним не будет и обезопасит от возможных претензий контролеров. Поэтому, если работников немного, согласие лучше получить от каждого.
В этом случае в заявлении помимо прочего указывается лицо (нанимаемый специалист, фирма), кому будут предоставляться персональные данные.
С другой стороны налоговый агент становится представителем работодателя и, представляя отчетность, действует от его имени, то есть в рамках трудового законодательства.
Образец
Согласие работника на обработку персональных данных
ИП Смирнову А. С. от менеджера Киселевой Е. Н. Заявление на обработку персональных данных Я, Киселева Елена Николаевна зарегистрированный (ая) по адресу:__г. Москва, ул. Смольная, д. 7, кв. 15 паспорт серия _45 04_ № _123456_, выдан _ОВД «Левобережный» г. Москвы 15.04.2002 даю согласие __Индивидуальному предпринимателю Смирнову Антону Сергеевичу адрес: ___г. Москва ул. Полярная, д. 25, кв. 75
|
- «Шапка». Некоторые компании структурируют согласие по форме заявления, некоторые обходятся без верхнего углового блока. В первом случае справа вверху указывается адресат – руководитель компании или лицо, отвечающее за обработку персональных данных.
Затем данные работника (только ФИО, или с указанием должности, или адреса, паспортных или контактных данных в случае соискателя). После по центру непосредственно название документа: «Согласие на обработку персональных данных работника».
- Информация о субъекте. Обязательно указать фамилию, имя и отчество полностью, адрес, номер и серию паспорта, дату его получения и орган выдавший документ.
- Законодательное основание. Согласно ст.9 Федерального закона «О персональных данных».
Информация о должностном лице, ответственном за работу с персональными данными. Полное название и адрес компании, ФИО должностного лица, получающего согласие. Если обрабатывать данные будет сторонний подрядчик – аналогичные сведения о нем.
- Цель обработки персональных данных. Трудовой кодекс разрешает только цели, связанные с исполнением законодательства, содействием в трудоустройстве, обучении и карьерному росту сотрудника, обеспечением безопасности на рабочем месте и контроля над качеством выполнения работы.
Например, в качестве цели могут быть указаны оформление и начисление заработной платы, предоставление отчетности, обмен информации с Пенсионным фондом и другими страховыми структурами и прочее.
- Перечень персональных данных. Перечислите конкретные категории данных (ФИО, паспортные данные, дата рождения, информация об образовании и т.д.) на обработку которых соглашается работник.
- Перечень действий с данными и способ обработки. Например, действиями могут быть сбор, систематизация, хранение, а способ – автоматизированный или неавтоматизированный.
- Срок действия. В течение трудового договора и 75 лет по его истечению, так как после увольнения работодатель несколько лет, в зависимости от сферы деятельности, должности и прочего, должен хранить личное дело, в котором содержится соответствующая информация, а затем передать его в архив.
- Способ отзыва, если иное не установлено федеральным законом. По закону субъект может отозвать разрешение на обработку его данных в любой момент. Укажите, следует ли это делать письменно, и в какой период компания обязуется отреагировать.
- Подпись субъекта. Внизу бланка ставится личная подпись работника и дата подписания согласия.
Вне зависимости от того, является ли ваша компания оператором персональных данных, или нет, закон прямо накладывает на работодателя определенные обязательства в отношении личной информации о работниках.
Любой сотрудник, считающий, что его сведения о нем используются неправомерно, имеет право обратиться за защитой в Роскомнадзор.
Законодательство предусматривает административную ответственность за нарушения в виде штрафа до 75 тысяч рублей. Сумма, возможно, не пугающая, но стоит понимать, что при проверке нарушение и штраф могут оказаться не единичными. Благоразумнее здраво оценить, под какие нормы и требования подпадает конкретно ваша компания, и оформить все надлежащим образом.
Источник: https://vannacity.ru/tovar/soglasie-sotrudnika-obrabotku-personalnykh-dannykh/
Хранить нельзя удалять: 19 вопросов рекрутеров о персональных данных
Поэтому мы создали систему управления персоналом Talantix, в которой автоматизировали сбор разрешений на использование персональных данных кандидатов.
Неделю назад Сергей Кортиков, ведущий консультант по информационной безопасности АО «Винтегра Секьюрити», Наталья Родякина, менеджер по развитию продукта Talantix, и Юрий Донников, директор юридического департамента hh.
ru, провели митап, на котором разъяснили суть закона «О персональных данных» и расcказали, как соблюдать его требования.
Мы собрали в статье самые интересные вопросы, которые задали участники митапа, и экспертные ответы на них. Все выступления вы можете посмотреть в записи.
По закону, общедоступная информация — та, к которой доступ не ограничен. Общедоступные персональные данные — это данные, неограниченный доступ к которым субъект предоставил со своего согласия, причем письменного.
Закон допускает получение согласия кандидатов через веб-форму. Когда у вас настроен автоматизированный сбор согласий, Роскомнадзор не будет проверять по отдельности наличие согласия каждого человека в базе данных. В случае проверки важно продемонстрировать, как идет процесс.
Например, ваш сбор согласий через сайт подтвержден внутренним приказом, и часть вашей системы в виде скриншота в этом приказе отражена, то есть у вас есть внутренние документы, которые такое получение согласия описывают.
Текст согласия также утвержден каким-либо локальным актом вашей организации.
Если вы можете продемонстрировать Роскомнадзору все эти документы и показать, что согласия собираются, этого должно быть достаточно, и не нужно будет просить согласие два раза.
Редко бывают случаи, когда требуется непосредственно письменное согласие. Можно решить это так: когда кандидат пришел на собеседование, попросите его подписать разрешение.
Вы должны их удалять после того, как вакансия, на которую рассматриваются субъекты, будет закрыта. Если же кандидаты просто присылают свои резюме не на какую-либо конкретную вакансию, то их также после просмотра необходимо удалить. Нужному вам кандидату необходимо отправить письмо с согласием на обработку.
Это специальные категории персональных данных: биометрические персональные данные, ограниченные для передачи в определенные страны; информация о здоровье, религиозных взглядах, политических взглядах. Но в кадровом делопроизводстве обычно такие данные не встречаются.
Это уже конфликт с субъектом. Он также может сказать, что его подпись на согласии подделана.
Все, что можно сделать в этой ситуации, — продемонстрировать, что к вам пришел человек и сообщил, что будет с вами общаться с конкретного почтового ящика.
Суд должен встать на вашу сторону, потому что у вас не было оснований считать, что пишет какой-то другой человек. Но как конкретно развернется дело, сказать сложно.
Пока вы работаете в рамках hh.ru, то вы остаетесь в контуре той оферты, которую принимает каждый пользователь этого ресурса, и вы можете вести переписку, приглашать на интервью и так далее, ни о чем не беспокоясь.
Если вы скопировали или распечатали данные, в этот момент hh.ru заканчивается, и начинается ваше самостоятельное использование этих персональных данных.
На то, что вы делаете с ними вне сайта, нужно согласие: например, распечатываете, сохраняете себе на флешку, переносите во внутреннюю систему.
Возможно, кадровое агентство уже позаботилось об этом, поэтому важно уточнить у кадрового агентства, в какой форме они собирают согласия.
В этих формах должно быть обозначено, что данные будут передаваться в кадровый резерв третьих лиц. У вас должна быть копия этого согласия на случай проверки.
Ну и на уровне договора с подрядчиком можно прописать, кто и как обходится с персональными данными кандидатов. Этот договор также можно предоставить в случае проверки.
Во-первых, в согласии важно прописать трансграничную передачу, если данные размещаются на серверах этой компании. Во-вторых, необходимо прописывать предоставление данных третьим лицам и то, с какой целью другие члены организации могут иметь доступ к данным.
В странах СНГ свои законы о хранении и обработке персональных данных, требования различаются. Здесь все зависит от того, чье именно законодательство в конкретный момент времени вам надо выполнять. В этих законах также обозначена территория, на которой они действуют.
В каких-то случаях закон будет действовать только на территории определенного государства, а в каких-то случаях вы будете обязаны особым образом подходить к обработке данных иностранных граждан. Но так как вы находитесь в России, то вы должны выполнять требования закона об обработке и хранении персональных данных и запрашивать согласие.
В случае специальных требований других стран нужно исходить из ситуации.
Нет, запрашивать нужно согласие только на те данные, с которыми вы в дальнейшем собираетесь работать. Паспортные данные вы можете запросить, например, для идентификации конкретного соискателя, но так как вы не собираетесь ничего с ними делать, то и согласие не нужно.
Можно решить с помощью одного общего согласия, в котором будет указано и рассмотрение на вакансию, и внесение в кадровый резерв. Даже лучше брать одно согласие, чтобы не нагружать ни себя, ни человека.
Так как ваша цель достигнута (люди отработали, уволились), у вас нет формальных оснований хранить эти данные. Поэтому для хранения необходимо запросить у людей в какой-либо форме эти согласия. Либо удалить или обезличить, оставив для себя статистические данные: например, у вас работало столько-то человек такого-то года рождения.
Принцип, по которому Роскомнадзор выбирает компании для проверки, неизвестен. Обычно они публикуют план проверок, с которым можно ознакомиться на их сайте.
Сложно сказать, в какой момент Роскомнадзор захочет углубиться и посмотреть какие-либо этапы процесса работы с данными подробнее. Все зависит от конкретной ситуации и позиции проверяющего.
Он может вдруг попросить посмотреть, как вы храните личное дело, а может и заглянуть в него, а в нем окажется какое-либо нарушение.
Если такое обнаружится в нескольких делах, то проверяющий поймет, что нарушения носят массовый характер.
Роскомнадзор может попросить вас продемонстрировать, как работает вся система по обработке и хранению персональных данных. Например, попросит показать, как вы по электронной почте общаетесь с кандидатами. Или показать бухгалтерию, какие данные фрилансеров хранятся в «1С». Также могут попросить сделать скриншот и положат его в материал проверки. Но сами за компьютер они не могут садиться.
В Talantix процесс автоматизирован: вы можете выбрать список пофамильно или отметить, например, только тех кандидатов, которые откликнулись на конкретную вакансию.
Мы можем настроить для вас чат-бот под ваши задачи, сделаем его как виджет для вашей страницы, и вы сможете его арендовать. Кандидат, кликая на виджет, будет попадать на страницу с чат-ботом в стиле вашей компании. Согласие на обработку персональных данных будет ждать его наверху страницы.
Например, у вас есть фрилансеры, и вы заключаете с ними гражданско-правовые договоры. В силу требований налоговой вы не можете уничтожить договор с фрилансером просто потому, что он вас попросил, даже отправив вам требование, написанное по закону.
Пока у вас есть договор, вы имеете право его данные хранить и обрабатывать, так как вам необходимо будет составлять акт оказанных услуг, начислить страховые взносы, платить налоги.
Потому что налоговая проверка к вам тоже может прийти, и вам необходимо будет предоставить документы, по которым вы работали с фрилансером.
И если Роскомнадзор спросит, почему вы храните данные, если уже не сотрудничаете с фрилансером, то вы можете сослаться на Закон об архивном деле, есть ПБУ, есть Налоговый кодекс, где прописаны свои требования по хранению данных.
Касательно личного дела. Допустим, у вас работал человек, потом уволился. Он имеет право прийти к вам через какое-то время и попросить вас предоставить ему справки о выплаченной зарплате, копии каких-либо документов и другое. И вы должны будете их предоставить, поэтому такие данные необходимо хранить. Закон обязывает вас хранить бухгалтерскую и кадровую документацию, и вы это делаете.
Процедура уничтожения персональных данных должна быть регламентирована и описана.
Если это материальный носитель, то в регламенте должно быть прописано, что собирается комиссия, носитель уничтожается и составляется акт об уничтожении материального носителя.
К примеру, вы хранили данные на жестком диске. Вы его уничтожаете и составляете акт. Роскомнадзор может попросить вас продемонстрировать экземпляр этого акта.
Субъект с такой просьбой может к вам обратиться в любой момент времени, здесь нет срока давности. Но ваши сроки хранения данных вам необходимо прописывать во внутренних регламентах.
Попробовать систему Talantix
Источник: https://hh.ru/article/509405
Нужно ли перезаключать соглашения на обработку персональных данных с работниками при смене ими паспорта или прописки?
Уважаемый пользователь, Вы пользуетесь устаревшим браузером, который не поддерживает современные веб-стандарты и представляет угрозу вашей безопасности. Для корректного отображения сайта рекомендуем установить актуальную версию любого современного браузера:
Google chrome Opera Firefox Safari Internet Explorer
Прочитать в мобильной версии сайта
Молния
Рассмотрев вопрос, мы пришли к следующему выводу:
Получать новое согласие работника при изменении его персональных данных не нужно при условии, что срок действия первоначального не истек или оно не было отозвано работником. Тот факт, что в самом согласии указаны прежние персональные данные, не отменяет и не изменяет действие данного согласия и не делает его недействительным.
Обоснование вывода:
1. Согласно ст. 3 Федерального закона от 27.07.
2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
При обработке персональных данных оператор должен руководствоваться принципами, сформулированными в ст. 5 Закона N 152-ФЗ. Так, надлежит учитывать, что обработке подлежат только персональные данные, которые отвечают целям их обработки (п. 4 ч. 1 ст. 5 Закона N 152-ФЗ).
Обрабатываемые персональные данные не могут быть избыточными по отношению к заявленным целям их обработки (п. 5 ч. 1 ст. 5 Закона N 152-ФЗ). При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность (п. 6 ст. 5 Закона N 152-ФЗ).
Заключая трудовой договор лицо, поступающее на работу, предъявляет работодателю документы, указанные в части первой ст. 65 ТК РФ. В этих документах содержатся персональные данные лица, ищущего работу. Если предстоящая обработка персональных данных не подпадает под исключения, предусмотренные п.п. 2-11 ч. 1 ст. 6, п.п. 2-10 ч. 2 ст.
10 Закона N 152-ФЗ, то работодателью необходимо получить согласие гражданина на обработку его персональных данных (п. 1 ч. 1 ст. 6, п. 1 ч. 2 ст. 10 Закона N 152).
Согласие на обработку персональных дается субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом (ч. 1 ст. 9 Закона N 152-ФЗ).
Исключительно в письменной форме согласие требуется, в частности, на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, биометрических персональных данных, на трансграничную передачу персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных. Требования к содержанию такого согласия изложены в ч. 4 ст. 9 Закона N 152-ФЗ. Если согласие на обработку персональных данных составляется в форме электронного документа, то оно должно быть подписано электронной подписью.
При иных обстоятельствах, по смыслу приведенных норм, согласие на обработку персональных данных может быть дано в любой форме: например, путем включения соответствующего пункта в договор, анкету или иной документ, если при этом его содержание отвечает установленным законом требованиям к содержанию письменного согласия (смотрите разъяснения Роскомнадзора от 14.12.
2012). Отметим, что ни Трудовой кодекс РФ, ни Закон N 152-ФЗ не устанавливают обязанности оператора при изменении персональных данных работника требовать от него новое согласие на обработку персональных данных, если срок действия первоначального не истек или согласие не было отозвано работником (ч. 2 ст. 9 Закона N 152-ФЗ).
Тот факт, что в самом согласии указаны прежние персональные данные (п. 1 ч. 4 ст. 9 Закона N 152-ФЗ), не отменяет и не изменяет действие данного согласия и не делает его недействительным.
Полагаем, что оно продолжает действовать — вне зависимости от изменения «внутреннего содержания» персональных данных, указанных в перечне, поскольку данные обстоятельства никак не порочат волеизъявление субъекта персональных данных.
На наш взгляд, достаточно внести изменения в учетные документы, содержащие персональные данные работника (трудовую книжку, личную карточку работника*(1) и др.)*(2). Так, например, в одном из дел суд счел доверенность на представительство интересов истца действительной, несмотря на то, что фамилия представителя была изменена.
Представленные документы, подтверждающие факт изменения фамилии: свидетельство о заключении брака и копия паспорта на новую фамилию позволили суду идентифицировать личность представителя, подписавшего исковое заявление (постановление ФАС Западно-Сибирского округа от 06.04.2011 N Ф04-1475/11 по делу N А45-15480/2010). Очевидно, что такой же подход должен быть использован и в рассматриваемом случае.
2.
Равным образом не предусматривает действующее законодательство обязанности работника (субъекта персональных данных) предоставлять работодателю (оператору) сведения об изменении своих персональных данных, наделяя его только правом требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (ст. 89 ТК РФ, ч. 1 ст. 14 Закона N 152-ФЗ). В то же время такая обязанность установлена, например, пенсионным законодательством. Так, в ст. 14 Федерального закона от 01.04.1996 N 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» (далее — Закон N 27-ФЗ) указано, что работники (застрахованные лица) обязаны предоставлять сведения работодателю и заполнять необходимые документы в случае изменения сведений, содержащихся в его индивидуальном лицевом счете. Работник (застрахованное лицо) обязан предъявить работодателю (страхователю) документы, подтверждающие сведения о новом адресе, и заполнить соответствующие формы (абз. второй и четвертый п. 2 ст. 9, п. 2 ст. 6 Закона N 27-ФЗ). К сожалению, Закон N 27-ФЗ не устанавливает сроков представления таких документов. Однако ничто не препятствует работодателю в целях обеспечения соблюдения законов конкретизировать данную обязанность в локальном нормативном акте и определить способы и сроки сообщения работниками об изменении тех сведений, которые необходимы работодателю для соблюдения правовых предписаний. При этом работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области (пп. 8 ст. 86 ТК РФ).
Источник: http://www.bashinform.ru/likbez/1149078/
Срок действия согласия на обработку персональных данных
Субъектам хозяйствования, независимо от формы собственности, необходимо собирать, обрабатывать, хранить персональные данные (ПДн) работников, партнеров по бизнесу и других лиц.
Получать согласия на обработку персональных данных нужно с соблюдением требований законодательства.
Оператору также нужно знать, сколько может действовать такое согласие, чтобы при выполнении любых действий с ПДн не нарушать требования законодательных актов.
Срок действия согласия
Хранить и обрабатывать личные данные оператор может на протяжении некоторого срока. Для этого нужно получить у субъекта ПДн одобрение на их использование, в котором указывается период его действия. Но в законе о персональных данных № 152 не указываются эти граничные сроки (гл. 2 з-на). Соответственно, нужно установить этот срок, опираясь на взаимно подписанное соглашение.
Предусматривается три варианта фиксации срока такого разрешения:
1. Можно установить ограниченное время на использование и хранение ПДн, прописав конкретную дату, до которой разрешение будет юридически законным. В таком случае нужно учитывать, что по окончании этого срока может понадобиться применить личные сведения гражданина.
Но до оформления нового разрешения воспользоваться ими не разрешается, поэтому можно потерять много времени на документальные проволочки, что иногда тянет за собой проблемы.
Нужно постоянно контролировать граничные сроки действия разрешения и до окончания указанной в нем даты оформить новое одобрение.
2. Следующий способ: вписать в разрешение срок действия данного документа – до реализации условий, при которых обработка ПДн будет прекращена. В согласии гражданина на обработку его ПДн нужно указать какое-либо событие вместо конкретного числа.
Это может быть дата увольнения сотрудника, выполнение какой-либо услуги. Такой формат срока действия разрешения более приемлем в плане уменьшения затрат времени на бумажную фиксацию этого разрешения. Пока сотрудник не уволился, не нужно контролировать его сведения, чтобы отслеживать срок действия полученного от него согласия.
Также не требуется подписывать новое разрешение, если срок старого истек.
3. Можно воспользоваться комбинированным вариантом определения срока действия согласия, при котором устанавливается дата окончания и наступления конкретного события.
Примером такого способа может служить оформление займа в банке. Кредитор рассчитывает использовать сведения о заемщике на протяжении трех лет после закрытия кредита.
Соответственно, в соглашении указывается срок – на протяжении трех лет с даты окончания действия договора кредитования.
Содержание согласия
В законе о ПДн № 152-ФЗ прописан ряд обязательных требований в отношении оформления согласия на пользование личными сведениями, которые нельзя игнорировать. Во время формирования согласия важно тщательно проработать и внести следующую информацию:
- цель – не каждый гражданин хочет, чтобы его личные сведения были доступны всем. Нужно указать в одобрении, с какой целью требуется обрабатывать ПДн, кто будет иметь доступ к этой информации. К примеру, если работник будет выходить на пенсию, кадровик должен передать его документы Пенсионному фонду. От оперативности передачи данных будет зависеть своевременность назначения пенсии. Но если сотрудник рассчитывает на действия с его личными данными исключительно для работы, он может проявить свое недовольство тем, что его руководством переданы сведения о нем для действий, не связанных с работой;
- отрезок времени, на протяжении которого ПДн гражданина будут использоваться. Нужно прописывать срок действия согласия на обработку персональных данных. К примеру, работник два года назад прекратил трудовые отношения с компанией, а бывший работодатель предоставляет его личные сведения в целях оформления карты для зачисления заработной платы в определенном банке. Это может привести к недовольству бывшего сотрудника. Не нужно игнорировать необходимость установки периода обработки ПДн, чтобы избежать проблем с обращением работника в судебные органы или прокуратуру;
- срок хранения документов с ПДн. Если согласие на использование персональных данных было дано для каких-либо конкретных целей, то их уничтожение должно быть произведено на протяжении 1 месяца после того, как цель достигнута. Это требование регламентировано статьей 21 ФЗ № 152. Как только стороны выполнят свои обязательства в отношении друг друга, сведения хранить не имеет смысла.
Нужно знать, что законодательство требует хранить документацию, касающуюся сотрудника, на протяжении 75 лет. Это касается и личной информации.
Продление сроков
Если необходимо продлить срок действия согласия на какой-либо период после окончания указанной в нем даты, выполнить это можно следующим образом:
- заключить дополнительное соглашение;
- сделать новое разрешение;
- внести в его текст возможность автоматического продления на конкретный период.
Чтобы избежать конфликтов, недоразумений между сторонами, лицо, уполномоченное на обработку ПДн, должно владеть знаниями о требованиях актуального законодательства и обеспечить их выполнение.
Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/obrabotka-personalnyh-dannyh/soglasie-na-obrabotku-personalnykh-dannykh/srok-dejstviya-soglasiya-na-obrabotku-personalnykh-dannykh/