17.08.2021
Законодательство о персональных данных известно своими категоричностью и строгостью: за нарушение отдельных положений закона о персональных данных предусмотрены одни из самых высоких административных штрафов, а в некоторых случаях возможно наступление и уголовной ответственности. Поэтому неудивительно, что предприниматели всегда очень трепетно подходят к вопросам соблюдения данного законодательства.
В рамках сегодняшнего материала мы расскажем о том, в каких случаях нужно оформлять согласие работника на обработку персональных данных, как его оформлять, и что должно быть указано в этом согласии.
В каких случаях необходимо оформлять письменное согласие работника?
Закон предусматривает ряд случаев, когда обработка персональных данных должна осуществляться строго при наличии письменного согласия работника. К таким ситуациям относятся, например, следующие случаи:
1) работодатель получает персональные данные работника у третьих лиц (например, для проверки подлинности диплома запрашивает сведения об образовании работника и т.п.);
2) работодатель передает данные третьим лицам (например, при организации корпоративного обучения или передачи бухгалтерии, а также кадров на аутсорсинг и т.п.);
3) работодатель обрабатывает специальные категории персональных данных работника, касающиеся расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждений и др.;
4) обработка биометрических персональных данных работника (например, использование фотографии работника на пропуске на территорию работодателя).
В отдельных случаях можно обрабатывать персональные данные без согласия работника (например, при исполнении договора, стороной или выгодоприобретателем которого является субъект персональных данных, в том числе при исполнении трудового договора), но, по общему правилу, оно требуется. При этом именно работодатель должен будет в случае спора доказать, что он получил согласие работника на обработку персональных данных либо что оно не требовалось.
За обработку персональных данных без согласия работника (когда оно требуется в силу закона) работодатель может быть привлечен к административному штрафу в размере от 30 000 до 150 000 рублей, а генеральный директор и иные лица, ответственные за обработку персональных данных – в размере от 20 000 до 40 000 рублей. А если обрабатываются персональные данные, составляющие личную или семейную тайну работника, то должностные лица, ответственные за обработку персональных данных, могут быть привлечены к уголовной ответственность вплоть до лишения свободы. Также возможно предъявление работником гражданских исков о возмещении убытков и компенсации морального вреда, вызванных незаконной обработкой персональных данных. Помимо этого, в отношении работодателя могут быть возбуждены проверки органами прокуратуры и Роскомнадзором.
Поэтому мы рекомендуем в любом случае оформлять согласия на обработку персональных данных в письменной форме.
Отдельно отметим, что микропредприятиям и некоммерческим организациям, использующим для заключения с работниками типовую форму трудового договора, утвержденную Правительством РФ, не нужно оформлять согласие отдельным документом, так как оно уже включено в эту типовую форму.
Какие требования предъявляются к согласию работника на обработку персональных данных?
Согласие должно обязательно содержать перечень сведений, указанный в законе. Нарушение данного требования рассматривается контролирующими органами и судами как неполучение согласия на обработку персональных данных.
Кроме того, согласие должно быть конкретным.
Это означает, что согласие не может содержать каких-либо абстрактных и общих формулировок.
Например, если персональные данные работника будут передаваться третьим лицам, то в согласии должен быть указан конкретный перечень персональных данных, которые будут передаваться, а также исчерпывающий перечень третьих лиц, которым они будут передаваться.
Иными словами, ограничиться формулировкой вроде «работник дает согласие на передачу своих персональных данных любым третьим лицам» или «работник дает согласие на передачу своих персональных данных третьим лицам, с которыми у работодателя заключены договоры» будет недостаточно.
Согласие должно быть информированным.
Иными словами, работник должен быть предупрежден о последствиях дачи согласия, ему должна быть предоставлена вся необходимая и достоверная информация, касающаяся обработки персональных данных, в частности о:
Согласие также должно быть сознательным.
Данный критерий предполагает осмысленное принятие решения работником о даче согласия на обработку его персональных данных. Следует учитывать, что работник имеет право отказаться от дачи указанного согласия или отозвать его.
Нарушением данного требования будет, например, безапелляционное включение в трудовой договор согласия работника на обработку персональных данных (исключением является типовая форма, утвержденная Правительством РФ). Поэтому мы рекомендуем оформлять согласие на обработку персональных данных в качестве самостоятельного документа, который работник может отказаться подписывать без ущерба для трудового договора.
Указанные нарушения влекут ту же ответственность, что и обработка персональных данных без согласия работника в случаях, когда такое согласие требуется в силу закона.
Есть ли способы не запрашивать у работника новое согласие каждый раз, как у работодателя меняется подрядчик?
Многие предприниматели не имеют собственную бухгалтерскую, кадровую или юридическую службы, а обращаются в консалтинговые компании, финансово-правовые бутики и к частным лицам. Бывают и так, что эти лица регулярно меняются.
Принимая во внимание, что их деятельность так или иначе связана с обработкой персональных данных работников, раньше пришлось бы получать новое согласие при каждой смене таких подрядчиков.
Однако в 2020 году в закон о персональных данных были внесены изменения, которые позволяют получать так называемое универсальное согласие на обработку персональных данных, разрешенных для распространения.
Требования к такому согласию установлены Приказом Роскомнадзора от 24.02.2021 №18, который вступает в силу с 1 сентября 2021 года.
При получении универсального согласия работника необходимо дать ему возможность определить перечень данных по каждой категории данных, разрешенных для распространения.
Работник вправе также установить, например, запрет на передачу (кроме предоставления доступа) данных неограниченному кругу лиц.
Такое согласие должно быть самостоятельным, не зависящим от общего согласия на обработку персональных данных.
С 1 июля 2021 года появится возможность давать и получать такое согласие через информационную систему Роскомнадзора.
Таким образом, законодательство о персональных данных предъявляет высокие, но при этом весьма понятные требования к согласию об обработке персональных данных, а уголовный кодекс и кодекс об административных правонарушениях устанавливают строгое наказание за, казалось бы, на первый взгляд, безобидное нарушение. Оттого мы рекомендуем оформлять согласия на обработку персональных данных с каждым работником. В особенности в случаях, когда у работодателя нет ответственного лица, которое бы контролировало обработку персональных данных без согласия работника исключительно в пределах, разрешенных законодательством.
Если у Вас остались вопросы относительно порядка обработке персональных данных, мы всегда рады помочь – просто перейдите по ссылке, оставьте свои контактные данные и наши специалисты свяжутся с Вам в ближайшее время!