Работник отзывает согласие по обработке персональных данных. Может ли он своих персональных данных при приеме на работу?

Согласие на обработку персональных данных

Узнайте, в каких случаях требуется согласие на обработку персональных данных и как его правильно оформить, чтобы избежать солидного штрафа и претензий Роскомнадзора. Образцы письменного согласия и заявления об отзыве — в статье.


Скачайте полезный документ:


Политика обработки персональных данных в организации 

Любые недочеты и ошибки в работе с персональными данными (ПД) грозят работодателю крупными штрафами. Поэтому политика в отношении обработки персональных данных персонала должна быть максимально строгой, последовательной и прозрачной. 

Не нарушайте закон:

  1. Запрашивайте персональные данные о сотруднике у него лично.
  2. Если получить требуемые ПД можно только от третьих лиц, предварительно уведомьте об этом сотрудника, назовите источник, объясните цель обработки персональных данных и получите письменное согласие.
  3. Не собирайте и не обрабатывайте сведения о вероисповедании, политических взглядах, состоянии здоровья родственников и другую информацию, никак не связанную с трудовой деятельностью работника. Речь идет о личной либо семейной тайне, которую гражданин вправе не разглашать, за исключением случаев оформления алиментов, пособий, дополнительных отпусков и прочих социальных гарантий.
  4. Не распространяйте и не раскрывайте третьим лицам ПД работника без его согласия.
  5. Храните карточки Т-2, личные дела сотрудников и другие документы, содержащие сведения личного характера, в сейфах и помещениях ограниченного доступа. 

Полный список требований, которым должна подчиняться политика обработки персональных данных на любом предприятии, закреплен федеральным законом №152-ФЗ от 27.07.2006. 

Когда требуется разрешение на обработку персональных данных 

2 правила, которых нужно придерживаться:

  1. Если информация общедоступна, согласие на ее получение и обработку не требуется.
  2. Если информация не общедоступная, работник должен дать согласие на обработку персональных данных.

Кадровые процедуры часто связаны с обработкой сведений о сотрудниках и соискателях. Если информация общедоступна, согласие на ее получение и обработку не требуется. Речь идет о данных, которые есть в открытом доступе, публикуются в адресных книгах и телефонных справочниках. Иными словами, не требуют специальной охраны. 

Например, информацию из резюме, размещенного в газете, журнале или на интернет-сайте с неограниченным доступом, можно обрабатывать без разрешения соискателя. Но если работодатель собирает не общедоступные сведения, работник должен дать согласие на обработку персональных данных.

Это требование распространяется и на биометрические данные, с помощью которых можно идентифицировать человека: отпечатки пальцев, видеозаписи, фотографии. 

Вопрос-ответ от эксперта «Системы Кадры»

Относится ли фотография к персональным данным?

Рассказывает Нина Ковязина, заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России

Под персональными данными понимается любая информация, которая прямо или косвенно относится к определенному физическому лицу (субъекту персональных данных). Фотография представляет собой визуализированный способ подачи информации, именно по ней можно идентифицировать человека. Таким образом, фотографию можно отнести…

Читать дальше >>>

Как выглядит письменное согласие на обработку персональных данных (образец) 

Унифицированная форма согласия на обработку персональных данных не разработана.

Законодатель устанавливает ряд требований к его содержанию. Документ, составленный в произвольной или утвержденной работодателем форме, должен соответствовать условиям части 4 статьи 9 закона №152-ФЗ. 

Что должно быть в документе:

  1. ФИО, адрес и реквизиты паспорта сотрудника;
  2. наименование и реквизиты работодателя;
  3. перечень обрабатываемых ПД и цель их сбора;
  4. список конкретных действий, на совершение которых дается согласие;
  5. срок действия согласия и способ его отзыва. 

Чтобы не упустить из виду важные детали, используйте типовое согласие на обработку персональных данных, бланк которого уже содержит все необходимые сведения. Шаблонные формулировки можно менять и дополнять.

Например, заменять фразу «выражаю согласие» на «даю согласие на обработку персональных данных», расширять или сужать перечень разрешенных операций в отношении ПД, ограничивать продолжительность действия документа. Прописывая срок действия, не обязательно указывать точную дату. Согласие может действовать бессрочно, до прекращения трудового договора, до достижения конкретной цели, оговоренной сторонами — допустимы любые формулировки. 

Важное и полезное для работодателя условие — пункт о необходимости своевременно сообщать об изменении номера телефона, места жительства, фамилии и т.д. Узнайте в журнале «Кадровое дело» как оформляется согласие на обработку персональных данных (образец дан ниже) и передачу информации третьим лицам.

Скачать образец в Системе Кадры

Документ заверяется личной подписью сотрудника. 

Внимание! Письменное согласие как правовое основание обработки персональных данных запрашивается не только у действующих сотрудников организации, но и у соискателей, с которыми работодатель еще не состоит в трудовых отношениях (см. разъяснение Роскомнадзора от 14.12.2012).

Обработка персональных данных сотрудника без письменного разрешения — серьезное правонарушение, за которое работодателю грозит максимальный штраф по статье 13.11 КоАП РФ: от 10 000 до 20 000 рублей для должностных лиц, от 15 000 до 75 000 рублей — для организаций. Узнайте в журнале «Кадровое дело», за какие еще ошибки при работе с персданными работодатели выплачивают крупные штрафы

Что делать, если сотрудник отозвал согласие на обработку персональных данных 

Отозвать согласие о персональных данных можно в любой момент. Для этого достаточно написать заявление в произвольной форме на имя руководителя компании, не уточняя причину отзыва. Работодатель обязан его принять и в указанный в заявлении срок прекратить обработку ПД заявителя.


Скачайте документ по теме:


С этого момента обработка сведений личного характера, непосредственно касающихся сотрудника, допустима только в случаях, предусмотренных статьями 6, 10 и 11 федерального закона №152-ФЗ. 

7 случаев, когда обработка ПД без согласия работника правомерна:

  1. В связи с его участием в судопроизводстве или для исполнения судебного акта.
  2. Для достижения целей, предусмотренных законодательством РФ или международными договорами.
  3. Для исполнения полномочий органов местного самоуправления, федеральной власти, государственных внебюджетных фондов.
  4. Для защиты жизни, здоровья или жизненно важных интересов самого работника;
  5. В исследовательских и научных целях (только при условии обязательного обезличивания данных).
  6. Для осуществления профессиональной деятельности средств массовой информации, журналистов, литераторов (при условии соблюдения законных прав и интересов работника).
  7. Если сведения считаются общедоступными или подлежат обязательному раскрытию в соответствии с законом. 

Когда можно не запрашивать согласие

Не нужно запрашивать согласие, если информация используется в рамках исполнения трудового договора, заключенного с работником, или обязанностей, возложенных на работодателя законодательством. Иными словами, можно передать данные без ведома и разрешения сотрудника в Пенсионный фонд, налоговую инспекцию, военкомат, суд или прокуратуру. Также не запрещается обрабатывать сведения, необходимые строго для заполнения личной карточки (унифицированная форма Т-2 или локально утвержденный аналог), полученные в результате обязательного предварительного медосмотра или из документов, предоставленных при трудоустройстве (ст. 65 и 69 ТК РФ). 

Но как только компании понадобится дополнительная информация, не связанная с исполнением трудового договора, например, адрес личной электронной почты сотрудника или его фото для оформления бейджа-пропуска, придется запросить разрешение.

Внимание! В случае спора или судебного разбирательства доказывать, что заявление на обработку персональных данных своевременно получено и надлежащим образом оформлено, должен работодатель (ст. 9 Закона №152-ФЗ от 27.07.2006).

Вывод

Прежде чем приступить к сбору и обработке не общедоступных сведений личного характера получите разрешение на обработку персональных данных: бланк заверяется личной подписью сотрудника или его законного представителя. Документ действителен до указанного в нем срока или до отзыва работником. В отсутствие письменного согласия разрешено обрабатывать только данные, без которых работодатель не может исполнить обязательства, возложенные трудовым договором или федеральным законодательством.

Общие требования при обработке персональных данных работника и гарантии 65 ТК РФ и комментарий к ней) при приеме на работу работодатель.

Работник отзывает согласие по обработке персональных данных: можно ли его уволить?

Работодатель, принимая на работу нового сотрудника, запрашивает у него согласие на обработку персональных данных.

Сегодня разберем, что такое персональные данные, какой правовой режим устанавливается в отношении персональных данных и какие обязанности возникают у работодателя.

Трудовой кодекс РФ (далее — ТК РФ) устанавливает особенности защиты, а также хранения, использования и передачи персональных данных работника в Главе 14 «Защита персональных данных работника». Правила работы с персональными данными содержатся в Федеральном законе «О персональных данных» от 27.07.2006 № 152-ФЗ.

Под персональными данными понимаетсялюбая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Т.е. персональными данными является огромное количество информации, позволяющей идентифицировать человека, начиная от даты рождения, фамилии, имени, отчества, и заканчивая информацией о расовой, национальной принадлежности человека, его политических взглядах.

Можно привести примерный перечень персональных данных работника:

  • фамилия, имя, отчество;
  • дата рождения;
  • адрес места регистрации/места жительства;
  • сведения, содержащиеся в документах, предоставляемых при трудоустройстве: паспорте, трудовой книжке, документе об образовании, свидетельстве о государственном пенсионном страховании;
  • сведения о трудовом (страховом) стаже;
  • сведения о привлечении работника к материальной ответственности;
  • сведения о состоянии здоровья и результатах медицинского обследования работника;
  • любые иные сведения, позволяющие определить работника.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В терминах Закона № 152-ФЗ организация-работодатель является оператором персональных данных, так как организует и осуществляет обработку персональных данных, а также совершает иные действия с персональными данными.

Следовательно, работодатель при принятии на работу работника, оформляя должным образом все необходимые документы, будет являться оператором, осуществляющим обработку персональных данных.

Источник получения персональных данных

Источником получения персональных данных о работнике может являться не только он сам. Однако, для исключения возможных неточностей все персональные данные работника следует получать у него самого.

Если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных.

Например, если работодатель решит получить дополнительную информацию о профессиональной подготовке работника в другой организации, то ему необходимо получить письменное согласие работника на такой запрос. Для получения согласия работодатель может направить работнику уведомление о получении персональных данных работника от третьих лиц с просьбой дать согласие на получение таких данных.

Работа с персональными данными

Согласие на обработку персональных данных оформляется исключительно в письменной форме.

Однако из данного правила имеются исключения. В частности, допускается обработка персональных данных в случаях, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Данное правило распространяется и на стороны трудового договора, то есть работника и работодателя.

Из сказанного следует, если работодатель получает от работника, хранит и передает лишь ту информацию, которая необходима для исполнения трудового договора, получение согласия работника на такие действия не требуется.

Возникает большое количество вопросов относительно контактных данных работника, ведь отсутствие такой информации не влечет невозможность исполнения трудового договора. Согласно статье 65 ТК РФ предоставление каких-либо документов с контактными данными не требуется. Поэтому, если работодатель желает получить такого рода информацию (а также иную информацию, неполучение которой не влечет невозможность исполнения договора), ему необходимо получить на это согласие работника.

Между тем, даже если у работника не берется согласие на обработку персональных данных, в целях соблюдения положений статьи 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Статьей 88 ТК РФ установлены требования к передаче персональных данных работника.

Так, работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника и в иных предусмотренных законодательством случаях.

Были даны разъяснения, в каких случаях при передаче персональных данных работника третьим лицам согласия работника не требуется:

  • в Фонд социального страхования РФ, Пенсионный фонд РФ;
  • в банковские организации, открывающие и обслуживающие банковские карты для начисления заработной платы в случаях:
  • когда договор на выпуск банковской карты заключался напрямую с работником и в его тексте предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
  • наличия у работодателя доверенности на представление интересов работника;
  • когда соответствующая форма и система оплаты труда прописана в коллективном договоре

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований законодательства, а именно путем утверждения Положения о хранении и использовании персональных данных работников. В Положении стоит указать порядок допуска к работе с персональными данными, перечень данных, с которыми работают должностные лица, порядок передачи данных внутри и за пределы организации.

Доступ к персональным данным работника должен быть разрешен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

Защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет собственных средств.

Отдельные вопросы порядка работы с персональными данными

Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством. К таким случаям, в частности, относится обработка персональных данных для целей бухгалтерского и налогового учета. Также в случаях наличия согласия работника работодатель вправе хранить копию трудовой книжки уволенного работника.

Интересна позиция Роструда при оформлении пропусков для доступа к месту работы, которые представляют собой копию паспорта работника. Так, на сайте Роструда был задан вопрос, нарушает ли положение о защите персональных данных предъявление такого рода пропуска сотрудникам охранной организации (то есть третьему лицу). По мнению Роструда, оформление такого рода пропусков и обязание работников предъявлять такие пропуска сторонней организации возможно только с письменного согласия работника.

Необходимо отметить, что в случае хранения в личном деле каких-либо документов, касающихся родственников работников (например, копия свидетельства о рождении ребенка для получения вычета, копии свидетельства о заключении брака, др.), работодатель должен получить согласие на обработку персональных данных либо от совершеннолетних членов семьи, либо от самого работника, как полномочного представителя своих несовершеннолетних детей.

Кроме того, в целях соблюдения положений законодательства о персональных данных, не допускается издание одного приказа, например, о переводе нескольких работников на новые должности, так как такой приказ будет нарушать конфиденциальность персональных данных: в приказ включается информация о заработной плате каждого работника, а такие сведения не подлежат разглашению третьим лицам.

Многих работодателей интересует вопрос о возможности ведения видеонаблюдения на территории организации и необходимости получения согласия работников. Из статьи 22 ТК РФ вытекает право работодателя осуществлять контроль за трудовой деятельностью работников. Формы такого контроля законодательством не установлены. Они закрепляются локальными нормативными актами, действующими в организации. Следовательно, для введения системы видеонаблюдения работодателю необходимо издать соответствующий локальный нормативный акт, с которым ознакомить работников.

При осуществлении контроля работодатель обязан соблюдать конституционные права граждан, а также требования законодательства о защите персональных данных работников.

Ответственность за нарушения в сфере обработки персональных данных

Статьей 13.11 КоАП РФ предусмотрена ответственность за обработку персональных данных в случаях, не предусмотренных законодательством РФ, либо их обработка, не совместимая с целями сбора персональных данных. Организация по этой норме будет оштрафована на сумму от 30 000 до 50 000 рублей.

Частью 2 статьи 13.11 КоАП РФ выделен самостоятельный состав правонарушения, который образует обработка персональных данных без письменного согласия их субъекта (работника) либо обработка персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие. Должностному лицу компании-работодателя грозит штраф в размере от 10 000 до 20 000 рублей, а организации — от 15 000 до 75 000 рублей.

По материалам журнала «Наша бухгалтерия»

закон о персональных данныхобработка персональных данныхперсональные данные

Читайте ещё

своих персональных данных при приеме на работу? 6 Закона N ФЗ допускает обработку персональных данных в случаях.

Отказ работника дать согласие на передачу персональных данных

К необходимости выполнять определенные обязанности по работе с персональными данными отделы кадров и службы, заведующие персоналом, уже привыкли. Есть скачанные шаблоны документов, отработанные регламенты. В результате для многих становится большой неожиданностью, когда по итогам проверки Роскомнадзора организация получает штрафы и предписание привести все в соответствие с законом.

Иногда сотрудники, ответственные за работу с персональными данными, даже не понимают, что не так, и что надо исправлять – ведь шаблоны документов все скачивают из интернета, показывают юристам, получают одобрение. Однако это как раз та сфера, в которой очень много привычных, но абсолютно неправильных документов и процедур. Многие и не задумываются, что все это просто не соответствует тому, что написано в законе.

Чтобы избежать штрафов со стороны Роскомнадзора, придется пересматривать прежние правила и принимать новые документы, разбираясь с первоисточником — Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – 152-ФЗ).

В первую очередь это касается согласия на обработку персональных данных. Все давно привыкли, что это обязательный документ, а потому не забывают при приеме на работу выдать новому сотруднику лист бумаги, на котором сплошным текстом набран огромный перечень персональных данных и случаев, куда, как, кому они будут передаваться. Иногда в конце есть еще и приписка «а также иные данные в иных случаях». Почему этот привычный документ в последнее время становится причиной штрафных санкций со стороны Роскомнадзора?

В пункте 4 ст. 9 152-ФЗ дано описание того, как должен выглядеть этот документ – согласие на обработку персональных данных. Обратите внимание на подпункт 4 – он требует, чтобы была указана цель обработки данных, которые оператор (в данном случае – работодатель) собирает. Если вы пишите цель «прием на работу и оформление трудовых отношений», а потом в перечне даете такие персональные данные, как семейное положение, регистрация, наличие и количество детей, а то еще и данные про родственников, то это прямое нарушение, за что вы и получите штраф.

Трудовой кодекс Российской Федерации (далее – ТК РФ) в ст. 86 говорит о том, что «при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, ТК РФ и иными федеральными законами».

Сам ТК РФ дает ограниченный перечень необходимых данных для устройства на работу – он вытекает из документов, которые приведены в ст. 65 ТК РФ. Там идет речь о паспорте, но исключительно как о документе, удостоверяющем личность, а это только первый разворот. Для выяснения отношения к воинской обязанности можно еще глянуть на стр. 13, а вот на остальные страницы кадровик вообще не имеет права смотреть, не то что собирать и обрабатывать. Закон не позволяет.

Да, при этом адрес прописки нужен, например, для передачи бухгалтерских отчетов в ФНС, но это же будет уже другая цель – не оформление трудовых отношений, а «внесение в бухгалтерские системы». Кстати, если вы получили согласие на обработку таких данных, как фамилия, имя и отчество для оформления трудового договора, то это не значит, что вы можете их использовать для той же бухгалтерии или для размещения на корпоративном сайте.

Так можно разобрать текст всего привычного согласия на обработку персональных данных и найти массу нарушений. Как же быть, как правильно составить это согласие?

Прежде всего, надо понять, что одним документом на весь период работы сотрудника вы не обойдетесь. Не пытайтесь в него впихнуть все и сразу – это только приведет к нарушениям. Сделайте правильно основное согласие, а потом будете брать уже узкоцелевые, когда это будет нужно.

Далее, учитывая требования закона, будет удобнее оформить согласие в виде такой таблицы.

Проверьте, чтобы каждой цели соответствовали только те персональные данные, которые разрешены законом. Сами цели тоже не могут выходить за рамки законодательно установленных. Например, кроме ограниченного ряда организаций, работодатель не вправе проводить какие-либо проверки сотрудника, а потому указывать такую цель и требовать под нее данные нельзя. При этом если вы, например, берете человека на должность, по которой предусмотрены зарубежные командировки, можно сразу включить пункт, связанный с этим – это не будет нарушением.

Закончить документ можно вот такой отсылкой.

Соответственно, если в период работы сотрудника понадобится взять у него какие-то еще персональные данные, передать его данные третьей стороне или уже имеющиеся данные использовать с другой целью – просто оформите это отдельным документом.

Конечно, такая работа может показаться более сложной, но это только на первый взгляд. После того как вы разработаете новые формы документов и начнете по ним работать, этот порядок станет таким же привычным, как и ранее существовавший, зато он точно убережет вас от серьезных штрафов.

Запись опубликована автором UCMS Group в рубрике Кадры. Добавьте в закладки постоянную ссылку.

Общие требования при обработке персональных данных работника и гарантии 65 ТК РФ и комментарий к ней) при приеме на работу работодатель.