Если работник не дает согласие на обработку персональных данных

Опубликовано: 07.05.2025

1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ). Введено новое понятие "персональные данные, разрешенные для распространения". Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – "общедоступные персональные данные". Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив персональные данные, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор персданных) будет подразумеваться лицо, которое обрабатывает персональные данные. Под субъектом персональных данных (далее – субъект персданных, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.

Рассмотрим новые правила работы с персданными подробнее.

Для распространения данных нужно получить новое согласие

Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение). Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.

Если физлицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще (п. 4 ст. 10.1 Закона № 152-ФЗ). Это не касается передачи персональных данных государственным структурам, то есть военкомату, ФНС, ФСС, полиции, следственным органам и т. д. Персональные данные физического лица можно передавать им без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).

Молчание или бездействие субъекта персданных ни при каких обстоятельствах не может считаться согласием на распространение его персональных данных (п. 8 ст. 10.1 Закона № 152-ФЗ).

Согласие на распространение может быть предоставлено оператору персональных данных (п. 6 ст. 10.1 Закона № 152-ФЗ):

• например, непосредственно на бумаге с личной подписью (это можно сделать уже сейчас);
• через информационную систему Роскомнадзора (эта возможность будет реализована только с 1 июля 2021 года).

Уведомлять Роскомнадзор о намерении начать обработку персональных данных, разрешенных для распространения, не нужно (пп. 4 п. 2 ст. 22 Закона № 152-ФЗ).

Содержание согласия на распространение персональных данных

Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (п. 9 ст. 9 Закона № 152-ФЗ). На данный момент документ еще не утвержден, он находится на этапе общественного обсуждения, а текст проекта доступен на портале проектов нормативных актов.

Из текста проекта следует, что новое согласие на распространение персданных должно содержать:

• Ф. И. О. субъекта персональных данных;
• контактную информацию субъекта персональных данных (телефон, электронная почта или почтовый адрес);
• наименование или Ф. И. О. и адрес оператора, получающего согласие;
• цель обработки персональных данных;
• категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена;
• условия разрешения и запрета обработки персональных данных;
• срок, в течение которого действует согласие;
• сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта).

Субъект персональных данных наделен правом самостоятельно выбирать, какие именно персональные данные и на каких условиях может распространять оператор, получивший к ним доступ. Это правило закреплено в п. 9 ст. 10.1 Закона № 152-ФЗ. Например, он может разрешить опубликовать только его фото и Ф. И. О., а дату рождения запретить публиковать. Либо он может разрешить передачу персональных данных третьим лицам, но только при условии, что они являются сотрудниками той же компании, в которой работает он сам.

Установленные субъектом персональных данных запреты и условия их обработки не действуют, когда их обработка осуществляется в государственных, общественных или иных публичных интересах (п. 11 ст. 10.1 Закона № 152-ФЗ). Например, несмотря на запрет, оператор может передать персональные данные в налоговую, ПФР, военкомат, полицию, следственный комитет и т. д.

Если в согласии прямо не указано, что субъект персональных данных не установил запреты и условия обработки персданных, их не следует передавать неограниченному кругу лиц (ч. 5 ст. 10.1 Закона № 152-ФЗ).

Нельзя распространять общедоступные персональные данные без согласия

Если субъект персональных данных самостоятельно разместил в общедоступном месте (например, в соцсетях) свои персональные данные, взять их оттуда для дальнейшей обработки и распространения не получится. Дело в том, что теперь это прямо запрещено законом. Каждое лицо, обрабатывающее или распространяющее размещенные самим субъектом персональные данные, должно доказать законность их обработки. Таким образом, даже в этом случае понадобится письменное согласие субъекта персданных на обработку и/или распространение его персональных данных (п. 2 ст. 10.1 Закона № 152-ФЗ). Раньше такие персональные данные считались общедоступными, не нужно было получать дополнительное согласие на их распространение.

Третьи лица должны быть оповещены о запретах и условиях обработки персональных данных

Получив согласие на распространение персональных данных, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах. Сделать это необходимо в течение трех рабочих дней (п. 10 ст. 10.1 Закона № 152-ФЗ). Где именно должна быть опубликована такая информация, в законе не уточняется, однако логично предположить, что она должна быть доступна в том же месте, где опубликованы персональные данные (например, на той же веб-странице, на которой размещены фото и Ф. И. О. гражданина).

Субъект может отозвать согласие на распространение персональных данных

Оператор персональных данных обязан прекратить распространение (передачу, предоставление, доступ) персональных данных по требованию субъекта персданных. Для этого гражданин должен написать заявление об отзыве согласия на их распространение. В таком заявлении должны быть указаны (п. 12 ст. 10.1 Закона № 152-ФЗ):

• Ф. И. О.;
• контакты (номер телефона, адрес электронной почты или почтовый адрес);
• перечень персональных данных, обработка которых должна быть прекращена.

Прекратить распространение нужно в течение трех рабочих дней с момента получения заявления. В противном случае субъект персональных данных вправе обратиться в суд с этим же требованием (п. 14 ст. 10.1 Закона № 152-ФЗ).

Работодателям придется соблюдать новые правила в полном объеме

Все перечисленные выше новые правила обработки персональных данных полностью распространяются на процесс обработки персональных данных работников работодателями. Это означает, что для распространения персональных данных работников (например, для размещения их на сайте работодателя) при приеме на работу или после заключения трудового договора придется брать с работника дополнительное согласие на распространение его персональных данных. В противном случае персональные данные работника можно будет передать только при наличии условий, когда согласие работника на их передачу не требуется. Подробнее об этом читайте здесь.

Что касается передачи персональных данных работника в банк с целью оформления зарплатной карты, полагаем, что передавать такие сведения в банк без согласия работника можно только в исключительных случаях, а именно:

• когда договор заключается непосредственно между банком и работником;
• когда у работодателя есть доверенность на представление интересов работника в банке;
• когда выплата зарплат на банковскую карту работника предусмотрена коллективным договором.

Об этом мы писали здесь. Но даже в перечисленных случаях во избежание возможных разногласий рекомендуется получить предварительное согласие работника на распространение его персональных данных.

Нужно ли переоформлять согласие на обработку персональных данных, полученное до 1 марта 2021 года?

В законе нет норм, которые обязывали бы операторов персданных переоформлять полученные ранее согласия на обработку их персональных данных, оформленных по старым правилам. Но рекомендуется это сделать во избежание возможных претензий со стороны контролирующих органов. Если нужно передать персональные данные другим лицам или опубликовать их в открытом доступе, целесообразно оформить согласие на их распространение с учетом перечисленных выше правил. Сделать это следует еще и потому, что с 27 марта 2021 года вдвое увеличены штрафы за нарушение законодательства о защите персональных данных. Подробнее об этом читайте здесь.

Не пропускайте последние новости - подпишитесь
на бесплатную рассылку сайта:

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО "Сбербанк-АСТ". Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

Программа разработана совместно с АО "Сбербанк-АСТ". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Работник отзывает согласие по обработке персональных данных. Может ли он продолжать работать и возможно ли его уволить?

Рассмотрев вопрос, мы пришли к следующему выводу:
Отзыв работником согласия на обработку персональных данных не может служить основанием для отстранения его от работы или увольнения.

Обоснование вывода:
В соответствии со ст. 86 Трудового кодекса РФ (далее - ТК РФ) работодателю предоставлено право обрабатывать персональные данные работника исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), является его персональными данными. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В соответствии с ч. 1 ст. 6 Закона N 152-ФЗ обработка персональных данных может осуществляться только в установленных данной статьей случаях. Одним из таких случаев является получение от субъекта персональных данных согласия на их обработку (п. 1 ч. 1 ст. 6 Закона N 152-ФЗ). Буквальное толкование данной нормы позволяет заключить, что в иных случаях получение согласия на обработку персональных данных не требуется. В частности, п. 5 ч. 1 ст. 6 Закона N 152-ФЗ допускает обработку персональных данных в случаях, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Таким образом, если работодатель получает от работника, хранит лишь ту информацию, которая необходима для исполнения трудового договора, получение согласия работника на такие действия не требуется (смотрите апелляционное определение СК по гражданским делам Оренбургского областного суда от 21.06.2017 по делу N 33-4566/2017).
Стоит отметить, что ч. 2 ст. 9 Закона N 152-ФЗ предусмотрено право субъекта персональных данных отозвать свое согласие на их обработку. Согласно ч. 5, ч. 6 ст. 21 Закона N 152-ФЗ в случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку и уничтожить их, если их сохранение более не требуется для целей обработки персональных данных.
При этом ч. 2 ст. 9 Закона N 152-ФЗ специально оговаривает, что оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных в случае отзыва им согласия на их обработку при наличии оснований, указанных в пп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 данного закона. К таковым относятся случаи обработки персональных данных без согласия работника.
Таким образом, поскольку работодатель осуществляет обработку персональных данных только своих работников, отношения с которыми основаны на трудовом договоре, согласие работников на обработку работодателем персональных данных в силу п. 5 ч. 1 ст. 6 Закона N 152-ФЗ не является обязательным.
На этом основании мы полагаем, что работодатель вправе осуществлять обработку персональных данных работников без их согласия, но только если объем обрабатываемых данных не выходит за установленные нормативными актами перечни необходимых сведений, а также соответствует целям обработки, предусмотренным трудовым законодательством. Аналогичные выводы содержатся в разъяснениях Роскомнадзора (смотрите также ответ 1 специалистов Роструда с портала "Онлайнинспекция.РФ").
Следовательно, в случае, если работник отзовет согласие на обработку персональных данных, работодатель вправе продолжить обрабатывать персональные данные работника без его согласия при наличии оснований, перечисленных в пп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона N 152-ФЗ. Оснований для отстранения такого работника от работы или расторжения с ним трудового договора не возникает. Данная позиция находит свое подтверждение и в правоприменительной практике, среди специалистов Роструда (смотрите ответ 2, ответ 3, ответ 4 с информационного портала "Онлайнинспекция.РФ").

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Бездеткина Дарья

Контроль качества ответа:
Рецензент службы Правового консалтинга ГАРАНТ
Золотых Максим

29 марта 2019 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

© ООО "НПП "ГАРАНТ-СЕРВИС", 2021. Система ГАРАНТ выпускается с 1990 года. Компания "Гарант" и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО "НПП "ГАРАНТ-СЕРВИС". Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.

Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.

ООО "НПП "ГАРАНТ-СЕРВИС", 119234, г. Москва, ул. Ленинские горы, д. 1, стр. 77, [email protected].

8-800-200-88-88
(бесплатный междугородный звонок)

Редакция: +7 (495) 647-62-38 (доб. 3145), [email protected]

Отдел рекламы: +7 (495) 647-62-38 (доб. 3136), [email protected]. Реклама на портале. Медиакит

Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter

Неоднозначное понимание того, что именно скрывается под персональными данными, в итоге приводит к конфликту между сторонами, когда работодатель и работник злоупотребляют своими правами. Чтобы избежать таких ситуаций, надо понимать, как правильно обрабатывать персональные данные на каждом этапе взаимодействия.

Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ (ст. 24) и Федеральный закон от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных).

В ст. 24 Конституции РФ говорится, что «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». Закон о персональных данных определяет значение не только ключевых понятий, с которыми придется сталкиваться на практике каждому работодателю, но и вводит принципы и условия обработки персональных данных, права субъекта персональных данных и другие важные моменты.

Вопросам защиты персональных данных работника посвящена гл. 14 ТК РФ.

Что включают персональные данные работника

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.

В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.

Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы. Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников?

На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.

Что делать с персональными данными кандидата

Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.

В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.

Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.

Но есть и исключения, когда такое согласие не требуется:

• если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
• при самостоятельном размещении резюме в интернете.

В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность. Можно воспользоваться образцом согласия на обработку персональных данных.

Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.

Что делать, если персональные данные собираются с помощью анкеты

Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

• в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
• в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
• анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;
• в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле.

Что делать с данными кандидата, которого не взяли на работу

В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.

Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.

Направление запросов на прежние места работы

На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.

Для этого ему обязательно нужно заручиться согласием соискателя.

Сбор и обработка персональных данных при приеме на работу

Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно ст. 65 ТК РФ, запрашиваются:

• паспорт или иной документ, удостоверяющий личность;
• трудовая книжка;
• документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
• при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.

На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется. Когда он подписывает трудовой договор, то тем самым уже дает свое согласие.

Оформление зарплатной карты и персональные данные работника

Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно.

При этом важно, чтобы:

• перечень персональных данных строго соответствовал тому, что передается в банк;
• была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.

Роскомнадзор определяет случаи, когда передача персональных данных работника банку для открытия зарплатных карт должна происходить без согласия:

• договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;
• у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;
• соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 ТК РФ).

Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.

В прошлом году была установлена ответственность за «зарплатное рабство». Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата.

Сотрудник сменил фамилию — что делать с трудовым договором?

В этом случае нужно обязательно внести изменения в трудовой договор. Главное — сделать это правильно.

Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.

Правильно будет внести изменение непосредственно в текст трудового договора, вручную.

Размещение «черных списков» сотрудников на сайте

Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.

Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в Письме от 08.10.2018 N 14-2/В-803.

В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.

Каким должно быть согласие на обработку персональных данных

Роскомнадзор в своих рекомендациях формулирует следующие требования:

1. Содержание согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.
2. Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
3. Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно ч. 4 ст. 9 Закона о персональных данных.

Оформление доски почета

Противоположная ситуация — это поощрение работника в виде доски почета. Но и здесь есть свои тонкости.

Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.

Для использования фото сотрудника тоже придется заручиться согласием.

Персональные данные для пропуска

В большинстве организаций сейчас действует пропускной режим. Соответственно, новым работникам требует оформление пропуска.

В данном случае нет необходимости в получении согласия на обработку персональных данных, если:

• компания самостоятельно осуществляет пропускной режим;
• если обработка соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со ст. 372 ТК РФ.

В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно.

Кадровый и бухгалтерский учет на аутсорсе и персональные данные

Если работодатель решает вопросы кадрового и бухгалтерского характера при помощи аутсорса, то есть силами сторонних организаций, то он должен соблюдать требования, обозначенные ч. 3 ст. 6 Закона о персональных данных.

Что делать с персональными данными уволенных сотрудников

Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета.

Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (пп. 5 п. 3 ст. 24 НК РФ). И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется.

Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет. Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется.

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Согласно п. 1 ст. 9 Федерального закона о персональных данных № 152-ФЗ гражданин свободно, своей волей и в своем интересе принимает решение и дает согласие о предоставлении его персональных данных и их обработку.

Таким образом, обязать давать согласие на обработку персональных данных гражданина оператор не может.

При этом, обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований возлагается на оператора.

Но в некоторых случаях согласие на обработку ПД не требуется.

При отказе работника давать согласие на обработку ПД

В данном случае необходимо руководствоваться:

• Трудовым кодексом РФ.
• Федеральным законом о персональных данных № 152-ФЗ.

Согласно ТК РФ отношения между работодателем регулируются трудовым договором (ст.56 ТК РФ). Работодатель обязан предоставить работнику работу по обусловленной трудовой функции, обеспечить условия труда, своевременно и в полном размере выплачивать заработную плату, а работник обязуется лично выполнять трудовую функцию соблюдать правила внутреннего трудового распорядка.

То есть трудовые отношения регулируются Трудовым кодексом РФ.

Статья 86 ТК РФ определяет общие требования при обработке персональных данных работника и гарантии их защиты.

В тоже время если работник не дает согласия на обработку ПД, привлечь его к примеру к дисциплинарной ответственности или обязать подписать согласие работодатель не имеет права.

В данном случае необходимо разъяснить работнику, какие последствия может нести представленный отказ. При этом, если согласие имеет общую форму с перечнем целей, для которых берется согласие, а работник не согласен только с некоторыми из них, рекомендовано оформить на каждое действие отдельное согласие на обработку ПД.

В том случае, если работник категорично отказывается от дачи согласия, это также не может стать причиной прекращения действия трудового договора, так как в данном случае обработка ПД осуществляется работодателем в соответствии с требованиями закона — ТК РФ (п. 2.3. ч. 2 ст. ст. 10 Закона 152-ФЗ).

Согласно разъяснениям Роскомнадзора получение работодателем согласия работника на обработку персональных данных не требуется в следующих случаях:

Обработка специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений п. 2.3 ч. 2 ст. 10 Закона о ПД в рамках трудового законодательства.

Также согласие не требуется при передаче данных в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации на основании ст. 22 ТК РФ.

Необходимо отметить, что передача персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:

а) договор на выпуск банковской карты заключался напрямую с работником и в тексте которого предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
б) наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
в) соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 Трудового кодекса РФ).

Отказ соискателя от подписания согласия на обработку ПД

Обработка персональных данных соискателей на период принятия решения работодателем о приеме на работу или об отказе должна осуществляться в соответствии с Законом о ПД.

Исключение будут составлять резюме, размещенные в открытом доступе в сети «Интернет», доступное неограниченному кругу лиц, а также присланные из кадрового агентства, так как в данном случае оператором будет выступать кадровое агентство.

В том случае, если типовая анкета для соискателей размещена на сайте работодателя, заполняя ее, соискатель должен поставить отметку в соответствующем поле, которая подтвердит согласие соискателя на обработку ПД.

Следует учитывать, что при направлении соискателем резюме по электронной форме, по которой не возможно определить лицо, его направившее, данное резюме подлежит уничтожению в день поступления.

При получении резюме непосредственно от соискателя на бумажном носителе, необходимо получить согласие на обработку ПД, при отказе дать согласие разъяснить последствия такого отказа согласно Закону о ПД.

Отказ клиента дать согласие на обработку ПД

Видимо автор вопроса подразумевает отказ клиента от обработки ПД в интернет-магазине.

Согласно Закону о ПД, обработка ПД возможна только с письменного согласия носителя ПД. В том случае, если на странице интернет-магазина не установлено окно с предложением — согласием на обработку ПД, то оператор нарушает действие Закона о ПД.

Или же рассмотрим пример при возврате денежных средств за товар в соответствии с Законом о защите прав потребителей. Покупателю предложено для возврата денег из кассы предоставить согласие на обработку ПД. В данном случае, согласие необходимо, так как могут обрабатываться данные — ФИО, документ, удостоверяющий личность, телефон, электронная почта, те персональные данные, которые отвечают целям их обработки (ч. 4 ст. 5 Закона № 152-ФЗ).

Поэтому в случае возврата денежных средств по заявлению необходимо заручиться согласием на обработку ПД. В противном случае продавец будет нести ответственность согласно КоАП.

Указанная позиция подтверждена выводами постановления Верховного Суда РФ от 15.06.2015 № 25-АД15-3. В магазине потребителю, изъявившему желание вернуть товар продавцу, при наличии чека было предложено заполнить в обязательном порядке заявление, в котором требуется указать персональные данные гражданина для возврата денежных средств. Однако, по мнению покупателя, в соответствии с частью 5 ст. 5 Закона № 152-ФЗ истребование персональных данных является избыточным.

Рассмотрев соответствующие нормативные акты, ВС РФ заключил, что возврат денег покупателю из кассы организации на основании письменного заявления покупателя с указанием фамилии, имени, отчества и данных документа, удостоверяющего личность, не противоречит требованиям законодательства, истребование указанных персональных данных избыточным не является.

Как видим, ситуаций много и каждая должна рассматриваться отдельно. Так как юридически отношения оператор — носитель персональных данных могут регулироваться не только Законом о ПД № 152-ФЗ, но и иными законами, нормативными актами. Поэтому для получения ответа, рекомендуем указывать конкретную ситуацию с описанием проблемы.

Если у Вас еще нет разработанной формы согласия на обработку персональных данных или же Вы ходите привести документы в соответствие с 152-ФЗ рекомендуем Вам обратиться к консультанту в форму ниже.

Персональные данные работников: как работодателю не нарушить закон

У предпринимателя хранится стандартная информация о работниках: имя, контакты, номер паспорта, прошлые места работы. Такая информация — персональные данные людей. Собирать, хранить и удалять её нужно по правилам из закона.

Если персональные данные хранить неправильно, бизнес оштрафует Роскомнадзор. В ещё худшей ситуации личная информация утечёт к банкам, конкурентам и бывшим супругам работников. Тогда к штрафу добавится обязанность компенсировать моральный вред.

Чтобы избежать штрафов и судов, нужно один раз настроить работу с персональными данными сотрудников. Хорошая новость в том, что это несложно сделать самостоятельно. Рассказываем как.

Основная информация о персональных данных:

Глава 14 Трудового кодекса РФ

Закон № 152-ФЗ О персональных данных

Положение об особенностях обработки персональных данных без средств автоматизации

Каких работодателей касаются правила о персональных данных

Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна.

Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.

Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.

Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.

Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.

Что такое персональные данные работника

Персональные данные — это любая информация о человеке, из которой можно понять, о ком речь — ст. 3 Закона № 152-ФЗ.

Более ясного определения нет. Поэтому работодатели обязаны следить за всеми документами, где есть имена, даты рождения, адреса и подобные сведения о работниках.

Вот список для ориентира:

Кадровые документы — трудовые договоры, трудовые книжки, личные карточки, приказы об отпусках и выговорах, заявления на отпуск.

Копии документов от работника — паспорта, СНИЛСа, свидетельства о рождении детей.

Бухгалтерские документы — расчётные листы по зарплате и премиям. Любые сведения о зарплате — это в принципе персональные данные, они секретны. Так сказано в Письме Роскомнадзора от 07.02.2014 № 08КМ-3681.

Фото работника — например, на пропуск.

Отпечатки пальцев — это биометрические персональные данные. Для них те же правила.

Неформальные документы — резюме, анкеты, характеристики, тесты на психологическую совместимость скорпиона и змееносца в активной фазе луны.

Сдавайте отчётность без бухгалтерских знаний

Эльба — бухгалтерия, с которой справится любой. Сервис подготовит платёжки на зарплату, налоги и взносы — а потом сам сформирует отчётность.

Что будет за нарушение закона о персональных данных

За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.

Административная ответственность: штрафы

Работу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.

Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.

Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.

Гражданско-правовая ответственность: моральный вред работнику

Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.

Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.

Уголовная ответственность

В тяжёлом случае утечки данных о человеке через СМИ, интернет или как-то ещё публично на руководителя заводят уголовное дело по ст. 137 УК РФ.

В уголовном деле смотрят на реальный вред личной и семейной жизни человека. Например, на ютуб слили видео с камер в офисе — так жена менеджера узнала об измене.

Наказание грозит вплоть до лишения свободы на четыре года. Но такие дела, конечно, редкость.

Не уследивших за персональными данными кадровика, бухгалтера и директора можно уволить и переложить на них убытки от штрафов. Посмотрите нашу статью про дисциплинарную и материальную ответственность работников.

Правила работы с персональными данными работника

Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:

🔐 Персональные данные работника обрабатывают только с его письменного согласия.

🔐 Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.

🔐 Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ.

О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.

🔐 Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.

🔐 Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.

🔐 Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.

🔐 Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.

🔐 В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона.

Как настроить работу с персональными данными: инструкция

Чтобы законно собирать и хранить информацию о персонале, надо составить несколько скучных документов и кому-то поручить постоянную бумажную работу (возможно, самому себе). Это не так сложно, как кажется на первый взгляд.

1. Составьте и утвердите локальный нормативный акт — Положение о защите персональных данных работников.

Обычно положение дублирует закон. Знакомьте с ним письменно каждого работника. Подписи удобно собирать на обратной стороне положения.

2. Назначьте ответственного за персональные данные.

Так нужно в силу ст. 22.1 Закона № 152-ФЗ.

Назначенный человек будет отвечать за сбор согласий с работников и физическую защиту документов. Возьмите с него обязательство о неразглашении данных. Брать трудовые книжки, договоры и копии паспортов сможет только он.

ИП и организации с одним учредителем ответственным назначают себя.

3. Берите с каждого работника письменное согласие на обработку персональных данных.

Отсутствие согласия — популярный повод для штрафа. Отдельно оформлять согласие не надо, если пользуетесь типовой формой трудового договора для микропредприятия. В форме есть строка о согласии на обработку.

Если планируете получать сведения о человеке у третьих лиц, например, рекомендации с прошлых мест работы или справки о судимости, возьмите согласие и на это.

4. Храните документы с персональными данными в надёжном месте.

Критериев надёжности нет. Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель. Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения.

Для хранения подойдёт сейф или ящик на замке. К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные.

Хранить информацию в электронном виде разрешено только на сервере в России по ст. 18 Закона № 152-ФЗ.

5. Уничтожайте персональные данные полностью.

Ненужные резюме, заявления и копии паспортов уничтожают. Сделать это надо так, чтобы никто не смог посмотреть и взять данные из них. Такое требование прописано в п. 10 Положения. Пользуйтесь шредером или мелко порвите бумаги.

Аналогичное требование к удалению данных с сервера: чтобы не осталось копий.

6. Если нужно, уведомляйте Роскомнадзор.

По общему правилу работодатель не обязан сообщать Роскомнадзору о сборе и хранении персональных данных.

Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст. 22 Закона № 152-ФЗ.

Например, когда сообщает банку о заработке сотрудника или подтверждает визовому центру место работы. В обоих случаях это передача персональных данных. Надо уведомлять Роскомнадзор.

А при работе через сайт с именами и контактами клиентов, вам совершенно точно нужен важный документ — Политика конфиденциальности.

Сделали все документы? Пройдите самопроверку на сайте Роструда. Это бесплатно и штрафов за найденные нарушения не будет.

7. Исполняйте требования закона не только формально.

Работодатель в курсе личной жизни подчинённых. Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.

Постарайтесь никому не рассказывать о жизни работников. Так вы не нарушите закон.

Читайте также:

  
• Обязательно ли согласование приказа заинтересованными должностными лицами до его подписания
  
• Как не убить своего начальника
  
• Что делать если на тебя клевещут на работе
  
• Как проверить сотрудника на короновирус
  
• Как принять на работу водителя манипулятора