Согласие на обработку и распространение персональных данных

Когда нужно согласие с работниками компании.

• Получать согласие работника потребуется во всех случаях, когда работодатель собирает и обрабатывает данные, которые прямо не требуются в соответствии с законодательством.

Например, данные паспорта, военного билета, СНИЛС, данные об образовании (ч. 1 ст. 57, ч. 1 ст. 65 ТК РФ) работодатель обязан получить у работника, поэтому согласие не требуется.

А вот необходимость собирать личный адрес электронной почты и личный номер телефона – закон не предусматривает, поэтому согласие на обработку этих сведений нужно обязательно.

По общему правилу достаточно согласия в любой форме, которая подтверждает согласие работника. Письменное согласие потребуется, если компания обрабатывает биометрические персданные или из специальных категорий (ч. 1 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ) например, запрашивает сведения о здоровье. Но если по должности работника закон устанавливает медицинские ограничения, то сведения о состоянии здоровья можно получать без отдельного согласия (ст. 213 ТК РФ).

• Перед тем как выдать доверенность, нужно запросить у работника письменное согласие на передачу его персданных лицу или нескольким лицам, которым компания включит персданные в доверенность. В качестве цели нужно указать, что компания включит персданные в доверенность на предоставление интересов компании перед третьими лицами.

• Если же компания публикует сведения о своих работниках на сайте, то необходимо оформить отдельные письменные согласия на распространение персданных (ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). Роскомнадзор установил требования к форме согласия, которые действуют с сентября 2021 года. В частности, в согласии нужно указывать ФИО работника и его контактную информацию, данные о компании и ее сайте (Приказ Роскомнадзора от 24.02.2021 № 18).

• Запрашивать согласие у соискателя на обработку персданных по общему правилу нужно:

• если компания использует онлайн-ресурсы для подбора персонала, то анализ данных, которые размещены на них, будет регулироваться пользовательским соглашением с такой площадкой;

• если компания примет решение использовать размещенное резюме и пригласить кандидата на собеседование, то потребуется предварительно получить согласие на обработку персданных.

• Для бухгалтерского или налогового учета бывший работодатель вправе без согласия экс-работника обрабатывать его данные еще 4 года после увольнения, но не более. Даже если после увольнения работник отозвал согласие на обработку, то компания все равно продолжает хранить кадровые документы по личному составу (п. 3 ст. 3 Федерального закона от 22.10.2004 № 123-ФЗ «Об архивном деле в РФ»), например, трудовой договор или приказы, после их перевода в статус архивных. Прекратить работать нужно с теми данными, которые к документам по личному составу не относятся.

Например, фотографии и анкеты экс-сотрудника. Эти данные нужно уничтожить.

Если хотите вести кадровый резерв или приглашать бывших работников на корпоративные мероприятия, то придется получить их согласие на обработку персданных. После того как передадите документы о бывших работниках в архив, закон о персданных перестанет распространяться на них.

Важно! Переведите формально документы в статус архивных, иначе передача данных на хранение третьим лицам будет нарушением закона.

В какой форме и когда нужно согласие с третьими лицами.

• Если Вы запрашиваете персданные для пропуска по электронной почте или в мессенджере, то советуем направлять вместе с запросом текст согласия. Его посетитель должен принять до того, как отправит Вам свои данные. Например, в ответном письме он может написать «Согласен».

В согласие можно включить формулировку, что, отправляя свои персданные для пропуска, посетитель дает согласие на их обработку – такая форма предоставления согласия допустима. И даже в этом случае рекомендуем на входе в офис собирать отдельные согласия, чтобы избежать спорных ситуаций.

• Чтобы исполнять договор на оказание услуг, в частности идентифицировать сторону или перечислять или принимать оплату, согласие на обработку персданных от физлица не нужно. Согласие обязательно, если будете использовать данные не только для того, чтобы исполнить договор, но и для других целей.

Например, собираетесь обрабатывать персданные для адресного маркетинга. При этом отказ исполнителя давать такое согласие не помешает заключить договор.

• Получать согласие на обработку данных работника контрагента не нужно – этим занимается контрагент. Он должен заключить с Вашей компанией соглашение о передаче персданных и получить письменное согласие от своего работника на такую передачу.

• Если на сайте компании для третьих лиц есть кнопка для заказа обратного звонка, то нужно получить согласие на обработку персданных того, кто решит заказать такой звонок.

Например, пользователь оставляет свой номер телефона, пишет имя и нажимает галочку возле фразы «Даю свое согласие на обработку моих персданных в порядке, который описан в Политике конфиденциальности». Рядом нужно поместить текст Полититики конфиденциальности, который уже и будет включать все детали обработки персданных.

• Чтобы отправлять клиентам рекламные рассылки, компания должна запросить 2 согласия. Одно – на рассылку, второе – на обработку персданных в целях такой рассылки. Каждое согласие нужно оформить отдельным документом.

Например, УФАС признает нарушением, если включите согласие на рассылку в текст договора или оферты на сайте, и передаст материалы дела, чтобы компанию оштрафовали (решение Московского УФАС от 27.09.2018 по делу № 3-18-172/77-18).

Оформить согласие на рассылку и связанную с ней обработку данных можно с помощью формы подписки на сайте компании.

Например, можно разместить на сайте форму, в которую пользователь будет вносить свои данные, вместе с двумя галочками для заполнения и текстом: «Нажимая кнопку «Подписаться», я даю согласие на обработку персданных согласно Политике конфиденциальности» и «Нажимая кнопку «Подписаться», я даю согласие на получение сообщений рекламного характера».

Все детали согласий рекомендуем включить в текст Политики конфиденциальности.

Как составить согласие на РАСПРОСТРАНЕНИЕ персональных данных 2022 года.

• Единой формы согласия на распространение нет. Компания может сама разработать форму такого разрешения. Главное предусмотреть в ней все сведения, которые требует Роскомнадзор. В шапке согласия укажите:

• наименование,

• ИНН,

• адрес по ЕГРЮЛ,

• ОГРН (последнее по желанию) — если Вы организация;

• ФИО, ИНН, ОГРН (последнее по желанию) — если ИП;

• ФИО, место жительства или пребывания — если физлицо.

• Конкретно укажите, для чего хотите распространять персональные данные сотрудника. Объясните это работнику устно перед тем, как он подпишет согласие (п. 1 ст. 10.1 Закона № 519-ФЗ). Использование информации в целях, которых нет в согласии, будет нарушением.

• Перечислите информационные ресурсы, на которых собираетесь распространять данные. Это может быть адрес сайта компании, корпоративного сайта, страницы в социальных сетях и т. д.

Учтите, что работник может запретить или ограничить передачу сведений.

Например, сотрудник может разрешить публиковать информацию на внутреннем корпоративном портале, к которому имеют доступ только работники организации. А в интернете выкладывать ее запретит. Или может затребовать, чтобы эти сведения были доступны только определенным коллегам.

То есть сотрудник сам определяет перечень данных, которые он разрешает распространять, оставили. Поэтому в согласии должна быть графа, где работник указывает, какую информацию о себе он разрешает распространять, а какую – нет. Запрет не действует, если обязанность передавать информацию устанавливает закон.

• Независимо от решения сотрудника, Вы должны передавать данные в ПФР, налоговую, военкомат и т. д. Еще одна ситуация – если данные о работнике запрашивают правоохранительные органы.

• Также укажите в согласии срок его действия — Роскомнадзор против бессрочных согласий или их автоматической пролонгации. Хотя Верховный суд его в этом не поддерживает (определение ВС от 05.03.2018 № 307-КГ18-101).

• В согласии не нужно указывать срок его действия в виде конкретной даты или определенного периода времени.

Например: «до 31.12.2021» или «сроком на три года». То есть срок действия согласия можно указать с помощью события, например: «до отзыва в установленном законом порядке» (п. 9. Требований, утв. приказом Роскомнадзора от 24.02.2021 № 18).

Как составить согласие на ОБРАБОТКУ персональных данных 2022 года.

• В согласии укажите личные данные сотрудника, цель обработки персданных и их перечень, а также срок, в течение которого действует согласие сотрудника.

• Срок действия согласия на обработку персональных данных закон не устанавливает, определите его в тексте согласия самостоятельно. На практике в согласии на обработку персональных данных указывают, что оно действует с момента представления бессрочно и сотрудник может его отозвать в заявлении об отзыве.

• Согласие сотрудника на обработку должно быть конкретным, информированным и сознательным. Сотрудник вправе его подать как на бумаге с собственноручной подписью, так и в электронном виде с электронной подписью (п. 1, 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ). При этом согласие должно включать в себя, срок, в течение которого действует документ, а также способ его отзыва, если иное не установлено законом (ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ).