Какие Согласия на обработку персональных данных вам действительно нужны. Практическое руководство

В серии статей, посвящённой данной тематике, мы поговорим о согласиях на обработку персональных данных в соответствии с законами 152-ФЗ и ТК РФ. Рассмотрим трудности и риски, связанные с использованием таких согласий, а также проанализируем стандарты и требования, предъявляемые к ним. Кроме того, познакомим вас с доказательствами и методами их подтверждения.

В первой части рассмотрим следующие вопросы: что представляет собой Согласие, когда и почему его необходимо получать. Предоставим практическое руководство для определения необходимости Согласия, правильного его формирования, выбора места размещения, а также последствий, которые могут возникнуть в случае его отсутствия.

Согласие представляет собой одно из юридических условий, обеспечивающих законность обработки. При его получении необходимо соблюдать определённые требования, которые гарантируют справедливость и законность этого процесса. Согласие должно быть выражено субъектом добровольно и в его интересах. Также должно быть осознанным и однозначным, исключая любые двусмысленности или неопределённые формулировки.

Необходимость получения Согласия на обработку данных возникает, если такая обязанность предусмотрена законодательством, обусловлена условиями соглашения с субъектом персональных данных или лицом, выполняющим обработку по поручению оператора. Также в ситуациях, когда отсутствуют другие законные основания для обработки персональных данных.

Согласно общему правилу, Согласие на обработку не требуется в следующих ситуациях:

• Существует соответствующая законная обязанность.
• Данные обрабатываются в связи с участием в судебных процессах.
• Проводится исполнение судебного решения.
• Предоставляются государственные и муниципальные услуги, определённые 210-ФЗ.
• Субъектом был заключён договор.
• Обработка требуется для обеспечения защиты жизни, здоровья или других критически важных интересов субъекта, когда получение согласия не представляется возможным.
• Ведётся профессиональная деятельность журналиста и (или) СМИ.
• Имеют место другие случаи, указанные в ч.1 ст. 6152-ФЗ.

Правовые основания, позволяющие работать без согласия на обработку персональных данных, различаются в зависимости от категорий данных:

• для специальных категорий они определены пп. 2-10 ч. 2 ст. 10 152-ФЗ;
• для биометрических — ч. 2 ст. 11 152-ФЗ;
• для данных, разрешённых субъектом для распространения — ч. 15 ст. 10.1 152-ФЗ.

От того, насколько правильно определено правовое основание обработки ПДн, зависит ответ на вопрос, нужно ли получить согласие на обработку персональных данных в конкретном случае. Рассмотрим некоторые вопросы, связанные с получением Согласия на обработку персональных данных, используя взаимоотношения между работодателем и сотрудником в качестве примера.

В соответствии с общепринятыми принципами для формирования трудовых отношений с новым сотрудником и подготовки соответствующих документов не требуется предварительное получение Согласия. Трудовой договор, как самостоятельное юридическое основание, служит основой для обработки данных сотрудника. Эта обработка направлена на поддержание трудоустройства, обеспечение образовательных возможностей и профессионального роста, обеспечение личной безопасности, контроль за объёмом и качеством выполненной работы, а также защиту имущества в соответствии с положениями статьи 88 Трудового кодекса Российской Федерации. Несмотря на это, работодатели должны быть осторожными, если они планируют запросить у своих сотрудников копии документов. Сбор и хранение копий паспорта, СНИЛС и ИНН сотрудников допускается только при наличии соответствующего Согласия самих сотрудников.

В определённых ситуациях, предусмотренных коллективным договором или внутренними трудовыми правилами, не требуется получение Согласия сотрудников. Например, для открытия и обслуживания зарплатной карты работника банковские учреждения могут получать его персональные данные без явного согласия на их обработку, при условии, что соответствующие форма и система оплаты труда прописаны в коллективном договоре.

Также возможны ситуации, когда Согласие сотрудников не требуется в соответствии с федеральными законами и другими НПА. Это может происходить, например, при передаче личных данных в налоговые органы, военкоматы, профсоюзные органы и прочие уполномоченные инстанции.

В настоящее время вопрос о законном распространении персональных данных в интернете становится всё более актуальным. Многие компании, с целью обеспечения информационной открытости и упрощения взаимодействия с клиентами, самостоятельно создают общедоступные ресурсы в сети, такие как телефонные справочники. Они размещают информацию о своём персонале, включая ФИО, фотографии, должности, контакты, сведения об образовании и прочее.

При распространении персональных данных в сети Интернет может потребоваться получение одного из двух видов Согласий на их обработку:

• Письменное Согласие для включения ПДн в общедоступные источники (справочники, адресные, телефонные книги) в соответствии с ч. 4 ст. 9 152-ФЗ «О персональных данных».
• Согласие на обработку персональных данных, разрешённых субъектом для распространения, согласно статье 10.1 того же закона (при распространении ПДн на интернет-ресурсах, не являющихся справочниками и адресными книгами).

Для ряда операторов предусмотрена законодательная обязанность публиковать информацию об определённых группах сотрудников в открытом доступе, такую как публикация сведений о медицинском персонале, педагогическом составе и т.д. В этих случаях нет необходимости получения Согласия работника на раскрытие данных при условии, что объём предоставляемой информации соответствует установленным законом нормам. Однако, если работодатель принимает решение расширить перечень публикуемых данных, Согласие сотрудника на такие изменения всё же требуется.

Отметим некоторые категории Согласий, которые обязательно следует получить от сотрудников:

• Согласие на получение персональных данных из внешних источников: согласно п. 3 ст. 86 ТК РФ, это требуется, когда возникает потребность получения данных из сторонних источников в процессе трудовых отношений.
• Согласие на хранение копий документов, представленных при приёме на работу.
• Согласие на передачу персональных данных: согласно ст. 88 Трудового кодекса РФ, данное Согласие необходимо, например, при привлечении внешних организаций для управления кадровым и бухгалтерским учётом.
• Согласие на распространение персональных данных: в рамках ст. 10.1 152-ФЗ работник обязан выразить согласие на распространение своих персональных данных на сайте организации по решению работодателя. Кроме этого, Согласие также требуется в соответствии со ст. 8 указанного закона при размещении личных данных в открытых источниках.

Вне зависимости от формы, в Согласие следует включить следующее:

• Имя, фамилия, отчество субъекта персональных данных.
• Информация об операторе (официальное наименование/ФИО индивидуального предпринимателя, реквизиты).
• Законная, чётко определённая цель обработки персональных данных.
• Список обрабатываемых личных данных.
• Список действий с личными данными.
• Информация о лицах, которым будут переданы личные данные (при передаче).
• Срок действия согласия.

Это требуется для соответствия критериям чёткости, конкретности и однозначности, предусмотренным п. 1 статьи 9 152-ФЗ.

Полученное Согласие не является обязательным условием для публикации в открытых источниках. Однако в определённых ситуациях рекомендуется указать наличие таких Согласий или разместить форму Согласия на обработку данных:

• При осуществлении сбора персональных данных в сети Интернет следует добавить в каждую форму сбора специальное поле, в котором субъект данных сможет оставить отметку о своём Согласии на обработку. Кроме того, необходимо разместить текст данного Согласия для ознакомления.


• При публикации личных данных в интернете стоит указать на наличие Согласия от субъектов персональных данных на распространение. Кроме того, следует чётко предоставить информацию о том, какие условия и запреты существуют относительно обработки опубликованных персональных данных неограниченным кругом лиц.

В случае неправомерной обработки персональных данных, либо отсутствии письменного Согласия на их обработку, возможно привлечение к административной ответственности в соответствии с нормами статьи 13.11 КоАП РФ и наложению штрафа в размере по ч. 1 данной статьи (обработка персональных данных в ситуациях, не предусмотренных законодательством РФ или обработка персональных данных, несовместимая с целями их сбора):

• для должностных лиц — от 10 тыс. до 20 тыс. рублей (при повторном нарушении — от 20 тыс. до 50 тыс. рублей);
• для индивидуальных предпринимателей при повторном нарушении — от 50 тыс. до 100 тыс. рублей;
• для юридических лиц — от 60 тыс. до 100 тыс. рублей (при повторном нарушении — от 100 тыс. до 400 тыс. рублей).

По ч. 2 данной статьи (обработка без получения письменного Согласия субъекта на обработку в случаях, когда такое Согласие обязательно в соответствии с законодательством Российской Федерации, либо обработка персональных данных с нарушением установленных требований к содержанию информации, включаемой в письменное Согласие субъекта персональных данных на их обработку):

• для должностных лиц — от 20 тыс. до 40 тыс. рублей (при повторном нарушении — от 40 тыс. до 100 тыс. рублей);
• для индивидуальных предпринимателей при повторном нарушении — от 100 тыс. до 400 тыс. рублей;
• для юридических лиц — от 30 тыс. до 150 тыс. рублей (при повторном нарушении — от 400 тыс. до 500 тыс. рублей).

Мы рассмотрели, как получать Согласие на обработку персональных данных, требования к его форме и ответственность для операторов, не получивших Согласие в установленных случаях.

В следующей части руководства рассмотрим виды и формы Согласий на обработку данных, а также раскроем вопросы передачи данных третьим лицам и поручения обработки. Мы разберём различия между передачей данных и поручением обработки, обсудим договор поручения, необходимость Согласия при его оформлении, а также уточним, нужно ли перечислять конкретных лиц в Согласии на передачу данных.