Почему не нужно всегда получать согласие на обработку персональных данных в рамках GDPR

Статья для тех, у кого клиенты в Евросоюзе. Я работаю юристом в компании ISPsystem и уже пару месяцев разбираюсь в тонкостях GDPR. В этой статье поделюсь своими мыслями о нем и расскажу, почему не надо по любому поводу спрашивать у клиента разрешение на обработку персональных данных.

Лайфхак по 152-ФЗ


Для начала небольшое, но важное отступление.

Недавно знакомый из торговой компании попросил посмотреть их договор с веб-студией. Те собирались дорабатывать сайт магазина. Первым делом я открыл техзадание и увидел, что ребята планируют зарегистрировать владельца сайта в Роскомнадзоре как оператора персональных данных. Я подумал: «Они это серьезно?» И сам же ответил: «К сожалению, да».

Такой же совет будет в семи из десяти статей-инструкций по соблюдению закона «О персональных данных» (152-ФЗ). Советчики говорят: «Первым делом подайте заявление о включении в реестр операторов персональных данных». И многие этой рекомендации следуют.

А теперь внимание! Статья 22 того же закона определяет, что если обработка данных необходима для исполнения договора, то уведомлять Роскомнадзор не нужно.

Вы продаёте товары/услуги через интернет? Отлично! Если не используете данные ни для чего больше, то и уведомление в Роскомнадзор подавать не надо. Вот такой простой рецепт.

Ну а теперь к теме.

О GDPR и почве для ошибок


25 мая в силу вступает европейский аналог нашего 152-ФЗ — GDPR (General Data Protection Regulation). Документ касается всех, кто продает на территории Евросоюза товары и услуги. Мы в ISPsystem делаем ПО для хостинга и дата-центров, которое покупают по всему миру, в том числе в Евросоюзе. Поэтому для нас тема очень актуальна.

Разобраться в GDPR сложно, а за нарушение грозят штрафы до 20 000 000 евро или 4% от годовой общемировой выручки. Поэтому о нем говорят много, и как в истории со 152-ФЗ дают якобы универсальный совет: «получайте согласие на обработку персональных данных».

Европейский интернет пестрит такими заявлениями (вырвано из контекста):

«You should always get consent for the data you wish to collect. Not only will that meet the requirement of a legal basis to collect, but it’s also a general requirement under the GDPR».
Если перевести совсем вольно, то выходит: «вы должны всегда получать согласие».

После таких статей хочется сделать 100500 «галочек о согласии». Но действительно ли всегда нужно согласие на обработку персональных данных? Нет, не нужно! Как минимум — не всегда.

«Попытайся понять главное. Ложки не существует» ((С) фильм «Матрица»).

Мы привыкли воспринимать согласие пользователя как единственно возможное основание для обработки данных. Но это неверно. Надо воспринимать его как отдельный правовой базис, как одно из оснований. Согласие как зеленка: помогает, но не от всего.

Основания для работы с персональными данными


Обработка персональных данных законна, только если она производится в соответствии с принципами ст. 5 и на основании одного из шести правовых базисов ст. 6 GDPR.

Несмотря на то что слово «согласие» встречается в тексте GDPR 72 раза, это всего лишь одно из оснований обработки, и не более.

Согласно п. 7 ст. 14 нашего 152-ФЗ, оператор (в терминологии GDPR «контролер», лицо, которое определяет цели и средства обработки) тоже должен определить правовые основания и цели обработки персональных данных. Но для этого нужно изучить много нормативов и сослаться на конкретные положения законов. В GDPR проще: закон требует определить только правовой базис.

С позиции ст. 6(1) GDPR к таким базисам относятся:

  • a) согласие субъекта данных на обработку персональных данных для одной или нескольких конкретных целей;
  • b) обработка для исполнения договора, в котором субъект данных является одной из сторон, а равно и в отношении шагов, предшествующих заключению договора;
  • c) обработка необходима для соблюдения законных обязанностей, субъектом которых является контролёр;
  • d) обработка для защиты жизненных интересов субъекта данных, либо иного физического лица;
  • e) обработка в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера;
  • f) обработка для целей обеспечения законных интересов контролёра или третьего лица.

Согласие субъекта данных нужно, только если никакой другой базис не подходит. Везде и всегда его получать не надо. Тем более что по GDPR у субъекта данных должна быть возможность легко изменить свое решение: как поставить галочку, так и снять ее.

Поэтому до начала верстки формы с «галочками» определите, какие данные и зачем вы собираете, установите применимый базис. Откажитесь от сбора информации, которую вы собираете на всякий случай. Не исключено, что после этого вам вообще не потребуется получать согласие на обработку. Об этом и расскажу подробнее.

Персональные данные и договор: обрабатываем и не спрашиваем


Базис по своему содержанию аналогичен российскому законодательству (вспомним историю из введения).

Согласно подп. (b) ст. 6(1) GDPR, если обработка данных необходима для исполнения договора, вы можете без труда — и, главное, без согласия — ее производить. Даже до заключения договора, но при условии, что действия были запрошены самим субъектом данных (например, он отправил заявку).

Здесь стоит сделать ремарку: данные должны обрабатываться только в том объеме, который необходим для исполнения договора. Если информация нужна для заполнения полей CRM, то она остается вне этого базиса.

Простой пример. Компания продает товары через интернет. При оформлении покупки клиент предоставляет персональные данные, магазин обрабатывает их в связи с исполнением договора. Надо получать согласие? Нет, если данные не избыточны и не будут использоваться иным способом.

Необходимо только сообщить пользователю, что данные все-таки обрабатываются, а также рассказать о способах обработки, мерах по защите и ознакомить с иной информацией в соответствии с GDPR (ст. 5, ст. 13, 14).

В форму заказа магазину надо добавить только уведомление об ознакомлении с политикой. Требовать поставить пресловутую галочку о согласии, создавать технические условия с целью возможности подтверждения получения согласия (п. 42 преамбулы) не нужно. Отмечу, что хорошо бы иметь галочку об ознакомлении с политикой.

Однако, если компания хочет использовать персональные данные, например, для точечных рекламных рассылок, то это уже не подпадает под договорный базис. В этом случае обработка имеет две цели, вторая из которых должна строиться на основании согласия или на основании законного интереса (о нем ниже).

Законный интерес или базис без согласия


Вторым наиболее пластичным базисом является «законный интерес» (legitimate interest).
Законный интерес не является новым для сферы защиты данных. Отличия в деталях.
Пункт 47 преамбулы GDPR раскрывает смысл базиса. Думаю, полезно привести его полное содержание. По тексту под «законным интересом» понимается именно сам базис.
«(47) Законные интересы контролёра <…> или третьей стороны могут создать правовые основания для обработки, при условии, что они не имеют преимущественной силы над интересами или основными правами и свободами субъекта данных
, с учётом разумных ожиданий субъектов данных, основанных на взаимоотношении с контролёром. Такой законный интерес может иметь место, например, если между субъектом данных и контролёром существуют соответствующие отношения в ситуациях, когда субъект данных является клиентом или является работником. В любом случае наличие законного интереса нуждается в тщательной оценке, в том числе относительно того, может ли субъект данных при сборе персональных данных разумно ожидать, что обработка будет осуществляться для указанной цели <…> Обработка персональных данных, необходимая в целях предотвращения мошенничества, также является законным интересом соответствующего контролёра данных. Обработка персональных данных в целях директ-маркетинга может рассматриваться в качестве обработки, служащей законному интересу».

Выделим основные критерии для применения данного базиса:
  1. Вы преследуете законную цель.
  2. Обработка необходима, то есть цели нельзя достигнуть иным способом.
  3. Обработка сбалансирована, а потенциальный вред не является существенным.
  4. Обработка очевидна для субъекта данных.

Базис многогранный и непростой. Возможные ситуации его применения: предотвращение мошенничества, правовая защита, директ-маркетинг. В случае с директ-маркетингом следует обратиться также к ст. 21 GDPR и актам регулирования электронной коммерции, например, European Directive 2002/58/EC.

Для иллюстрации основания законного интереса расскажу про абсурдный случай из российской судебной практики. Суть в двух словах: компания из сферы ЖКХ передала юрфирме данные о неплательщиках, чтобы та подготовила исковое заявление в суд. В свою очередь, один из должников добился привлечения компании к административной ответственности по ст. 13.11 КоАП РФ, так как согласия на передачу своих данных не давал. Абсурд! Фактически 152-ФЗ ущемил права участников гражданского оборота и привел к возможности злоупотребления со стороны должника. Этого бы не случилось, если в законе применялся базис законного интереса. В GDPR он создает вполне законную почву для такой передачи данных.

Базис законного интереса на практике


Предположим, компания-разработчик предоставляет доступ к веб-сервису по лицензии. Персональные данные использует для заключения договора и сбора статистики (не обезличенной). Налицо две цели обработки данных: исполнение договора и улучшение продукта, решение технических проблем.

Первая цель относится к договорному базису (подп. (b) ст. 6(1)) и не требует согласия.

Вторая цель может реализовываться на основании:

а) согласия (подп. (b) ст. 6(1)),
б) базиса законного интереса (подп. (f) ст. 6(1)).

Если компания решит применять базис согласия, ей придется добавить в форму заказа не отмеченный заранее чекбокс. Много ли пользователей согласится предоставлять данные для сбора статистики? Вряд ли.

При применении базиса законного интереса компания только рассказывает о правах, не требуя активных действий (ст. 21 (4) GDPR). Более того, если преобладающий интерес над правами субъекта данных обоснован, компания вправе обрабатывать данные независимо от отказа.

Сможет ли компания ответить на вопросы для применения базиса законного интереса? Проверим:

Цель использования Повышение стабильности продукта для соблюдения интересов лицензиата.
Необходимость Иным способом получить статистику в совокупности необходимых параметров невозможно.
Баланс интересов Обработка сбалансирована, а потенциальный вред не является существенным.
Открытость Обработка данных открытая и очевидная для субъекта данных.

Как видим, у компании есть все основания не получать согласия. Но следует помнить об ограничениях:
  • До сбора персональных данных субъекту должно быть сообщено о целях и законном интересе обработки (пункт (d) ст. 13 (1), пункт (b) ст. 14(2) GDPR). То есть применение должно быть публично мотивировано и документировано.
  • Субъекту данных должно быть предоставлено право на возражение против обработки (ст. 21), право на удаление и ограничение.

С другой стороны, при сборе статистики просто соблюсти закон можно другим способом: обезличить данные. Обработка анонимизированных данных не регламентируется GDPR.

Выводы


  1. Не спешите получать согласие на обработку персональных данных. Сначала ответьте на вопросы: чьи и какие данные вы собираете, с какой целью, какие меры защиты применяете, кому эти данные раскрываете, какой из базисов будет наиболее применим.
  2. Если вы поняли, что собираете избыточные данные, откажитесь от их сбора. Основания для сбора остальных, меры по их защите и потенциальные каналы передачи зафиксируйте в политике обработки персональных данных. Более того, обработку и передачу необходимо документировать. Information Commissioner’s Office рассказывает, как это сделать и рекомендует форму учетного документа.
  3. Если вы собираете данные только для оказания услуг и продажи товаров, то вам не нужно получать согласие (но все еще надо оформить политику и выполнять иные формальности).
  4. Если вы собираете данные еще и для анализа, защиты от мошенничества, нелегальной активности, определите, подпадает ли этот сбор под базис законного интереса, если да, напишите об этом в политике. Или анонимизируйте данные, или, если вам так проще, получайте согласие на обработку.
  5. Получая согласие на обработку, предусмотрите возможность отзыва этого согласия.
  6. Каждое ваше решение должно быть обосновано исходя из специфики вашей деятельности, собираемых данных, а также детально документировано.

GDPR – это крайне обширная тема, детали которой охватить в одной статье невозможно.
Здесь я не коснулся вопросов обработки специальных категорий данных, а также тонкостей и особенностей применения проиллюстрированных базисов, прав и обязанностей сторон, вовлеченных в обработку, вопросы трансграничной передачи и множество иных связанных с GDPR проблем.

GDPR подчеркивает, что персональные данные принадлежат не вам, а субъекту данных. Именно он должен иметь над ними полный контроль — от получения информации, редактирования до права ограничения обработки или удаления.

habr.com

В каких случаях не требуется письменное согласие работника на передачу персональных данных третьей стороне

“Отдел кадров бюджетного учреждения”, 2010, N 5

Вопрос: В ст. 88 ТК РФ указано, что работодатель не вправе передавать третьей стороне персональные данные работника без письменного согласия последнего, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также других случаев, предусмотренных федеральными законами. В связи с этим возникли вопросы: в каких случаях не требуется письменное согласие работника на передачу персональных данных третьей стороне и в каком порядке следует получать письменное согласие работника на обработку других данных?

Ответ: В Трудовом кодексе и иных федеральных законах не закреплен точный перечень случаев, когда работодатель вправе предоставить третьим лицам персональные сведения о работнике без его согласия. Однако определенные сведения можно получить из ст. 88 ТК РФ. В ней действительно указано, что в целях предупреждения угрозы жизни и здоровью работника работодатель вправе предоставить третьим лицам персональные данные работника без его согласия. К таким случаям можно отнести несчастный случай на производстве, при котором необходимо доставить в учреждение здравоохранения пострадавшего, проинформировать его родственников, направить сообщение в органы и организации, определенные ТК РФ (ст. 228 ТК РФ). Вместе с тем следует учитывать, что, поскольку в законодательстве не закреплен перечень ситуаций, представляющих угрозу жизни или здоровью работника, работодатель в каждом конкретном случае делает самостоятельную оценку серьезности, неминуемости, степени такой угрозы.

Кроме того, нет необходимости запрашивать письменное согласие работника на передачу сведений, которой требуют федеральные законы. Например, п. 3 Инструкции по ведению страхового медицинского полиса, утвержденной Постановлением Правительства РФ от 23.01.1992 N 41 “О мерах по выполнению Закона РСФСР “О медицинском страховании граждан в РСФСР” (ред. от 11.09.1998), установлено, что в полисе указываются фамилия, имя, отчество, пол, возраст, место работы, социальное положение, адрес застрахованного. Поэтому для передачи работодателем медицинской страховой организации указанных сведений не требуется письменное согласие работника.

В остальных случаях работодатель обязан запрашивать у работника разрешение на обработку (в том числе передачу) определенных персональных данных. В ст. 9 Закона N 152-ФЗ сказано, что письменное согласие субъекта персональных данных на их обработку должно включать:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

Рекомендуем разработать в организации бланк, в котором будет указан перечень персональных данных, цели, для которых эти данные необходимы, действия, которые будут производиться с этими данными. При приеме на работу работнику необходимо представить такой бланк, в котором он может выразить согласие или несогласие с обработкой конкретных данных для определенных целей либо путем совершения определенных действий. Например, один из пунктов может содержать утверждение, что работник разрешает обработку своих персональных данных (фамилии, имени и отчества, даты рождения, паспортных данных, сведений об образовании и т. д.) с использованием средств автоматизации и без их использования для целей кадрового делопроизводства.

Если при приеме на работу в письменном соглашении об обработке (в том числе передаче третьим лицам) не были отражены какие-либо данные или цели, то при возникновении конкретной ситуации у работника необходимо запросить письменное согласие. Например, в случае, когда в отдел кадров поступил звонок из банка с запросом, работает ли определенный работник, прежде чем подтверждать или опровергать такие сведения, необходимо взять соответствующее письменное согласие у работника.

Рекомендуемый срок, в течение которого действует согласие на обработку персональных данных, – в течение действия трудового договора и 75 лет после окончания его действия. Это необходимо в связи с тем, что после увольнения работника работодатель обязан хранить документы, связанные с деятельностью работника, не менее 10 лет, после чего они передаются на хранение в архив.

Н. Н.Булыга

Редактор журнала

“Отдел кадров

бюджетного учреждения”

Подписано в печать

10.05.2010

hr-portal.ru

Обработка персональных данных работников без их согласия

“Кадровик. Кадровое делопроизводство”, 2013, N 5

ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ БЕЗ ИХ СОГЛАСИЯ

Статья рассказывает, что существуют ситуации, в которых у работодателя существует обязанность по обработке или публикации персональных данных работника без его согласия.

Обработка персональных данных работника, государственного служащего не требует получения соответствующего согласия указанных лиц при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством, законодательством Российской Федерации о государственной гражданской службе.

Объем и цели обработки персональных данных

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.

Обработке подлежат только персональные данные, которые отвечают целям этой обработки.

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях – и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

Хранение персональных данных

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Обработка без согласия

Работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися, как правило, приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 ТК РФ.

Кроме того, получения работодателем согласия на обработку персональных данных не требуется в специально указанных случаях:

– если существует обязанность по обработке персональных данных, предусмотренная законодательством РФ;

– обработка персональных данных предусмотрена унифицированными формами;

– передача данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника;

– обработка персональных данных необходима при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя.

Требования законодательства

Обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет, может быть предусмотрена законодательством Российской Федерации.

К примеру, согласно п. 7 ч. 1 ст. 79 Федерального закона от 21.11.2011 N 323-ФЗ “Об основах охраны здоровья граждан в Российской Федерации” (ред. от 25.06.2012) медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием сети Интернет, об осуществляемой медицинской деятельности и о медицинских работниках, об уровне их образования и о их квалификации.

В соответствии с Правилами размещения в сети Интернет и обновления информации об образовательном учреждении, утв. Постановлением Правительства РФ от 18.04.2012 N 343, образовательное учреждение должно размещать на своем официальном сайте в сети Интернет и обновлять в сроки, установленные Законом Российской Федерации от 10.07.1992 N 3266-1 “Об образовании” (с 1 сентября 2013 г. будет действовать Федеральный закон от 29.12.2012 N 273-ФЗ “Об образовании в Российской Федерации”), в том числе информацию, содержащую следующие персональные данные: фамилия, имя, отчество учредителя образовательного учреждения, его место нахождения, график работы, адрес электронной почты, фамилия, имя, отчество руководителя образовательного учреждения, его место нахождения, график работы, адрес электронной почты, справочные телефоны, фамилии, имена, отчества, должности руководителей структурных подразделений, включая филиалы и представительства, места их нахождения, графики работы, адреса электронной почты, информация о персональном составе педагогических (научно-педагогических) работников, их фамилии, имена, отчества, занимаемые должности, их уровень образования, квалификация, наличие ученой степени, ученого звания.

Соответствующие обязательства также установлены Федеральным законом от 09.02.2009 N 8-ФЗ “Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления” (ред. от 11.07.2011), согласно которому государственные органы и органы местного самоуправления обязаны обеспечить доступ к информации о своей деятельности, в том числе к сведениям о руководителях государственного органа, его структурных подразделений, территориальных органов и представительств за рубежом (при наличии), руководителях органа местного самоуправления, его структурных подразделений, руководителях подведомственных организаций (фамилии, имена, отчества, должности, рабочие телефоны). Иная информация может указываться только при согласии указанных лиц.

Согласие работника, государственного служащего не требуется при передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, в том числе при его командировании (в соответствии с Правилами оказания гостиничных услуг в Российской Федерации, утв. Постановлением Правительства Российской Федерации от 25.04.1997 N 490 (ред. от 13.03.2013), нормативными правовыми актами в сфере транспортной безопасности).

Под исключения, связанные с отсутствием необходимости получения согласия, подпадают случаи передачи работодателем персональных данных работников, государственных служащих в налоговые органы, военные комиссариаты, профсоюзные органы, предусмотренные действующим законодательством Российской Федерации.

Так, в соответствии со ст. ст. 17, 19 Федерального закона от 12.01.1996 N 10-ФЗ “О профессиональных союзах, их правах и гарантиях деятельности” (ред. от 28.12.2010) для осуществления своей уставной деятельности профсоюзы вправе бесплатно и беспрепятственно получать от работодателей, их объединений (союзов, ассоциаций), органов государственной власти и органов местного самоуправления информацию по социально-трудовым вопросам, в том числе осуществлять контроль за соблюдением работодателями, должностными лицами законодательства о труде, по вопросам трудового договора (контракта), рабочего времени и времени отдыха, оплаты труда, гарантий и компенсаций, льгот и преимуществ, а также по другим социально-трудовым вопросам в организациях, в которых работают члены данного профсоюза и имеют право требовать устранения выявленных нарушений.

Унифицированные формы

Обработка персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой N Т-2, утв. Постановлением Госкомстата России от 05.01.2004 N 1 “Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты”, либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат). Надо при этом помнить, что с 1 января 2013 г. формы первичных учетных документов, содержащиеся в альбомах унифицированных форм первичной учетной документации, не являются обязательными к применению.

В иных случаях получение согласия близких родственников работника является обязательным условием обработки их персональных данных.

Обработка специальных категорий персональных данных работника, в том числе сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции, осуществляется на основании положений п. 2.3 ч. 2 ст. 10 Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных” (ред. от 25.07.2011, далее – Закон о персональных данных) в рамках трудового законодательства.

Предупреждение угрозы жизни и здоровью работника

При передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, согласие работника не требуется.

Работодатель, согласно ст. 22 ТК РФ, обязан осуществлять обязательное социальное страхование работников в порядке, установленном федеральными законами, в частности Федеральным законом от 15.12.2001 N 167-ФЗ “Об обязательном пенсионном страховании в Российской Федерации” (ред. от 03.12.2012), Федеральным законом от 16.07.1999 N 165-ФЗ “Об основах обязательного социального страхования” (ред. от 11.07.2011), Федеральным законом от 29.11.2010 N 326-ФЗ “Об обязательном медицинском страховании в Российской Федерации” (ред. от 11.02.2013).

Таким образом, передача персональных данных работников в Фонд социального страхования РФ, Пенсионный фонд РФ осуществляется без их согласия.

Мотивированные запросы

Согласие работника не требуется при получении в рамках установленных полномочий мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.

Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.

В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.

Необходимо отметить, что передача персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:

а) договор на выпуск банковской карты заключался напрямую с работником, в тексте предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;

б) наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;

в) соответствующая форма и система оплаты труда прописаны в коллективном договоре (ст. 41 ТК РФ).

Пропускной режим

Обработка персональных данных работника при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя, при условии что организация пропускного режима осуществляется работодателем самостоятельно либо если указанная обработка соответствует порядку, предусмотренному коллективным договором, локальными актами работодателя, принятыми в соответствии со ст. 372 ТК РФ.

Сторонним организациям согласие обязательно

При привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Закона о персональных данных, в том числе получить согласие работников на передачу их персональных данных. Содержание согласия работника должно быть конкретным и информированным, то есть содержать информацию, позволяющую однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных.

Согласие работника может быть оформлено как в виде отдельного документа, так и закреплено в тексте трудового договора и отвечать требованиям, предъявляемым к содержанию согласия согласно ч. 4 ст. 9 Закона о персональных данных.

Персональные данные уволенных работников

Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и сроки, предусмотренные федеральным законодательством. К таким случаям в том числе относится обработка персональных данных в рамках бухгалтерского и налогового учета.

Так, согласно пп. 5 п. 3 ст. 24 Налогового кодекса РФ установлена обязанность налоговых агентов (работодателей) в течение 4 лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога.

Статья 17 Федерального закона от 21.11.1996 N 129-ФЗ “О бухгалтерском учете” определяет, что организации обязаны хранить бухгалтерскую документацию в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но при этом минимальный срок хранения не может быть менее пяти лет. Федеральный закон от 21.11.1996 N 129-ФЗ утратил силу с 1 января 2013 г. в связи с принятием Федерального закона от 06.12.2011 N 402-ФЗ “О бухгалтерском учете”. В соответствии с ним первичные учетные документы, регистры бухгалтерского учета, бухгалтерская (финансовая) отчетность подлежат хранению экономическим субъектом в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее 5 лет после отчетного года. Документы учетной политики, стандарты экономического субъекта, другие документы, связанные с организацией и ведением бухгалтерского учета, в том числе средства, обеспечивающие воспроизведение электронных документов, а также проверку подлинности электронной подписи, подлежат хранению экономическим субъектом не менее 5 лет после года, в котором они использовались для составления бухгалтерской (финансовой) отчетности в последний раз. Таким образом, с учетом положений п. 2 ч. 1 ст. 6 Федерального закона “О персональных данных” согласие уволенных работников на обработку их персональных данных в вышеуказанных случаях не требуется.

По истечении сроков, определенных законодательством Российской Федерации, личные дела работников и иные документы передаются на архивное хранение на срок 75 лет. При этом на организацию архивного хранения, комплектования, учет и использование архивных документов, содержащих персональные данные работников, действие Закона “О персональных данных” не распространяется, и, соответственно, обработка указанных сведений не требует соблюдения условий, связанных с получением согласия на обработку персональных данных.

Персональные данные соискателей

Обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных ТК РФ, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия работодателем решения о приеме либо отказе в приеме на работу.

Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключило соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.

В случае получения резюме соискателя по каналам электронной почты, факсимильной связи работодателю необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем.

К примеру, к таким мероприятиям можно отнести приглашение соискателя на личную встречу с уполномоченными сотрудниками работодателя посредством электронной почты и т. д.

При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, его направившее, не представляется возможным, данное резюме подлежит уничтожению в день поступления.

В случае если сбор персональных данных соискателей осуществляется посредством типовой формы анкеты соискателя, утвержденной оператором, данная типовая форма анкеты должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации от 15.09.2008 N 687, а также содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

Типовая форма анкеты соискателя может быть реализована в электронной форме на сайте организации, где согласие на обработку персональных данных подтверждается соискателем путем проставления отметки в соответствующем поле, за исключением случаев, когда работодателем запрашиваются сведения, предполагающие получение согласия в письменной форме.

В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней, за исключением случаев, предусмотренных законодательством о государственной гражданской службе, где срок хранения персональных данных соискателя определен в течение 3 лет.

Получение согласия также является обязательным условием при направлении работодателем запросов в иные организации, в том числе по прежним местам работы, для уточнения или получения дополнительной информации о соискателе.

Исключение составляют случаи заключения трудового договора с бывшим государственным или муниципальным служащим. В соответствии со ст. 64.1 ТК РФ работодатель при заключении трудового договора с гражданами, замещавшими должности государственной или муниципальной службы, перечень которых устанавливается нормативными правовыми актами РФ, в течение двух лет после их увольнения с государственной или муниципальной службы обязан в десятидневный срок сообщать о заключении такого договора представителю нанимателя (работодателю) государственного или муниципального служащего по последнему месту его службы в порядке, устанавливаемом нормативными правовыми актами РФ.

Обязанность получения согласия также не распространяется на обработку персональных данных соискателей, подавших документы на замещение вакантных должностей государственной гражданской службы, поскольку перечень представляемых документов определен Федеральным законом от 27.07.2004 N 79-ФЗ “О государственной гражданской службе Российской Федерации” (ред. от 30.12.2012, далее – Закон о государственной гражданской службе) и п. 7 Положения о конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации, утв. Указом Президента РФ от 01.02.2005 N 112 (ред. от 22.01.2011), а форма анкеты, предполагающая внесение персональных данных заявителя, утверждена Распоряжением Правительства РФ от 26.05.2005 N 667-р (ред. от 16.10.2007).

Ведение кадрового резерва

Ведение кадрового резерва на сегодняшний день трудовым законодательством не регламентировано. В этом случае обработка персональных данных лиц, включенных в кадровый резерв, может осуществляться только с их согласия, за исключением случаев нахождения в кадровом резерве действующих сотрудников, в трудовом договоре которых определены соответствующие положения. Согласие на внесение соискателя в кадровый резерв организации оформляется либо в форме отдельного документа, либо путем проставления соискателем отметки в соответствующем поле электронной формы анкеты соискателя, реализованной на сайте организации в сети Интернет.

Обязательным является условие ознакомления соискателя с условиями ведения кадрового резерва в организации, сроком хранения его персональных данных, а также порядком исключения его из кадрового резерва.

Необходимо отметить, что Законом о государственной гражданской службе предусмотрено формирование кадрового резерва (федерального кадрового резерва, кадрового резерва федерального государственного органа, кадрового резерва субъекта Российской Федерации и кадрового резерва государственного органа субъекта Российской Федерации). Таким образом, согласие на обработку персональных данных гражданских служащих, а также иных лиц при ведении органом государственной власти кадрового резерва не требуется.

Библиографический список

1. Разъяснения Роскомнадзора “Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве” // Минкомсвязь России [Электронный ресурс]. URL: http://www. rsoc. ru. Дата обращения 01.04.2013.

А. Иличенков

Юрист

Москва

Подписано в печать 12.04.2013

hr-portal.ru

Брать или не брать с граждан согласие на обработку персональных данных?


Требования законодательства, касающиеся получения согласия граждан на обработку их персональных данных, настолько непонятны широкой общественности, что многие организации, в том числе и государственные органы, подстраховываясь, начинают собирать согласия при любом обращении гражданина. В свою очередь граждане, сталкиваясь с такими непривычными для них требованиями, возмущаются и начинают писать жалобы в прокуратуру.

Данное судебное дело интересно не только тем, что в судебном решении были подробно изложены позиции сторон, но и тем, что само нарушение возникло после того, как в декабре 2011 года Сысертским межрайонным прокурором в Администрацию Сысертского городского округа было внесено представление об устранении нарушений законодательства в области обработки персональных данных, где, в частности, было указано на необходимость получения оператором письменного согласия субъектов персональных данных на их обработку. Через два месяца, в феврале 2012 года, та же прокуратура посчитала, что «обязывая граждан давать согласие на обработку персональных данных, Администрация опять нарушает закон» 🙂

Суть спора

При обращении гражданки в Администрацию Сысертского городского округа с письменным заявлением, начальник административно-организационного отдела разъяснил ей, что в заявлении также необходимо дать согласие на обработку персональных данных. Гражданка согласие на обработку её персональных данных давать отказалась и ушла, не оставив заявления,  зато потом обратилась с жалобой в прокуратуру.

В ходе проведения проверки прокуратурой было установлено, что Администрацией была разработана форма заявления граждан, обратившихся с каким-либо вопросом (предложение, заявление, жалоба и т.п.), в которой предусмотрено согласие субъекта персональных данных в письменной форме на обработку персональных данных.

Прокуратура обратилась в Сысертский районный суд Свердловской области с иском о признании незаконным действий по обязанию граждан давать согласие на обработку персональных данных. Суд рассмотрел гражданское дело 2-526/2012 в мае 2012 года.

Позиция Сысертской межрайонной прокуратуры

По мнению прокуратуры, требование Администрации Сысертского городского округа об обязательной даче согласия на обработку персональных данных при обращении граждан в органы местного самоуправления является незаконным и нарушает права граждан, связанные с реализацией закрепленного за ними Конституцией РФ права на обращение в органы местного самоуправления.

Заместителем Сысертского межрайонного прокурора в адрес главы городского округа было внесено представление об устранении нарушений законодательства о порядке рассмотрения обращений граждан в Российской Федерации.

Позиция Администрации Сысертского городского округа

Администрация пыталась обратить внимание суда на то, что получение согласия на обработку персональных данных она начала собирать не по собственной инициативе. В декабре 2011 года Сысертским межрайонным прокурором в Администрацию было внесено представление об устранении нарушений законодательства в области обработки персональных данных, где, в частности, было указано на необходимость получения оператором письменного согласия субъектов персональных данных на их обработку. К посланному в адрес прокуратуры ответу на это представление Администрацией были приложены разработанные ею бланки заявлений, жалоб, обращений, в которых была предусмотрена письменная дача согласия заявителя на обработку его персональных данных.

Мой комментарий: Итак, с декабря 2011 года по февраль 2012 года прокуратура без лишнего шума кардинально изменила свое мнение о том, нужно ли получать письменное согласие на обработку персональных данных от граждан. Но виноватой, естественно, была признана Администрация.

По мнению Администрации, в соответствии с федеральным законом «О персональных данных» субъект (носитель) персональных данных обязан дать согласие на обработку персональных данных оператору, обрабатывающему персональные данные. Гражданка отказалась давать согласие на обработку персональных данных. Мнение прокуратуры о том, что не нужно брать согласие на обработку персональных данных, Администрация сочла необоснованным.

Орган местного самоуправления получает обязательное письменное согласие на обработку персональных данных в случаях, прямо установленных статьями 10, 11, 12, 16 федерального закона № 152-ФЗ. Не является также нарушением получение письменного согласия на обработку персональных данных в тех случаях, когда получение такого согласия необходимо, но при этом законом не конкретизирована форма получения согласия, т.к. ч. 1 ст. 9 федерального закона № 152-ФЗ позволяет получать его в любой форме, позволяющей подтвердить факт получения, а значит, в том числе и в письменной форме.

Позиция  Управления Роскомнадзора по Свердловской области

Наличие у оператора – Администрации письменного обращения гражданина, зарегистрированного в особом порядке, является выражением согласия субъекта на обработку его персональных данных.

Ссылка Администрации на закон «О персональных данных» в части получения письменного согласия, по мнению Управления, является несостоятельной, так как гражданин сам обратился к Администрации с письменным заявлением, следовательно, предполагал возможность раскрытия перед Администрацией его персональных данных, необходимых и достаточных для объективного, полного и всестороннего рассмотрения обращения гражданина.

Действия (требования) Администрации по обязанию граждан (заявителей) давать согласие на обработку персональных данных при обращении, по мнению Управления Роскомнадзора, неправомерны.

Позиция Сысертского районного суда Свердловской области

Администрацией была разработана форма заявления граждан, обратившихся с каким-либо вопросом (предложение, заявление, жалоба и т.п.), в которой предусмотрено согласие субъекта персональных данных в письменной форме на обработку персональных данных. В результате гражданам для подачи предложений, заявлений, жалоб в Администрацию приходится в обязательном порядке давать такое согласие.

В судебном заседании гражданка пояснила, что при обращении в Администрацию с заявлением ей был разъяснен порядок приема заявления, в котором должно быть отражено согласие на обработку персональных данных. Согласие она давать отказалась, в связи с чем в приеме заявления ей было отказано, и она вынуждена была направить заявление почтой. Данное обстоятельство также подтвердил присутствовавший при этом свидетель.

По мнению суда указанными действиями Администрации нарушалось право граждан, закрепленное в ст. 33 Конституции, обращаться лично, а также направлять индивидуальные и коллективные обращения в государственные органы и органы местного самоуправления. Данное нарушение является недопустимым, в связи с чем, исковые требования прокурора подлежат удовлетворению.

Доводы администрации о необходимости получения в любой форме согласия граждан на обработку персональных данных судом не были приняты во внимание, поскольку законом установлен закрытый перечень случаев для получения письменного согласия.

Суд также отметил, что получение согласия не может рассматриваться в качестве условия для принятия заявления, как и отказ в подписании данного согласия – основанием для отказа в принятии заявления, поскольку указывая сведения, изложенные в обращении, граждане совершают действия, позволяющие подтвердить их согласию на обработку персональных данных.

Суд признал незаконным действия Администрации по обязанию граждан давать согласие на обработку персональных данных и обязал её прекратить необоснованные требования о даче согласия на обработку персональных данных при обращении граждан.

Мой комментарий: К сожалению, пока ещё нет возможности отследить дальнейшее прохождение дел в гражданском судопроизводстве. На месте Администрации я подала бы жалобу в Генеральную прокуратуру РФ на действия их подчинённых. Возможно, ещё более действенным способом борьбы с безответственным поведением прокурорских работников было бы выкладывание в интернете и СМИ двух предписаний прокуратуры, содержащих противоположные требования, и беспощадное высмеивание непрофессионализма их авторов.

Источник: Сысертский районный суд Свердловской области
http://sysertsky.svd.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=doc&number=72671&delo_id=1540005&text_number=1 

rusrim.blogspot.com