Передача персональных данных третьим лицам образец

Согласие на обработку персональных данных

Относительно недавно в России был введен в оборот новый документ под названием «Согласие на обработку персональных данных». Очень быстро он получил повсеместное распространение и на данный момент широко используется в самых разных организациях, начиная от государственных бюджетных учреждений и до коммерческих компаний.

К вашему вниманию! Этот документ можно скачать в КонсультантПлюс.

  • Бланк и образец
  • Бесплатная загрузка
  • Онлайн просмотр
  • Проверено экспертом

Что собой представляет согласие

Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.

Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.

Когда чаще всего требуется согласие

Сейчас согласие необходимо писать почти повсеместно:

  • при подаче документов на ребенка в садик или школу;
  • при трудоустройстве;
  • при заключении договора с банком, страховой компанией и т.д.

Иными словами, везде, где гражданин предоставляет свои личные документы или документы лица, представителем которого он является, заполняет различного рода тесты и анкеты, он подписывается такое согласие.

Что вкладывается в термин «персональные данные»

Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • сведения из паспорта, трудовой книжки и прочих документов;
  • а также некоторые характеристики его личности.

При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.

В частности их условно можно поделить на три основных вида:

  1. общедоступные данные (ФИО, пол, дата, место рождения, гражданство и т.п.)
  2. биометрические (физиологические особенности индивида, его внешние параметры)
  3. специальные (народность, религия, здоровье и т.д.). Сюда же в некоторой степени относится и информация о месте работы человека, его отношениях с законодательством, привычках и т.п.

По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.

Для чего формируется согласие на обработку при трудоустройстве

Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д. Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).

В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.

Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.

Если сотрудник отказывается подписывать согласие

Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.

Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.

В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.

Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.

Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.

Что грозит за разглашение персональных данных

Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.

Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.

Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.

В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).

Как уведомить

Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.

Можно ли отозвать согласие

Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает. Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.

Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).

Это требование должно быть выполнено не позже чем через месяц после написания отзыва.

Образец согласия

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:

  • наименование компании-работодателя;
  • место и дата составления документа;
  • фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.

Далее в основной части подробно указывается:

  • каких именно персональных данных касается документ;
  • в каких целях и что именно допустимо с ними делать;
  • срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).

Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.

СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Я, Ковтун Инна Олеговна, паспорт 2495 564738, выдан Ленинским РОВД г. Иваново, адрес регистрации: г. Иваново, ул. Мельничная д.73, кв. 8, даю свое согласие ОАО «КомЖилФонд» на обработку моих персональных данных. Согласие касается фамилии, имени, отчества, данных о поле, дате рождении, гражданстве, типе документа, удостоверяющем личность (его серии, номере, дате и месте выдачи), а также сведений из трудовой книжки: опыте работы, месте работы и должности.

Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях. Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч. передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.

До моего сведения доведено, что ОАО «КомЖилФонд» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.

Подтверждаю, что давая согласие я действую без принуждения, по собственной воле и в своих интересах.

Согласие на передачу персональных данных третьим лицам

В соответствии со ст. 6 закона «О персональных данных» оператор вправе поручить обработку персональных данных сотрудника или клиента третьему лицу. Это действие требует обязательного оформления согласия субъекта ПД.

Случаи передачи персональных данных третьим лицам

В пункте 3 статьи 6 закона «О персональных данных» говорится о том, что оператор в ряде случаев может поручить обработку персональных данных, доверенных ему правообладателем, третьим лицам.

При такой передаче соблюдаются следующие условия:

  • если она предусмотрена законом, между сторонами не заключаются соглашение или договор об условиях обработки;
  • если передача происходит по соглашению, стороны заключают договор, раскрывающий условия соглашения;
  • согласие на передачу сведений у правообладателя получает только лицо, передающее данные;
  • лицо, получающее информацию для обработки, не обязано получать отдельное согласие у субъекта персональных данных;
  • в рамках реализации договора оформляется поручение оператора, в котором содержатся сведения о перечне действий, совершаемых доверенным лицом, о целях обработки, а также требования обеспечивать конфиденциальность и защиту ПД;
  • в соглашении (договоре) указываются требования к защите персональных данных, определяемых их категорией (общедоступные, биометрические, иные) и требованиями ФСТЭК РФ.

Ответственность за то, как третье лицо выполняет обязательства по защите персональных данных, всегда несет передавший их оператор. Если осуществляется трансграничная передача информации, на это потребуется оформить отдельное согласие.

На практике персональные данные передаются на обработку третьим лицам в следующих случаях:

  • анализ клиентской базы. В этой ситуации требуется их обезличивание;
  • предоставление сведений банку при реализации зарплатной программы для открытия карточных счетов;
  • передача статистических данных государственным организациям – Росстату, Пенсионному фонду, ФНС;
  • передача информации из ЖКХ организациям биллинговых услуг или управляющим организациям;
  • продажа кредитной задолженности банками;
  • взыскание задолженности операторами связи, организациями ЖКХ.

В ряде случаев такая передача оказывается незаконной, и оператор привлекается к гражданской или административной ответственности, выплачивая штраф или компенсируя убытки правообладателю. Но чаще суды встают на сторону более сильного с состязательной точки зрения субъекта, например, ПАО «Ростелеком», и отказывают в возмещении морального вреда даже при явном нарушении закона оператором персональных данных (дело 2-7574/19 Набережночелнинского суда).

Как оформить согласие на передачу ПД третьим лицам

О необходимости оформлять согласие на передачу персональных данных для обработки третьим лицам говорит не только закон «О персональных данных», но и Трудовой кодекс, который в ст. 88 прямо требует у работодателя оформить письменное согласие в любых случаях предоставления данных третьим лицам, за исключением ситуаций, когда ПД необходимо передать для предотвращения угрозы жизни или здоровью сотрудника. Согласие обязательно потребуется, если данные передаются с целью реализации коммерческих интересов работодателя. Оно не нужно, если сведения передаются в социальные фонды, налоговую, службу государственной статистики, службу занятости или федеральную инспекцию по надзору в сфере трудового законодательства.

Закон прямо не требует от оператора указания в согласии всех третьих лиц, которым он предполагает передать сведения на обработку. Но если у гражданина есть сомнения в правомерности такой передачи и соответствии цели обработки передаваемых ПД закону, он всегда вправе отозвать свое согласие, вынудив оператора обратиться к агенту с требованием уничтожить данные. Отказ от выполнения этой обязанности можно обжаловать Роскомнадзоре, и тогда оператор будет оштрафован в рамках ст. 13.11 КоАП РФ.

Обязательное оформление согласия на передачу персональных данных для обработки третьим лицам становится задачей оператора, его отсутствие приведет к негативным последствиям. Права субъектов персональных данных должны соблюдаться всеми операторами.

Согласие на распространение персональных данных: новый документ работодателей

В марте этого года в обиходе работодателей появилось понятие «персональные данные, разрешенные для распространения» (Федеральный закон от 30.12.2020 № 519-ФЗ). А вместе с ним и новый документ — согласие на обработку персональных данных, разрешенных для распространения. Порядок работы с ним изложен в ст. 10.1 Федерального закона
от 27.07.2006 № 152-ФЗ и Приказе Роскомнадзора от 24.02.2021 № 18. Новый документ призван остановить бесконтрольное использование персональных данных (ПД) граждан третьими лицами.

Обратите внимание: согласие на распространение персональных данных — отдельный документ, его нельзя оформлять в совокупности с другими документами.

Что указывать в согласии

Содержание согласия определяется Приказом № 18. В документе обязательно должны быть:

  1. Фамилия, имя, отчество субъекта персональных данных.
  2. Контактная информация субъекта персональных данных: номер телефона, адрес электронной или обычной почты.
  3. Сведения об организации — операторе персональных данных, которому человек предоставляет согласие.

Если оператором выступает юридическое лицо, субъект должен указать наименование организации, адрес из ЕГРЮЛ, ИНН и госномер, если он его знает.

Если ИП — ФИО, ИНН и госномер, если знает.

  1. Сведения об информационных ресурсах оператора, с помощью которых он распространяет персональные данные: наименование протокола — http/https, сервера, домена, имя каталога на сервере и имя файла каталога.

Если вы размещаете сведения на нескольких сайтах, укажите полные адреса всех. Человек должен знать, где будет опубликована информация о нем.

  1. Цель или цели обработки и распространения персональных данных.
  2. Категории и перечень ПД, которые можно распространять. Приказ № 18 предлагает объемный перечень, куда входят ФИО субъекта персональных данных, дата рождения, образование, профессия, доходы и пр. В этот раздел может быть отнесена биометрия, а также все, что ст. 10 и 11 Закона № 152-ФЗ относят к специальной категории ПД: национальность, расовая принадлежность, политические взгляды, религиозные и философские убеждения и пр.

Обратите внимание: сотрудник не обязан давать согласие на распространение всех сведений из списка. Он может установить запрет в отношении любого вида информации.

  1. Категории и перечень персональных данных, которые субъект запрещает распространять. Здесь же указываются условия запрета.

Исключения — информация, которая необходима в рамках действующего законодательства, исполнения требований судебными органами и пр. Здесь никто ограничивать работу с персональными данными не может.

  1. Условия передачи оператором данных:
  • только по внутренним сетям, доступ к которым имеет ограниченный круг сотрудников;
  • по информационно-телекоммуникационным сетям;
  • полный запрет на передачу сведений куда-либо.
  1. Срок действия согласия, который устанавливает сам субъект.

Как получить согласие

Согласие можно получать непосредственно у субъекта в бумажном или электронном формате или через информационную систему Роскомнадзора, которая заработает с 1 марта 2022 года. Приказ о ее создании уже утвержден.

Что делать, если человек отозвал согласие

Если человек передумал, он должен подать оператору, которому предоставлял согласие, требование о прекращении обработки и распространения персональных данных (ст. 10.1 Закона № 152-ФЗ). Это может быть любое лицо работодателя: генеральный директор, руководитель или специалист отдела кадров — закон не уточняет.

В требовании должны быть указаны: фамилия, имя, отчество (при наличии), контактная информация (номер телефона, адрес электронной почты или почтовый адрес), а также перечень персональных данных, обработка которых подлежит прекращению.

Требование лучше составить в письменной, а не электронной форме, потому что в уже сложившейся практике электронная форма не всегда принимается в качестве доказательств. Поскольку работодатели только начинают работать с согласиями на распространение ПД, то отдельной практики по этому вопросу ни инспекционной, ни судебной пока нет.

Если работодатель самостоятельно не прекращает распространять информацию в течение трех рабочих дней с момента получения требования, человек может обратиться в суд. Если суд не определил дату прекращения распространения персональных данных, то у организации есть три рабочих дня с момента вступления решения суда в законную силу.

Судебное разбирательство очень неудобно прежде всего для самого субъекта, потому что есть установленные законодательством регламенты и сроки. Рассмотрение претензии может затянуться на месяц или дольше.

За отказ прекратить распространение персональных данных предусмотрена административная ответственность. Ущерб может оказаться существенно больше, чем предполагаемая выгода от распространения.

Зачем нужна информационная система (ИС) Роскомнадзора

Новая ИС для работы с согласиями на распространение персональных данных откроется
с 1 марта 2022 года (Приказ Роскомнадзора от 21.06.2021 № 106). Система будет аккумулировать следующую информацию:

  • факт предоставления согласия;
  • цели обработки ПД;
  • информационные ресурсы оператора;
  • категории и перечни ПД, которые разрешено распространять;
  • категории и перечни ПД, для которых установлены условия и запреты;
  • перечень условий и запретов, устанавливаемых в отношении персональных данных.

Это будет единая база по всем подписанным и отозванным согласиям, запретам и ограничениям.

Важно! Само согласие и содержащиеся в нем персональные данные не передаются в информационную систему Роскомнадзора, оператору и иным третьим лицам.Чтобы сотрудник мог воспользоваться ИС Роскомнадзора, ему необходимо получить электронную подпись, зарегистрироваться в ИС, ввести в форму согласия свои данные и при желании установить запреты и/или ограничения. Работодатель увидит всю информацию тоже только после регистрации. Подробную инструкцию предлагает Приказ Роскомнадзора № 106, но как на практике выстроится взаимодействие, покажет время.

Какие штрафы ждут работодателей

В последнее время законодатели несколько раз корректировали меру ответственности за нарушения в сфере персональных данных. Последнее изменение — от 27 марта 2021 года: штрафы увеличены почти в два раза, появились статьи за повторные ошибки.

Большинство нарушений подпадает под действие ч. 1 ст. 13.11 КоАП — обработка персональных данных, не соответствующая требованиям законодательства или заявленным целям. К ней относятся ошибки в локальных нормативных актах, в порядке сбора и передачи информации и пр.

  • гражданам от 2 000 до 6 000 руб.;
  • должностным лицам — от 10 000 до 20 000 руб.;
  • юридическим лицам — от 60 000 до 100 000 руб.

Если Роскомнадзор обнаружит, что ситуация повторяется, штраф увеличится более чем в два раза (ч. 1.1 ст. 13.11 КоАП).

Для согласий на обработку и распространение персональных данных выделена ч. 2 ст. 13.11 КоАП, она касается нарушений в порядке получения документов или их отсутствия. Поэтому внимательно сверяйте свои документы с требованиями законодательства. Согласие на обработку — со ст. 9 Закона № 152-ФЗ, согласие на распространение — со ст. 10.1 Закона № 152-ФЗ и Приказом № 18.

Обязательно проанализируйте, по всем ли сведениям у вас есть согласие. Чаще всего из поля зрения работодателей выпадают соискатели, совместители, родственники сотрудников и иные третьи лица, чьи данные обрабатываются в организации.

Штрафы за первое нарушение по ч. 2 ст. 13.11 КоАП:

  • гражданам — от 6 000 до 10 000 руб.;
  • должностным лицам — от 20 000 до 40 000 руб.;
  • юридическим лицам — от 30 000 до 150 000 руб.

При повторном нарушении максимальный размер штрафа сейчас может достигать суммы в 500 000 руб. на организацию. Санкции могут применяться к каждому согласию, оформленному с нарушениями или неполученному в установленном порядке, так что ошибки в работе с согласиями на обработку и распространение персональных данных могут обойтись очень дорого.

Но самые суровые части — ч. 8 и 9 ст. 13.11. Они предусматривают наказание за однократные и повторяющиеся нарушения в порядке сбора ПД граждан РФ, их записи, систематизации, хранения, блокировки и уничтожения.

  • Максимальный штраф на организацию по ч. 8 — 6 млн руб., по ч. 9 — 18 млн руб.

Чтобы не выплачивать огромные суммы, сейчас важно получить сами согласия и проверить их содержание. На этот участок работы Роскомнадзор будет обращать внимание в первую очередь.

Если хотите подстраховаться, воспользуйтесь предложением Роскомнадзора: через сайт ведомства отправьте свою форму согласия на проверку. Специалисты проверят ее и дадут свои рекомендации, что исправить и чем дополнить. Для подачи заявки надо авторизоваться через ЕСИА.

Как составить согласие на передачу персональных данных третьим лицам? Образец и прочие нюансы

Руководство организации, в которой трудится сотрудник, располагает персональными сведениями о нем.

По этой причине существует установленный порядок с целью их передачи, охраны, обработки и защиты от сообщения третьему лицу без ведома служащего.

Последний должен написать согласие в письменном виде. Давайте подробно выясним, как это осуществляется, а также посмотрим образец документа на передачу персональных данных третьей стороне.

Что это такое?

Персональными данными называют любые сведения, которые относятся к соответствующему или определяемому на основании этих сведений физлицу. Передача персональных данных регламентируется ст.88 ТК РФ.

Об особенностях трансграничной передачи персональных данных читайте тут.

Официальные получатели личных сведений

Официально являющиеся получатели персональных сведений гражданина (кому можно передавать без согласия) считаются следующие учреждения:

  1. ФСС РФ (Фонд соцстрахования): на основании ФЗ № 125 «Об обязательном соцстраховании от несчастных случаев на производстве и профзаболеваний».
  2. Пенсионный фонд России: регламентируется ФЗ № 27 «О персонифицированном учете в системе обязательного пенсионного страхования».
  3. Налоговые службы: согласно закону № 146 ч.1 НК РФ.
  4. Службы занятости: в соответствии с ФЗ № 1032-1 «О занятости населения в России».
  5. Органы министерства внутренних дел: ФЗ №3 «О полиции», ФЗ № 40 «О федеральной службе безопасности», ФЗ №144 «Об оперативно-розыскной деятельности».
  6. Военные комиссариаты: регламентируются ФЗ № 53 «О воинской обязанности и военной службе», Постановление Правительства РФ № 719 «Положение о воинском учете», Указ Президента России № 1132 «Об утверждении Положения о военных комиссариатах».
  7. Иные службы государственного контроля и надзора за соблюдением законодательства о труде.
Читайте также  В какое время имеет право звонить банк должнику

Разглашение постороннему субъекту

ФЗ «О защите прав потребителей» включает в себя обработку с последующей передачей своих личных данных, если есть согласие сотрудника. При этом составляется в письменной форме документ, который хранится у работодателя. При возникшем споре бумага становится доказательством наличия согласия на передачу личных сведений сотрудника постороннему субъекту.

Каждая компания может столкнуться с необходимостью периодической отправки личных данных служащего из 1 структурного подразделения в другое. Эти сведения отправляются кадровой службой в бухгалтерию или службу безопасности. В этом случае учреждение должно ознакомить сотрудника с актом с получением подписи, подтверждающей его согласие.

Каким организациям позволяется получать личные сведения работника при его согласии? К примеру, такими учреждениями может стать банк для оформления безналичного счета, куда Наниматель будет перечислять зарплату и другие доходы сотрудника. Или кредитные организации, куда гражданин обращался за оформлением кредита или ссуд.

Предназначение бумаги

В положении указывается порядок обращения с персональными данными работника.

Содержание

Статья 9 Закона о персональных данных гласит, что он содержит в себе следующие пункты:

  • Ф. И. О. с адресом сотрудника.
  • Номер с датой выдачи и наименованием органа, выдавшего документ, который удостоверяет личность служащего.
  • Наименование с юридическим адресом нанимателя, получающего согласие в письменной форме.
  • Соответствующая цель отправки персональных сведений третьей стороне.
  • Конкретный список конфиденциальных сведений, на передачу которых сотруднику требуется дать согласие.
  • Период, на протяжении которого данный документ имеет силу.
  • Порядок отзыва согласия служащего.

Пошаговая инструкция по составлению документа с примерами

Для оформления бумаги по передаче персональных сведений рекомендуем воспользоваться нижеописанной инструкцией. Особых требований к составлению документа в законодательстве не сказано, однако выполнять его следует в письменном виде.

В начале документа указывается наименование учреждения с должностью руководителя, на чье имя пишется бумага, индексом и юридическим адресом компании. К примеру:

450348, г. Москва, Ленинский проспект, д.3/1

В этом пункте работник дает свое согласие на передачу своих личных сведений.

Здесь указывается Ф. И. О. сотрудника со сведениями документа, удостоверяющего его личность, и местом проживания.

Андреев Вячеслав Геннадьевич

паспорт серия 3564 № 121227

выдан УВД «Гагарино» г. Москва, Ленинский проспект, 58-23

Я принимаю решение о предоставлении моих персональных данных и даю согласие на их обработку свободно, в своей воле и своем интересе в соответствии с ФЗ № 152.

  • Скачать бланк согласия на передачу персональных данных третьим лицам
  • Скачать образец согласия на передачу персональных данных третьим лицам
  • Скачать бланк согласия на обработку и передачу персональных данных
  • Скачать образец согласия на обработку и передачу персональных данных

Перечень информации о человеке, которая передается после его разрешения

  1. Ф. И. О.
  2. Число с местом рождения.
  3. Адрес проживания с номером телефона.
  4. Семейное положение.
  5. Социальное положение.
  6. Имущественное положение.
  7. Образование.
  8. Профессия.
  9. Доходы и размер заработной платы.
  10. Иные сведения.

К другой информации относятся данные паспорта сотрудника, трудовой стаж, номер пенсионного свидетельства, сведения о военной службе и воинском учете и др.

Заключение

Согласие на обработку персональных данных широко применяется в различных учреждениях, начиная с муниципальных организаций и заканчивая частными компаниями. Документ позволяет законно передавать личные сведения работника третьей стороне и служит доказательством при возникшем споре.

Особенности передачи персональных данных работников

Особенности передачи персональных данных работников

Передача ПД работников в пределах одной организации

Работодатель обязан «осуществлять передачу ПД работника в пределах организации, у одного ИП в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись» (абз. 5 ст. 88 ТК РФ).

Передача ПД работников в пределах одной организации – это перемещение данных между структурными подразделениями. Сюда не входят случаи передачи ПД в группе компаний, которая равнозначна передаче ПД третьим лицам.

Во внутреннем локальном акте у каждой компании и ИП должны быть описаны процедура передачи ПД работников, правила и цели их обработки, перечислены структурные подразделения компании, участвующие в обработке, и т.д. С этим актом работник должен быть ознакомлен во время подписания трудового договора.

Часто предприниматели не соблюдают правило о создании локальных актов о ПД. Также многие не знают о том, что документы, регулирующие правила обработки ПД, должны быть разработаны не только для работников, но и для других категорий субъектов ПД (соискателей, клиентов и т.д.).

Работодатель обязан «разрешать доступ к ПД работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД работника, которые необходимы для выполнения конкретных функций» (абз. 6 ст. 88 ТК РФ).

Работодатель обязан «передавать ПД работника представителям работников в порядке, установленном настоящим кодексом […], и ограничивать эту информацию только теми ПД работника, которые необходимы для выполнения указанными представителями их функций» (абз. 8 ст. 88 ТК РФ).

В каждой организации и у ИП должны быть назначены сотрудники, которые имеют право работать с ПД коллег. Одного из них необходимо приказом руководителя назначить ответственным за обработку ПД. В его обязанности должны входить создание локальных актов в сфере обработки ПД и контроль за соблюдением работниками правил, прописанных в этих актах. Наличие такого сотрудника позволяет минимизировать риски компании и разгрузить отдел кадров и руководителя.

Остальные работники должны выполнять обязанности по непосредственной обработке ПД. Обычно это сотрудники бухгалтерии и отдела кадров. Их список необходимо установить приказом или внутренним локальным актом. Эти документы также должны содержать перечень ПД работников, которые могут обрабатываться каждым сотрудником.

Нередко компании не назначают ответственного за обработку ПД и не создают отдельных документов с перечнем лиц, наделенных правом на обработку данных сотрудников.

Ответственность за нарушение закона: штраф для ИП – от 1 тыс. до 5 тыс. руб., для юрлиц – от 30 тыс. до 50 тыс. руб. В случае повторного нарушения штраф для ИП – от 10 тыс. до 20 тыс. руб., для юрлиц – от 50 тыс. до 70 тыс. руб. (ч. 1, 2 ст. 5.27 КоАП РФ).

Также придется выплатить компенсацию морального вреда работнику, чьи права были нарушены.

Пример из личной практики

К нам обратилась компания, которую привлекли к административной ответственности в виде штрафа в размере 45 тыс. руб. по ч. 1 ст. 5.27 КоАП РФ. Госинспекция труда при проверке обнаружила отсутствие локального акта, устанавливающего порядок внутренней передачи ПД работников. Также было вынесено предписание об устранении выявленных нарушений, так как не был составлен перечень лиц, имеющих право на обработку ПД сотрудников.

Пример из судебной практики

ИП привлечен к административной ответственности по ч. 1 ст. 5.27 КоАП РФ в виде штрафа. Основание – отсутствие у ИП локального акта, регулирующего передачу ПД работников (Решение Игринского районного суда Удмуртской Республики по делу № 12-127/2018 от 19 октября 2018 г.).

Передача ПД работников третьим лицам

Работодатель обязан «не сообщать ПД работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законом» (абз. 2 ст. 88 ТК РФ).

Работодатель должен получить от работника письменное согласие на передачу его ПД третьему лицу. В согласии нужно обязательно указать реквизиты компании (ИП), которой передаются ПД работника: наименование компании (Ф.И.О. ИП), ОГРН (ОГРНИП), ИНН, адрес места нахождения.

Если работник не дал своего согласия, передача его ПД третьему лицу невозможна. Но есть исключения: передача данных в ПФР, ФСС, налоговые органы, по мотивированному запросу органов прокуратуры и внутренних дел, по запросу суда и т.д. Не нужно брать согласие работника и в случаях, связанных с исполнением им своих должностных обязанностей, в том числе при направлении работника в командировку 1 . Например, когда нужно купить авиабилеты, забронировать номер в гостинице и т.д. Другой пример – работодатель передает клиенту Ф.И.О. и номер телефона работника-курьера, который должен доставить посылку.

Остальные случаи передачи ПД без согласия будут нарушением закона. Например, когда работодатель передает ПД работника в охранную организацию для оформления пропуска.

Работодатель обязан «не сообщать ПД работника в коммерческих целях без его письменного согласия» (абз. 3 ч. 1 ст. 88 ТК РФ).

Комментарии компетентных органов о применении данного положения закона отсутствуют. Исходя из нашей практики, речь идет не столько о передаче ПД работников третьим лицам, сколько о размещении этих данных на сайте, в рекламных материалах для привлечения клиентов, а также иных действиях работодателя, направленных на увеличение прибыли. Согласие работника здесь также необходимо, поскольку размещение его ПД на сайте не связано с исполнением им своих должностных обязанностей. Примером нарушения данного положения Трудового кодекса является ситуация, когда коммерческие, медицинские и учебные организации публикуют на своих сайтах биографии сотрудников без их согласия.

Работодатель обязан «предупредить лиц, получающих ПД работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПД работника, обязаны соблюдать режим секретности (конфиденциальности)» (абз. 4 ст. 88 ТК РФ).

Речь идет о случаях, когда работодатель получает требование о предоставлении ПД работников от организаций, у которых нет права по закону получать такие данных без согласия работника 2 . Например, работодателю поступил запрос от другой компании, в которой его сотрудник работает по совместительству. В этом случае работодатель по основному месту работы обязан получить согласие работника, а также требовать от организации соблюдения конфиденциальности и использования полученных ПД только в целях, для которых они предоставлены.

В законе не указано, как именно должно оформляться требование о соблюдении конфиденциальности. На практике подписывается соглашение о конфиденциальности или работодатель получает от компании гарантийное письмо.

Иная ситуация, когда ПД сотрудника передаются в целях исполнения договора. Например, при передаче данных работников бухгалтерам на аутсорсе. Работодатель в таком случае обязан соблюдать требования ч. 3 ст. 6 Закона о персональных данных, а именно 3 :

  • взять письменное согласие работника на передачу его ПД третьему лицу;
  • в поручении для третьего лица указать перечень возможных действий с переданными ПД, цели обработки, требования к защите обрабатываемых ПД;
  • в поручении для третьего лица установить его обязанность соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке.

Ни закон, ни разъяснения Роскомнадзора ничего не говорят о форме поручения. На практике под поручением понимается отдельное положение, включенное в текст договора с третьим лицом (согласно ч. 3 ст. 6 Закона о персональных данных). Например, такое поручение может содержать договор на оказание услуг.

Ответственность за нарушения закона: штраф для ИП – от 10 тыс. до 20 тыс. руб., для юрлиц – от 15 тыс. до 75 тыс. руб. (ч. 2 ст. 13.11 КоАП РФ).

И придется выплатить компенсацию морального вреда работнику, чьи права были нарушены.

Несмотря на передачу ПД работника третьему лицу, ответственность за их обработку несет работодатель.

Примеры из личной практики

  • К нам обратилась компания, которая была оштрафована на 60 тыс. руб. по ч. 2 ст. 13.11 КоАП РФ. Основание – передача ПД работников без их согласия сторонней организации, оказывающей бухгалтерские услуги. После проверки документов выяснилось, что компания получала согласие на обработку ПД от каждого работника при заключении трудового договора, считая, что этого достаточно для передачи ПД третьим лицам.
  • Региональная сеть частных медицинских клиник была оштрафована на 35 тыс. руб. по ч. 2 ст. 13.11 КоАП РФ. Основание – размещение Ф.И.О. и данных о медицинском образовании сотрудников на официальном сайте без их согласия.

Примеры из судебной практики

  • Работник взыскал с работодателя компенсацию морального вреда за передачу ПД при ответе на запрос адвоката (Решение Сыктывкарского городского суда Республики Коми по делу № 2-969/2019 от 14 марта 2019 г.).
  • Работодатель получил предписание от Роскомнадзора об устранении нарушений порядка передачи ПД работников третьему лицу: было неверно оформлено согласие, и в договоре с третьим лицом не указан перечень действий с ПД (постановление Арбитражного суда Московского округа по делу № А40-81171/2017 от 15 января 2018 г.).

Что нужно сделать компании и ИП до передачи ПД работников?

Если ПД работника передаются в пределах одной организации

  • Создайте локальный акт, в котором подробно должны быть расписаны процедура передачи ПД, цели и объем передаваемых данных, структурные подразделения, которые имеют право работать с ПД.
  • Приказом или локальным актом определите список лиц согласно штатному расписанию, которые вправе заниматься обработкой ПД работников. Документ должен содержать перечень ПД, обрабатываемых каждым работником.
  • Письменно ознакомьте каждого работника с локальными актами и приказами.

Если ПД работника передаются третьему лицу, не имеющему по закону права на получение данных без согласия работника

  • Возьмите письменное согласие работника на передачу его ПД третьему лицу в строгом соответствии с требованиями ч. 4 ст. 9 Закона о персональных данных.
  • Подпишите с лицом, которому передаются ПД работника, соглашение о конфиденциальности или попросите его предоставить гарантийное письмо, в котором лицо должно гарантировать соблюдение конфиденциальности. Документ также должен содержать цели обработки ПД.

Если ПД работника передаются третьему лицу в целях исполнения договора

  • Возьмите письменное согласие работника на передачу его ПД третьему лицу в строгом соответствии с ч. 4 ст. 9 Закона о персональных данных.
  • В заключенном с третьим лицом договоре необходимо указать следующие условия:
    • работодатель поручает исполнителю обработку ПД в соответствии с ч. 3 ст. 6 Закона о персональных данных;
    • исполнитель обязуется соблюдать принципы и правила обработки ПД, предусмотренные Законом о персональных данных;
    • перечень действий (операций) с ПД, которые будут совершаться исполнителем при обработке ПД работника;
    • цели обработки ПД;
    • исполнитель обязуется соблюдать конфиденциальность ПД и обеспечивать безопасность при их обработке;
    • требования к защите обрабатываемых ПД согласно ст. 19 Закона о персональных данных.

    1 Абзац 4 п. 4 Разъяснений Роскомнадзора от 14 декабря 2012 г. «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Adblock
detector
Для любых предложений по сайту: [email protected]