Согласие на обработку персональных данных сотрудника: полный гайд

 Содержание:

• Что вкладывается в термин «персональные данные» 
• Когда необходимо согласие на обработку персональных данных
• Для чего нужно согласие при трудоустройстве
• Что делать, если сотрудник отказывается подписать согласие
• Что должно быть в согласии на обработку персональных данных
• Может ли работник отозвать свое согласие
• Сколько хранить согласие о персональных данных
• Как наказывают работодателей за нарушения в работе с персональными данными
• Согласие на обработку персональных данных: образец

Следить за конфиденциальностью личных данных важно. Сотрудникам это позволяет снизить вероятность мошенничества, а бизнесу — сохранить деньги и нервы, так как при утечке данных бизнесу придётся заплатить штрафы и ответить на иски от пострадавших. Бизнесу следует понимать, когда именно необходимо получить согласие на обработку ПД и как это сделать правильно.

Что вкладывается в термин «персональные данные» 

Персональные данные — это данные человека, которые можно использовать для его идентификации. Например, полное имя, дата рождения, социальные сети, информация о работе, генетические характеристики, местоположение, история браузера, медицинская карта, обезличенная информация с Яндекс.Метрики и Google Analytics и многое другое.

Обработка ПД включает все виды действий с личной информацией — сбор, хранение, использование и уничтожение. Кстати, после сбора персональных данных хранить личные данные граждан России можно только на территории России.

Когда необходимо согласие на обработку персональных данных

Согласие лица на обработку персональных данных необходимо практически всегда при работе с личными данными людей: при трудоустройстве, обращении в больницу и другие учреждения, заказе товара через интернет-магазин, размещении фотографий сотрудников на сайте компании и в других случаях. 

В работе с ПД выделяются две стороны: субъект — например, сотрудник, и оператор — например, работодатель. Субъект отдаёт свои данные, а оператор записывает, хранит и обрабатывает эти данные.

По теме: Единая биометрическая система (ЕБС) – что это и новые изменения в законе 

Для чего нужно согласие при трудоустройстве

Согласие на обработку персональных данных даёт человеку возможность контролировать, какие его данные будут использованы, кем и для чего. 

Например, работодателю персональные данные нужны, чтобы законно устроить человека на работу, платить за него взносы и отчитываться в другие организации. И он не обязан требовать согласие на обработку, так как это необходимо для выполнения трудовых обязанностей, согласно пояснениям Роскомнадзора. 

Однако, если работодатель запрашивает ПД сверх объема, который требуется для исполнения обязательств, то он обязан получить письменное согласие сотрудника. Например, если работодатель собирает фотографии сотрудников или данные об аккаунтах в социальных сетях, когда этого не требуется.

Кроме того, если работодатель передает личные данные своих сотрудников в аутсорсинговые компании или публикует их на сайте компании, помимо согласия на обработку, требуется отдельное согласие на распространение.

Что делать, если сотрудник отказывается подписать согласие

Если обработка персональных данных не является необходимой для выполнения договора с сотрудником или для соблюдения требований законодательства, то работодатель должен предоставить сотруднику подробную информацию о том, какие личные данные будут обрабатываться, для каких целей и на какой основе, а также предложить работнику подписать согласие на обработку персональных данных. 

При этом сотрудник должен иметь возможность отказаться от обработки своих персональных данных. Если сотрудник отказывается подписывать согласие на обработку персональных данных, работодатель не должен применять к нему какие-либо санкции. Например, работодатель не может вынуждать работника уволиться. Такие действия будут являться нарушением трудовых прав работника. 

Если сотрудник всё же откажется дать согласие на обработку своих персональных данных, то работодатель не будет иметь права обрабатывать эти данные, за исключением случаев, когда обработка необходима для выполнения договора с сотрудником или соблюдения требований законодательства.

По теме: Электронный документооборот (ЭДО): список сервисов и систем 

Когда согласие на обработку персональных данных не нужно 

Подписывать согласие на обработку персональных данных обязательно в большинстве случаев. Однако есть исключения, которые указаны в частях 1 и 4 статьи 6 ФЗ «О персональных данных». Для бизнеса из этих случаев являются важными только два — персональные данные можно обрабатывать без согласия работника в случаях, если это требуется для выполнения обязанностей, предусмотренных трудовым договором с работником или трудовым законодательством.

Что должно быть в согласии на обработку персональных данных

Согласие должно содержать условия, которые позволяют обеспечивать законность и прозрачность обработки данных:

1. ФИО, адрес, паспортные данные работника (номер, дату выдачи и орган, выдавший документ) и ФИО или наименование и адрес работодателя.
2. Чёткое описание обрабатываемых данных и целей обработки.
3. Описание действий, которые оператор вправе производить с личными данными.
4. Срок действия и способы отзыва согласия на обработку ПД.
5. Подпись субъекта персональных данных.

Может ли работник отозвать свое согласие

Да, может, в любое время. Это право не может быть ограничено каким-то соглашением сторон или локальным актом. В случае отзыва согласия, работодатель прекращает работу с данными в течение 30 дней. Порядок отзыва обычно определяется в согласии на обработку или в политике в отношении обработки ПД.

Но есть и нюансы. В случае отзыва согласия работодатель вправе продолжить обработку данных, которые необходимы для исполнения обязанностей, предусмотренных Трудовым кодексом и трудовым договором с работником.

По теме: Как работать с сотрудниками, чтобы не провалить цифровую трансформацию 

Сколько хранить согласие о персональных данных

Работодатель обязан хранить согласие на обработку ПД ещё 3 года после истечения его срока. Например, сотрудник дал согласие с целью участия в мероприятии компании, а в согласии указан срок «до достижения целей обработки персональных данных», в таком случае хранить документ придётся ещё 3 года после окончания мероприятия.

Как наказывают работодателей за нарушения в работе с персональными данными

Обычно работодателю не требуется получать согласие на обработку персональных данных работников. Однако может возникнуть спор о том, являются ли определенные персональные данные необходимыми для исполнения работодателем своих обязанностей. Разбираться в этом будет только суд.

Расскажем о том, чем грозит разглашение персональных данных гражданина. Работодатель, без согласия работника обрабатывающий персональные данные сверх того объема, который ему необходим для исполнения обязанностей, рискует получить штраф от 300 тысяч до 700 тысяч рублей за первое нарушение и от 1 до 1,5 млн рублей за повторное.

Но государственное регулирование этой сферы только набирает обороты. Так, в январе 2024 года в Госдуму РФ были внесены законопроекты, направленные на увеличение ответственности за утечки персональных данных.

Что еще грозит за разглашение персональных данных? Например, штраф при повторной утечке для компании будет рассчитываться в процентах от дохода компании за предыдущий календарный год. Поэтому рекомендуем уже сейчас для уменьшения рисков получения штрафов провести аудит локальных актов и подготовить недостающие согласия. 

Согласие на обработку персональных данных: образец

Так выглядит образец согласия на обработку персональных данных. Вы можете скачать шаблон, чтобы при случае им воспользоваться. 

Фото на обложке: pressfoto / Freepik