Содержание:
Сведений о физических лицах в открытых источниках информации содержится куда меньше, чем о юридических. Более того, любая проверка контрагента-физлица требует получение согласия этого лица на обработку его персональных данных. Разберёмся, всегда ли так необходимо его запрашивать.
Что признаётся обработкой персональных данных
Порядок обработки персональных данных предусмотрен Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», и такими данными, согласно пункту 1 статьи 3 Закона, признается любая информация, прямо или косвенно относящаяся к определённому или определяемому человеку. Нормы данного закона также определяют, что обработкой персональных данных считается любое действие с этими сведениями. Примером таких действий может являться работа с резюме на сайте с открытыми вакансиями: когда кадровый служащий скачивает и изучает представленное резюме на выставленную вакансию, тем самым он обрабатывает личные данные кандидата для целей работодателя.
В пункте 3 статьи 3 Федерального закона №152-ФЗ дано определение самой операции обработки персональных данных и ею признается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Субъектом персональных данных будет являться любое физическое лицо, чьи личные данные будут обрабатываться. К субъектам будут относиться соискатели, сотрудники организации, подрядчики, с которыми заключаются договоры гражданско-правового характера.
Следовательно, организация, физическое лицо или надзорный орган, обрабатывающие персональные данные в определённых целях, будут являться оператором персональных данных, что также закреплено пунктом 2 статьи 3 №152-ФЗ. Таким образом, следуя примеру, приведённому выше, организация, кадровый служащий которой скачал резюме с сайта вакансий для его изучения, также является оператором персональных данных конкретно этого соискателя.
В каких случаях необходимо получать согласие на обработку персональных данных соискателя на должность
Процедура обработки персональных данных человека без его согласия возможна только тогда, когда это предусмотрено законом. Например, при заключении трудового договора для его оформления необходимо получить документы кандидата, перечень которых закреплен в Трудовом кодексе Российской Федерации. Согласие на обработку персональных данных кандидата в этом случае не нужно. Однако соискатели на практике сталкиваются с тем, что будущий работодатель всё равно запрашивает согласие, так как сотрудники кадровой службы и безопасности обрабатывают гораздо больше информации, чем это предусмотрено законом.
Проверка соискателя для оценки рисков приема его на конкретную должность и вынесение своей резолюции – это уже другая ситуация, и такой обязанности в законе не предусмотрено. Следовательно, и согласие на обработку персональных данных получать необходимо.
В каких случаях необходимо получать согласие на обработку персональных данных контрагента-физического лица
Проверить контрагента, которым является физическое лицо, куда сложнее, ведь несмотря на наличие сведений в официальных открытых источниках, согласие на обработку получать всё равно придется. Рассмотрим, в каких же случаях.
Для начала, при обращении ко многим открытым реестрам, есть вероятность столкнуться с требованием указать не только ФИО физического лица, но и дату рождения, а, чтобы получить эти данные, нужно получить его согласие.
Государственные органы в своей работе с базами данных оперируют определенными персональными данными, позволяющими безошибочно идентифицировать конкретное физическое лицо. Поэтому для работы с такими базами данных потребуется целый набор информации о контрагенте, известный только самому контрагенту. И, следовательно, обработка этой информации станет возможной только с получения согласия субъекта.
Кроме того, хранение персональных данных, собранных в процессе работы с контрагентом, а также в специальных источниках, также требуют наличие согласия на их обработку.
Важным моментом является то, что получить это согласие необходимо до начала работы с персональными данными.
Существует ли установленный образец для формы согласия?
Нет, единого образца для формы согласия обработки персональных данных не предусмотрено. Каждый оператор персональных данных должен составить её самостоятельно в зависимости от целей использования сведений. Содержание и форма таких документов будет различаться не только между организациями, но и внутри одной компании может существовать несколько таких форм, специально разработанных сотрудниками для совершения каких-либо операций: проверка контрагента, приём на работу нового сотрудника, подписание договора аренды и прочее.
Законодательно предусмотрен конкретный перечень ситуаций, для которых обязательно составление именно письменной формы согласия. Так как проверка контрагентов-физических лиц в этом перечне отсутствует, то и получение согласия на обработку личных данных можно получить в любой форме, например, записать разговор об этом на диктофон.
Согласие на работу с персональными данными можно получить от самого субъекта персональных данных, так и от его представителя в любой форме, позволяющей подтвердить факт его получения, если иное не предусмотрено законодательством. Согласно пункту 1 статьи 9 Федерального закона №152-ФЗ, в случаях получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
И все же во избежание каких-либо затруднений мы рекомендуем получать согласие в письменной форме. Этот документ можно в дальнейшем использовать при разрешении споров, в том числе и судебных разбирательств.
Для того, чтобы документ был принят при обращении в суд, необходимо отразить в нем следующее (пункт 4 статьи 9 №152-ФЗ):
- ФИО, адрес регистрации (пребывания), реквизиты документа, удостоверяющего личность субъекта персональных данных, а также его представителя (при наличии) и сведения о документе, подтверждающего полномочия представителя.
- Наименование или ФИО и адрес оператора персональных данных, получающего согласие.
- Цель обработки персональных данных.
- Перечень персональных данных, на обработку которых дается согласие.
- Наименование юридического лица (ФИО) и адрес лица, которому поручено обрабатывать персональные данные, если таковое имеется. Например, таким лицом может являться бухгалтерия на аутсорсинге или страховая компания в рамках ДМС.
- Перечень действий (операций), планируемых к совершению с персональными данными, на получение которых берётся данное согласие.
- Срок действия оформленного согласия и способ его отзыва.
- Подпись субъекта персональных данных или его представителя по доверенности (она может быть получена собственноручно или электронно – ЭЦП).
Какие могут быть сроки обработки персональных данных?
Согласно пункту 4 статьи 9 Федерального закона №152-ФЗ форма согласия обязана содержать пункт о сроках действия выданного согласия и способе отзыва, если иное не предусмотрено законодательством. Для того, чтобы не нарушать порядок работы с личными данными, нельзя использовать формулировку «бессрочно», а необходимо воспользоваться следующими вариантами:
При приёме на должность работника: «…в течение срока архивного хранения документов, содержащих мои персональные данные – ____ лет.».
При рассмотрении кандидатов на должность, проведении конкурсов на вакансию: «…в течение периода рассмотрения моей кандидатуры на должность ____ (или «проведения отбора кандидатов на конкурсной основе на должность ____»), и в случае отрицательного решения по приёму на работу – ____ лет на бумажных носителях и ____ лет в информационных системах (указать, каких именно).».
При проверке контрагента-физлица необходимо указывать реальный период времени, который потребуется для проведения проверки: «…срок обработки составляет ____ дней (месяцев, лет).».
Обязательно нужно прописать о способе отзыва согласия на обработку, хранение и использование персональных данных: «…отзыв согласия осуществляется путём направления заявления в письменной форме, направленного по адресу _____, или в форме электронного документа, подписанного электронно-цифровой подписью.».
Сколько должно храниться полученное согласие на обработку персональных данных
Перечнем к Приказу Росархива от 20.12.2019 № 236 определено, что полученное согласие на обработку и хранение персональных данных должно храниться в архиве на протяжение трёх лет с момента истечения сроков действия согласия или с момента его отзыва. Таким образом, получается, что сведения, которые использовал в работе оператор персональных данных, уже уничтожены, а согласия на проведение операций с ними продолжают храниться три года.
Каким образом передаются персональные данные внутри организации и за ее пределами
Внутри компании доступ к персональным данным сотрудников ограничивается целями обработки. То есть доступ, например, к бухгалтерским данным (номеру зарплатного счёта, сведения о перечислениях страховых взносов и пр.) будет у сотрудников финансово-экономического отдела, доступ к месту жительства и дате рождения – у сотрудников кадрового обеспечения и т.д.
При получении запроса данных от государственных органов необходимо проверить, откуда поступил запрос и законность данного требования. Если Вы имеете право на передачу персональных данных государственным органам по закону – передавайте. Если же нет – необходимо обратиться к субъекту персональных данных, по которому запрашиваются сведения, для получения согласия на их передачу, и только после получения согласия – передать данные в ответ на запрос.
Кроме того, оператор персональных данных может поручить обработку этих данных третьим лицам. Чтобы иметь такое право, при оформлении согласия необходимо прямо прописывать, что процедура обработки данных будет осуществляться с привлечением третьих лиц, и указывать, каких именно.
Если Вы проверяете контрагентов-физических лиц в Фокусе, то в качестве третьего лица, которому поручается обработка полученных персональных данных, необходимо указать СКБ Контур.
Каким образом работать с информацией, полученной из социальных сетей
Согласно вступившей в силу в июле 2021 года статье 10.1 Федерального закона №152-ФЗ каждый оператор персональных данных обязан получить согласие на обработку персональных данных, разрешенных субъектом для распространения, если планирует размещать какую-либо информацию в публичном доступе. Такой информацией, например, могут быть размещённые на сайте компании или в официальном аккаунте в социальных сетях фотографии сотрудников с подписями их ФИО.
В случае, если Вы хотите воспользоваться информацией, полученной из социальных сетей, то возникает следующая проблема: Вам неизвестно, подписывал ли человек согласие на использование и размещение своих персональных данных. Поэтому при использовании в работе данных из публичного доступа, например, при изучении резюме соискателя на должность проводить исследование его профиля в социальных сетях, возникает риск привлечения к ответственности по административному правонарушению, заключающемуся в незаконном сборе и использовании персональных данных.
Ответственность, предусмотренная за обработку персональных данных без получения согласия
Административная ответственность за совершённое правонарушение при работе с персональными данными, в том числе за сбор и обработку персональных данных без получения согласия, а также за получение согласия по неверно составленной форме, предусмотрена частью 2 статьи 13.11 Кодекса об административных правонарушениях.
За соблюдением законодательства о защите персональных данных следит Роскомнадзор. Через официальный сайт Роскомнадзора поступают жалобы и обращения, связанные с обработкой персональных данных без согласия человека. Граждане всё чаще обращаются в государственный орган, например, в случаях, когда им отказали в приёме на работу без объяснения причин или когда планируемое подписание договорных отношений вдруг сорвалось.
Роскомнадзор должен отреагировать на поступившее обращение (жалобу) в течение 30 дней. Срок проведения проверки сотрудниками ведомства может быть продлен ещё на 30 дней. За это время сотрудниками Роскомнадзора направляется в организацию, на которую составлена жалоба, официальный запрос с целью выяснения обстоятельств дела. В случае отсутствия ответа от компании, регулятор может назначить внеплановую проверку по выявленному случаю.
Кроме того, Роскомнадзор проводит и плановые проверки компаний, в период которых сотрудники ведомства проверяют наличие, корректность составления, а также хранение в компании согласий на обработку персональных данных.
По данной теме также необходимо отметить, что согласно Постановлению Правительства РФ от 10.03.2022 №336 до конца 2022 года действует мораторий на проведение плановых проверок.
В таблице ниже описаны возможные нарушения и ответственность за них:
| Нарушение | Ответственность |
| Обработка персональных данных без согласия либо согласие оформлено некорректно | Штраф по ч. 2 ст. 13.11 КоАП:
Штрафы за повторное нарушение в два раза больше. |
| Нарушение порядка передачи персональных данных как внутри организации, так и за её пределами | Штраф по ч. 1 ст. 13.11 КоАП:
|
| Несоблюдение порядка хранения и уничтожения персональных данных | Штраф по ч. 6 ст. 13.11 КоАП:
|
| Организация не уведомляет Роскомнадзор о начале обработки персональных данных при постановке на учёт | Предупреждение или штраф по ст. 19.7 КоАП:
|
| Нет локальных нормативных актов, которые регулируют обработку персональных данных в организации | Штраф по ч. 1 ст. 13.11 КоАП:
|
| В организации не назначили лицо, которое несёт ответственность за обработку персональных данных в компании | Штраф по ч. 1 ст. 13.11 КоАП:
|
| Не определён порядок доступа для лиц, которые обрабатывают персональные данные | Штраф по ч. 1 ст. 13.11 КоАП:
|
| Не разработана политика оператора в отношении обработки персональных данных, она не размещена в открытом доступе | Штраф по ч. 3 ст. 13.11 КоАП:
|