Что значит обработка персональных данных?
Это любое действие, совершаемое оператором с персональными данными. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» говорит о том, что обработкой персональных данных являются:
сбор, запись, систематизация;
накопление, хранение;
уточнение (обновление, изменение);
извлечение;
использование;
передача (распространение, предоставление, доступ);
обезличивание;
блокирование, удаление, уничтожение персональных данных.
Получается, что для совершения любого «телодвижения» с персональными данными работника нужно получить его согласие. Это требование п. 1 ч. 1 ст. 6 Закона № 152-ФЗ.
Конечно, есть ряд исключений из этого правила. Например, не нужно получать такое согласие, если речь идет об организации пропускного режима на территорию работодателя. Или если Ф. И. О. работника необходимо сообщить третьей стороне в целях предупреждения угрозы его жизни и здоровью.
Но в большинстве случаев все-таки согласие работника на обработку его персональных данных получить необходимо.
Многообразие видов персональных данных и действий, которые в отношении них предпринимаются, предполагает наличие разных видов согласий. Сегодня законодатель требует в обязательном порядке оформлять минимум два вида согласия:
На обработку персональных данных. Это обычное, стандартное согласие.
На обработку персональных данных, разрешенных субъектом персональных данных для распространения (для краткости будем называть его «согласие на распространение»). Этот вид согласия всегда оформляется отдельно от иных согласий.
Согласие на распространение было введено законодателем в начале 2021 года. Оформление такого согласия отдельно направлено на ограничение неконтролируемого использования персональных данных, размещенных на сайтах и в других открытых источниках.
От каких же действий нас защищает работодатель
Что понимается под распространением?
В соответствии с ч. 5 ст. 3 закона № 152-ФЗ распространение – это раскрытие персональных данных неопределенному кругу лиц. Это происходит, например, когда:
размещаются профили сотрудников в соцсетях;
публикуются данные о сотрудниках на корпоративных сайтах;
публикуются статьи в газетах, журналах;
печатаются рекламные буклеты с контактами, Ф. И. О. и фото сотрудников.
Таким образом, во всех случаях, когда подразумевается возможность получения персональных данных работника любым лицом, необходимо получить его специальное согласие на это, оформив отдельный документ.
Как видно из приведенного выше содержания понятия «обработка персональных данных», распространение – это один из случаев передачи персональных данных и в целом их обработки. Поэтому, оформляя обычное согласие на обработку персональных данных, из него следует исключить указание на их распространение. Иначе можно «заработать» административный штраф.
Два названных вида согласия являются минимумом видов согласий работников. В зависимости от задач и целей оператора персональных данных, согласий может быть множество. Факторами, которые могут повлиять на наличие большого количества видов согласий, могут стать используемые средства обработки персональных данных, перечень обрабатываемых персональных данных, категории обрабатываемых персональных данных и пр.
При их оформлении необходимо четко соблюдать требования к содержанию согласий. Они закреплены в ст. 9 закона № 152-ФЗ и приказе Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».
В тех случаях, когда согласие субъекта на обработку его персональных данных получить нужно, возникает вопрос, как это согласие оформить.
И хотя закон не устанавливает обязательную письменную форму для всех видов согласия, рекомендуется оформлять любое согласие на обработку персональных данных письменно, ведь в случае возникновения спора доказать получение согласия субъекта персональных данных на обработку его персональных данных должен будет оператор.
Вместе с тем закон прямо обязывает получать согласие именно в письменной форме, например, в следующих случаях:
при получении персональных данных лица у третьей стороны;
при передаче персональных данных лица третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в иных предусмотренных федеральными законами случаях;
при сообщении персональных данных лица в коммерческих целях;
для обработки специальных категорий персональных данных лица, непосредственно связанных с вопросами трудовых отношений;
при обработке биометрических персональных данных, за исключением предусмотренных законом случаев;
при трансграничной передаче персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных;
при принятии решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающего его права и законные интересы;
при создании общедоступных источников персональных данных, в том числе справочников, адресных книг.
Заметим, что согласием считается, если субъект персональных данных подписал соответствующий документ на бумаге или подписал электронный документ электронной подписью (ч. 4 ст. 9 закона № 152-ФЗ).
Компания вправе самостоятельно разработать и утвердить форму письменного согласия на обработку персональных данных, которая должна отвечать установленным законом требованиям.
Правильно оформить все виды согласий на обработку персональных данных, а также решить другие вопросы (подготовка уведомления в Роскомнадзор об обработке персональных данных, разработка политики в отношении обработки персональных данных, проведение аудита соответствия обработки персональных данных установленным требованиям и многое другое) помогут опытные юристы ООО «МКПЦН-Консультант».
Также специалисты ООО «МКПЦН-Консультант» окажут поддержку, если требуются:
обследование процессов обработки персональных данных компании;
анализ организационно-распорядительной документации, связанной с обработкой персональных данных;
подготовка рекомендаций по устранению выявленных недостатков и доработке системы защиты персональных данных;
разработка пакета документов, необходимых для подтверждения соблюдения требований законодательства РФ в области персональных данных;
консультация в области защиты персональных данных.
Защита персональных данных
Мы гарантируем высокий уровень качества работ: от анализа документации по персданным до разработки пакета документов, которые должны быть в каждой компании
Реклама: ООО «МКПЦН-КОНСУЛЬТАНТ», ИНН: 7717539166, erid: LjN8KYy3W
Начать дискуссию