Главная - Другое - Нужно ли согласие на передачу персональных данных третьим лицам

Нужно ли согласие на передачу персональных данных третьим лицам


Как ужесточились требования к работе с персональными данными в 2022 году


П Пользователь Добрый день. Скажите, пожалуйста, а что следует после подачи уведомления об обработке персональных данных в Роскомнадзор, как орган будет проверять, что требования выполняются? И нужно ли будет сдавать какие-либо отчеты?

0 Ответить Яна Аржанова, главный редактор Здравствуйте! Про виды проверок можно почитать здесь: Отчеты не требуются. 0 Ответить SV Stas Volchkov Подскажите, пожалуйста, на каком основании «галочка» под веб-формой согласия на обработку персональных данных является электронной подписью?

В соответствии с ФЗ-152

«Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.»

Спасибо. 0 Ответить ЯА Яна Аржанова Добрый день!

По этому вопросу даются пояснения на сайте Роскомнадзора: «Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме.

Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме» . 1 Ответить Д Данил , почему же у вас на сайте, на странице «Запросить цену» галочки нет? 2 Ответить ЭГ Эльдар Гайнутдинов В ч.

2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ говорится о праве осуществлять обработку ПДн без уведомления Роскомнадзора в определенных ситуациях, а о том, что операторы не должны обеспечивать конфиденциальность персональных данных, нет ни слова. 1 Ответить ДС Дмитрий Сухоруков Есть ли штраф за неуведомление Роскомнадзора, при том что остальные требования соблюдены?

0 Ответить Яна Аржанова, главный редактор В ст. 22 № 152-ФЗ содержится ряд исключений, при которых уведомлять Роскомнадзор не нужно. Если к вам они не относятся, то подавать уведомление нужно, иначе есть вероятность того, что Роскомнадзор сам пришлет вам письмо-напоминание: Ответственность предусмотрена ст.

19.7 КоАП РФ «Непредставление сведений (информации)»: Непредставление или несвоевременное представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), муниципальный контроль, сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), муниципальный контроль, таких сведений (информации) в неполном объеме или в искаженном виде, <.> влечет: предупреждение или наложение административного штрафа на граждан в размере от 100 до 300 рублей; на должностных лиц — от 300 до 500 рублей; на юридических лиц — от 3000 до 5000 рублей. 0 Ответить П Павел Согласно требованиям ч.5 ст.

2.1 54-ФЗ в случае расчетов в безналичном порядке в сети «Интернет» и невозможности прямого взаимодействия с клиентом, исполнитель (продавец) обязан обеспечить передачу клиенту кассового чека в электронной форме на абонентский номер либо адрес электронной почты. Может ли исполнитель согласно п.2 и п.6 ч.1 ст. 6 152-ФЗ не получать согласие на обработку ПД, а именно абонентский номер и/или адрес электронной почты, для исполнения этих требований?

0 Ответить Яна Аржанова, главный редактор , добрый день.

Не совсем понятно, как вы будете передавать клиенту кассовый чек в электронной форме, если не собираетесь запрашивать у него номер телефона или адрес электронной почты.

Обычно клиент передает вам эти данные в момент регистрации на сайте и при создании личного кабинета. В этом случае согласие на обработку ПД становится одним из этапов регистрации, то есть клиенту нужно обязательно поставить галочку о том, что он согласен на обработку ПД, чтобы завершить регистрацию.

0 Ответить П Павел , добрый день!

У нас на сайте отсутствует личный кабинет и в принципе какой-либо сбор данных. В этом собственно и вопрос: как запрашивать у него эти данные? 80% наших клиентов оплачивает услуги через мобильный банк (именно совершает оплату по QR на квитанции).

Банк в реестре ПД не передаёт, только лицевой счёт и сумму оплаты. 0 Ответить Яна Аржанова, главный редактор , добрый день! Вы можете описать подробнее схему взаимодействия с клиентами?

Как они заказывают у вас товар? Как вы передаете им квитанции с QR-кодом?

0 Ответить П Павел , спасибо за обратную связь. Мы оказываем услуги по ежемесячному техническому обслуживанию оборудования физических лиц.

Практически в 100% случаев договора на обслуживание заключались ещё до вступления в силу 54-ФЗ, поэтому в договоре такие поля как номер мобильного телефона и адрес электронной почты были необязательными к заполнению.

Квитанции передаём через почтовые ящики.

Далее, как я уже описывал, клиенты оплачивают удобным им способом. 0 Ответить Яна Аржанова, главный редактор , поскольку в данном случае вопрос об обработке персональных данных связан с выдачей чеков, то пришлось привлечь эксперта Контура по ККТ Оксану Кобзеву.

Давайте по порядку, чтобы было понятно. Обработка ПД возможна с согласия субъекта ПД. Но, согласно , обработка ПД, необходимая для достижения целей, предусмотренных международным договором РФ или законом, для выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей допускается без согласия субъекта ПД.Согласие на обработку данных, разрешенных субъектом для распространения, оформляется отдельно от иных согласий на обработку данных, разрешенных субъектом для распространения ( ).Если клиент предоставил продавцу (пользователю ККТ) до момента расчета номер телефона или адрес электронной почты, продавец обязан отправить ему чек или БСО в электронной форме на один из указанных контактов, но при наличии технической возможности для этого.
Но, согласно , обработка ПД, необходимая для достижения целей, предусмотренных международным договором РФ или законом, для выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей допускается без согласия субъекта ПД.Согласие на обработку данных, разрешенных субъектом для распространения, оформляется отдельно от иных согласий на обработку данных, разрешенных субъектом для распространения ( ).Если клиент предоставил продавцу (пользователю ККТ) до момента расчета номер телефона или адрес электронной почты, продавец обязан отправить ему чек или БСО в электронной форме на один из указанных контактов, но при наличии технической возможности для этого. Об этом говорится в . Какой следует из этого вывод: Отправляя электронные чеки или БСО на электронную почту или номера телефонов, вы тем самым выполняете требования .

В таком случае согласие на обработку ПД не требуется, но при последующем использовании ПД или их использовании в целях, не связанных с исполнением договора, вам нужно будет получить согласие. В есть отдельные положения для ситуаций, когда у поставщика услуг или продавца нет телефона или электронной почты клиента.

Это как раз ситуации, когда услуга оплачивается через кассира банка на расчетный счет продавца или, например, по QR-коду, сюда же можно отнести «магазины на диване», когда в лучшем случае у продавца есть почтовый адрес. Для таких ситуаций пользователь ККТ формирует чек до конца следующего рабочего дня после поступления оплаты на расчетный счет, чек уходит в этот момент в ФНС, а вот клиенту бумажный чек можно передать либо при первом контакте – это для услуг, либо вложить в посылку с товаром – это при оплате товаров.

Может так случиться, что контакта и не будет, главное – чек сформировать и передать в ФНС, а уж отправка клиенту в таких ситуациях – дело случая, особенно при услугах. 0 Ответить П Павел , огромное спасибо!

0 Ответить Л Леонид У нас турагентсво. При заключении договора, берем отдельное согласие на обработку ПД (в т.ч.

трансграничную). Но в договоре помимо заказчика есть еще и туристы которые в офис не приходят, но сведения о них собираются и передаются. Как быть в этом случае? 0 Ответить Яна Аржанова, главный редактор , если я правильно понимаю, то в вашем случае турагент передает вам, туроператору, данные туристов.

И получается, что туристы передают свои данные через турагента третьему лицу, то есть туроператору.

Я вам советую ознакомиться с , которую составил Роскомнадзор.

0 Ответить Н Николай Добрый день, я работаю в ФКУКиИ «Культурный центр МВД России» как вольно наёмный сотрудник и меня ОБЯЗЫВАЮТ подписать согласие на обработку персональных данных субъектов персональных для нужд бухгалтерии. Отказ от подписания грозил мне не выплату заработной платы. Прочитав ФЗ № 152 от 27.07.2006 г.

не нашёл п. в котором прописано, что я обязан подписывать согласие о ПД являясь вольно наёмный сотрудник, подскажите пожалуйста на какой закон и п. в нём я могу сослаться, что бы отказать от подписания согласия на обработку ПД без последствия не выплаты заработной платы или всё-таки какой-то закон обязывает меня подписать согласие на обработку ПД работая в ФКУКиИ «Культурный центр МВД России» как вольно наёмный сотрудник?

0 Ответить Яна Аржанова, главный редактор , добрый день. Согласно ст. 5 Закона № 152-ФЗ «обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.

Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных».

В данном случае, как следует из описания ситуации, бухгалтерии нужны ваши персональные данные для выплаты зарплаты. В противном случае вам просто не смогут выплатить деньги.

0 Ответить НЧ Наталья Чебаница Подскажите, не могу понять, если клиент просит отправить электронный чек на почту или телефон, нужно получать согласие на обработку ПД?

0 Ответить Яна Аржанова, главный редактор , добрый день.

Согласие на обработку персональных данных вы получаете от клиента в тот момент, когда он создает личный кабинет в интернет-магазине, чтобы купить товар. Обычно в форме для внесения данных есть пункт «Политика обработки персональных данных», напротив которого клиенту предлагается поставить галочку. 0 Ответить П Павел , а если речь не об интернет-магазине?

0 Ответить Яна Аржанова, главный редактор , если покупатель перед оплатой просит, помимо бумажного чека, прислать электронный, то, согласно п. 2 ст. 1.2 Закона № 54-ФЗ, кассир обязан это сделать.

При этом отправка по номеру телефона — обязанность.

А на электронную почту чеки отправляют, если ККТ технически поддерживает такую опцию. Я не видела официальных разъяснений по вопросу о том, нужно ли получать согласие на обработку ПД в том случае, когда в момент офлайн-покупки клиент просит ему прислать электронный чек. Но можно рассуждать логически.

Если клиент просит это сделать, то кассир по закону обязан выполнить его просьбу. В то же время, согласно Закону о персональных данных (ст. 6 Закона 152-ФЗ), один из принципов обработки ПД — это обработка, необходимая для достижения законных целей для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

В данном случае кассир как раз и выполняет ту обязанность, которую на него возлагает Закон о ККТ. И еще важная деталь: закон не обязывает кассира проверять, действительно ли названный имейл или номер телефона принадлежит конкретному покупателю.

Условно: покупатель-мужчина может назвать вам имейл своей жены, но вы знать об этом не можете. 0 Ответить ЕГ Елена Гейко Добрый день.

Простому человеку, не знакомому с бюрократическим языком, будет не понятны эти пространные формулировки. Честно говоря это похоже на то, как если бы человек чихнул и отправил об этом отчетность в гос.орган. 1 Ответить Яна Аржанова, главный редактор , все законодательство написано таким языком.

Надо разбираться, чтобы избежать штрафов. Особенно простым людям, которые имеют непосредственное отношение к исполнению требований закона.

0 Ответить П Пользователь Добрый день! если при оформлении трудового договора работник подписал согласие на обработку персональных данных, нужно ли сейчас в связи с новыми изменениями еще что то подписывать с ним? 2 Ответить Яна Аржанова, главный редактор , нет, последние изменения больше относятся к бизнесу, который планирует использовать эти данные в маркетинговых целях (например, банк передает ваши данные третьему лицу — партнеру, чтобы тот рассылал свои сообщения).

Плюс еще изменения связаны с увеличением штрафов. Вообще по работе с ПД сотрудников (и даже кандидатов на этапе сбора резюме) у нас есть отдельная статья . 0 Ответить П Пользователь , спасибо за ответ) 0 Ответить Ю Юлия Доброе утро.

Тоже интересует вопрос, если у нас есть Положение о ПД, согласия всех работников на обработку ПД, приказы по организации о назначении ответственных лиц, нужно ли сейчас что то еще дополнительно — согласия на распространение. Также у нас нет Политики обработки ПД. И Роскомнадзор мы не уведомляли.

0 Ответить Яна Аржанова, главный редактор , я думаю, что на свои вопросы вы найдете ответы в отдельной статье .

0 Ответить Ю Юлия Про уведомление сама прочитала в законе). А вот нужно ли регистрироваться в информационной системе Роскомнадзора, если у нашей организации только трудовые отношения с работниками 0 Ответить Яна Аржанова, главный редактор , нет не нужно.

содержит ряд исключений, когда уведомление не требуется. Регистрация в информационной системе Роскомнадзора, соответственно тоже не нужна (насколько я понимаю, в эту систему ведомство вносит организацию после того, как оно подает уведомление). Обработка ПД в рамках трудового законодательства как раз относится к исключениям.

0 Ответить Е Елена Вправе ли торговая сеть запрашивать ПД ( паспортные данные, адрес) в анкете при оформлении карты лояльности ( бонусной карты)? 0 Ответить Яна Аржанова, главный редактор , ст. 5 Закона о ПД гласит, что обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей.

Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Следовательно, возникает вопрос: для чего магазину ваши паспортные данные? Какую цель он преследует, запрашивая их? То же самое с адресом. Зачем он магазину? Если, например, это магазин товаров для дома, который планирует присылать вам бумажные каталоги, а вы как раз хотите их получать, потому и оставляете свой адрес, то тогда цель сбора адресов обоснована.Вообще, мне кажется, сбором таких данных магазины занимались до 2017 года, когда еще не были введены ощутимые штрафы за нарушения.
Если, например, это магазин товаров для дома, который планирует присылать вам бумажные каталоги, а вы как раз хотите их получать, потому и оставляете свой адрес, то тогда цель сбора адресов обоснована.Вообще, мне кажется, сбором таких данных магазины занимались до 2017 года, когда еще не были введены ощутимые штрафы за нарушения.

0 Ответить ЕП Екатерина Пелевина Здравствуйте! Наша компания занимается электромонтажными работами. Периодически участвует в аукционах на ЭТП, подавая для заказчика в аукционной заявке такие данные на сотрудников, как ФИО, образование, допуски к работам.

Согласие на обработку ПД берутся при поступлении на работу.

Нужно ли в таком случае брать от работников согласия на передачу ПД и уведомлять Роскомнадзор? 0 Ответить Яна Аржанова, главный редактор , добрый день! На ваш вопрос отвечает эксперт в сфере закупок Елена Ежова:»Если закупка по 44-ФЗ, то участник еще при регистрации в ЕИС дает необходимые согласия на разглашение сведений.

Когда процедура по 223-ФЗ или коммерческая, то тут необходимые формы согласий заказчик будет прикладывать в документации для обязательного заполнения участниками». 1 Ответить О Ольга Здравствуйте! В розничном магазине при возврате товара покупателем заполняется заявление на возврат, в нем указываются паспортные данные, ФИО покупателя.

Нужно брать согласие у покупателя на сбор этих данных, регистрироваться как оператор ПД? Еще такой вопрос: при продаже охотничьих патронов заполняется журнал продаж с ПД покупателя, а именно, ФИО, адрес, номер разрешения на хранение и ношение оружия.

Нужно ли брать письменное согласие с покупателя и также регистрироваться как оператор ПД?

Спасибо! 0 Ответить ЕК Елена Котова Здравствуйте. При приеме на работу берем с сотрудников согласие на обработку перс.

данных и там есть пункт для чего собираются эти данные:

«- предоставления сведений в кредитную организацию для оформления банковской карты и перечисления на нее заработной платы;»

.

В таком случае Роскомнадзор так же не надо уведомлять? 1 Ответить ВМ Валерий Михайлов Добрый день !

Я как работник заключил бессрочный договор с работодателем (субъект с оператором), НО ! как выяснилось Работодатель по договору с аутсорсинговой компанией заключил договор на ведение кадровой и бухгалтерской деятельности. Получается. Оператор незаконно распространяет ПДн ?

Что в этом случае ? мне как субъекту необходимо оформить Согласие с аутсорсинговой компанией ? И является ли данном случае аутсорсинговая компания Оператором с необходимостью уведомления в РКН ?Спасибо. 0 Ответить ЮГ Юрий Голубев «Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях.» Открыл Закон, там написано: «Обработка персональных данных допускается в следующих случаях:».
2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях.» Открыл Закон, там написано: «Обработка персональных данных допускается в следующих случаях:». То есть эта статья про случаи, когда можно обрабатывать ПДн!

О том, что не требуется согласие, там не сказано. Наоборот, п.1. именно на согласие и указывает.

0 Ответить V Veronikabel А если сайт работает только с юридическими лицами, то что нам нужно иметь на сайте? 0 Ответить В Валерй в банке при получении дебетовой карты и подписании договора в п.п. указано «согласен на обработку и передачу ПД третьим лицам» и «не согласен на обработку и передачу ПД третьим лицам» я выбрал пункт » не согласен .далее по тексту» банк отказал мне в выдачи карты и заключении договора.

Банк прав ? Мои права нарушены ?

0 Ответить ЕК Елена Карандашова Здравствуйте.

Есть ли необходимость разрабатывать в организации положение о работе с персданными работников или достаточно прописать в трудовом договоре?

или вообще не нужно ничего, т.к. трудовые отношения? Спасибо. 0 Ответить А Андрей Добрый день. Мне управляющая компания послала письмо.

Служба доставки требует вписать квитанцию о доставке: ФИО и паспортные данные. Могу ли отказаться вписывать паспортные данные? Ведь я не давал им разрешение на обработку ПДн.

Доставка ,частная компания не Почта России. 0 Ответить АШ Александр Швецов Здравствуйте, сервисный центр по ремонту бытовой техники принимает в ремонт аппаратуру.

При этом для связи с клиентом требуется его ФИО, телефон и адрес (для информирования клиента о готовности аппарата, согласования стоимости ремонта и др.) Организация не собирается предоставлять ПД третьим лицам.Нужно ли в договоре о ремонте иметь пункт о том, что клиент согласен на обработку ПД? 0 Ответить Т Татьяна Здравствуйте, надо ли подписывать согласие на обработку своих персональных данных при заселении в гостиницу?

0 Ответить Т Татьяна Здравствуйте, надо ли подписывать согласие на обработку своих персональных данных при заселении в гостиницу?

2 Ответить А Алёна Здравствуйте! Оказываю услуги дизайнера. На сайте собираю исключительно ФИО, телефон и адрес электронной почты.

Статьей 9 Федерального закона № 152-ФЗ установлены требования к содержанию согласия на обработку персональных данных, среди которых адрес и номер документа, удостоверяющего личность. Я правильно понимаю, что при получении согласия мной производится и сбор также и указанных сведений?

Получается, что теперь проставления галочки форме недостаточно, нужно, чтобы субъект ПД заполнял форму с необходимыми полями?

Заранее спасибо. 0 Ответить

Образец оформления согласия на распространение персональных данных работника

» » Автор Ольга Подзорова, эксперт сайта 08.04.2022 требует от работодателей соблюдать определенные правила в процессе обработки, хранения и уничтожения личных сведениях о работниках.

При приеме на работу требовалось получать разрешение на использование предоставляемых реквизитов новым сотрудником. С 1 марта 2022 в Закон №152-ФЗ вносятся изменения на основании , который добавляет новую статью 10.1.

Суть обновлений в том, что теперь работодателям нужно отдельно получать с персонала согласия на распространение персональных данных, к которому можно отнести любую передачу сведений третьим лицам, а также их размещение на различных ресурсах, печатном СМИ, в интернете. Изменение заключается в появлении новой , которая регулирует процесс распространения персональных данных сотрудников. Работодатели обязаны получить личное согласие работника, прежде, чем передавать любые сведения о нем в сторонние организации, публиковать их где-либо.

Ранее достаточно было иметь одно общее заявление, разрешающее обрабатывать информацию, предоставляемую человеком, оформлялось оно обычно при трудоустройстве. Отдельное заявление на распространение данных законодательство не требовало. С 1 марта 2022 года ситуация кардинально изменилась — наличие согласия стало обязательным требованием для передачи персональных сведений третьим лицам.

Оформить его работник может:

  1. в электронном виде с обязательным заверением электронной подписью.
  2. в письменном виде на бумаге — написать лично и заверить своей подписью либо доверить этот процесс своему представителю, действующему по доверенности;

Важно! Получать такое разрешение работодатель должен каждый раз, когда планируется направить информацию о работнике сторонним лицам. К персональным данным, распространение которых запрещено без разрешения владельца, относится любая информация, предоставленная человеком:

  1. дата рождения;
  2. фамилия, имя, отчетство;
  3. место рождения;
  4. о трудовой деятельности;
  5. фотографии;
  6. данные о состоянии здоровья и т.д.
  7. о полученном образовании;
  8. сведения о составе семьи, социальном статусе, гражданстве;
  9. паспортные реквизиты;
  10. номера ИНН, СНИЛС;
  11. возраст;

Важно: Молчание работника и отсутствие возражений с его стороны не лишает работодателя обязанности по получению заверенного согласия на распространение информации.

Согласно ст.10.1 Закона №152-ФЗ, если человек молчит, это не означает, что он согласен — разрешение нужно все равно получить. В новой также определены случаи, когда не нужно запрашивать согласия работника на обработку и распространение его персональных сведений:

  1. в государственных, общественных и других публичных интересах, установленных законами РФ.
  2. в целях исполнения законодательства РФ органами исполнительной власти.

Заверенное разрешение нужно получать с человека каждый раз, когда планируется передача личной информации, а также его публикация. К таким случаям можно отнести:

  1. передача данных работника охранной компании для выписка пропуска на территорию организации;
  2. передача информации в банк для оформления зарплатной карты;
  3. прочие случаи распространения информации в различных целях.
  4. размещение фото, ФИО и прочих сведений на доске почета;
  5. размещение сведений о работнике на официальном сайте компании;
  6. размещение заметок в бумажных и электронных СМИ;

Ситуации, когда не нужно согласие, указаны в — связаны они с исполнением норм российского законодательства.

внес изменения ст. 13.11 КоАП РФ относительно размеров штрафов за различные правонарушения.

В прописаны суммы штрафов для случаев нарушения в области взаимодействия с персональными данными работникам. В зависимости от вида нарушения размер административной ответственности могут достигать:

  1. для должностных лиц — 20 тыс. руб., а при повторных правонарушениях — 50 тыс. руб.
  2. для организаций — 300 тыс. руб., а при повторных нарушениях — 500 тыс. руб.;
  3. для ИП — 20 тыс. руб., а при повторных случаях — 100 тыс. руб.;

Новые штрафы вступают в силу с марта 2022 года.

Суммы существенные, поэтому рекомендуется соблюдать законодательство в области персональных данных сотрудников, прописанных в Законе 152-ФЗ. Типового бланка законодательством не разработано. Текст оформляется в свободной форме в виде заявления на имя руководителя организации.

Можно составить на бумаге, можно в электронном виде, но обязательна подпись заявителя (рукописная или электронная) либо его представителя, на которого оформлена доверенность, дающая право представлять интересы доверителя в данных вопросах. Несмотря на отсутствие типового бланка, предъявляет определенные требования к оформлению, указывая перечень реквизитов, которые дожно содержать согласие.

В заявлении работник должен указать:

  1. конкретная цель распространения — например, размещение информации в СМИ;
  2. срок предоставления согласия;
  3. название документа — согласие на обработку персональных данных в целях распространения;
  4. подпись заявителя.
  5. ссылка на ст. 10.1 Закона 152-ФЗ, где содержится обязательство предоставлять разрешение на распросранение информации;
  6. дата составления;
  7. список данных, которые заявитель разрешает распространять;
  8. название организации, ФИО руководителя, его должность — обычно пишется в правом верхнем углу;
  9. свои ФИО, адрес регистрации, паспортные данные — также в правом углу;
  10. согласие на передачу сведений организации;

Разрешение обязательно должно иметь срок действия и конкретные цели распространения.

Не допустимо требовать с человека одно общее бессрочное согласие на распространение данных — это противозаконно.

В любом момент человек вправе отозвать свое согласие, потребовав прекратить передачу данных сторонним лицам либо публикацию. . Пример оформления для случая публикации информации о сотруднике на сайте компании:

Особенности передачи персональных данных работников

Партнер юридической компании «Гареев, Махно и Касьян» 03 Июня 2020 При передаче данных сотрудников в пределах компании или третьим лицам необходимо соблюдать требования Трудового кодекса и Закона о персональных данных, иначе компания может понести финансовые потери Работодатель обязан «осуществлять передачу ПД работника в пределах организации, у одного ИП в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись» (абз.

5 ст. 88 ТК РФ). Передача ПД работников в пределах одной организации – это перемещение данных между структурными подразделениями.

Сюда не входят случаи передачи ПД в группе компаний, которая равнозначна передаче ПД третьим лицам.

Во внутреннем локальном акте у каждой компании и ИП должны быть описаны процедура передачи ПД работников, правила и цели их обработки, перечислены структурные подразделения компании, участвующие в обработке, и т.д. С этим актом работник должен быть ознакомлен во время подписания трудового договора.

Часто предприниматели не соблюдают правило о создании локальных актов о ПД. Также многие не знают о том, что документы, регулирующие правила обработки ПД, должны быть разработаны не только для работников, но и для других категорий субъектов ПД (соискателей, клиентов и т.д.).

Работодатель обязан

«разрешать доступ к ПД работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД работника, которые необходимы для выполнения конкретных функций»

(абз. 6 ст. 88 ТК РФ). Работодатель обязан

«передавать ПД работника представителям работников в порядке, установленном настоящим кодексом […], и ограничивать эту информацию только теми ПД работника, которые необходимы для выполнения указанными представителями их функций»

(абз. 8 ст. 88 ТК РФ). В каждой организации и у ИП должны быть назначены сотрудники, которые имеют право работать с ПД коллег.

Одного из них необходимо приказом руководителя назначить ответственным за обработку ПД. В его обязанности должны входить создание локальных актов в сфере обработки ПД и контроль за соблюдением работниками правил, прописанных в этих актах. Наличие такого сотрудника позволяет минимизировать риски компании и разгрузить отдел кадров и руководителя.

Остальные работники должны выполнять обязанности по непосредственной обработке ПД.

Обычно это сотрудники бухгалтерии и отдела кадров. Их список необходимо установить приказом или внутренним локальным актом. Эти документы также должны содержать перечень ПД работников, которые могут обрабатываться каждым сотрудником.

Нередко компании не назначают ответственного за обработку ПД и не создают отдельных документов с перечнем лиц, наделенных правом на обработку данных сотрудников.

Ответственность за нарушение закона: штраф для ИП – от 1 тыс. до 5 тыс. руб., для юрлиц – от 30 тыс. до 50 тыс. руб. В случае повторного нарушения штраф для ИП – от 10 тыс. до 20 тыс. руб., для юрлиц – от 50 тыс. до 70 тыс. руб. (ч. 1, 2 ст. 5.27 КоАП РФ). Также придется выплатить компенсацию морального вреда работнику, чьи права были нарушены.
Также придется выплатить компенсацию морального вреда работнику, чьи права были нарушены.

К нам обратилась компания, которую привлекли к административной ответственности в виде штрафа в размере 45 тыс. руб. по ч. 1 ст. 5.27 КоАП РФ.

Госинспекция труда при проверке обнаружила отсутствие локального акта, устанавливающего порядок внутренней передачи ПД работников. Также было вынесено предписание об устранении выявленных нарушений, так как не был составлен перечень лиц, имеющих право на обработку ПД сотрудников.

ИП привлечен к административной ответственности по ч. 1 ст. 5.27 КоАП РФ в виде штрафа.

Основание – отсутствие у ИП локального акта, регулирующего передачу ПД работников (Решение Игринского районного суда Удмуртской Республики по делу № 12-127/2018 от 19 октября 2018 г.). Работодатель обязан

«не сообщать ПД работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законом»

(абз.

2 ст. 88 ТК РФ). Работодатель должен получить от работника письменное согласие на передачу его ПД третьему лицу. В согласии нужно обязательно указать реквизиты компании (ИП), которой передаются ПД работника: наименование компании (Ф.И.О.

ИП), ОГРН (ОГРНИП), ИНН, адрес места нахождения.

Если работник не дал своего согласия, передача его ПД третьему лицу невозможна. Но есть исключения: передача данных в ПФР, ФСС, налоговые органы, по мотивированному запросу органов прокуратуры и внутренних дел, по запросу суда и т.д.

Не нужно брать согласие работника и в случаях, связанных с исполнением им своих должностных обязанностей, в том числе при направлении работника в командировку1. Например, когда нужно купить авиабилеты, забронировать номер в гостинице и т.д. Другой пример – работодатель передает клиенту Ф.И.О.

и номер телефона работника-курьера, который должен доставить посылку. Остальные случаи передачи ПД без согласия будут нарушением закона. Например, когда работодатель передает ПД работника в охранную организацию для оформления пропуска.

Работодатель обязан

«не сообщать ПД работника в коммерческих целях без его письменного согласия»

(абз. 3 ч. 1 ст. 88 ТК РФ). Комментарии компетентных органов о применении данного положения закона отсутствуют. Исходя из нашей практики, речь идет не столько о передаче ПД работников третьим лицам, сколько о размещении этих данных на сайте, в рекламных материалах для привлечения клиентов, а также иных действиях работодателя, направленных на увеличение прибыли.

Согласие работника здесь также необходимо, поскольку размещение его ПД на сайте не связано с исполнением им своих должностных обязанностей. Примером нарушения данного положения Трудового кодекса является ситуация, когда коммерческие, медицинские и учебные организации публикуют на своих сайтах биографии сотрудников без их согласия.

Работодатель обязан «предупредить лиц, получающих ПД работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПД работника, обязаны соблюдать режим секретности (конфиденциальности)» (абз. 4 ст. 88 ТК РФ). Речь идет о случаях, когда работодатель получает требование о предоставлении ПД работников от организаций, у которых нет права по закону получать такие данных без согласия работника2.

Например, работодателю поступил запрос от другой компании, в которой его сотрудник работает по совместительству. В этом случае работодатель по основному месту работы обязан получить согласие работника, а также требовать от организации соблюдения конфиденциальности и использования полученных ПД только в целях, для которых они предоставлены. В законе не указано, как именно должно оформляться требование о соблюдении конфиденциальности.

На практике подписывается соглашение о конфиденциальности или работодатель получает от компании гарантийное письмо. Иная ситуация, когда ПД сотрудника передаются в целях исполнения договора.

Например, при передаче данных работников бухгалтерам на аутсорсе. Работодатель в таком случае обязан соблюдать требования ч.

3 ст. 6 Закона о персональных данных, а именно3:

  1. в поручении для третьего лица установить его обязанность соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке.
  2. в поручении для третьего лица указать перечень возможных действий с переданными ПД, цели обработки, требования к защите обрабатываемых ПД;
  3. взять письменное согласие работника на передачу его ПД третьему лицу;

Ни закон, ни разъяснения Роскомнадзора ничего не говорят о форме поручения. На практике под поручением понимается отдельное положение, включенное в текст договора с третьим лицом (согласно ч.

3 ст. 6 Закона о персональных данных). Например, такое поручение может содержать договор на оказание услуг. Ответственность за нарушения закона: штраф для ИП – от 10 тыс.

до 20 тыс. руб., для юрлиц – от 15 тыс.

до 75 тыс. руб. (ч. 2 ст. 13.11 КоАП РФ). И придется выплатить компенсацию морального вреда работнику, чьи права были нарушены.

Несмотря на передачу ПД работника третьему лицу, ответственность за их обработку несет работодатель.

  1. К нам обратилась компания, которая была оштрафована на 60 тыс. руб. по ч. 2 ст. 13.11 КоАП РФ. Основание – передача ПД работников без их согласия сторонней организации, оказывающей бухгалтерские услуги. После проверки документов выяснилось, что компания получала согласие на обработку ПД от каждого работника при заключении трудового договора, считая, что этого достаточно для передачи ПД третьим лицам.
  2. Региональная сеть частных медицинских клиник была оштрафована на 35 тыс. руб. по ч. 2 ст. 13.11 КоАП РФ. Основание – размещение Ф.И.О. и данных о медицинском образовании сотрудников на официальном сайте без их согласия.
  1. Работник взыскал с работодателя компенсацию морального вреда за передачу ПД при ответе на запрос адвоката (Решение Сыктывкарского городского суда Республики Коми по делу № 2-969/2019 от 14 марта 2020 г.).

  2. Работодатель получил предписание от Роскомнадзора об устранении нарушений порядка передачи ПД работников третьему лицу: было неверно оформлено согласие, и в договоре с третьим лицом не указан перечень действий с ПД (постановление Арбитражного суда Московского округа по делу № А40-81171/2017 от 15 января 2018 г.).
  1. Письменно ознакомьте каждого работника с локальными актами и приказами.
  2. Приказом или локальным актом определите список лиц согласно штатному расписанию, которые вправе заниматься обработкой ПД работников. Документ должен содержать перечень ПД, обрабатываемых каждым работником.
  3. Создайте локальный акт, в котором подробно должны быть расписаны процедура передачи ПД, цели и объем передаваемых данных, структурные подразделения, которые имеют право работать с ПД.
  1. Возьмите письменное согласие работника на передачу его ПД третьему лицу в строгом соответствии с требованиями ч.

    4 ст. 9 Закона о персональных данных.

  2. Подпишите с лицом, которому передаются ПД работника, соглашение о конфиденциальности или попросите его предоставить гарантийное письмо, в котором лицо должно гарантировать соблюдение конфиденциальности. Документ также должен содержать цели обработки ПД.
  1. исполнитель обязуется соблюдать принципы и правила обработки ПД, предусмотренные Законом о персональных данных;
  2. цели обработки ПД;
  3. Возьмите письменное согласие работника на передачу его ПД третьему лицу в строгом соответствии с ч. 4 ст. 9 Закона о персональных данных.
  4. требования к защите обрабатываемых ПД согласно ст.

    19 Закона о персональных данных.

  5. В заключенном с третьим лицом договоре необходимо указать следующие условия:
    • работодатель поручает исполнителю обработку ПД в соответствии с ч. 3 ст. 6 Закона о персональных данных;
    • исполнитель обязуется соблюдать принципы и правила обработки ПД, предусмотренные Законом о персональных данных;
    • перечень действий (операций) с ПД, которые будут совершаться исполнителем при обработке ПД работника;
    • цели обработки ПД;
    • исполнитель обязуется соблюдать конфиденциальность ПД и обеспечивать безопасность при их обработке;
    • требования к защите обрабатываемых ПД согласно ст. 19 Закона о персональных данных.

    1 Абзац 4 п.

    4 Разъяснений Роскомнадзора от 14 декабря 2012 г.

    «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»

    . 2 Абзац 9 п. 4 тех же разъяснений Роскомнадзора.

    3 Абзац 2 п. 5 тех же разъяснений Роскомнадзора. Вы тоже обычно не оформляете договор аренды, потому что не любите «возиться с бумажками»? Тогда помните: возникнут проблемы – закон не поможет.

    Договор не избавит от них полностью ни арендодателя, ни арендатора, но с ним можно найти выход даже в безнадежной ситуации Не всем будущим супругам из разных стран удается встретиться, пока действуют ограничения. Как получить разрешение на пересечение границы и что понадобится для заключения брака? Арбитражный управляющий обязан действовать в интересах должника и кредиторов при проведении процедур, применяемых в деле о банкротстве.

    Но что делать, если он не исполняет эту обязанность? С 1 марта 2022 г. компании и ИП обязаны соблюдать новые правила сбора и размещения персональных данных в открытом доступе.

    Нововведения способны ощутимо усложнить жизнь предпринимателей Кто и как может получить доступ к персональным данным, в каких случаях не нужно разрешение на их использование и передачу, могут ли не продать товар или не оказать услугу при отказе дать согласие на обработку данных, какие данные собирают владельцы сайтов и как отказаться от рекламной рассылки? За ошибки при обработке персональных данных в рекламных целях организациям и ИП придется уплачивать штрафы Выбираем стратегии выполнения требований закона к обработке персональных данных и оцениваем риски их применения Своевременное принятие эффективных мер при нарушении конфиденциальности данных клиентов компании позволит снизить их отток и уменьшить размеры возмещаемого ущерба и санкций Какие потери могут понести предприниматели из-за несоблюдения требований Регламента о защите персональных данных и как этого избежать?

    © 2022 Оксана Оноприенко, редактор раздела «АГ-эксперт»

  6. работодатель поручает исполнителю обработку ПД в соответствии с ч. 3 ст. 6 Закона о персональных данных;
  7. перечень действий (операций) с ПД, которые будут совершаться исполнителем при обработке ПД работника;
  8. исполнитель обязуется соблюдать конфиденциальность ПД и обеспечивать безопасность при их обработке;

Согласие на распространение персональных данных —требования Роскомнадзора

С 01 марта 2022 года любые персональные данные могут распространяться только с особого согласия субъекта.

Изменения в Закон “О персональных данных” внесены законом № 519-ФЗ и об особенностях распространения персональных данных я уже писал. Роскомнадзор установил специальные требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения. UPD от 22 апреля 2022 Опубликован Приказ Роскомнадзора “Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения № 18 от 24.02.2022 г., зарегистрирован в Министерстве Юстиции 21 апреля 2022 г.Приказ вступает в силу с 1 сентября 2022 года и действует до 1 сентября 2027 года.Оперативные обновления узнавайте в моем Телеграм-канале.

Согласие на распространение персональных данных и согласие на обработку персональных данных — в чем разница До принятия 519-ФЗ все виды обработки ПД могли быть прописаны в одном согласии.

С 1 марта 2022 года правила изменились: человек может дать согласие на обработку персональных данных, но в тоже время не разрешить их распространять.

Попробую на примерах и в схемах объяснить нюансы. Обработка — это любое действие с персональными данными, в том числе:

  1. передача (распространение, предоставление, доступ);
  2. сбор, запись, систематизация;
  3. накопление, хранение;
  4. использование;
  5. извлечение;
  6. обезличивание;
  7. уточнение (обновление, изменение);
  8. блокирование, удаление, уничтожение персональных данных.

Из этого следует, что распространение — это один из случаев передачи персональных данных.

Он отличается от предоставления и доступа к персональным данным. Соответственно и согласия для этих случаев обработки разные. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Основным отличием распространения от предоставления является определение получателей данных.

В одном случае круг получателей не определен и не известен заранее.

В другом — это известный получатель или определенный круг лиц.

Примеры распространения персональных данных Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

По сути — это их публикация:

  1. сайты с объявлениями, отзывами, вакансиями.
  2. размещение профилей в соцсетях;
  3. публикация данных о сотрудниках на корпоративных сайтах, форумы;
  1. публикация результатов спортивных мероприятий на интерактивных мониторах;
  2. публикации в газетах, журналах;
  3. визитки, возможно.
  4. печатные рекламные буклеты с контактами, ФИО и фото сотрудников;

Если вы планируете распространять персональных данные для неопределённой аудитории, то необходимо получать согласие на распространение персональных данных. В этом согласии субъект персональных данных должен прямо вам разрешить это делать. Согласие на обработку персональных данных, разрешенных для распространения, в любом случае дается конкретному оператору.

Такое согласие не разрешает другим лицам использовать персональные данные субъекта в своих целях. Случаи обработки персональных данных без согласия субъекта строго определены в пунктах 2-11 части 1 статьи 6 Закона “О персональных данных”. Требования к содержанию согласия на распространение персональных данных Роскомнадзор планирует запустить единую информационную систему для управления согласиями персональных данных, разрешенных для распространения.

Пока этой системы нет, единственным возможным способом получения согласия является предоставление согласия непосредственно оператору. Согласие не всегда должно быть в письменной форме. Допускается любая форма, позволяющая подтвердить факт его получения.

Письменная форма согласия требуется в случаях, если распространяются персональные данные, для обработки которых требуется письменная форма. Каждый оператор должен разработать свой бланк согласия или веб-форму, предусмотрев в нем обязательные сведения, которые утвердил Роскомнадзор. Единой формы нет, Роскомнадзор утвердил лишь требования к содержанию согласия Вот краткий чек-лист содержания согласия:

  • Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников.

    Заполняется по желанию субъекта.

  • Контакты субъекта: номер телефона, адрес электронной почты или почтовый адрес субъекта.
  • Категории и перечень персональных данных, распространение которых субъект разрешает.
  • Категории и перечень персональных данных, для распространение которых субъект устанавливает условия и запреты.

    Заполняется по желанию субъекта.

  • Фамилия, имя, отчество субъекта.
  • Наименование оператора персональных данных, ИНН, ОГРН и адрес, указанный в ЕГРЮЛ.
  • Четко определенный срок действия согласия.
  • Сведения об информационных ресурсах, где будут распространятся персональные данные.
  • Цель или цели распространения персональных данных.

Подробнее о каждом пункте читайте ниже. Читайте обязательно, потому что если согласие будет получено с нарушением или будет указана не вся информация, то считайте, что согласия нет.

А за обработку персональных данных без согласия — новые штрафы и блокировка сайта. Подробные требования к содержанию согласия Согласие должно включать в себя следующую информацию: 1) Фамилия, имя, отчество (при наличии) субъекта персональных данных.

2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных) Согласие может предусматривать указание либо адреса электронной почты, либо почтового адреса. Конечно, можно указать и то, и другое, но зачем лишняя информация?

3) Сведения об операторе персональных данных Если оператором является юридическое лицо, то указывается: наименование, ИНН, ОГРН, а также адрес, указанный в ЕГРЮЛ Если оператором является физическое лицо, то указывается: фамилия, имя, отчество (при наличии), место жительства или место пребывания. Если оператором является индивидуальный предприниматель, то указывается: фамилия, имя, отчество (при наличии), ИНН, ОГРНИП.

Адрес указывать не надо, как это следует из приказа, что странно. Я рекомендую указывать и адрес ИП. 4) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных Сведения об информационных ресурсах оператора указываются в виде адреса, состоящего из наименования протокола (http или https), сервера (www), домена (персональные данные.ru), имя каталога на сервере и имя файла веб-страницы, на которой будут размещены персональные данные субъекта персональных данных.

5) Цель (цели) обработки персональных данных Формулировки цели или целей обработки персональных данных должны соответствовать положениям законодательства Российской Федерации, устанавливающим функции, полномочия и обязанности оператора, и (или) документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных. 6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу:

  1. биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).
  2. общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
  3. специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);

Указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку персональных данных, согласия на обработку персональных данных в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов Указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных. Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению персональных данных неограниченному или определенному кругу лиц соответственно. Дополнительно в Согласии могут быть указаны условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.

8) Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников Заполняется по желанию субъекта персональных данных. 9) Срок действия согласия Должен быть отражен конкретный срок его действия: определенный период времени или дата окончания срока действия.

Не допускается указание на автоматическую пролонгацию срока действия Согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе. Что делать со старыми согласиями Ранее полученные согласия можно оставить и использовать до истечения срока их действия. Они сохранят свою силу для всех других случаев обработки персданных, кроме распространения.

Нужно только определить и составить список всех персональных данных, которые вы публикуете, и получить новые согласия. Легко сказать… Остаюсь с вами на связи.