С декабря 2023 года штрафы за обработку персональных данных без согласия субъекта или с неверно составленным согласием выросли до 700 000 рублей. А за год до этого изменились и требования к самим согласиям на обработку персональных данных. Рассказываем, какие согласия и в каких случаях необходимо составлять, почему лучше оформлять разные согласия на обработку персданных, а не включать все в одно, приводим образцы согласий для наиболее типичных ситуаций, даем советы по оптимизации документооборота.
Согласно п. 3 ст. 3 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» 1 под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
Как видите, обработка персональных данных работников – это, по сути, любое действие с такими данными. Поэтому когда мы говорим о согласии на обработку персональных данных, то имеем в виду все перечисленные операции.
Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. До 01.09.2022 в ч. 1 ст. 9 Закона № 152‑ФЗ речь шла только о конкретности, информированности и сознательности. Сейчас, как видите, к этим требованиям добавились еще два – предметность и однозначность. Что это означает на практике? Что в согласии на обработку персональных данных должна четко и конкретно прописываться цель его получения. И для каждой цели должно быть отдельное согласие!
Напомним, если целью обработки персональных данных является только исполнение трудового договора, то согласие у работника брать не нужно (п. 5 ч. 1 ст. 6 Закона № 152‑ФЗ). Но такой идеальной ситуации не существует, поскольку работодатель выполняет гораздо больше действий с персональными данными: сдает отчетность по работнику в фонды, оформляет ему зарплатную карту, хранит персональные данные его родных, покупает проездные билеты для командировок и т.д. Сюда же относятся ситуации, когда работодатели собирают и хранят персональные данные кандидатов на работу для кадрового резерва 2. Для этого тоже нужно отдельное согласие, ведь с некоторыми из них трудовые договоры так и не будут заключены.
Поэтому практически каждый работодатель должен оформлять письменные согласия работников на обработку персональных данных. Перечисленные выше действия работодателя и являются целями обработки персональных данных. Для каждой цели, как мы уже упомянули, нужно свое согласие работника.
Однако многие работодатели по старинке до сих пор оформляют только одно согласие, в котором указывают все возможные цели обработки персональных данных (на всякий случай и на будущее). Это не только неправомерно, но и нарушает закон,...
