"В соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ "О персональных данных" работодатель обязан получить письменное согласие работника (субъекта персональных данных) на обработку его персональных данных, для дальнейшей обработки, то есть для и

445

Вопрос

"В соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ "О персональных данных" работодатель обязан получить письменное согласие работника (субъекта персональных данных) на обработку его персональных данных, для дальнейшей обработки, то есть для использования в рамках трудовых отношений и дальнейшего представления в ПФР, ФСС, ИФНС, а также банки, с которыми заключен договор по зарплатному проекту. (ФИО, номер лицевого счета, номер СНИЛС, ИНН и т.д.) Вопрос: работник, по религиозным мотивам не желает подписать данное согласие на обработку данных, каковы последствия для работодателя при проверке Роскомнадзора? Можно ли в законодательстве найти исключение?"

Ответ

: Работодатель в рассматриваемой ситуации является оператором по смыслу ст. 3 Закона № 152-ФЗ. Однако уведомлять Роскомнадзор не требуется в случае передачи персональных данных в ПФР, ФСС, ИФНС. При выдаче сотрудникам банковских карт (участие в зарплатном проекте) необходимо получить согласие от каждого из них. И в связи с этим возникает необходимость уведомления Роскомнадзора. Принудить одного из сотрудников на участие в зарплатном проекте Вы не вправе. Если сотрудница не дает согласие на обработку персональных данных, то выдавать заработную платы Вы будете обязаны ей наличными.

В соответствии со ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ оператор — физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Следовательно, любое лицо, занимающееся сбором, записью, систематизацией, накоплением, хранением, уточнением (обновлением, изменением), извлечением, использованием, передачей (распространением, предоставлением, доступом), обезличиванием, блокированием, удалением, уничтожением персональных данных, является оператором по смыслу ст. 3 Закона № 152-ФЗ.

Согласно п. 5 ч. 1 ст. 6 Закона № 152-ФЗ обработка персональных данных допускается, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому этот субъект будет выгодоприобретателем или поручителем. Следовательно, согласие на получение и обработку персональных данных председатель совета многоквартирного дома получать не обязан.

На основании п.2 статьи 22 Закона № 152-ФЗ оператор вправе не уведомлять Роскомнадзор в случае, если персональные данные получены в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.

В соответствии с п. 1 ст. 9 Закона о персональных данных субъект персональных данных принимает решение о предоставлении своих данных и дает согласие на их обработку своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Обоснование данной позиции приведено ниже в материалах ЮСС «Система Юрист».

1. Статья: Согласие на обработку персональных данных потенциального клиента

«Федеральный закон от 27.07.06 № 152-ФЗ «О персональных данных» (далее — закон № 152-ФЗ) устанавливает особый режим работы компании с персональными данными физлиц. Персональными данными считается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (п. 1 ст. 3 закона № 152-ФЗ). Под обработкой персональных данных понимаются любые действия (операции) с ними, включая сбор, систематизацию, хранение и т. д. При этом компания может обрабатывать персональные данные физических лиц только с их письменного согласия* (п. 1 ст. 6, п. 4 ст. 9 закона № 152-ФЗ). Согласие не требуется в исключительных случаях. Например, при обработке персональных данных физического лица в целях исполнения договора с ним (п. 2 ст. 6 закона № 152-ФЗ).

Чаще всего персональные данные физлиц используют компании, работающие на рынке продажи товаров, выполнения работ и оказания услуг потребителям. Они необходимы для рекламных рассылок, маркетинговых исследований и оформления дисконтных карт. В пункте 1 статьи 15 закона № 152-ФЗ прямо предусмотрено, что обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных. Сбор, использование и распространение персональных данных без согласия физлица могут повлечь административный штраф с компании — от 5 тыс. до 10 тыс. рублей (ст. 13.11 КоАП РФ)*. Казалось бы, сумма штрафа незначительна. Но если компания собирает персональные данные в массовом порядке, то отсутствие согласия по каждому субъекту можно квалифицировать в качестве самостоятельного правонарушения. Следовательно, размер штрафа может возрасти в десятки и даже в сотни раз. Плановые и внеплановые проверки соблюдения порядка работы с персональными данными проводит Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор. Процедура проверок установлена в регламенте, утвержденном приказом Роскомнадзора от 01.12.09 № 630.

Контрольные точки при оформлении

Утвержденной формы согласия на обработку персональных данных не существует, но в пункте 4 статьи 9 закона № 152-ФЗ перечислены сведения, которые обязательно необходимо указать в данном документе. Следовательно, согласие на обработку персональных данных можно оформить как в виде документа с одноименным названием (см. образец № 1), так и, например, в виде более удобной в практическом применении анкеты, которую компания обычно просит заполнить для оформления дисконтной карты (см. образец № 2)*.

1. Пункт 4 статьи 9 закона № 152-ФЗ перечисляет следующие сведения, которые должны быть указаны в согласии на обработку персональных данных: фамилия, имя, отчество, адрес субъекта персональных данных, номер документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, наименование и адрес оператора, получающего согласие субъекта персональных данных, цель обработки, перечень персональных данных, на обработку которых дается согласие, перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных, срок, в течение которого действует согласие, а также порядок его отзыва.

2. Когда целью представления персональных данных является распространение рекламных рассылок, необходимо учитывать также требование части 1 статьи 18 Федерального закона от 13.03.06 № 38-ФЗ «О рекламе». Там указано, что распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. Следовательно, в согласии на обработку персональных данных необходима запись о том, что субъект согласен на получение информации, соответствующей понятию рекламы (ст. 3 закона № 38-ФЗ), а также указание конкретных способов, которыми клиент желает получать такую информацию.

3. Возможные действия с персональными данными, на совершение которых необходимо согласие физлица, указаны в пунктах 3 и 4статьи 3 закона № 152-ФЗ. Понятие «обработка персональных данных» включает в себя сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. При этом распространением персональных данных считаются действия, направленные на их передачу определенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц. Если рекламными рассылками в адрес потребителей будет заниматься не сама компания, а иные лица по договору с ней (например, специализирующиеся на интернет-рассылках), или персональные данные потребуется передать специализированным компаниям для проведения маркетинговых исследований, то необходимо согласие физического лица на их передачу третьим лицам.

4. Срок, в течение которого действует согласие, законодательством не ограничен. Следовательно, можно установить любой. При этом у физического лица в любом случае есть право отозвать свое согласие (п. 2 ст. 15 закона № 152-ФЗ). В документе необходимо установить конкретный порядок такого отзыва, который тоже может быть любым (подп. 6 п. 4 ст. 9 закона № 152-ФЗ).

На что еще обратить внимание

Первый момент. До начала обработки персональных данных компания обязана уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных. Эта обязанность установлена в пункте 1 статьи 22 закона № 152-ФЗ. Форма уведомления утверждена приказом Роскомнадзора от 17.07.08 № 08. Компания может не отправлять соответствующие уведомления, если обработка персональных данных будет осуществляться «вручную» — без использования средств автоматизации, а также если персональные данные включают только Ф.И.О. (подп. 8 п. 2 ст. 22 закона № 152-ФЗ). Несоблюдение обязанности по уведомлению Роскомнадзора в случаях, когда это обязательно, тоже подпадает под состав правонарушения, предусмотренного в статье 13.11 Кодекса об административных правонарушениях.

Второй момент. Компания обязана обеспечить конфиденциальность персональных данных, которые она использует (ст. 7 закона № 152-ФЗ). В этих целях необходимо принимать организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий (п. 1 ст. 19 закона № 152-ФЗ). Конкретные требования к обеспечению безопасности персональных данных при их обработке в информационных системах утверждены в постановлении Правительства РФ от 17.11.07 № 781 и приказе Федеральной службы по техническому и экспортному контролю от 05.02.10 № 58*".

2. ФЕДЕРАЛЬНЫЙ ЗАКОН ОТ 27.07.2006 № 152-ФЗ

"Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия*:

1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных*.

<...>

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем*.

<...>

Статья 22. Уведомление об обработке персональных данных

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных*".

Профессиональная справочная система для юристов, в которой вы найдете ответ на любой, даже самый сложный вопрос.
Попробуйте бесплатный доступ на 3 дня >>
Скоро в журнале «Юрист компании»
    Узнать больше


    Ваша персональная подборка

      Академия юриста компании

      Академия

      Смотрите полезные юридические видеолекции

      Смотреть

      Cтать постоян­ным читателем журнала!

      Cтать постоян­ным читателем журнала

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией

      © Актион кадры и право, Медиагруппа Актион, 2007–2017

      Журнал «Юрист компании» –
      первый практический журнал для юриста

      Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».

      Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Свидетельство о регистрации  ПИ № ФС77-62254 от 03.07.2015

      Политика обработки персональных данных

      
      • Мы в соцсетях
      Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
      Простите, что прерываем ваше чтение

      Это профессиональный сайт для юристов-практиков. Чтобы обеспечить качество материалов и защитить авторские права редакции, мы вынуждены размещать лучшие статьи в закрытом доступе.

      Предлагаем вам зарегистрироваться и продолжить чтение. Это займет всего полторы минуты.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      Вы продолжите читать статью через 1 минуту
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль