Требование закона о согласии на обработку персональных данных

Согласие на обработку персональных данных: оформляем правильно

Смотрите также:

Согласие на обработку персональных данных — дает право на обработку паспортных данных, адреса, даты рождения и даже фамилия имя и отчество каждого гражданина, которые особо охраняет законодательство. Все лица, которые по тем или иным причинам получают, обрабатывают, передают или хранят такие сведения, являются операторами и обязательно должны получить согласие на любые действия с полученной информацией. Образец соглашения на обработку персональных данных а также требования к его оформлению вы сможете найти в специальном материале PPT.ru.

Понятие персональных данных и обращение с ними регулирует Федеральный закон от 27.07.2006 N 152-ФЗ в редакции от 22.02.2017 г. В соответствии с этим документом, под личными данными граждан, охраняемыми законодательством, следует понимать любую информацию, которая прямо или косвенно относится непосредственно к их субъекту (то есть физическому лицу). Такая информация позволяет однозначно определить, о каком именно человеке идет речь.

Что именно является личной информацией граждан

Конкретные указания на то, какая именно информация о человеке является его индивидуальными и охраняемыми данными в законодательстве отсутствует. По сложившейся практике под ней обычно скрывается:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес проживания (место регистрации);
  • семейное, социальное и имущественное положение;
  • образование, профессия;
  • доходы, имущество и обязательства.
  • Обычно такие сведения человек сообщает о себе сам во многих государственных органах, медицинских и образовательных учреждениях, кредитных организациях и даже в коммерческих структурах, например при трудоустройстве. Кроме вышеперечисленных сведений, которые являются общими, есть еще специальные личные данные, например национальность, вероисповедание, политические взгляды, состояние здоровья и прочая информация подобного рода.

    Где можно найти персональные данные гражданина

    Существует целый ряд документов, которые по своей сути являются источниками и, одновременно, хранилищами личной информации. К ним, в частности, относятся:

  • паспорт гражданина (внутренний и заграничный)
  • другие документы, удостоверяющие личность;
  • трудовая книжка;
  • военный билет;
  • свидетельство о рождении;
  • документы об образовании,
  • документы о составе семьи;
  • справки о доходах;
  • анкеты, заполняемые при трудоустройстве;
  • автобиография;
  • характеристики;
  • личные карточки работников (форма Т-2);
  • другие документы.
  • Очевидно, что большинство этих документов в подлинниках или копиях хранят работодатели граждан. Именно они, а также все остальные лица, к которым попадает такая информация, являются операторами персональных данных.

    Операторы персональных данных и действия с ними

    В статье 3 Закона № 152-ФЗ сказано, что оператором является лицо, которое организует и осуществляет обработку персональных данных. Все работодатели как юрлица, так и ИП являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус практически не ограничен. Это может быть любое лицо, которому человек доверил информацию о себе.

    Отдельное внимание нужно уделить понятию обработки личной информации. О ней везде говорят, но никто толком не знает, что это такое. Тогда, как часть 3 все той же статьи 3 Закона № 152-ФЗ регламентирует это понятие, как любое действие (или их совокупность), совершаемое с личной информацией. Под действиями законодатели понимают:

  • сбор,
  • запись,
  • систематизацию,
  • накопление,
  • хранение,
  • уточнение (обновление, изменение),
  • извлечение,
  • использование,
  • передачу (распространение, предоставление, доступ),
  • обезличивание,
  • блокирование,
  • удаление или уничтожение данных.

Все операции могут проходить как в бумажном ручном режиме, так и с использованием средств автоматизации, в том числе в режиме онлайн. Именно на все эти действия оператор должен получить от владельца бланк согласия на обработку персональных данных 2018. При этом, для работодателей это является отдельным случаем, так как цели их обработки, в том числе, регулирует статья 86 Трудового кодекса РФ .

Заявление о согласии на обработку персональных данных и требования к оформлению документов

Как уже было сказано выше, операторы обязаны получить от граждан согласие на обработку персональных данных на сайте или в бумажном варианте. Однако образец формы согласия на обработку персональных данных для организаций и учреждений немного отличается от того заявления, которое должен взять с каждого нового работника его работодатель. Для начала определимся с общими требованиями к оформлению этих документов.

Нормами статьи 87 ТК РФ установлено, что все организации самостоятельно определяют порядок хранения и использования сведений, полученных от работников. Аналогичный принцип применим и ко всем остальным операторам. Главное: не нарушать требования, установленные федеральными законами и кодексами. Поэтому, прежде чем приступать к обработке и думать, какой образец соглашения на обработку персональных данных лучше использовать, необходимо утвердить локальный акт по организации «Положение о персональных данных». Именно в этом документе должны содержаться все основные требования к правилам оформления документации. Положение должен утвердить руководитель с согласия профсоюзного органа (при его наличии).

Когда речь идет о работодателях, важно учесть, что по нормам п. 8 части 1 статьи 86 ТК РФ всех работников и их представителей следует ознакомить с утвержденным Положением под роспись. Для этих целей можно даже завести специальный журнал. Если Положения в организации-операторе не будет, это является грубым нарушением за которое нормами статьи 13.11 КоАП РФ предусмотрен штраф.

Образец заполнения согласия на обработку персональных данных

Требования к согласию, который должен дать владелец личной информации для ее обработки оператором, определен в части 1 статьи 9 Закона N 152-ФЗ. Главное требование — такое согласие должно быть конкретным, информированным и сознательным. А также обязательно оформленным в письменной форме. Также допускается электронная форма, если взаимодействие владельца и оператора происходит через интернет. В любом случае у оператора должна быть возможность в любой момент подтвердить факт его получения.

При этом, хотя в самом законе о письменной форме этого документа речи не идет, по нормам статьи 13.11 КоАП РФ наказание последует в том случае, если оператор начал обработку:

Поэтому, лучше всего сразу оформить заявление о согласии на все манипуляции с персональными данными, и больше не переживать по этому поводу. Универсального бланка такого документа не существует. Поэтому каждый оператор может самостоятельно его разработать или использовать предложенные образцы, подготовленные специалистами Консультант Плюс.

Образец соглашения на обработку персональных данных работника с работодателем, например, может выглядеть так:

Произвольная форма согласия или заявления не исключает целого ряда требований, установленных в статье 9 Закона N 152-ФЗ к его содержанию. В нем обязательно должны быть указаны:

  1. Фамилия имя и отчество лица, его адрес, а также полные реквизиты документа, удостоверяющего его личность (аналогичные требования к представителям гражданина);
  2. Наименование или Ф.И.О. и адрес оператора;
  3. Цель получения личной информации;
  4. Перечень данных, которые подлежат обработке.
  5. Данные организации или ИП, которым оператор перепоручил любые манипуляции с данными;
  6. Перечень действий с информацией о человеке, на совершение которых он дал свое согласие, общее описание способов ее хранения и использования;.
  7. Срок, в течение которого действует согласие и способ его отзыва;
  8. Личная подпись гражданина.

ppt.ru

Обработка персональных данных на сайте: Новые штрафы с 1 июля 2017 года

Несколько дней остается до вступления в силу поправок в КоАП РФ касающихся штрафов за нарушение положений Федерального закона №152-ФЗ («О защите персональных данных»).
Попробуем разобраться, что такое персональные данные, кого могут привлечь к административной ответственности за нарушение законодательства в этой сфере, какие штрафы придется заплатить, и что делать владельцам сайтов, чтобы избежать наступления неблагоприятных последствий.

С 1 июля 2017 года ужесточаются санкции, предусмотренные КоАП РФ за нарушение требований к cбору, обработке и хранению персональных данных. Законопроект был разработан еще в 2014 году Роскомнадзором (уполномоченный орган по защите прав субъектов персональных данных) на основании своей правоприменительной практики. В пояснительной записке к документу Федеральная служба указала, что фиксирует значительный рост нарушений в области персональных данных, при этом, действующее законодательство не позволяет в полной мере обеспечить эффективную защиту прав и интересов субъектов персональных данных и соблюдение принципа неотвратимости наказания.

Определимся с тем, что следует понимать под персональными данными

Исходя из Федерального закона №152-ФЗ «персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Так как Законом четко не определен перечень сведений, являющихся персональными данными, соответственно, к ним будут отнесены любые данные, позволяющие идентифицировать субъекта, к примеру, контактная почта, ФИО, телефон и пр.

Кого могут привлечь к административной ответственности?

Ответ здесь очень прост – операторов персональных данных. Возвращаясь к вышеуказанному №152-ФЗ – оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Что касается санкций

Предыдущая редакция статьи 13.11 КоАП РФ регламентировала ответственность за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) и в качестве санкции предусматривала:
• для физических лиц – предупреждение или штраф в размере от 300 рублей до 500 рублей;
• для должностных лиц – штраф в размере от 500 рублей до 1 тыс. рублей;
• для юридических лиц – штраф в размере от 5 тыс. рублей до 10 тыс. рублей

Теперь, вышеуказанная статья содержит дифференциацию составов административных правонарушений в области персональных данных и имеет новое название: «Нарушение законодательства Российской Федерации в области персональных данных».
Рассмотрим каждый состав по отдельности:
1. ч.1 ст.13.11 КоАП РФ предусматривает ответственность за незаконную обработку персональных данных, либо за обработку персональных данных, несовместимую с целями сбора персональных данных (за искл. части 2 указанной статьи, если эти действия не содержат уголовно наказуемого деяния) и влечет за собой:
• для физических лиц – предупреждение или штраф в размере от 1 тыс. рублей до 3 тыс. рублей;
• для должностных лиц – штраф в размере от 5 тыс. рублей до 10 тыс. рублей;
• для юридических лиц – штраф в размере от 30 тыс. рублей до 50 тыс. рублей.

2. ч.2 ст.13.11 КоАП РФ предусматривает ответственность за обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо за обработку персональных данных с нарушением установленных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных и влечет за собой:
• для физических лиц – штраф в размере от 3 тыс. рублей до 5 тыс. рублей;
• для должностных лиц – штраф в размере от 10 тыс. рублей до 20 тыс. рублей;
• для юридических лиц – штраф в размере от 15 тыс. рублей до 75 тыс. рублей.

3. ч.3 ст.13.11 КоАП РФ предусматривает ответственность за невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных и влечет за собой:
• для физических лиц – предупреждение или штраф в размере от 700 рублей до 1,5 тыс. рублей;
• для должностных лиц – от 3 тыс. рублей до 6 тыс. рублей;
• для индивидуальных предпринимателей – от 5 тыс. рублей до 10 тыс. рублей;
• для юридических лиц – от 15 тыс. рублей до 30 тыс. рублей.

4. ч.4 ст.13.11 КоАП РФ предусматривает ответственность за невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных и влечет за собой:
• для физических лиц – предупреждение или штраф в размере от 1 тыс. рублей до 2 тыс. рублей;
• для должностных лиц – от 4 тыс. рублей до 6 тыс. рублей;
• для индивидуальных предпринимателей – от 10 тыс. рублей до 15 тыс. рублей;
• для юридических лиц – от 20 тыс. рублей до 40 тыс. рублей.

5. ч.5 ст.13.11 КоАП РФ предусматривает ответственность за невыполнение оператором в сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки и влечет за собой:
• для физических лиц – предупреждение или штраф в размере от 1 тыс. рублей до 2 тыс. рублей;
• для должностных лиц – от 4 тыс. рублей до 10 тыс. рублей;
• для индивидуальных предпринимателей – от 10 тыс. рублей до 20 тыс. рублей;
• для юридических лиц – от 25 тыс. рублей до 45 тыс. рублей.

6. ч.6 ст.13.11 КоАП РФ предусматривает ответственность за невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния и влечет за собой:
• для физических лиц – штраф в размере от 700 рублей до 2 тыс. рублей;
• для должностных лиц – от 4 тыс. рублей до 10 тыс. рублей;
• для индивидуальных предпринимателей – от 10 тыс. рублей до 20 тыс. рублей;
• для юридических лиц – от 25 тыс. рублей до 50 тыс. рублей.

7. ч.7 ст.13.11 КоАП РФ предусматривает ответственность за невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных и влечет за собой:
• для должностных лиц – предупреждение штраф в размере от 3 тыс. рублей до 6 тыс. рублей.
Кроме всего прочего, полномочия по составлению протоколов об административных правонарушений, предусмотренных ст.13.11 КОАП РФ передали Роскомнадзору, ранее эту функцию выполняла прокуратура.

Владельцам сайтов

Тот минимум, который необходимо успеть сделать до 1 июля:
1. В соответствии со ст. 22 Федерального закона №152-ФЗ («О защите персональных данных») необходимо уведомить Роскомнадзор о том, что Вы являетесь оператором персональных данных. Есть исключения, предусмотренные ч.2 ст. 22 №152-ФЗ, когда уведомлять гос. орган нет необходимости, в частности, когда персональные данные обрабатываются в соответствии с трудовым законодательством или обрабатываются только ФИО субъекта.

2. Чтобы избежать административного наказания, предусмотренного ч.2 ст.13.11 КоАП РФ под каждой формой обратной связи на сайте необходимо разместить текст «нажимая на кнопку Вы даете согласие на обработку своих персональных данных» и ссылку на документ – как правило, это соглашение на обработку и использование персональных данных или пользовательское соглашение.

3. В открытом доступе на сайте должен храниться документ, определяющий политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных. Административная ответственность за невыполнение данного пункта предусмотрена ч.3 ст.13.11 КоАП РФ.
Тут вы можете посмотреть пример, на основе нашего документа.

Немного судебной практики

Следует отметить, что судебная практика по статье 13.11 КоАП РФ достаточно обширна.
Например, штрафуют за отсутствие документов, определяющих политику компании.
В частности, постановление мирового судьи судебного участка № 1 Ленинского судебного района г. Перми по делу № 5-77/2016 от 24 февраля 2016 года. Суд взыскал с клиники штраф, в размере 5 тыс. рублей, в связи с тем, что последняя собирала и обрабатывала персональные данные с помощью формы обратной связи на сайте (для вызова врача на дом) не обеспечив доступа к документу, определяющему политику в отношении обработки персональных данных.
* С 1 июля 2017 г. минимальный штраф за такое правонарушение для юридических лиц составит 15 тысяч рублей.

Кому-то повезло больше, суд назначил наказание в виде предупреждения.
Постановление Мирового судьи судебного участка № 1 Октябрьского судебного района г. Екатеринбурга по делу № 5-115/2017 от 31 мая 2017 года. Индивидуальный предприниматель, в рамках своей деятельности (услуги по страхованию) создал себе сайт, после мониторинга которого Управление Роскомнадзора по УрФО выявило отсутствие документов, определяющих политику компании. Суд счел возможным назначить наказание в виде предупреждения.
* С 1 июля 2017 г. для ИП и юридических лиц отменена санкция в виде «предупреждения», а минимальный штраф за такое правонарушение для ИП составит 5 тыс. рублей.

Как итог

Внушительные штрафы, дифференциация и увеличение составов административных правонарушений, расширение полномочий Роскомнадзора, усиление государственного контроля в этой области – все это говорит о том, что Россия встала на путь сближения со странами Европы в сфере защиты персональных данных. Еще в 2008 году на конференции «Инфофорум» начальник Управления Роскомнадзора по защите прав субъектов персональных данных Л.Б. Васильева предложила разработать международные нормативные акты, которые бы содержали унифицированные требования к защите персональных данных, в том числе требования конфиденциальности.
И, напоследок, тем, кто подпадает под действие Федерального закона №152-ФЗ как оператор, остается пожелать терпения – разработка и внедрение внутренней документации в этой области достаточно кропотливый и трудоемкий процесс. С другой стороны – лучше поздно, чем никогда.

www.rush-agency.ru

Грядет изменение требований к обработке персональных данных соискателей

В последнее время тема персональных данных становится все более актуальной, так как близится дата, начиная с которой Роскомнадзор будет проводить проверки документов по-новому, с применением ужесточенных санкций по статье 13.11 КоАП РФ, — 1 июля 2017 года. Важной является и тема, касающаяся обработки персональных данных соискателей.

Вопрос: требуется ли согласие кандидата на обработку/защиту его персональных данных, если резюме было опубликовано в открытом доступе? Как технически можно это согласие получить? Достаточно ли сканированной копии, полученной по электронной почте, или все же нужен оригинал? Какие основные моменты должны быть отражены в согласии?

Ответ: если резюме было размещено в открытом доступе и работодатель не начал обработку персональных данных, то согласие на обработку не требуется. Под обработкой следует понимать любое действие или совокупность действий с персональными данными, совершаемых с использованием или без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (выписка представлена ниже).

Но как только резюме сохраняется или распечатывается, начинается процесс обработки, перед началом которого должно быть получено согласие от кандидата.

Если есть возможность получить согласие от кандидата в сканированной копии либо непосредственно из его рук (когда он придет на собеседование), то нарушений со стороны работодателя не будет. К сожалению, заполнение электронной формы согласия кандидата и направление вам не сильно защищает интересы работодателя. Такие соглашения нарушают главное условие (проставление подписи) и возможны только в том случае, если у кандидата есть электронная цифровая подпись.

Без наличия подписи согласие считается неправомерным. В зависимости от вида обрабатываемых персональных данных для некоторых категорий (например, биометрические и специальные) установлено обязательное требование — письменная форма.

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»

«Статья 3. Основные понятия, используемые в настоящем федеральном законе

…Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

В любом согласии на обработку персональных данных должны быть указаны следующие условия (статья 9 вышеуказанного Федерального закона п. 4):

В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

Равнозначным согласию кандидата в письменной форме на бумаге признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме на обработку персональных данных субъекта должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных».

Вопрос: при размещении вакансии на сайте компании указан адрес электронной почты ответственного лица. У кандидатов имеется возможность присылать напрямую свои резюме. При таком подходе требуется какое-то согласие? Или необходимо разместить информацию, связанную с обработкой/защитой персональных данных на самом сайте?

Ответ: при получении персональных данных субъекта сначала должно быть получено согласие на обработку, а потом уже начата обработка. Электронная форма согласия, которую кандидаты будут заполнять прямо на сайте и направлять перед отправкой резюме работодателю, должна соответствовать требованиям статьи 9 152-ФЗ «О персональных данных» от 27.07.2006. При получении такого согласия теряется главный реквизит, точнее он просто не проставляется, так как это технически сложно сделать — подпись субъекта.

С 1 июля за использование ненадлежащей формы согласия на обработку персональных данных будет применяться новая административная ответственность — выписка приведена ниже.

«Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных (извлечение)

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, – влечет наложение административного штрафа

на граждан в размере от 3 000 до 5 000 рублей;

на должностных лиц – от 10 000 до 20 000 рублей;

на юридических лиц – от 15 000 до 75 000 рублей».

Вопрос: если кандидата на собеседование не пригласили, должны ли мы его дополнительно уведомлять о «судьбе его ПНд»? Его данные остаются в базе резюме или подлежат уничтожению?

Ответ: обязанности по сообщению кандидатам о судьбе их ПНд закон не устанавливает, однако следует учитывать, что если работодатель начал обработку, то должно быть получено согласие по установленной законом форме, в котором кандидат указал срок возможной обработки его персональных данных и период хранения соответственно. Будут ли они уничтожаться или находиться в базе работодателя, зависит от того, что указано в самом согласии.

Кандидат вправе запросить у работодателя информацию о продолжении или осуществлении обработки его персональных данных, при этом работодатель обязан будет ему ответить. Соискатель также может попросить заблокировать, удалить свои персональные данные на бумажных носителях и в информационных системах.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные федеральным законом № 152-ФЗ «О персональных данных» или другими федеральными законами.

Вопрос: при работе с кадровыми агентствами очевидно, что первичная обработка персональных данных происходит в агентстве, далее данные пересылаются работодателю. Нужно ли работодателю подписывать согласие об обработке/защите персональных данных с кандидатом?

Ответ: все зависит от перечня персональных данных, целей и действий с ними. Если кандидат к вам не приходит, а вы только получаете его резюме или анкету, которую вам пересылает агентство, то согласие от кандидата вам получать не нужно, так как оператор уже получил необходимое согласие, а условие о передаваемых вам от агентства персональных данных и режиме конфиденциальности должно быть прописано в договоре межу вами и агентством.

Если же кандидат пришел к вам на собеседование, вы становитесь оператором и обязаны получить согласие от кандидата, так как цели, перечень действий и сами обрабатываемые персональные данные будут отличаться от тех, которые запрашивало кадровое агентство.

группы компаний Валентины Митрофановой

hr.superjob.ru

Требование согласия на обработку персональных данных от участников закупки

Вопрос-ответ по теме

Необходимо ли требовать согласие на обработку персональных данных от участников закупки (предусмотреть о предоставлении согласия в составе заявки), а также от членов комиссии по осуществлению закупок, в связи с тем, что при исполнении 44-ФЗ такие данные содержатся в протоколах по результатам закупок, которые размещаются в ЕИС? И как быть, если УЗ согласие не приложит?

Поскольку Закон № 44-ФЗ не содержит требований об указании в составе заявки согласия на обработку персональных данных — заявку участника нужно признать соответствующей документации, извещению.

В дальнейшем для размещения информации в ЕИС заказчик может использовать только ту информацию об участнике, которая должна быть размещена в ЕИС (например, в реестре контрактов).

Читайте также:

Вправе ли заказчик размещать в ЕИС персональные данные исполнителя — физического лица?

В соответствии с ч. 1 ст. 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Законом № 152-ФЗ.

Пунктом 11 ч. 1 ст. 6 Закона № 152-ФЗ установлено, что обработка персональных данных допускается в случае осуществления обработки персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Согласно положениям ст. 7 Закона № 152-ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Пунктом 6 ч. 3 ст. 4 Федерального закона от 5 апреля 2013 г. № 44-ФЗ О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» (далее – Закон № 44-ФЗ) установлено, что единая информационная система в сфере закупок (далее – ЕИС) содержит реестр контрактов, заключенных заказчиками.

В силу п. 7 ч. 2 ст. 103 Закона № 44-ФЗ заказчик обязан включать в реестр контрактов информацию о фамилии, имени, отчестве (при наличии), месте жительства физического лица, идентификационного номера налогоплательщика поставщика (подрядчика, исполнителя).

Исходя из положений ч. 1 ст. 6 Закона № 152-ФЗ обработка персональных данных, в том числе их распространение и представление, при отсутствии согласия субъекта персональных данных на их обработку допускается только в случаях, предусмотренных федеральным законом, одним из которых является Закон № 44-ФЗ.

Поскольку указание следующих персональных данных поставщика (подрядчика, исполнителя): информации о фамилии, имени, отчестве (при наличии), месте жительства физического лица, идентификационного номера налогоплательщика поставщика (подрядчика, исполнителя) в обязательном порядке предусмотрено Законом № 44-ФЗ, то заказчик обязан при формировании и размещении в ЕИС сведений о заключенном контракте указывать именно только перечисленные персональные данные.

Для указания в размещаемой в ЕИС копии заключенного контракта иных персональных данных (не перечисленных в п. 7 ч. 2 ст. 103 Закона № 44-ФЗ, например: даты рождения, паспортных данных, ИНН, СНИЛС), заказчику требуется согласие субъекта персональных данных. В случае отсутствия соответствующего согласия заказчик не имеет права размещать такие персональные данные в ЕИС. В таком случае заказчик должен разместить в ЕИС копию заключенного контракта, которая будет содержать только информацию о персональных данных, предусмотренных п. 7 ч. 2 ст. 103 Закона № 44-ФЗ, иные персональные данные необходимо скрыть.

Получите квалифицированную экспертную помощь в Системе «Госзаказ» Спросить эксперта

www.pro-goszakaz.ru