Как правильно составить согласие на обработку персональных данных

Согласно п. 3 ст. 3 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных»¹ под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

Как видите, обработка персональных данных работников – ​это, по сути, любое действие с такими данными. Поэтому когда мы говорим о согласии на обработку персональных данных, то имеем в виду все перечисленные операции.

Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. До 01.09.2022 в ч. 1 ст. 9 Закона № 152‑ФЗ речь шла только о конкретности, информированности и сознательности. Сейчас, как видите, к этим требованиям добавились еще два – ​предметность и однозначность. Что это означает на практике? Что в согласии на обработку персональных данных должна четко и конкретно прописываться цель его получения. И для каждой цели должно быть отдельное согласие!

Напомним, если целью обработки персональных данных является только исполнение трудового договора, то согласие у работника брать не нужно (п. 5 ч. 1 ст. 6 Закона № 152‑ФЗ). Но такой идеальной ситуации не существует, поскольку работодатель выполняет гораздо больше действий с персональными данными: сдает отчетность по работнику в фонды, оформляет ему зарплатную карту, хранит персональные данные его родных, покупает проездные билеты для командировок и т.д. Сюда же относятся ситуации, когда работодатели собирают и хранят персональные данные кандидатов на работу для кадрового резерва². Для этого тоже нужно отдельное согласие, ведь с некоторыми из них трудовые договоры так и не будут заключены.

Поэтому практически каждый работодатель должен оформлять письменные согласия работников на обработку персональных данных. Перечисленные выше действия работодателя и являются целями обработки персональных данных. Для каждой цели, как мы уже упомянули, нужно свое согласие работника.

Однако многие работодатели по старинке до сих пор оформляют только одно согласие, в котором указывают все возможные цели обработки персональных данных (на всякий случай и на будущее). Это не только неправомерно, но и нарушает закон, ведь в таком случае согласие не соответствует требованию предметности. При проверке работодатель может быть привлечен к административной ответственности. Причем штрафы отнюдь не мизерные и с 23.12.2023 выросли в разы! Так, обработка персданных без согласия работника (кандидата) по ч. 2 ст. 13.11 КоАП РФ влечет наложение административного штрафа:

• на должностных лиц в размере от 100 000 до 300 000 рублей;
• малые и микропредприятия – ​от 100 000 до 350 000 рублей;
• остальные организации – ​от 300 000 до 700 000 рублей.

В идеальном варианте – ​на каждую, даже маленькую, цель должно быть отдельное согласие. Хочет работодатель отправить работника на обучение, а значит, передавать данные обучающей организации, – ​берет с него соответствующее согласие. Хочет разместить его фотографию на сайте – ​также берет отдельное согласие на данное действие. Планирует сделать на сотрудника пропуск с фотографией – и снова берет согласие.

Согласно ч. 1 ст. 9 Закона № 152-ФЗ согласие на обработку персданных может быть дано в любой позволяющей подтвердить факт его получения форме, если иное не предусмотрено федеральным законом (например, наличие согласия в письменной форме предусмотрено для обработки биометрических персональных данных, ч. 1 ст. 11 Закона № 152-ФЗ). Учитывая, что в силу ч. 3 ст. 9 Закона № 152-ФЗ обязанность предоставить доказательство получения согласия от работника лежит именно на работодателе, последнему целесообразно все согласия на обработку персданных получать от сотрудников в письменном виде. При этом в соответствии с ч. 4 ст. 9 Закона № 152-ФЗ равнозначным содержащему собственноручную подпись работника согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. В части электронной подписи следует руководствоваться правилами, установленными ст. 22.3 ТК РФ для взаимодействия работодателя и работника посредством электронного документооборота.

Далее подробно рассмотрим цели, которые встречаются чаще всего, и связанные с ними особенности получения согласий от работников. Приведем свои формы таких согласий, чтобы вы могли воспользоваться ими на практике (в том числе утвердив их для применения в организации в качестве приложений к Положению об обработке и защите персональных данных работников или иному локальному нормативному акту).

1. Согласие на сбор сведений о кандидате при трудоустройстве

Практически у каждого работодателя есть специальные анкеты для заполнения кандидатами на работу. Обычно в них указываются Ф.И.О., дата рождения, паспортные данные и опыт работы. Это все является персональными данными кандидата, и без его согласия на их обработку ничего с ними делать нельзя.

Цель сбора и обработки персданных в данном случае – ​принятие решения о приеме на работу или об отказе в приеме на работу. Если кандидат направил резюме через сайт для поиска работы, то, как правило, на этом сайте есть специальный чек-бокс для проставления согласия на обработку персональных данных и их передачу третьим лицам. Но в любом случае надежнее и самим брать у кандидатов согласия на обработку персональных данных (Пример 1). В случае же если анкета содержит графы по оценке политических или философских убеждений, религии, расы или национальности, состоянии здоровья, то для сбора таких данных потребуется специальное письменное согласие работника (см. Пример 4).

Если будущий работодатель перед приемом соискателя на работу мониторит его соцсети и ищет о нем данные в Интернете, то в согласие необходимо включить об этом данные тоже. В таком случае в согласии следует прописать следующую формулировку: «даю согласие <наименование организации, ее адрес, ИНН, ОГРН> на обработку, предполагающую сбор (непосредственно от меня как соискателя, а также из общедоступных информационных ресурсов и архивов), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение моих персональных данных в целях рассмотрения вопроса о соответствии моей кандидатуры имеющимся вакансиям».

2. Согласие на обработку персональных данных, получаемое при приеме на работу

Данное согласие оформляется при трудоустройстве работника и является общим – ​на обработку всех его персональных данных (Пример 2). Оно запрашивается с работника всегда. Обратите внимание, если работодателю нужно передать персональные данные работника третьим лицам (Пример 7), распространить их (Пример 8) или получить сведения о состоянии его здоровья (Пример 4), то он берет отдельные согласия на каждое это действие дополнительно к общему согласию.

3. Согласие на обработку биометрических персональных данных

К биометрическим персональным данным относятся данные, которые характеризуют человека с физиологической и биологической сторон (ст. 11 Закона № 152‑ФЗ). Например, его рост и вес, цвет глаз, отпечатки пальцев и т.д. Эти персональные данные чаще всего используются в форме фото- или видеоизображения работника.

Фотография может потребоваться, например, при оформлении пропуска, размещении информации на доске почета. Видеофиксация обычно ведется в целях контроля за процессом работы. Такое часто бывает в производственных компаниях, где нужно строго отслеживать каждый этап производства. Для обработки такой категории персональных данных работника требуется специальное письменное согласие.

4. Согласие на обработку специальной категории персональных данных

К специальной категории относятся данные о расе, национальности, состоянии здоровья, интимной жизни, политических взглядах, религиозных или философских убеждениях (ч. 1 ст. 10 Закона № 152‑ФЗ). Вряд ли обычному работодателю понадобится информация о политических убеждениях работника (хотя и такое встречается). Гораздо вероятнее – ​информация о состоянии его здоровья. Она необходима работодателю, например, для направления на санаторно-курортное лечение за счет средств работодателя (Пример 4).

Кстати, не требуется письменное согласие работника на обработку специальной категории персональных данных в случае оформления им больничного или при прохождении медосмотра и предоставлении этих сведений работодателю. Ведь эта информация непосредственно связана с возможностью осуществления им трудовой функции.

5. Согласие на обработку персональных данных членов семьи работника

Отдельно можно выделить согласие близких родственников работника – ​жены, совершеннолетних детей, родителей. Например, в случае выплаты материальной помощи работнику, если его супруг(а) лишен дохода (Пример 5).

6. Согласие на сбор персональных данных работника от третьих лиц

Работодатель вправе требовать и получать персональные данные исключительно от самого работника. В некоторых случаях возникает необходимость запросить данные у третьего лица (например, получить рекомендации о соискателе с прежнего места работы или от учебного заведения). Тогда также придется получить отдельное письменное согласие работника (кандидата) (Пример 6).

7. Согласие на передачу персональных данных работника третьим лицам

Персональные данные работника можно передавать без его согласия только в надзорные и иные компетентные государственные органы (например, в СФР, налоговую, Роструд, суд, прокуратуру, военкоматы) или когда это необходимо в целях предупреждения угрозы жизни и здоровью работника (ст. 88 ТК РФ). Во всех остальных случаях требуется письменное согласие работника с указанием объема персональных данных и конкретной цели их передачи. Например, для оформления зарплатной карты в банке (Пример 7) или передачи кадрового, бухгалтерского и налогового учета на аутсорсинг, заключения кредитного договора работником. Часто встречается ситуация с оформлением пропусков на работника, когда его персональные данные нужно передать в охранную организацию. В крупных компаниях персональные данные работников задействованы сразу во многих сферах – ​начиная от пропусков, организации питания, заканчивая приобретением проездных билетов (скажем, вахтовикам или руководству организации).

8. Согласие на распространение персональных данных

Основное отличие передачи персональных данных – ​наличие конкретного адресата, которому эти данные передаются. Распространение же подразумевает раскрытие персональных данных работника неопределенному кругу лиц (п. 5 ч. 1 ст. 3 Закона № 152‑ФЗ). Это может произойти, например, в случае публикации сведений о работнике на сайте работодателя или публикации в СМИ статьи с указанием Ф.И.О., должности (профессии) и фотографии работника. Правда, некоторым работодателям можно публиковать сведения о работниках в Интернете без их согласия в силу специальных положений закона (и тогда согласие не потребуется). К примеру, медицинские организации обязаны публиковать на своем сайте сведения о врачах (п. 7 ч. 1 ст. 79 Федерального закона от 21.11.2011 № 323‑ФЗ «Об основах охраны здоровья граждан в Российской Федерации»).

Для этой цели также потребуется отдельное письменное согласие (Пример 8). Требований к содержанию этого согласия больше, чем к рассмотренным нами выше. Так, согласно ст. 10.1 Закона № 152‑ФЗ и приказу Роскомнадзора от 24.02.2021 № 18 согласие должно включать следующую информацию:

• фамилию, имя, отчество;
• контакты для связи с работником (номер телефона, адрес электронной почты, почтовый адрес);
• сведения о работодателе (наименование, адрес, указанный в ЕГРЮЛ, ИНН, ОГРН);
• адрес сайта, состоящий из протокола (http или https), сервера (www), домена, имени каталога на сервере и имени файла веб-страницы;
• цель распространения;
• категории и перечень персональных данных, которые разрешены к распространению;
• условия распространения персональных данных после их раскрытия;
• конкретный срок действия согласия.

9. Согласие на трансграничную передачу персональных данных

Трансграничная передача персональных данных предусматривает одновременно 3 условия (п. 11 ст. 3 Закона № 152‑ФЗ):

• передача персданных;
• на территорию иностранного государства;
• иностранному лицу / органу.

Если не выполняется хотя бы одно из условий, то это не трансграничная передача. Поэтому не будет являться трансграничной передача данных своему сотруднику, работающему удаленно из другой страны. Трансграничная передача может потребоваться, например, при отправке данных о работниках в иностранный офис или релокации части бизнеса.

Причем согласие в письменной форме нужно брать только для передачи персональных данных в страны, не обеспечивающие адекватную защиту персональных данных и не включенные в перечень Роскомнадзора³.

Все согласия в одном

Для оптимизации кадрового делопроизводства и чтобы избежать оформления большого количества письменных согласий на обработку персональных данных одновременно, часть из них можно включить в единый документ. Однако при его оформлении вы должны четко понимать, какие действия планируете с персональными данными работника, в какие сроки и пр., и указать все необходимые данные в этом документе. Также в документе работник должен от руки дать согласие на обработку персональных данных и проставить свою подпись в каждой графе, касающейся отдельного вида согласия. В любом случае перед составлением такого документа проанализируйте, какие виды согласий вы можете объединить в единый документ без ущерба для себя.

Все виды согласий на обработку персданных рекомендуем оформлять отдельно от других документов, кроме случая, когда такое согласие предусмотрено непосредственно в трудовом договоре, заключаемом по типовой форме (утв. постановлением Правительства РФ от 27.08.2016 № 858) между работниками и работодателями, относящимися к микропредприятиям и некоммерческим организациям (ст. 309.2 ТК РФ).

В заключение хотим обратить ваше внимание, что срок хранения письменных согласий работников составляет 3 года после истечения срока соответствующего согласия или его отзыва, если иное не установлено федеральным законом, трудовым договором (п. 441 Перечня). Что касается хранения непосредственно персданных, то, как правило, следует руководствоваться сроками хранения конкретных содержащих их документов, установленных Перечнем (например, ст. 438, 439, о которых мы говорили в начале статьи), а также учитывать положения Закона № 152‑ФЗ: персональные данные обрабатываются до момента утраты цели их обработки или отзыва согласия на обработку, после чего в течение 30 дней они должны быть уничтожены (ч. 4–5 ст. 21).

И еще раз напомним, что за любое нарушение порядка обработки персональных данных в соответствии со ст. 13.11 КоАП РФ предусмотрена административная ответственность. Напомним, если нарушить цели обработки, указанные в согласии, штраф на юридическое лицо может достигать 100 000 рублей, а если обрабатывать персданные без согласия работников, то штраф может достигать уже 700 000 рублей. Штрафы отнюдь не маленькие, а будут еще больше. В первом чтении 23.01.2024 Госдумой РФ были приняты 2 законопроекта (sozd.duma.gov.ru/bill/502104-8, sozd.duma.gov.ru/bill/502113-8) о введении оборотного штрафа за утечки персданных, а также уголовной ответственности. Предприниматели рискуют ощутить на себе штрафы в размере многих миллионов рублей или даже столкнуться с уголовной ответственностью в случае их окончательного принятия.