Что делать, если работник (или кандидат на вакансию) по каким-либо причинам отказывается дать работодателю согласие на обработку его персональных данных? Такой отказ может иметь место как на этапе трудоустройства, так и после принятия человека на работу. Рассказываем, как действовать работодателю в подобной ситуации. Узнаете, когда он сможет обрабатывать персданные работника без его согласия, а в каких случаях оно обязательно. Какая ответственность грозит за нарушение порядка обработки данных. Приводим образцы согласия на передачу персональных данных работодателем третьему лицу и уведомления сотрудника работодателем о последствиях непредставления согласия на такую передачу.
Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Об этом говорит п. 1 ст. 3 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» 1. К персональным данным относится любая персонифицированная информация о человеке – Ф.И.О., его возраст, гражданство, семейное положение, фотография, место работы и должность (профессия) и т.д. Поскольку работодатель напрямую работает с данной информацией (собирает ее, хранит, передает третьим лицам), то он обязан соблюдать требования законодательства о персональных данных. Особый интерес в этой связи представляют ситуации, когда работник отказывается дать письменное согласие на обработку своих персданных либо отзывает его. Разберем их, ориентируясь на разъяснения Роскомнадзора и судебную практику. А начнем с того, что напомним общие правила работы с персональными данными сотрудников.
Общие положения о порядке обработки персональных данных работника
В ст. 86 ТК РФ установлены обязательные для работодателя (и его представителей) требования при обработке персональных данных работников:
1) действовать исключительно в целях:
- обеспечения соблюдения законов и иных нормативных правовых актов;
- содействия работникам в трудоустройстве, получении образования и продвижении по службе;
- обеспечения личной безопасности работников;
- контроля количества и качества выполняемой работы;
- обеспечения сохранности имущества;
2) получать персональные данные работника у него самого. Если они могут быть получены только у третьей стороны, то нужно уведомить об этом работника и получить от него письменное согласие. В этом случае работодателю следует сообщить сотруднику:
- о целях, предполагаемых источниках и способах получения персданных;
- их характере и последствиях отказа работника дать письменное согласие на их получение;
3) обеспечить защиту персональных данных от неправомерного использования или утраты за счет собственных средств;
4) знакомить работников под подпись с локальными нормативными актами (ЛНА), устанавливающими порядок обработки персональных данных;
5) не запрещать работникам отказываться от своих прав на сохранение и защиту тайны и др.
По общему правилу работник должен дать согласие на обработку его персональных данных (свободно, своей волей и в своем интересе), а само согласие должно быть конкретным, предметным, информированным, сознательным и однозначным (ч. 1 ст. 9 Закона № 152‑ФЗ). Другими словами, заставить работника дать согласие нельзя, причем в случае возникновения спора доказать, что работник дал согласие на обработку его персональных данных, должен именно работодатель (ч. 3 ст. 9 Закона № 152‑ФЗ).
А еще работник может отозвать свое согласие на обработку персданных в любое время. Продолжить...
