Лист согласия на обработку персональных данных

Добавил пользователь Алексей Ф.
Обновлено: 19.09.2024

В 2022 году согласие на обработку персональных данных работников нужно собирать с учетом новшеств в законодательстве. Что изменилось для работодателей? Какой теперь использовать бланк согласия на обработку персональных данных? Нужно ли оформлять согласие на распространение персональных данных сотрудников? Какие вообще работодателю нужны документы для работы с персональными данными? Поясним, покажем бланки для работодателей и образцы согласия на обработку персональных данных для работников в 2022 году.

Работодатель – оператор персональных данных

Защита и обработка персональных данных регулируется Федеральным законом от 27.07.2006 N 152-ФЗ.

Персональные данные работника – любая информация о человеке, имеющаяся у работодателя. Это Ф.И.О. и другие паспортные данные, ИНН, СНИЛС, номер телефона, сведения об образовании, доходах и др. (ст. 3 Закона N 152-ФЗ, Письмо Минкомсвязи от 28.08.2020 N ЛБ-С-074-24059).

Персональные данные люди передают многим юридическим лицам (например, банкам, магазинам или салонам красоты).

Работодатель также признается оператором персональных данных. Однако уведомлять об их обработке Роскомнадзор не надо, поскольку данные используются только в рамках трудовых отношений (ст. ст. 3, 22 Закона N 152-ФЗ). Вместе с этим, на работодателе лежит ответственность за корректную организацию системы обработки и защиты персональных данных своих сотрудников.

Работодателю можно получать от сотрудников только те персональные данные, которые позволяет обрабатывать закон (ч. 1 ст. 86 ТК). Например, Ф. И. О., дату рождения и адрес можете запрашивать у любого сотрудника. Поскольку без этой информации не сможете принять его на работу. Если по должности обязательно образование, можете обрабатывать данные диплома или аттестата сотрудника. А если для работы нужен медосмотр, сможете также запросить информацию о состоянии его здоровья (ст. 213 ТК).

Полный список документов с видами персональных данных, которые они содержат, смотрите в таблице.


Положение о защите персональных данных в 2022 году

Чтобы учесть все новшества законодательства о персональных данных в 2022 году в положении о защите персональных данных работников установите порядок работы с данными, перечень лиц, имеющих к ним доступ, правила хранения личных дел и других кадровых документов, способы защиты электронных документов. Утвердите положение приказом руководителя и ознакомьте с ним работников под роспись (ст. 88 ТК РФ).

Положение о защите персональных данных зачастую называют Положением о работе с персональными данными. Никакой ошибки в этом нет. Суть документа зависит от содержания, а не от названия. Главное, чтобы в Положении были определены: порядок работы с данными, перечень лиц, имеющих к ним доступ, правила хранения личных дел и других кадровых документов, способы защиты электронных документов.

Приведем образец приказа об утверждении положения о защите персональных данных в 2022 году. Образец самого положения, актуальный в 2022 году, вы можете скачать в конце этой статьи.


Приказ о назначении ответственного за перс.данные

Назначьте ответственного за обработку персональных данных, с него и с остальных лиц, имеющих к ним доступ, возьмите обязательство о неразглашении. Приведем примеры этих документов.


Обязательство о неразглашении перс.данных

Если человек (работник организации) имеет доступ к персональным данным работников, то с него нужно взять обязательство о неразглашении этих сведений. Приведем пример обязательства о неразглашении персональных данных сотрудников:


Согласие работника на обработку перс.данных

При приеме на работу оформите согласие работника на обработку персональных данных. Можно сделать отдельный документ или включить условие о согласии в трудовой договор.

Срок действия согласия закон не ограничивает, поэтому можно указать любой срок. Например, до дня его отзыва (ст. 9 Закона N 152-ФЗ). Подробнее об оформлении согласия вы можете прочитать в отдельной статье “Каким должно быть согласие на обработку персональных данных“. В этой же статье вы посмотреть образец согласия, актуальный в 2022 году.

Последние новшества в части оформления согласия на обработку персональных данных произошли с 1 сентября 2021 года. Мы подробно рассматривали это в материале: “Каким должно быть согласие на обработку персональных данных с 01.09.2021: требования“.

Согласие на передачу персональных данных

Имейте в виду, что персональные данные без согласия работника можно передать третьим лицам только в установленных законом случаях, например, в налоговый орган, ПФР и ФСС. В других ситуациях надо получить письменное согласие работника (ст. 88 ТК РФ).


Штраф за передачу персональных данных без согласия работника для организации – от 30 000 до 150 000 руб., для должностного лица – от 20 000 до 40 000 руб. (ст. 13.11 КоАП РФ).

Личную информацию человека можно использовать только после его разрешения. JCat.Работа поможет разобраться, как получить и оформить согласие сотрудников на обработку их персональных данных.

Чтобы понять, как работать с документом, важно знать, какие данные считаются персональными и, соответственно, требуют особого внимания к ним.

На законодательном уровне есть несколько определений этого понятия, но конкретного списка нет ни в одном документе. Это одновременно оставляет пространство для объяснения термина и становится причиной разногласий главного кандидата на должность и специалистов кадровой службы.

Какие данные относятся к персональным?

В этом же законе есть статья 10, которая вносит в список персональной информации подробности о расе, национальности, моральных убеждениях человека, личной жизни, а также сведения о его здоровье.

Чтобы предупредить неправомерные действия, личная информация каждого человека должна надежно сохраняться. Многие люди бережно относятся к сведениям о себе, и это оправдано. Поэтому, согласно действующим законам РФ, нельзя обрабатывать личную информацию без согласия субъекта (в некоторых случаях — письменного).

Как происходит обработка персональных данных?

Все в том же законе №152-ФЗ указано, что обработка персональной информации должна происходить с соблюдением основных принципов:

  • соблюдение требований актуального законодательства;
  • цель обработки необходимо определить и озвучить субъекту заранее;
  • собирать и обрабатывать можно только информацию, которая соответствуют указанной цели;
  • оператор обязан обеспечить точность данных, предупредить их искажение, а ответственные лица должны периодически следить за актуальностью информации;
  • после достижения финальной цели данные нужно уничтожить.

Когда необходимо подписать согласие на обработку данных работника?

Получение согласия на обработку персональных данных необходимо в любом случае, когда заинтересованная сторона планирует собирать личную информацию о будущем сотруднике. Субъект должен подтвердить, что он не против, чтобы с этой информацией проводили определенные манипуляции и использовали ее в конкретных целях. Чаще всего в рамках организации речь идет о трудоустройстве на работу. Письменное согласие заявителя на обработку персональных данных — обязательный атрибут комплекта документов будущего сотрудника.

Что делать, если работник отказывается подписывать документ?

Предоставление согласия на обработку персональных данных должно быть абсолютно добровольным. Это означает, что у работодателя нет права заставить человека подписать документ. В практике сотрудников кадровой службы могут встретиться люди, которые будут настороженно относиться к документу или даже откажутся его подписывать. Но отказ будущего работника подписывать соглашение в большинстве случаев связан с непониманием цели обработки его данных.

В таком случае важно объяснить человеку, что его личную информацию, согласно закону, будут использовать исключительно в служебных целях. Кроме того, этот документ создан для того, чтобы защищать права субъекта персональных данных. Это тоже важно донести до потенциального работника. Если на момент подписания согласия трудовой договор между работодателем и будущим работником еще не подписан, это может повлечь за собой потерю рабочего места.

В каких случаях не нужно оформлять согласие?

Сотрудник может не подписывать документ только в том случае, если он уже работает в компании. Тогда обработка его данных возможна, но только в целях выполнения условий трудового договора.

В некоторых случаях прибегают к обработке, в частности, к передаче данных без согласия субъекта. Например, если эти действия нужны для предотвращения угрозы здоровью или жизни сотрудника, или их передают по требованию уполномоченных органов, в его разрешении нет необходимости.

Как уведомить Роскомнадзор?

О намерении произвести обработку персональных данных нужно уведомить Роскомнадзор. Этот уполномоченный орган защищает права их владельцев.

Ответственность за несоблюдение условий соглашения

Чтобы защитить свои интересы, будущий сотрудник может воспользоваться услугами юриста, прежде чем подписать форму соглашения. Специалист поможет проанализировать правомерность действий работодателя, правильность составления согласия и объем данных, которые нужно предоставить сотруднику при поступлении на работу. Например, информация о состоянии здоровья и пребывании в местах лишения свободы нужна только для определенного ряда специальностей.

Образец заполнения бланка

Согласие на обработку персональных данных — это документ свободной формы, поэтому в каждой организации разрабатывают подходящий вариант шаблона. Но условия согласия на обработку персональных данных говорят о том, что в документе обязательно должна быть такая информация:

  • наименование компании;
  • место и дата оформления документа;
  • Ф. И. О., паспортные данные субъекта;
  • Ф. И. О. человека, который представляет интересы компании;
  • Ф. И. О. и должность сотрудника, который будет производить обработку данных;
  • объяснение цели работы с предоставленными данными;
  • перечисление конкретных сведений о работнике, которые будут обрабатывать;
  • срок, в течение которого документ считается актуальным;
  • способ отказа от согласия;
  • подпись сотрудника.

В документе обязательно должно быть указано, что он подписан добровольно. Это подтверждает подпись будущего сотрудника.

Работодатель может найти на просторах интернета готовый бланк согласия и адаптировать его под свою организацию (рис. 1).

Рисунок 1. Заявление согласие на обработку персональных данных (образец).

Если закон устанавливает обязанность получить согласие субъекта ПД на их обработку, оператор не имеет права принуждать этого субъекта к подписанию соответствующего соглашения. Гражданин принимает решение о предоставлении его ПД и дает согласие на их обработку свободно, своей волей и в своем интересе (п. 1 ст. 9 Закона о персональных данных).

Если субъект ПД недееспособен, согласие на обработку дает его законный представитель (например, если субъект – ребенок, его представляет один из родителей). Если субъект ПД мертв, согласие необходимо получить у его наследников (при условии, что это согласие не было дано субъектом ПД при жизни) [2] .

Роскомнадзор в Разъяснениях [3] указывает, что работодатель вправе обрабатывать персональные данные работника без получения соответствующего согласия в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка (являющимися обычно приложением к коллективному договору), соглашением, а также локальными актами.

А вот при привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан получить согласие работников на передачу их персональных данных.

Пунктом 2 ст. 9 Закона о персональных данных предусмотрена возможность субъекта ПД отозвать свое согласие на их обработку. Там же оговаривается возможность такой обработки без согласия субъекта ПД в случаях, установленных законом.

Форма согласия на обработку ПД

Согласие на обработку ПД может быть дано субъектом ПД или его представителем в любой форме, позволяющей подтвердить факт его получения (если иное не установлено федеральным законодательством (п. 1 ст. 9 Закона о персональных данных).

Роскомнадзор в Разъяснениях рекомендует согласие работника либо оформлять в виде отдельного документа, либо закреплять в тексте трудового договора. Требования к содержанию такого документа указаны в ч. 4 ст. 9 Закона о персональных данных.

Согласие в письменной форме должно включать в себя, в частности:

  1. фамилию, имя, отчество, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;
  2. фамилию, имя, отчество, адрес представителя субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПД);
  3. наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПД;
  4. цель обработки персональных данных;
  5. перечень ПД, на обработку которых дается согласие субъекта ПД;
  6. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  7. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки;
  8. срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва, если иное не установлено федеральным законом;
  9. подпись субъекта персональных данных.

Некоторые вопросы получения согласия субъекта ПД на их обработку

Когда условие об обработке ПД является неотъемлемой частью подписываемого документа:

  1. Содержание согласия должно быть конкретным и информированным, то есть включать сведения, позволяющие субъекту ПД однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных. Законом о персональных данных установлены требования к форме такого согласия (которые разберем ниже).
  2. Документ должен предусматривать возможность отказа от данного условия, поскольку согласие добровольное.

Получатель жилищной субсидии не дает согласия на обработку персональных данных по религиозным соображениям. Имеет ли он право на получение госуслуги?

Когда обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Законом о госуслугах[4], для обеспечения предоставления такой услуги, для регистрации субъекта ПД на едином портале государственных и муниципальных услуг, согласие субъекта ПД на обработку указанной информации не требуется.

Статьей 6 Закона о персональных данных определены условия обработки персональных данных, в том числе указаны случаи, когда допускается обработка ПД без согласия на это субъекта ПД, среди которых и получение госуслуги. Из буквального толкования названной нормы следует, что каждый из таких случаев является самостоятельным основанием обработки персональных данных.

Обращаясь с заявлением о предоставлении жилищной субсидии и указывая в нем необходимые данные, а также прилагая к нему предусмотренные законодательством документы, получатель госуслуг фактически выражает согласие на передачу и обработку своих персональных данных, требуемых для предоставления услуги.

Ни Законом о персональных данных, ни Законом о госуслугах не установлено, что обработка персональных данных гражданина в целях предоставления ему государственных или муниципальных услуг должна осуществляться только с его письменного согласия. Гражданин имеет право получать госуслуги даже без предоставления письменного заявления на обработку своих персональных данных.

Рассмотрим Апелляционное определение Костромского областного суда от 16.05.2012 по делу № 33-703А. При подаче документов в МФЦ гражданка не стала подписывать заявление о согласии на сбор ее персональных данных, в связи с чем ей было отказано в выплате субсидии. Суд первой инстанции признал действия сотрудников МФЦ правильными, поскольку обработка персональных данных заявителя сотрудниками МФЦ может осуществляться только с письменного согласия. Нежелание дать такое согласие – основание для отказа в приеме заявления и комплекта документов на предоставление государственных и муниципальных услуг.

Вывод суда о том, что МФЦ как оператор персональных данных обязан обеспечить их защиту, соответствовал нормам Закона о персональных данных и Закона о госуслугах. Вместе с тем последующие выводы о невозможности обработки персональных данных без письменного согласия получателя госуслуг и обоснованности отклонения документов на предоставление субсидии апелляционный суд признал ошибочными, поскольку заявление о предоставлении госуслуги с приложенными к нему документами получатель не отзывал, от предоставления услуги не отказывался. А отзыв заявления о согласии на обработку персональных данных, получение которого в силу закона необязательно, не являлся основанием для невозможности предоставления госуслуги. Тем более что у оператора были основания продолжить обработку персональных данных без согласия субъекта ПД.

Субъект ПД уклоняется от исполнения договора (не платит по счетам) и не хочет, чтобы кредитор беспокоил его звонками. Может ли субъект отозвать согласие на обработку своих персональных данных?

Обработка персональных данных может быть продолжена даже после того, как субъект ПД направил требование о ее прекращении, если правоотношения, возникшие между сторонами, продолжаются.

Рассмотрим в качестве примера Апелляционное определение Пермского краевого суда от 14.10.2015 по делу № 33-11127/2015. При заключении кредитного договора гражданин дал согласие на обработку ПД, а впоследствии обратился с заявлением об отзыве этого согласия. Банк отказался исполнить требования клиента, поскольку у него имелась просроченная задолженность. Суд первой инстанции, а затем и апелляционный суд, куда обратился должник, указали, что согласие на обработку персональных данных действительно может быть отозвано субъектом персональных данных (п. 2 ст. 9 Закона о персональных данных). Однако в случае отзыва субъектом ПД согласия на обработку оператор все равно может ее продолжить при наличии на то законных оснований.

Одно из таких оснований установлено п. 5 ч. 1 ст. 6 Закона о персональных данных: обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет выгодоприобретателем или поручителем.

Как следует из содержания данной нормы закона, согласие субъекта ПД на обработку персональных данных не требуется, если она осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД. Поскольку субъект ПД задолженность перед банком не погасил – договор не расторгнут, для взыскания недостающих сумм кредитная организация вправе продолжать обработку ПД и после отзыва субъектом ПД своего согласия.

Случается и другое – оператор обрабатывает персональные данные лица, не участвующего в договоре, которые предоставлены другой стороной при заключении сделки. Например, получатель кредита указывает телефоны своих близких родственников, по которым можно с ним связаться. Оператор может получить такие данные иным путем, если другая сторона не выполняет обязательства по договору. Но следует помнить, что в рассматриваемом случае обработка полученных оператором персональных данных незаконна, несмотря на то, что это могло бы помочь исполнению договора.

Объект ПД, не давший своего согласия на обработку ПД и не являющийся стороной договора, имеет право потребовать прекратить незаконно использовать полученные сведения, а также компенсировать моральный и материальный вред, полученный в результате указанных действий. Рассмотрим Апелляционное определение Верховного Суда Республики Карелия от 14.09.2015 по делу № 33-3094/2015. При заключении договора по просьбе сотрудника банка клиент предоставил телефон своей супруги. После несвоевременного внесения очередной суммы обязательного платежа сотрудники банка стали звонить женщине с требованием посодействовать в возвращении долга. В первом же разговоре жена должника сообщила, что не согласна на использование ее персональных данных, и просила прекратить их обработку. Однако звонки с угрозами и требованиями продолжали поступать. Суд, куда обратилась истица, признал действия банка незаконными, потребовал прекратить обработку персональных данных и выплатить женщине компенсацию морального вреда, поскольку ст. 17, 24 Закона о персональных данных предусмотрено право субъекта ПД на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Вправе ли прокурор потребовать от медучреждения предоставить персональные данные пациентов, больных наркоманией, если согласия на такую обработку ПД эти пациенты не давали?

Прокурор или иное должностное лицо имеет право на получение персональных данных в том числе пациентов больницы, если обработка данных необходима для осуществления и выполнения возложенных на него законодательством РФ функций, полномочий и обязанностей.

В качестве примера рассмотрим Апелляционное определение Челябинского областного суда от 17.07.2014 по делу № 11-6845/2014. Районный прокурор в интересах неустановленного круга лиц через суд лишил водителя права на управление транспортным средством. Причиной послужило наличие у гражданина заболевания, запрещающего вождение автомобиля. Информация была получена прокурором посредством предоставления выписки из истории болезни.

В силу толкования ст. 1, 21, 22 Закона о прокуратуре [5] прокурор при осуществлении возложенных на него функций вправе в том числе требовать от руководителей организаций и других должностных лиц представления необходимых для выяснения возникших вопросов сведений.

В соответствии с п. 2 ч. 1 ст. 6 Закона о персональных данных обработка ПД допускается для достижения целей, указанных в законе, для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей. Таким образом, Закон о персональных данных, которым предусмотрена обработка персональных данных с согласия их носителя, не препятствует удовлетворению запроса прокурора на истребование сведений в отношении лиц, состоящих на учете в медучреждениях с диагнозами, не позволяющими иметь разрешение на управление транспортными средствами.

Имеет ли право медучреждение заключить договор с ритуальным агентством на предмет перевозки умерших? Не будет ли это расценено как нарушение врачебной тайны и незаконная передача персональных данных?

Если доказательств получения ритуальным агентством в качестве встречного обязательства информации о родственниках умершего суду не будет представлено, то есть если будет доказано, что договор с медучреждением заключен без обязательной передачи персональных данных, действия участников договора будут признаны правомерными.

Рассмотрим в качестве примера Постановление ФАС УО от 26.03.2013 № Ф09-1909/13. Между ритуальным агентством и муниципальной больницей был заключен договор на оказание безвозмездных услуг по обеспечению перевозок умерших в морг специализированным транспортом. ФАС посчитала, что данный договор противоречит п. 5 ч. 1 ст. 14 Закона о защите конкуренции [6] , что выражается в совершении действий, направленных на незаконное получение и использование информации (персональных данных), и вынесла постановление о прекращении нарушения. По мнению антимонопольного органа, ритуальное агентство оказывало услуги в обмен на контакты родственников умершего.

Кроме того, обработка персональных данных не допускается без согласия субъекта ПД, а в случае его смерти – без согласия его наследников (п. 1 ст. 6, п. 7 ст. 9 Закона о персональных данных). Также в силу ст. 7 Закона о персональных данных операторы и иные лица, получившие доступ к указанной информации, обязаны не раскрывать третьим лицам и не распространять персональные данные без соответствующего согласия.

Еще один запрет на передачу информации третьим лицам (в нашем случае – ритуальному агентству) содержат п. 1, 2 ст. 13 Закона о здоровье [7] , не допускающие разглашение врачебной тайны (сведений о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иных сведений, полученных при медицинском обследовании и лечении) в том числе после смерти человека. Таким образом, по мнению антимонопольного органа, передавать информацию об умерших ритуальному агентству больница не имела права.

Однако суды указали, что из текста заключенного договора не следует, что ритуальное агентство в качестве встречного предоставления получило от больницы информацию об умерших. В договоре также не указано, что перевозчик получает какие-либо документы, содержащие персональные данные умерших. При этом антимонопольный орган не установил, каким способом осуществляется документооборот в больнице. Соответственно, доказательств, подтверждающих передачу от больницы ритуальному агентству персональных данных в период исполнения договора, антимонопольный орган предоставить не смог – суд первой инстанции, а впоследствии и апелляционный суд посчитали действия ФАС незаконными.

Итак, обратите внимание, что именно оператор – то есть организация или лицо, обрабатывающие персональные данные (производящие с ними любые действия), – обязан доказать, что согласие субъекта ПД на их обработку получено или что обработка данных возможна на основаниях, установленных законом [8] .

В силу п. 2 ст. 24 Закона о персональных данных моральный вред, причиненный субъекту ПД вследствие нарушения его прав, правил обработки персональных данных подлежит возмещению в соответствии с законодательством РФ. Причем возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПД убытков.

[2] Пункты 6, 7 Закона о персональных данных.

[8] Пункт 3 ст. 9 Закона о персональных данных.

(ФСБУ 5/2019, ФСБУ 25/2018, ФСБУ 26/2020, ФСБУ 6/2020, ФСБУ 27/2021).

Успейте записаться, пока есть места! Обучение онлайн 1 месяц. Старт курса уже 15 февраля, программа здесь.

Отвечаем просто:
Закон №152-ФЗ распространяется на всех, кто собирает и обрабатывает персональные данные.

Окей, для начала ответим на вопрос, который у вас мог возникнуть:

"Если я не имею дел с персональными данными, требования закона можно не выполнять?"

Однако на сегодняшний день трудно представить себе, что ни один процесс в компании не задействует информацию о гражданах. Договоры с клиентами, наличие работников в компании, поиск кандидатов на вакантные места, информация о пользователях сайта — все это предполагает обработку персональных данных.

Теперь расшифруем термин того, что мы собрались обрабатывать или обрабатываем прямо сейчас:

1) персональные данные могут быть только у граждан (физических лиц). Реквизиты и иная информация об организации персональными данными
не является;

2) отсутствует перечень в законе, исчерпывающе перечисляющий все персональные данные;

3) персональные данные — это информация любого характера (в текстовой
или в устной форме, правдивая или ложная, характеризирующая гражданина или имеющая технический характер (например, геолокационные данные).

Важно лишь, чтобы такая информация имела отношение к гражданину.

Примеры персональных данных:

ФИО, дата рождения, контактный телефон, е-mail, адрес места жительства, место рождения, паспортные данные, образование, профессия, должность, доходы…

И много всего остального, так как формулировка не предполагает окончания перечня информации, которая попадает под действие этого закона.

Распространите на всю используемую компанией информацию
о гражданах режим персональных данных.

Выполнить требования закона № 152-ФЗ в таком случае будет меньшим злом по сравнению с оспариванием штрафов за неправильную обработку персональных данных.

К таким действиям относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение и т.д.

Оператором признается любое лицо, осуществляющее обработку персональных данных. Причем таким лицом могут выступать не только организации, но и государственные органы и физические лица.

Операторы самостоятельно определяют, как будет происходить обработка персональных данных:

  • с какой целью (самое важное);
  • какие данные обрабатывать;
  • каким способом (передавать третьим лицам, за рубеж, обезличивать и т.п.).

Примеры оператора персональных данных:

владелец сайта, осуществляющий сбор данных через форму обратной связи, личный кабинет;

компания, в которой оформлены работники по трудовому договору или по ГПХ.

Итак, если информация из предыдущих разделов имеет к Вам отношение, то, скорее всего, Вы являетесь оператором персональных данных и, соответственно, обязаны выполнять требования закона № 152-ФЗ.

Исключение:

Из-под действия закона выпадают случаи обработки персональных данных для личных и семейных нужд (не связано с предпринимательством) и некоторые другие.

Далее речь пойдет именно о том, на что оператору следует обратить внимание, если он все-таки решил привести обработку персональных данных в компании в соответствие с законодательством. (Да-да, чек-лист!)

Закон № 152-ФЗ почти полностью состоит из обязанностей оператора.

Помимо данного закона требования к обработке персональных данных содержатся и в иных актах. Например, обработку персональных данных работников также регламентирует Трудовой кодекс РФ. Или если персональные данные обрабатываются без использования технических средств, то дополнительно применяется уже соответствующее Постановление Правительства.

Законов множество, но в действительности Вам поможет список документов в Приказе Роскомнадзора от 13.12.2017 г. № 247, который содержит перечень того, что должен сделать оператор. При проверке компании Роскомнадзор смотрит, соблюдаются ли правила, установленные документами из этого списка.

Далее остановимся на конкретных шагах, которые обязан выполнить каждый оператор в своей компании.

Читайте также: