Зачем компании-работодателю получать у сотрудников согласие на обработку персданных

Какие требования предъявляются к работодателям как к операторам

Начнем с того, что к персональным данным (далее — персданным, ПДн) можно отнести любую информацию, если она позволяет идентифицировать конкретное лицо (ст. 3 152-ФЗ). Это ФИО, контакты (телефон, мейл, ники в соцсетях), ИНН/СНИЛС, информация о прописке, профессии прочее. При этом отпечатки пальцев, фото, видео и аудио относятся к биометрии (см. письмо РКН №08АП-6782 от 10.02.20).

Операторами ПДн, по умолчанию, являются все работодатели, так как они получают у своих сотрудников и обрабатывают их личные данные. То есть к операторам персданных относятся некоммерческие и коммерческие организации, а также индивидуальные предприниматели, если у них есть хотя бы один сотрудник.

Если у ИП нет сотрудников, но он использует пропускной режим, у него есть сайт, служба доставки либо он заключает договоры с физлицами — он также будет признаваться оператором персданных.

К операторам ПДн предъявляется ряд обязательных требований. Во-первых, они должны проинформировать Роскомнадзор о своей работе с персданными. Во-вторых, им следует утвердить комплект документации, на основании которой они обеспечат сбор, хранение и защиту полученных у граждан личных сведений. И самое главное — нужно заручиться согласием каждого субъекта, чьи личные данные оператор планирует использовать.

Обработка/распространение персданных сотрудников без оформленного согласия влечет применение штрафных санкций (13.11 КоАП) до 700 000 рублей, а при повторных нарушениях — до 1 500 000 рублей. При этом штрафы назначаются не только за отсутствие согласия, но также при несоблюдении требований к содержанию документа.

Какие согласия работников необходимы работодателю

Личная информация граждан может использоваться операторами данных только в законных целях при соблюдении прав субъектов. Когда работодатель запрашивает у сотрудника (или кандидата на вакансию) документы и личные сведения, он должен получить соответствующее согласие:

1. на обработку персданных;
2. на распространение ПДн.

По сути, это два разных согласия. В одном — гражданин соглашается с тем, что работодатель получит его личные сведения и будет их использовать в определенных целях (для идентификации, для заполнения документации и пр.). В другом — он разрешает использовать эти данные в открытых источниках.

То есть работодатель не имеет права публиковать на веб-ресурсе персданные сотрудника, если он получил от него только одно согласие на обработку его личной информации. Этого недостаточно. Для распространения персданных, в том числе путем публикации в сети интернет, необходимо получить у субъекта отдельное согласие. Без такого согласия работодатель может хранить и обрабатывать полученные персданные сотрудника, но не может передавать их иным лицам. За исключением случаев, перечисленных в законе.

Использование и передача ПДн без согласия

При выполнении функций, возложенных на работодателя законом, он вправе использовать персданные без оформления согласия субъекта (см. ст. 6 Закона №152-ФЗ). Например, при передаче информации в военкомат, Соцфонд, Налоговую службу, в МВД и другие госструктуры. Также разрешения субъекта персданных не требуется для защиты жизни/здоровья сотрудников, для исполнения судебных решений и международных договоров, при использовании персданных в статистических целях.

Для подписания трудового соглашения с кандидатом на вакансию согласие на обработку ПДн не требуется, так как без этих данных нельзя оформить человека. Если планируется публиковать полученные сведения или передавать иным лицам (не поименованным в законе), то нужно получить отдельное согласие.

Как оформить согласие сотрудника

Работник может выразить свое согласие на использование и передачу персданных любым доступным способом, главное, чтобы это волеизъявление было однозначным, конкретным и информированным (предметным).

Только письменно оформляется согласие сотрудника на обработку его биометрии (ст. 11 152-ФЗ), на трансграничную передачу ПДн (ст. 12 152-ФЗ), а также в случаях, когда последствия принятого решения затрагивают его права (ст. 16 152-ФЗ). Молчание сотрудника согласием не считается, равно как и его бездействие.

Что касается согласия работника на обработку и распространение ПДн, то можно оформить сразу два эти согласия или каждое по отдельности (они действуют независимо друг от друга). Важно только для каждой цели прописать в документе конкретный перечень персданных и действий с ними (например, под каждой обозначенной целью сотрудник ставит подпись или любое иное выражение согласия).

Даже если закон не требует письменного согласия, рекомендуем его составить именно в письменной форме (в цифровом или бумажном виде). Только так можно будет подтвердить Роскомнадзору законность и обоснованность сбора данных.

Бланк согласия утвержден только для банков и компаний, которые направляют персданные в ЕСИА и ЕБС (см. Распоряжение Правительства №856-р от 09.04.24). Работодатели должны сами разработать шаблон согласия для работников с учетом требований 152-ФЗ (см. ст. 9).

Что обязательно следует включить в форму согласия на обработку ПДн:

• данные работодателя и сотрудника (ФИО/наименование, адрес, реквизиты документов);
• сведения о представителях оператора/работника;
• перечень сведений и цель их получения;
• методы и способы обработки информации;
• период действия данного документа;
• подпись субъекта ПДн.

То есть работник должен быть проинформирован, какие сведения и для чего запрашивает работодатель, и что он с ними будет делать.

Причем работник вправе прописать запреты и ограничения для передачи его персданных. То есть у него есть право выбирать, какие его личные сведения и на каких условиях работодатель может публиковать (например, размещать на сайте только ФИО или фото). Правда, запреты не будут действовать, если передача информации осуществляется в государственных или общественных целях.