Согласие на передачу персональных данных третьим лицам

21.04.2024
0
Команда СП
Cогласие на передачу персональных данных третьим лицам получать обязательно. Все случаи передачи третьим лицам личной информации без согласия субъекта персональных данных оговорены в законе (это в основном случаи передачи данных работодателем в социальный фонд, либо передачи информации следственным и судебным органам).Во всех прочих случаях понадобится согласие от владельца персональных данных.
Согласие на передачу персональных данных третьим лицам
Проверено экспертом

Когда нужно получать согласие на обработку персональных данных

К персональным данным относится информация личного характера об определенном человеке. Такие сведения дают возможность идентифицировать гражданина, а потому они относятся к охраняемой тайне.

Защита прав граждан на частную и личную жизнь при работе с персданными обеспечивается Федеральным законом № 152 от 27 июля 2006 г «О персональных данных», который регулирует порядок действий с персональными данными: сбор, хранение, передача и распространение. Чтобы избежать наказания, стоит соблюдать законодательные требования и в ряде случаев работать с личной информацией только с согласия их владельца.

Использовать персональные данные можно при соблюдении двух правил:

  • работать с личной информацией гражданина можно только с получения согласия последнего либо на законных основаниях (ст.6,9);
  • при наличии сомнения в необходимости получения согласия – лучше получить его, излишняя предосторожность не помешает и не грозит наказанием.

Собирать персональные данные нужно исходя из целей обработки (часть 2 ст.5). Не стоит требовать от гражданина излишнюю информацию. Так, к примеру, для перечисления заработной платы работодателю понадобятся данные одного счета сотрудника, а не всех его банковских карт. При этом, каждая цель обработки предполагает получение нового согласия, если это предусмотрено законом.

Кроме того, часть 3 ст.5 ФЗ обязывает операторов персональных данных не хранить в единой базе персданные, если цели их несовместимы. А использовать персональные данные только в соответствии с указанными в согласии целями. Таким образом, от одного гражданина может быть получено несколько согласий и даже несколькими датами.

Отозвать свое согласие на обработку персональных данных гражданин может в любой момент. После отзыва все дальнейшие действия с его личными данными могут быть продолжены лишь при наличии правовых оснований. При этом, обязанность о законности обработки лежит на операторе (часть 2 ст.9).

Случаи получения согласия в письменной форме

Согласие от гражданина может быть дано в любой форме.

Очень важно, чтобы текст согласия содержал подтверждение факта: согласие дал конкретный гражданин или его представитель (часть 1 ст.9).

Представитель необходим, если субъект персональных данных является недееспособным. То есть, по смыслу статьи, согласие возможно даже посредством направления его, к примеру, в кадровый отдел по электронной почте. В случае смерти владельца персональных данных, согласие необходимо взять с его наследников.

Законом установлены случаи, когда оператору необходимо получить письменное согласие на обработку персональных данных:

  1. При включении персональных данных (Ф.И.О., дата рождения, место рождения, адрес проживания, контактный телефон и т.д.) в общедоступные источники. К примеру, в справочник организации или в адресную книгу.
  2. При получении специальной категории персданных: медосмотр, расовая/национальная принадлежность, относимость к политической партии и др. (пункт 1 части 2 ст.10).
  3. При обработке биометрических персональных данных (часть 1 ст.11).

Кроме того, рекомендуется взять письменное согласие в случаях, когда закон указывает на совершение действий с персданными только с согласия владельца. К примеру, при передаче данных третьему лицу: передача сведений о работнике в Профсоюз и т.д. (часть 3 ст.6).

Видеосъемка за работником также может осуществляться лишь с его письменного разрешения.

Еще один случай письменного оформления, когда персональные данные раскрываются неопределенному кругу лиц. Такое согласие оформляется отдельно (часть 10 ст.10.1).

Письменная форма предполагает получение документа о согласии в бумажном или цифровом виде (часть 4 ст.9). В первом случае гражданин подтверждает свое согласие личной подписью. Во втором случае гражданин использует свою электронную подпись в соответствии с Приказом ФСБ № 796 от 27 декабря 2011 года.

Когда не нужно получать согласие на обработку персданных

Работать с персональными данными можно и без получения разрешения от их владельца. Такие случаи оговорены международными договорами или нормативными правовыми актами (часть 1 ст.6, часть 2 ст.10, часть 2 ст. 11 ФЗ № 152). К примеру:

  • при обработке личной информации, если гражданин участвует в судебном процессе;
  • при регистрации на портале «Госуслуги»;
  • при исполнении условий договора с владельцем персональных данных;
  • при обработке специальных персданных в соответствии с социальным, пенсионным или трудовым законодательством.

Еще один случай – угроза жизни и здоровью субъекта персданных, когда нет возможности получить согласие (ст. 88 ТК РФ).

Кроме того, работодатель также вправе передавать сведения конфиденциального характера о гражданах в соответствии с возложенной на него законами обязанностью:

  • в налоговый орган (статья 24 НК РФ);
  • в Военкомат (статья 4 ФЗ № 53 от 28.03.1998);
  • в социальный фонд (статья 9 ФЗ № 27 от 01.04.1996);
  • иные органы – прокуратура, МВД, суд, инспекция труда и др.

О вышеуказанных случаях сказано в ст.6 и 10.1 ФЗ № 152 и частях 7-9 п.4 Разъяснений Роскомнадзора от 14 декабря 2012 г. При этом, направляя запрос, представитель госоргана обязан указать причину получения персональных данных. К примеру, при возбуждении уголовного дела в отношении сотрудника. Бывает, что запрос поступил от организации или госоргана, не имеющего права получения сведений о персональных данных. В такой ситуации следует взять согласие на передачу персданных от самого сотрудника. При отказе сотрудника, передавать персональные данные нельзя.

Нет необходимости в получении согласия от сотрудника при увольнении для бухгалтерского и налогового учета, а также, при направлении документации в архив.

Что должно содержать письменное согласие на обработку персданных

Унифицированная форма бланка согласия не определена. Каждому оператору разрешено использовать свой вариант. Статьей 9 ФЗ № 152 определены требования, согласно которым согласие на обработку должно быть информированным, предметным, сознательным, конкретным и однозначным. То есть, согласие должно содержать:

  • Ф.И.О и данные паспорта владельца персональных данных;
  • Ф.И.О. и данные паспорта представителя субъекта персданных (при его наличии);
  • цель обработки, которая должна быть конкретной (к примеру, на оформление трудовых отношений);
  • перечень необходимых персданных (например, Ф.И.О, дату рождения, образование, адрес регистрации и проживания);
  • действия, проводимые с персональными данными (к примеру, сбор, хранение);
  • способ и место обработки – адрес оператора обработки персданных, автоматизированная/неавтоматизированная обработка;
  • срок действия согласия на обработку, способы отзыва;
  • наименование и адрес лица, обрабатывающего персональные данные (при передаче оператором данных иному лицу);
  • понятная выраженность согласия гражданина (к примеру, подпись или иная отметка).

Чем от согласия на обработку отличается разрешение на распространение персданных

В ряде случаев персональные данные гражданина раскрываются оператором неопределенному кругу лиц. К примеру, при публикации отзыва клиента на сайте раскрываются Ф.И.О. и адрес электронной почты. Или другой пример, когда оператор для одобрения заявки на кредит направляет данные заказчика в разные банки. Это распространение персональных данных, для которого требуется отдельное согласие владельца субъекта персональных данных (часть 1 ст.10.1 ФЗ № 152). Роскомнадзор в своем Приказе № 18 от 24.02.2021г определил требования к такому разрешению.

Есть два способа оформления разрешения (часть 6 ст.10.1 ФЗ № 152):

  • при непосредственной передаче оператору, шаблон можно взять с сайта Роскомнадзора;
  • формируя запрос с использованием информационной системы Роскомнадзора.

Используя свою форму, оператору стоит учесть обязательные положения Приказа № 18 от 24.02.2021 года.

По каждой категории или перечню персональных данных субъект может выбрать одно из решений:

  • разрешено;
  • запрещено;
  • разрешено при условиях (указать при каких).

Оператор не может отказать субъекту, если последний желает установить какие-либо запреты на передачу, обработку и условия обработки.

Бездействие гражданина или молчание не признаются согласием на распространение персданных (часть 8 ст.10.1).

Получив разрешение на распространение персданных, оператор в трехдневный срок обязан опубликовать информацию об условиях обработки, наличии запретов (часть 10 ст.10.1). Разместить информацию можно, в частности, на своем сайте. Такая мера защищает конфиденциальные права владельца персональных данных. А лица, получившие доступ к его личной информации, обязаны соблюдать условия и запреты, оговоренные в согласии.

Передача разрешенных данных прекращается в любой момент по требованию их владельца. Если оператор не соблюдает правила работы с персональными данными, то владелец персданных вправе подать обращение в суд.

Прекратить передачу данных оператор обязан в трехдневный срок с момента предъявления требования субъекта или с момента вступления в силу судебного решения.

В какой момент нужно получить согласие

При отсутствии законных оснований оператор не может совершать никаких действий с персональными данными. Следовательно, согласие от владельца необходимо получить до обработки данных, а именно – в момент сбора личной информации или совершения иных действий (хранение, передача третьему лицу). К примеру, работодатель на своем сайте выставил вакансию. В объявлении должна быть ссылка на форму согласия при направлении соискателями резюме.

Срок действия согласия на обработку персональных данных

Закон не устанавливает срок действия согласия на обработку персданных. Оператор вправе определить его самостоятельно, прописав в тексте согласия. Как правило, указывается, что согласие действует бессрочно с момента его предоставления и может быть отозвано в любой момент.

Если цель обработки персональных данных достигнута, то и согласие прекращает свое действие (часть 4 ст.21 ФЗ № 152). Не стоит хранить лишние персональные данные бывших работников и контрагентов. Ненужные документы с персональными данными уничтожаются или передаются в архив.

Срок хранения согласия на обработку персональных данных

Срок хранения персональных данных зависит от целей обработки. Если цель обработки достигнута либо отпала необходимость в достижении данной цель, вся личная информация о субъекте должна быть уничтожена или обезличена.

Срок хранения согласий на обработку персональных данных определяется номенклатурой дел. Так, к примеру, в личных делах работников согласия хранятся 50 лет. Если же определено их хранение в отдельном деле, то срок составит 3 года (ст. 441, 445 Перечня, утв. Приказом Росархива № 236 от 20.12.2019г).

Ответственность за передачу персональных данных без согласия

Закон запрещает в определенных случаях работать с персональными данными без согласия его владельца. Ответственность за обработку персданных несет оператор. При передаче прав обработки иному лицу ответственным перед субъектом персональных данных также будет оператор. Иное лицо будет нести ответственность перед оператором. Если оператор поручил обработку данных иностранному лицу, то ответственность перед субъектом будут нести оба: оператор и иностранное лицо (орган).

С 23 декабря 2023 года ужесточилась ответственность за нарушение правил обработки персональных данных, значительно увеличился размер штрафа.

Административные штрафы составляют(часть 2, 2.1 ст. 13.11 КоАП, п. 2 ФЗ № 589 от 12.12.2023г):

  • для граждан – от 10 до 15 тыс. рублей;
  • для должностных лиц – от 100 до 300 тыс. рублей;
  • для компаний – от 300 до 700 тыс. рублей.

За повторные нарушения:

  • гражданин может получить штраф от 15 до 30 тыс. рублей;
  • должностное лицо – от 300 до 500 тыс. рублей;
  • индивидуальный предприниматель – от 500 тысяч до 1 млн рублей;
  • компания – от 1 млн до 1,5 млн рублей.

Введена новая статья 13.11.3, предусматривающая ответственность за нарушения при размещении биометрических персональных данных в ГИС «Единая система идентификации и аутентификации физических лиц» (ст. 13.11.3 КоАП). Штраф для такой статьи определен следующий:

  • 100 тыс.- 300 тыс. рублей – для должностного лица;
  • 500 тыс. – 1 млн. рублей – для организации.

Сотрудник, имеющий доступ к персональным данным и незаконно разгласивший их третьему лицу, может быть привлечен к дисциплинарной ответственности и уволен (подп. «в» п. 6 ч. 1 ст. 81, ст. 192 ТК).

Сотрудник, нарушивший правила работы с персональными данными и причинивший компании ущерб может понести материальную ответственность. Работодатель вправе взыскать с него ущерб в размере средней заработной платы. При умышленном причинении ущерба, последний может быть взыскан с работника в полном размере (ст.238 и 243 ТК РФ).

За незаконный сбор и распространение сведений о частной жизни без согласия владельца наступит уже уголовная ответственность (ст.137 УК РФ), санкция статьи которой предусматривает более высокие виды наказаний.

Согласие на передачу персональных данных третьим лицам
Проверено экспертом
Посмотрите другие статьи и образцы документов раздела: Персональные данные
Оставить комментарий