1. Требования к обработке персональных данных
В соответствии со ст. 3 Закона о персональных данных обработка персональных данных - это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Согласно ст. 5 Закона о персональных данных при обработке персональных данных должны соблюдаться следующие принципы:
1) обработка должна осуществляться на законной и справедливой основе;
2) обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных;
3) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
4) обработке подлежат только те персональные данные, которые отвечают целям обработки;
5) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не допускается обработка избыточных данных по отношению к заявленным целям обработки;
6) при обработке должны быть обеспечены точность и достаточность персональных данных, а в необходимых случаях - актуальность по отношению к целям обработки. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
7) форма хранения персональных данных должна позволять определять субъекта этих данных. Хранение не должно длиться дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2. Условия обработки персональных данных. Согласие работника на обработку его персональных данных
При обработке персональных данных работника работодатель обязан следовать требованиям, установленным ст. 86 ТК РФ, в частности:
- действовать в целях соблюдения законов и других нормативных правовых актов, содействия работникам в трудоустройстве, получении образования, продвижении по службе, обеспечения их личной безопасности, контроля качества и количества работы, сохранности имущества организации (п. 1);
- получать персональные данные исключительно у работника. Если же они могут быть получены только у третьих лиц, то необходимо уведомить об этом работника и заручиться его письменным согласием (п. 3);
- обеспечить за счет собственных средств защиту персональных данных от неправомерного использования и утраты (п. 7);
- знакомить работников под подпись с локальными нормативными актами, устанавливающими порядок обработки персональных данных (п. 8).
Когда и как нужно получать согласие работника на обработку персональных данных
В силу п. 1 ст. 6, ст. 9 Закона о персональных данных обработка персональных данных осуществляется с согласия работника.
Поскольку в случае возникновения спора доказать получение согласия работника на обработку его персональных данных должен работодатель (ч. 3 ст. 9 Закона о персональных данных), целесообразно оформить такое согласие письменно. В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:
- при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Подробнее об этом см. п. 2 настоящего материала;
- при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в иных предусмотренных федеральными законами случаях (абз. 2 ст. 88 ТК РФ);
- для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни).
При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).
Работодатель с согласия работника вправе поручить обработку его персональных данных (ведение кадрового, бухгалтерского учета и пр.) другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора). Отметим, что ответственность перед работником за действия указанного лица несет работодатель (ч. 5 ст. 6 Закона о персональных данных).
Согласие работника на обработку персональных данных должно включать (ч. 4 ст. 9 Закона о персональных данных):
1) фамилию, имя, отчество, адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе;
2) при получении согласия от представителя работника - его фамилию, имя, отчество, адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя;
3) наименование или фамилию, имя, отчество и адрес работодателя;
4) цель обработки персональных данных;
5) перечень персональных данных, которые подлежат обработке;
6) фамилию, имя, отчество и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации;
7) перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки;
8) срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия;
9) подпись работника.
Важно! Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в п. п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных. Это следует из ч. 2 ст. 9 указанного Закона.
Настоящим я, действуя свободно, по своей воле и в своих интересах, выражаю согласие на обработку Обществом с ограниченной ответственностью «Профессиональная Бухгалтерская Компания «Главный бухгалтер» (сайт https://www.profbuh.ru/, ИНН 7705340506, ОГРН 1027700521705, местонахождение: 127055, г . Москва, 1-й Тихвинский тупик, д. 5-7, пом. I /ком 1 /оф 86) моих персональных данных: фамилия, имя, отчество, место пребывания (город, область), номера телефонов, адреса электронной почты (e-mail), иные полученные от меня данные, в том числе электронные копии документов.
ООО «ПБК «Главный бухгалтер» соблюдает надлежащие меры защиты конфиденциальной информации, полученной от лиц, направивших персональные данные на сайте https://www.profbuh.ru/ вне зависимости от наличия договорных отношений, не направляет и не намерено направлять таким лицам материалы рекламного характера.
Я также проинформирован, что в дополнение к обычно принимаемым мерам осмотрительности по защите конфиденциальной информации, ООО «ПБК «Главный бухгалтер» по требованию обратившегося лица готово принять повышенные меры защиты конфиденциальной информации.
Я осознаю, что проставление отметки «V» в поле слева от фразы «Принимаю условия «Соглашения на обработку персональных данных» на сайте https://www.profbuh.ru/, ниже текста настоящего Соглашения, означает мое письменное согласие с условиями, описанными в нём.