Перейти к содержимому
Главная страница » Новости. Проверка контрагента » Что важно знать о требованиях к работе с персональными данными

Что важно знать о требованиях к работе с персональными данными


В открытых источниках информации о физических лицах в разы меньше, чем о юридических. К тому же проверку осложняет необходимость получения согласия на обработку персональных данных. Всегда ли нужно его запрашивать? Разбираемся.

Что такое обработка персональных данных

Порядок обработки личных данных регулируется Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Персональными данными считается любая информация, которая относится прямо или косвенно к определенному или определяемому человеку (п. 1. ст. 3 152-ФЗ).

По закону любое действие с персональными данными считается их обработкой. Так, в резюме на сайте вакансий есть персональные данные соискателя. Когда эйчар изучает и скачивает резюме, он обрабатывает персональные данные этого кандидата для целей работодателя.

Субъект персональных данных — любое физическое лицо, чьи персональные данные обрабатываются. Таким субъектом может быть соискатель, сотрудник, подрядчик, с которыми вы заключаете гражданско-правовой договор.

Соответственно, оператор персональных данных — это организация, надзорный контрольный орган, физическое лицо, которое обрабатывает данные в определенных целях (п. 2. ст. 3 152-ФЗ). Например, оператор персональных данных — работодатель ООО «Ромашка», на вакансию в этой компании откликнулся соискатель.

В каких случаях нужно согласие на обработку персональных данных кандидата на работу

Обрабатывать персональные данные без согласия человека можно только тогда, когда это необходимо по закону. Самый частый случай — заключение трудового договора. Чтобы его оформить, работодателю нужны документы кандидата. Их перечень закреплен в ТК РФ. При заключении трудового договора получать согласие на обработку персональных данных не нужно. Однако на практике работодатели все равно запрашивают согласия, так как в процессе работы сотрудника обрабатывают гораздо больше сведений, чем этого требует закон для заключения трудового договора.

Другая ситуация — проверка этого соискателя для оценки рисков приема на работу конкретного человека. Такой обязанности в законе нет, поэтому и согласие на обработку персональных данных потребуется.

В каких случаях нужно согласие на обработку персональных данных контрагента-физлица

Ситуация с проверкой контрагентов-физлиц несколько сложнее. Несмотря на то, что сведения официальных источников есть в открытом доступе, все равно необходимо запрашивать согласие на проверку. Разберем подробно.

В-первых, чтобы обратиться ко многим реестрам, необходимы персональные данные человека. Например, ФИО и дата рождения. Чтобы получить эти данные, нужно согласие человека на их обработку.

Во-вторых, отдельные базы данных госорганов оперируют теми персональными данными человека, которые позволяют его идентифицировать. То есть в результатах проверки вы получаете большой набор сведений, которые можно обрабатывать только с согласия. Это еще один аргумент в пользу того, что согласие необходимо.

В-третьих, хранение полученных данных (собранных самостоятельно или в специальных сервисах) также требует согласия на обработку.

Согласие нужно получить до начала обработки персональных данных.

Есть ли типовая форма согласия

Нет, единая форма согласия не утверждена. Каждый оператор составляет ее в зависимости от целей обработки персональных данных, будь то проверка перед приемом на работу или подписанием договора аренды. Чаще всего таких форм несколько даже в одной компании, ведь цели обработки данных соискателя и контрагента отличаются.

Федеральными законами установлен конкретный перечень случаев, для которых обязательна письменная форма согласия. Проверка контрагентов в этот список не входит. Поэтому вы можете получить согласие на обработку персональных данных в любой форме. Например, уточнить этот вопрос по телефону, а разговор записать на диктофон.

И все-таки мы рекомендуем получить согласие в письменном виде. Такой документ вы можете использовать в спорных ситуациях, в том числе при обращении в суд. Приводим список сведений, которые необходимо зафиксировать в письменной форме (п. 4 ст. 9 152-ФЗ):

  1. ФИО, адрес субъекта персональных данных, номер и дата выдачи паспорта.
  2. Наименование или ФИО и адрес оператора, который получает согласие. Если согласие получает юрлицо, укажите только название и адрес компании.
  3. Цель обработки персональных данных.
  4. Перечень персональных данных, на обработку которых дается согласие.
  5. Наименование юридического лица или ФИО и адрес лица, которое обрабатывает персональные данные, если обработка будет поручена такому лицу. Это может быть страховая компания в рамках ДМС или бухгалтерия на аутсорсинге.
  6. Перечень действий с персональными данными, на совершение которых дается согласие.
  7. Срок действия согласия и способ его отзыва.
  8. Подпись: собственноручная или электронная.

Отметим, что расписаться в форме согласия может и официальный представитель человека, чьи данные вы обрабатываете. Для этого ему понадобится доверенность.

Как указать сроки обработки персональных данных

В форме согласия нужно указать срок, в течение которого оно действует, а также способ отзыва согласия. Использовать формулировку «бессрочно» нельзя, потому что это нарушает порядок работы с персональными данными.

Вот несколько вариантов:

Для работника: в течение срока архивного хранения документов, в которых содержатся мои персональные данные, ______ лет.

Для соискателя: в течение периода рассмотрения моей кандидатуры, а также в случае отказа в приеме на работу после этого — (______) на бумажных носителях и (______) в информационных системах (указать каких).

При проверке контрагента укажите в согласии, сколько реально займет процесс проверки. Например: «срок обработки персональный данных составляет ____ дней/месяцев/лет».

В способе отзыва надо прописать, например, «отзыв осуществляется в письменной форме, форме электронного документа, с направлением его на адрес _____».

Сколько хранится согласие на обработку персональных данных

По общему правилу согласие на обработку персональных данных должно храниться три года после того, как истек срок действия согласия или его отзыва. Это определяется Перечнем к Приказу Росархива от 20.12.2019 № 236. То есть данные уже уничтожены, а согласия хранятся еще три года. 

Как передавать персональные данные внутри организации и за ее пределами

Внутри одной организации доступ к персональным данным работников ограничивается в зависимости от целей обработки. Так, доступ к корпоративному справочнику будет у всех сотрудников, а к бухгалтерским данным — у специалистов финансово-экономического управления.

При запросе данных от госорганов нужно посмотреть, откуда пришел запрос и законно ли это требование. Если вы имеете право передавать данные по закону, то передавайте. Если нет — придется обращаться к человеку, по которому запрашивается информация, и получать согласие. Только после этого можно передать данные.

Оператор персональных данных может поручить обработку данных третьим лицам. Чтобы сделать все по закону, в согласии нужно прямо указывать, что обработка будет осуществляться с привлечением третьих лиц.

Если проверяете физлиц в Фокусе, рекомендуем указать СКБ Контур в качестве третьего лица, которому вы поручаете обработку персональных данных.

Как работать с информацией из социальных сетей

Со сбором информации из социальных сетей есть свои сложности. В июле 2021 года вступила в силу ст. 10.1 152-ФЗ. Теперь каждый оператор должен получить согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, если планирует разместить какую-то информацию в публичном доступе. Это может быть список сотрудников с фотографиями на сайте или в официальном аккаунте компании в соцсетях.

Если вы хотите использовать информацию из социальных сетей, остается проблема: вы не знаете, подписал ли человек согласие на распространение персональных данных. Если в работе вы используете данные из соцсетей, например, при изучении профиля кандидата перед трудоустройством, возникает риск привлечения к административной ответственности за незаконный сбор персональных данных.

Ответственность за обработку персональных данных без согласия

За нарушения при работе с персональными данными предусмотрена ответственность, в том числе за сбор и обработку данных без согласия, а также за неверно составленные формы согласий (ч. 2 ст. 13.11 КоАП РФ).

Жалобы на обработку данных без согласия человека встречаются довольно часто. Ведь если сотрудничество сорвалось или кандидату отказали без объяснения причин, это может вызвать недовольство. Жалобу можно подать через официальный сайт Роскомнадзора. Регулятор должен отреагировать в течение 30 дней. Срок проведения проверки может продлеваться еще на 30 дней. За это время сотрудники ведомства отправляют официальный запрос в компанию, на которую подана жалоба. Цель — выяснить, что произошло. Если компания проигнорирует запрос, регулятор может прийти с внеплановой проверкой.

Также Роскомнадзор проводит плановые проверки организаций. Во время них представители ведомства могут проверить, хранятся ли в компании согласия на обработку персональных данных и корректно ли они заполнены. Отмечаем, что до конца 2022 года действует мораторий на проведение плановых проверок (Постановление Правительства РФ от 10.03.2022 № 336).

Собрали в таблицу информацию об ответственности за нарушения 152-ФЗ для должностных и юридических лиц.

НарушениеОтветственность
Обработка персональных данных без согласия либо согласие оформлено некорректноШтраф по ч. 2 ст. 13.11 КоАП:для должностных лиц: 20 000–40 000 ₽;для юридических лиц: 30 000–150000 ₽.Штрафы за повторное нарушение в два раза больше.
Нарушение порядка передачи персональных данных как внутри организации, так и за ее пределамиШтраф по ч. 1 ст. 13.11 КоАП:для должностных лиц: 10 000–20 000 ₽;для юридических лиц: 60 000–100 000 ₽.
Несоблюдение порядка хранения и уничтожения персональных данныхШтраф по ч. 6 ст. 13.11 КоАП:для должностных лиц: 8 000–20 000 ₽;для юридических лиц: 50 000–100 000 ₽.
Организация не уведомляет Роскомнадзор о начале обработки персональных данных при постановке на учетПредупреждение или штраф по ст. 19.7 КоАП:на должностных лиц: 300–500 ₽;на юридических лиц: 3 000–5 000 ₽.
Нет локальных нормативных актов, которые регулируют обработку персональных данных в организацииШтраф по ч. 1 ст. 13.11 КоАП:на должностных лиц: 10 000–20 000 ₽;на юридических лиц: 60 000–100 000 ₽.
В организации не назначили лицо, которое несет ответственность за обработку персональных данных в компанииШтраф по ч. 1 ст. 13.11 КоАП:на должностных лиц: 10 000–20 000 ₽;на юридических лиц: 60 000–100 000 ₽.
Не определен порядок доступа для лиц, которые обрабатывают персональные данныеШтраф по ч. 1 ст. 13.11 КоАП:на должностных лиц: 10 000–20 000 ₽;на юридических лиц: 60 000–100 000 ₽.
Не разработана политика оператора в отношении обработки персональных данных, она не размещена в открытом доступеШтраф по ч. 3 ст. 13.11 КоАП:на должностных лиц: 6 000–12 000 ₽;на юридических лиц: 30 000–60 000 ₽.