Вопрос
Вопрос по поводу оформления согласия на обработку персональных данных.
Подскажите пожалуйста, как часто нужно оформлять согласие на обработку персональных данных в случае оформления доверенности на сотрудника организации или иное физическое лицо? Каждый раз, когда выдаем доверенность, или согласие оформляется на определенный срок?
Правильно ли мы понимаем, что, согласно последней информации, кроме согласия на обработку также нужно оформлять согласие на распространение?
Ответ
Законом не установлено однозначных требований к получению согласий от сотрудника организации или третьего лица для оформления доверенности. Полагаем: если в служебные обязанности работника (договорные обязанности третьего лица) входит регулярное представление интересов организации, то согласие может быть получено один раз, но в нем должны быть перечислены все случаи, когда персональные данные сотрудника могут включаться в доверенности. Также в этом случае может быть получено согласие на распространение персональных данных в целях представления интересов работодателя, например, которое дает возможность раскрывать персональные данные неопределенному кругу лиц. Если же потребность в выдаче доверенности возникает разово, то возможно оформление отдельного согласия на обработку персональных данных для конкретной доверенности.
Обоснование
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ).
То есть указание паспортных данных в доверенности является обработкой персональных данных.
По общему правилу, обработка персональных данных допускается с согласия субъекта персональных данных (п. 1 ч. 1 ст. 6 Закона N 152-ФЗ).
***
Когда и как нужно получать согласие работника на обработку персональных данных
Обработка персональных данных осуществляется с согласия работника. Оно должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).
Поскольку в случае возникновения спора доказать получение согласия работника на обработку его персональных данных должен работодатель (ч. 3 ст. 9 Закона о персональных данных), целесообразно оформить такое согласие письменно. В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:
- при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Подробнее об этом см. здесь;
- при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в иных предусмотренных федеральными законами случаях (абз. 2 ст. 88 ТК РФ);
- для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни).
При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).
Работодатель с согласия работника вправе поручить обработку его персональных данных (ведение кадрового, бухгалтерского учета и пр.) другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора). Отметим, что ответственность перед работником за действия указанного лица несет работодатель (ч. 5 ст. 6 Закона о персональных данных). Если обработка поручена иностранному лицу (физическому или юридическому), ответственность перед работником несет и работодатель, и это лицо (ч. 6 ст. 6 Закона о персональных данных).
Отдельно от других согласий на обработку персональных данных нужно оформлять согласие на обработку персональных данных, разрешенных для распространения. При этом работнику нужно дать возможность определить их перечень по каждой категории, указанной в согласии на обработку. Он вправе также установить, например, запрет на передачу (кроме предоставления доступа) данных неограниченному кругу лиц (ч. 1, 9 ст. 10.1 Закона о персональных данных).
Требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 N 18.
Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.
В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом.
Согласие работника на обработку персональных данных должно включать (ч. 4 ст. 9 Закона о персональных данных):
1) фамилию, имя, отчество, адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе;
2) при получении согласия от представителя работника - его фамилию, имя, отчество, адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя;
3) наименование или фамилию, имя, отчество и адрес работодателя;
4) цель обработки персональных данных;
5) перечень персональных данных, которые подлежат обработке;
6) фамилию, имя, отчество и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации;
7) перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки;
8) срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия;
9) подпись работника.
Путеводитель по кадровым вопросам. Персональные данные работников
