Нужно ли директору писать согласие на обработку персональных данных

Опубликовано: 17.09.2024

Разобраться в нюансах обработки персональных данных бывает не просто даже опытным специалистам. Это связано с тем, что положения Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ) содержат общие формулировки, которые могут трактоваться по-разному. Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться, более того, встречаются судебные дела с противоположными решениями. При построении процессов обработки персональных данных руководители компаний часто не понимают, на что им ориентироваться, чтобы не допустить нарушений Закона № 152-ФЗ.

При этом вопрос защиты персональных данных год от года становится более острым. За последние два года в КоАП РФ внесены поправки об увеличении штрафов за невыполнение требований Закона № 152-ФЗ. Кроме того, сейчас готовится проект закона об увеличении штрафов за утечку персональных данных. Ежегодно Роскомнадздор фиксирует более 50 тыс. жалоб физических лиц и выписывает организациям административные штрафы, общая сумма которых превышает 1 млн руб. Возможные последствия для компаний не ограничиваются одними штрафами: регулятор может заблокировать сайт организации, что является неотъемлемой частью бизнеса для тех, кто предоставляет онлайн-сервисы или развивает продажи в интернете.

В данной колонке я рассмотрю три важных вопроса, которые мне регулярно задают предприниматели, сравнив положения Закона № 152-ФЗ и позицию Роскомнадзора. А также поделюсь личным опытом участия в проверках службы.

1. Фотография в СКУД – биометрические персональные данные?

Использование фотографий в системах контроля управления доступом (СКУД) – распространенная практика в компаниях. Поэтому многих волнует вопрос: относится ли фотография в СКУД к биометрическим персональным данным? Ведь в этом случае организация должна будет получить согласие субъекта персональных данных в письменной форме, указанной в ст. 9 Закона № 152-ФЗ.

Что говорит законодательство?

Закон № 152-ФЗ дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография. Так, в ст. 11 Закона № 152-ФЗ говорится, что под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта данных.

Что говорит Роскомнадзор?

На сайте службы опубликованы разъяснения 1 о том, что фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными.

На дне открытых дверей в январе текущего года представители регулятора пояснили, при каких условиях фотография относится к биометрическим персональным данным. Так, если она:

сделана в соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);

отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).

При данном пояснении регулятора можно сделать вывод, что обработка фотографии в системе СКУД к биометрическим персональным данным не относится. Кроме того, на последних проверках Роскомнадзора с нашим участием компании не получали замечаний о том, что фотография в СКУД относится к биометрическим персональным данным. Однако нам встречались и примеры с противоположным решением регулятора.

Что говорит судебная практика?

Владелец фитнес-клуба в Казани пытался оспорить в суде постановление Роскомнадзора и штраф в размере 10 тыс. руб. (решение Cоветского районного суда города Казани от 26 сентября 2019 г. по делу № 12-1526/2019). В спортивном клубе использовали систему СКУД для идентификации посетителей по фотографии при проходе через турникет без их письменного согласия. Суд сослался на разъяснения службы о том, что фотография, используемая для идентификации личности, является биометрическими персональными данными, и оставил жалобу без удовлетворения.

Выводы

1. Относится ли номер телефона к персональным данным?

Компании часто спрашивают, считаются ли номера телефонов без привязки к ФИО и другой информации пользователя персональными данными, и нужно ли в этом случае получать согласие владельца номера на обработку персональных данных.

Что говорит законодательство?

Напомним, согласно ст. 3 Закона № 152-ФЗ, персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Что говорит Роскомнадзор?

На дне открытых дверей представители службы также объяснили, что к персональным данным относится информация, которая характеризует человека. Телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи, и значит, персональными данными не является.

По моей практике участия в проверках Роскомнадзора, представители службы не требуют получения согласия на обработку номера телефона без привязки к другим данным.

Что говорит судебная практика?

Житель города Белгорода обратился в суд (решение Октябрьского районного суда г. Белгорода от 12 сентября 2019 г. по делу № 12-393/2019) с жалобой на размещение его телефонного номера в Интернете компанией ООО "Яндекс Справочник". Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца. Суд согласился с регулятором в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека.

Между тем, суд в Москве, рассматривая подобный вопрос, вынес другое решение (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу №12-973_2019). Гражданину поступали звонки от коллекторской компании без его согласия. При этом других данных, кроме номера телефона, у взыскателей о человеке не было. Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением Закона № 152-ФЗ.

Выводы

Роскомнадзор придерживается позиции, что номер телефона без привязки к другим данным не относится к персональным данным, а значит, не нужно получать согласие его владельца на обработку данных. Однако правоприменительная практика говорит о том, что стоит заручиться согласием субъекта на обработку таких данных. Оно может быть оформлено в любой форме, позволяющей подтвердить факт его получения (например, галочка на сайте).

1. Нужно ли согласие субъекта персональных данных, если они обрабатываются в рамках исполнения договора?

Часто компании задаются вопросом, нужно ли отдельно получать согласие, если персональные данные обрабатываются с целью выполнения обязательств по договору, или договор сам по себе является правовым основанием для обработки.

Что говорит законодательство?

В ст. 6 Закона № 152-ФЗ говорится, что обработка персональных данных допускается:

для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект будет являться выгодоприобретателем или поручителем.

Что говорит Роскомнадзор?

На официальном сайте Роскомнадзора 2 размещена информация о том, что согласие не требуется, если обработка персональных данных необходима для исполнения договора.

По моему опыту участия в проверках регулятора отсутствие согласия может быть нарушением в следующих случаях:

персональные данные избыточны по отношению к цели обработки или обрабатываются с целью, которая не указана в договоре. В качестве примера можно привести обработку копий паспортов, не требующихся для исполнения договора, или рассылку рекламных SMS-сообщений клиентам;

не указан перечень организаций, в которые передаются персональные данные;

требуется согласие на обработку персональных данных в письменной форме (для специальных категорий данных, биометрических данных, трансграничной передачи персональных данных и т.п.).

Что говорит судебная практика?

Рассмотрим два примера с противоположными решениями суда.

В пятом арбитражном апелляционном суде Владивостока рассматривался случай обработки персональных данных собственников помещения ресурсоснабжающей организацией. Судебная коллегия определила, что при наличии договора согласие субъекта на обработку данных не требуется, поскольку она необходима для исполнения договора (постановление Пятого арбитражного апелляционного суда от 3 апреля 2019 г. № 05АП-367/19 по делу № А51-19080/2018).

В другом деле апелляционный суд Воронежа установил, что подписание договора не может считаться согласием собственника помещения многоквартирного дома на обработку персональных данных (постановление Девятнадцатого арбитражного апелляционного суда от 27 декабря 2018 г. № 19АП-8727/18). Согласие должно быть выражено с соблюдением требований ст. 9 Закона № 152-ФЗ с обязательным указанием сроков обработки персональных данных.

Выводы

В судебной практике есть пример, где наличие договора не является согласием. Роскомнадзор тоже не требует согласия, если персональные данные обрабатываются с целью исполнения договора, но проверяет выполнение условий, приведенных выше.

Тема обработки персональных данных всегда вызывает много вопросов из-за неоднозначности формулировок Закона № 152-ФЗ, и у каждого специалиста по персональным данным своя интерпретация правильного выполнения требований. Встречаются ситуации, когда в судебном порядке оспариваются постановления службы. Более того, по одному вопросу можно найти противоположные решения суда. Подход Роскомнадзора меняется со временем, появляются новые разъяснения на сайте службы и открытых мероприятиях, а также решения судебных дел. Я рекомендую при построении процессов обработки персональных данных оценивать совокупность факторов и выбирать решение, которое минимизирует риски получения предписаний и штрафов, на периодической основе проверять процессы обработки персональных данных на соответствие новым подходам Роскомнадзора. Кроме того, стоит обратить внимание на разработку организационно-распорядительных документов, которые должны соответствовать выбранной позиции по спорным вопросам, а также отражать актуальные изменения процессов обработки персональных данных в компании.

Относительно недавно в России был введен в оборот новый документ под названием «Согласие на обработку персональных данных». Очень быстро он получил повсеместное распространение и на данный момент широко используется в самых разных организациях, начиная от государственных бюджетных учреждений и до коммерческих компаний.

К вашему вниманию! Этот документ можно скачать в КонсультантПлюс.

• Бланк и образец
• Бесплатная загрузка
• Онлайн просмотр
• Проверено экспертом

Что собой представляет согласие

Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.

Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.

Когда чаще всего требуется согласие

Сейчас согласие необходимо писать почти повсеместно:

• при подаче документов на ребенка в садик или школу;
• при трудоустройстве;
• при заключении договора с банком, страховой компанией и т.д.

Иными словами, везде, где гражданин предоставляет свои личные документы или документы лица, представителем которого он является, заполняет различного рода тесты и анкеты, он подписывается такое согласие.

Что вкладывается в термин «персональные данные»

Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:

• фамилия, имя, отчество;
• дата и место рождения;
• сведения из паспорта, трудовой книжки и прочих документов;
• а также некоторые характеристики его личности.

При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.

В частности их условно можно поделить на три основных вида:

1. общедоступные данные (ФИО, пол, дата, место рождения, гражданство и т.п.)
2. биометрические (физиологические особенности индивида, его внешние параметры)
3. специальные (народность, религия, здоровье и т.д.). Сюда же в некоторой степени относится и информация о месте работы человека, его отношениях с законодательством, привычках и т.п.

По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.

Для чего формируется согласие на обработку при трудоустройстве

Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д. Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).

В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.

Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.

Если сотрудник отказывается подписывать согласие

Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.

Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.

В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.

Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.

Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.

Что грозит за разглашение персональных данных

Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.

Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.

Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.

В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).

Как уведомить

Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.

Можно ли отозвать согласие

Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает. Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.

Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).

Это требование должно быть выполнено не позже чем через месяц после написания отзыва.

Образец согласия

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:

• наименование компании-работодателя;
• место и дата составления документа;
• фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.

Далее в основной части подробно указывается:

• каких именно персональных данных касается документ;
• в каких целях и что именно допустимо с ними делать;
• срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).

Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.

СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Я, Ковтун Инна Олеговна, паспорт 2495 564738, выдан Ленинским РОВД г. Иваново, адрес регистрации: г. Иваново, ул. Мельничная д.73, кв. 8, даю свое согласие ОАО «КомЖилФонд» на обработку моих персональных данных. Согласие касается фамилии, имени, отчества, данных о поле, дате рождении, гражданстве, типе документа, удостоверяющем личность (его серии, номере, дате и месте выдачи), а также сведений из трудовой книжки: опыте работы, месте работы и должности.

Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях. Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч. передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.

До моего сведения доведено, что ОАО «КомЖилФонд» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.

Подтверждаю, что давая согласие я действую без принуждения, по собственной воле и в своих интересах.

Персональные данные работника могут понадобиться работодателю в ходе трудовых отношений. Эти сведения являются конфиденциальными. В соответствии со ст. 88 Трудового кодекса Российской Федерации работодатель не должен передавать персональные данные сотрудника третьей стороне без его письменного согласия, а также разглашать эти сведения в коммерческих целях. Однако эти требования законодательства не всегда могут быть соблюдены, когда речь идет о генеральном директоре компании.

Персональные данные генерального директора используются на практике гораздо чаще, чем данные любого другого сотрудника. И это не удивительно, ведь генеральный директор действует от имени компании, представляет ее интересы, дает другим работникам полномочия на осуществление действий, связанных с деятельностью организации. Персональные данные генерального директора могут содержаться в доверенностях на исполнение обязанностей, договорах, распорядительных документах, анкетах. Они могут потребоваться для получения банковских и иных кредитов и т. д.

В соответствии со ст. 88 ТК РФ передача персональных данных работника третьей стороне без письменного согласия сотрудника запрещена, за исключением предусмотренных законом случаев. В соответствии со ст. 88 ТК РФ генеральный директор считается работником, на него распространяются все положения трудового законодательства. С ним, как и с другими сотрудниками, заключается договор, издается приказ о его назначении, соответствующие записи о трудовых отношениях вносятся в трудовую книжку. Согласие необходимо оформить в письменном виде, из него должно быть понятно, кому и с какой целью будут передаваться персональные данные. При этом ст. 88 ТК РФ предусматривает, что без согласия работника персональные данные не могут передаваться в коммерческих целях работника.

Однако ограничение на распространение персональных данных действует не на все сведения о генеральном директоре. В Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) были внесены изменения Федеральным законом от 25.07.2011 N 261-ФЗ. В Законе N 152-ФЗ выделены три вида персональных данных:

- общедоступные (ст. 8 Закона N 152-ФЗ);

- специальные категории персональных данных (ст. 10 Закона N 152-ФЗ);

- биометрические (ст. 11 Закона N 152-ФЗ).

Общедоступные персональные данные могут быть известны неограниченному кругу лиц. Сюда относятся фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, ученых степенях и званиях и другая информация, которая предоставляется субъектом и может быть отнесена к общедоступному источнику персональных данных (ст. 8 Закона N 152-ФЗ). Источниками для таких данных будут телефонные и адресные книги, энциклопедии и т. п. Данные о генеральном директоре, ставшие общедоступными, могут свободно использоваться, и их распространение законодателем не регулируется.

Согласно ч. 1 ст. 10 Закона N 152-ФЗ к специальным категориям персональных данных относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Обработка таких данных генерального директора Законом запрещена. Оперировать персональными данными о судимости могут государственные или муниципальные органы в пределах своих полномочий.

Особая и весьма специфическая группа - биометрические персональные данные, отражающие физиологические характеристики человека. К ним относятся особенности строения частей тела, отпечатки пальцев, ладони, строение сетчатки глаза, анализ ДНК и т. п. Распространение таких данных - редкий случай.

Чаще всего проблемы связаны с некоторыми данными генерального директора, без которых невозможно выдать доверенность, заключить договор или взять кредит в банке. Речь идет о следующих сведениях:

- фамилия, имя, отчество;

- дата и место рождения;

- зарплата, другие доходы;

- владение недвижимым имуществом, денежные вклады и др.;

- образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;

- привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);

- факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

- физиологические особенности, здоровье;

- деловые и иные личные качества.

Перечисленные данные, как правило, запрашиваются банком для заполнения анкеты и служат для проверки клиента при заключении договора кредитования. Все эти сведения в соответствии с Законом о персональных данных являются охраняемыми.

Как не нарушить закон?

Лица, имеющие доступ к персональным данным генерального директора (перечень таких лиц определяется положением о защите персональных данных, утвержденным в организации), обязаны не передавать эти сведения третьим лицам и не распространять персональные данные без согласия субъекта. Поэтому необходимо получить от генерального директора согласие на обработку персональных данных, которое должно отвечать нескольким требованиям.

Во-первых, согласие необходимо оформить письменно. Во-вторых, оно должно содержать целый перечень сведений, к которым относятся следующие (ст. 9 Закона N 152-ФЗ):

- фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- фамилия, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

- наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

- наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

- подпись субъекта персональных данных.

Только при наличии надлежаще оформленного согласия компания может предоставлять персональные данные генерального директора третьим лицам и обрабатывать их самостоятельно. Кроме того, следует изложить порядок раскрытия персональных данных сотрудниками и генеральным директором в отдельном локальном акте организации. Отметим, что в Законе имеется ряд пробелов в части раскрытия информации руководителем компании.

В случае раскрытия персональных данных, безусловно, возникает целый ряд вопросов. Может ли информация быть доступна всем заинтересованным лицам - акционерам, коллегам, контрагентами и др.? Есть ли предел распространения таких сведений? Какие данные могут использоваться только внутри организации, а какие - за ее пределами? Проблемой является и возможность непредоставления информации о генеральном директоре. Эти вопросы становились поводами для судебных разбирательств.

Однако прежде, чем приступить к рассмотрению конкретных судебных решений, отметим, что предел раскрытия информации может быть определен в локальном акте компании и в согласии на обработку персональных данных. При этом внутренний документ не может противоречить нормам законодательства, например, в части предоставления информации акционерам.

В некоторых ситуациях генеральный директор должен раскрыть информацию о доходах акционерам на основании норм Закона от 22.04.1996 N 39-ФЗ "О рынке ценных бумаг", однако генеральный директор не хочет раскрывать данные о собственных доходах (ст. 30). В таком случае нельзя закрепить в локальном акте положение о нераспространении информации.

Предоставить документы, не раскрывая персональные данные, возможно. Такой вывод, в частности, следует из Определения ВАС РФ от 27.02.2012 N ВАС-16803/11 по делу N А40-43149/11-121-290. В суде рассматривалась следующая ситуация. В соответствии с п. 1 ст. 91 Закона об акционерных обществах общество обязано обеспечить доступ акционеров к документам, предусмотренным п. 1 ст. 89 данного Закона, и предоставить акционеру по его требованию копии этих документов. К документам бухгалтерского учета и протоколам заседаний коллегиального исполнительного органа имеют право доступа акционеры (акционер), владеющие в совокупности не менее чем 25% голосующих акций общества. Для соблюдения паритета интересов генерального директора и акционеров, по мнению суда, трудовой договор мог быть предоставлен акционерам без открытия персональных данных директора общества. Пример выдержки из трудового договора с исключением персональных данных приведен в приложении 1.

Заинтересованным лицам, например контрагентам, можно предоставить решение о назначении генерального директора также без предоставления персональных данных (приложение 2).

Согласно Постановлению ФАС Московского округа от 14.01.2010 N КА-А40/14463-09 по делу N А40-38438/09-17-269 в аналогичной ситуации суд пришел к иному выводу. Он указал, что работодатель правомерно не предоставил акционерам общества копию трудового договора с генеральным директором, поскольку ст. 88 ТК РФ установлен запрет на передачу персональных данных работника третьей стороне, а в соответствии со ст. 90 ТК РФ лица, виновные в нарушении норм, регулирующих защиту персональных данных, несут административную, гражданско-правовую или уголовную ответственность.

Сложившаяся судебная практика позволяет сделать вывод о том, что компания может предоставлять заинтересованным лицам документы без раскрытия персональных данных директора. Это касается обсуждения проектов договоров, передачи типовых документов контрагентам, предоставления договора с генеральным директором акционерам.

Еще одно основание для судебных споров - раскрытие сведений о генеральном директоре, которые в соответствии с законом не являются персональными данными. Например, не является конфиденциальной информация о том, что гражданин не оплачивает коммунальные услуги. Такие данные не относятся к частной жизни и не составляют тайну, которую стороннее лицо не вправе разглашать в силу своих профессиональных обязанностей (Кассационное определение Пермского краевого суда от 05.10.2010 N 33-8722).

Также не может быть признана нарушением передача персональных данных в счетах физических лиц, например если данные о генеральном директоре содержатся в платежных документах. В Постановлении ФАС Восточно-Сибирского округа от 12.05.2011 по делу N А33-10809/2010 суд признал, что передача персональных данных физических лиц третьему лицу управляющими организациями является частью их деятельности. Следовательно, нормы закона в этой части не нарушаются.

Еще одна проблема - наличие персональных данных в договоре, например при заполнении заявки на кредит. В Постановлении ФАС Северо-Западного округа от 13.12.2010 по делу N А56-73636/2009 суд признал действия компании, предоставляющей анкеты на подбор кредитов, правомерными и не установил в действиях ответчика нарушений требований Закона N 152-ФЗ. В рассматриваемой ситуации физические лица, планировавшие получить ипотечные кредиты, заполняя анкеты-запросы в электронном виде на веб-ресурсах, последовательно отвечали на вопросы, предполагающие предоставление персональных данных. Эти сведения требовались для получения ипотечного кредита, в анкете было указано, что кредит выделяется банком, а не ответчиком. Затем физлица отправляли анкеты в электронном виде в ООО "К***", которое непосредственно имело доступ к административной части веб-ресурсов.

Таким образом, если генеральный директор самостоятельно заполняет заявку, анкету для заключения договора, законодательство не нарушается. Но правовая проблема заключается в том, что не ясно, кто заполняет заявку, каким образом получено согласие и куда попали персональные данные. Заявка является документом, разработанным банком, и может оформляться как в электронном, так и в бумажном виде.

Некоторые действия, связанные с обработкой данных, не квалифицируются как незаконные, например в случае вызова в прокуратуру. Прокуратура может запросить как паспортные данные генерального директора, так и сведения о заработной плате (если он подозревается в экономических преступлениях, связанных с "выплатой зарплаты в конвертах" и неуплатой налогов в особо крупных размерах). В качестве подтверждения можно привести Кассационное определение Санкт-Петербургского городского суда от 08.12.2010 N 33-16601. Аналогичные выводы сделаны судом в отношении полномочий приставов-исполнителей. В Определении ВАС РФ от 16.12.2011 N ВАС-14324/11 по делу N А12-23512/2010 Суд пришел к выводу о том, что Законы от 21.07.1997 N 118-ФЗ "О судебных приставах" и от 02.10.2007 N 229-ФЗ "Об исполнительном производстве" допускают обработку персональных данных без согласия субъекта, поскольку эти нормативные правовые акты устанавливают цель, условия получения сведений, круг субъектов, персональные данные которых подлежат обработке, и полномочия судебного пристава, который эту обработку будет осуществлять.

Нарушение порядка хранения, использования и раскрытия персональных данных генерального директора влечет за собой меры административной ответственности. В соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:

- на граждан - от 300 до 500 руб.;

- на должностных лиц - от 500 до 1000 руб.;

- на юридических лиц - от 5000 до 10 000 руб.

А на основании ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если оно влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

- на граждан - от 500 до 1000 руб.;

- на должностных лиц - от 4000 до 5000 руб.

Если будет установлено, что такое нарушение совершил сотрудник, ответственный за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа.

В целом можно отметить, что штрафы за разглашение персональных данных не являются внушительными. Однако следует помнить, что в последнее время в законодательство о защите персональных данных были внесены изменения и проверки проводятся все чаще. Поэтому необходимо тщательно соблюдать порядок защиты персональных данных всех работников организации, в том числе и генерального директора.

Пример выдержки из трудового договора

без персональных данных

11 марта 2012 г. N 331-12

ЗАО "Богатый и зажиточный", именуемое в дальнейшем "Работодатель", в лице единственного учредителя Ничегонидельникова Петра Ивановича, действующего на основании устава, с одной стороны, и гражданин Российской Федерации Трудоголиков Василий Степанович, именуемый в дальнейшем "Работник" (паспорт серия 00 номер 000000, выдан ОВД района Международный г. Москвы), действующий в своих интересах и от своего имени, с другой стороны, а вместе именуемые "Стороны", заключили настоящий договор о нижеследующем.

4. Обеспечение условий труда, гарантии и компенсации.

4.1. Заработная плата Работника устанавливается в размере XXXXXX (XXXXXX тысяч) рублей в месяц. Кроме того, ему выплачивается премия в размере XXX% от XXXXX в квартал.

Пример решения о назначении генерального директора

без персональных данных

Решение о назначении генерального директора на должность

единственного участника общества

г. Москва 23.05.2011

Я, гражданин Российской Федерации Свиридов Анатолий Иванович (паспорт 1111 111111, выдан ОВД Зюзино г. Москвы 11.01.2007, зарегистрирован по адресу: 444555, г. Москва, ул. Строителей, д. 135, кв. 211), являющийся единственным участником общества с ограниченной ответственностью "Олимп" (ОГРН 2222222222222, ИНН 1111111111, место нахождения: 222333, г. Москва, ул. Мира, 2/15),

Назначить на должность генерального директора общества с ограниченной ответственностью "Олимп" гражданина РФ Свиридова Анатолия Ивановича (паспорт 1111 111111, выдан ОВД Зюзино г. Москвы 11.01.2007, зарегистрирован по адресу: 444555, г. Москва, ул. Строителей, д. 135, кв. 211) с 24.05.2011 сроком на 5 лет.

Прежде чем разбирать сам алгоритм действий, хотелось бы оговорить один важный момент. Школа или любое другое учреждение в котором с вас могут попросить подписать согласие на обработку персональных данных (далее - ПД) скорее всего действует не по своей воле. И наверняка не желает вреда нашим детям. Директор школы может вообще не понимать, чем чревато предоставление персональных данных вашего ребёнка широкому кругу «третьих лиц». Надо постараться с самых первых минут наладить сотрудничество с образовательным учреждением и его руководителем с тем, чтобы решить вопрос к обоюдному удовлетворению.

Только если руководство учреждения заняло позицию «так или никак» (позиция учреждения дополнительного образования может ещё быть выражена словами «не нравится - не ешьте»), приходится пререходить на официальный уровень общения и требовать положенного по закону.

Алгоритм действий в этом случае следующий:
1. Необходимо официально запросить ответы на все свои вопросы, в том числе .запросить ссылку на закон, обязывающий вас предоставить персональные данные в запрошенном объёме и обоснование того, что для достижения цели обработки данных нужны именно эти данные.
2. Если вы не согласны с целями обработки данных, набором данных, способами обработки или перечнем лиц, допущенных к обработке данных, требуйте внесения изменений в согласие или напишите свой вариант, который вас устраивает. Чтобы организация, в которую вы обращаетесь за услугами и пр., не отказала в обслуживании, предоставьте согласие на данные, которые реально необходимы (в т.ч. возможно вычёркивание из типовых заявлений лишнего). . сфотографируйте или скоприруйте то заявление, которое вы подписывали или подавали (как правило такие заявления в одном экземпляре дают для заполнения и гражданин не может после объяснить, что подписывал).
3. Если вас не устраивает ответ на ваш запрос, вы видите там какие-то нарушения законодательства, обращайтесь в орган, контролирующий соблюдение законодательства - Роскомнадзор. В обращении в свободной форме изложите, в чём, по вашему мнению состоит нарушение закона и приложите переписку с учреждением. Можно также обратиться в прокуратуру с просьбой проверить соблюдение закона о ПД в конкретном учреждении (не исключено, что в соответствии с п. 3.5. Инструкции о порядке рассмотрения обращений и приема граждан в органах прокуратуры Российской Федерации, утверждённой приказом Генерального прокурора РФ № 45 от 30.01.2013 жалоба будет перенаправлена в специализированный контрольный орган, но может быть рассмотрена прокуратурой и по существу).

(Образцы обращений и запросов будут размещены в конце статьи).

Отмечу, что последний шаг - мера достаточно сильная. Как правило, всё решается на предыдущих этапах.

Теперь немного подробнее о правовых основаниях действий по защите ПД. Действуем мы, опираясь, в основном на закон № 152-ФЗ «О персональных данных», от 27 июля 2006 года.

В статье 5 закона написано:
«п. 1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
п. 2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных».
- то есть, если данные собираются для обеспечения учебного процесса, то, например, сведения о доходе родителей - явно избыточны.

Ст. 5. п. 5: «Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки».
- Например, если в качестве цели заявлено «обеспечение учебного процесса», а требуют, скажем, данные о доходах родителей - налицо вопиющее несоответствие между целями и собираемыми данными.

В статье 9:
«п. 1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором».
- Именно согласно этой статье закона мы и запрашиваем всю информацию, которая необходима нам для принятия решения. Без полноты сведений наше решение нельзя будет назвать «информированным и сознательным».

Ст. 14:
«п. 7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
«1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами».
- На случай, если Вы уже дали согласие на обработку ПД, а теперь засомневались, как будут использоваться ваши персональные данные, пошлите запрос с вот этим списком вопросов. Можно совместить такой запрос с отзывом согласия. Статья 18 обязывает оператора предоставлять эту информацию:

«1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона».

Таким образом, действующее законодательство предоставляет немало возможностей для обеспечения собственной информационной безопасности. Осталось только ими воспользоваться.

Многие действия, связанные с ведением документации, невозможно осуществлять без согласия на обработку персональных данных лица. Совершеннолетний гражданин РФ может дать разрешение на взаимодействие с личными сведениями и данными своего ребенка, не достигшего возраста 18 лет.

Наиболее строгие требования в этой сфере предъявляются к работодателям, получающим документы от работников. По Закону №152-ФЗ во избежание штрафов необходимо от каждого сотрудника получить заявление, лучше это делать непосредственно при приеме нового человека в штат.

Нужно ли работодателю получать согласие работника на обработку персональных данных?

Правовую сторону вопроса регулирует Федеральный закон №152-ФЗ, в который с марта 2021 года внесено ряд важных изменений. В том числе добавлена новая статья 10.1, где говорится о дополнительной обязанности по получению отдельных согласий на случай распространения персональных данных. То есть с 2021 года нужно отдельно получать разрешающее заявление на обработку личных сведений и на передачу этих данных третьим лицам или их публикацию в СМИ, на интернет-порталах, сайтах.

В пункте 1 статьи 6 Закона 152-ФЗ указано, что работодатель обязан запрашивать разрешение у подчиненного на обработку персональных сведений. Сам пункт не указывает наличие трудового договора как обязательство передавать личные данные, однако работодатель вправе попросить у работника любую информацию, которая обеспечит нормальную реализацию обязанностей обеих сторон трудового договора.

Информация, которую вправе затребовать работодатель, можно условно разделить на три группы:

• «общие» данные – те, что находятся в открытом доступе (ФИО, пол, гражданство, дата и место рождения);
• «числовые параметры» – номера ИНН, СНИЛС, серия и номер паспорта с датой его выдачи;
• дополнительные биографические сведения – национальная принадлежность, вероисповедание, наличие судимости и прочее.

Статья 14 ТК РФ регламентирует, что специалисты отдела кадров несут ответственность за сохранение конфиденциальности персональных данных работников.

Если сотрудник отказывается подписывать согласие, работодатель не имеет права принуждать к этому. Но нужно учитывать, что при этом наниматель не сможет официально оформить соискателя на работу.

Как написать заявление?

Типовые формы, по которым должно проводиться написание заявлений на обработку данных, можно найти на официальном сайте Роскомнадзора. Там же можно ознакомиться с примером согласия. Документ может быть составлен также в свободном виде, главное включить в него реквизиты, указанные в ст. 9 Закон 152-ФЗ.

В общем виде нужно соответствовать общим требованиям оформления деловой документации:

1. В «шапке» в верхнем правом углу указать наименование компании-работодателя, имя и должность ее руководителя.
2. Строкой ниже следует информация о подателе заявления (ФИО, место постоянной регистрации с почтовым индексом, серия и номер паспорта с датой и местом выдачи).
3. Заголовком указать «Согласие на обработку персональных данных».
4. В самом теле заявления нужно по установленной форме сослаться на действующие законодательные акты, написав «Я, ФИО, в соответствии со ст. 9 Федерального закона №152-ФЗ, даю согласие на…» После нужно перечислить все требуемые сведения и то, для чего они могут использоваться работодателем.
5. Внизу документа заверить его подлинность датой написания и личной подписью с расшифровкой.

Заявление должно подаваться руководителю предприятия, а после отправляться в отдел кадров для создания личной карточки нового сотрудника. Как правило, заявление пишется только один раз во время приема на работу, но может подаваться и в дальнейшем, если это потребуется, или изменятся паспортные данные сотрудника.

Иногда в заявлении можно указывать срок действия разрешения. Закон 152-ФЗ разрешает отозвать согласие в любой момент по желанию сотрудника, для этого работнику нужно написать соответствующее заявление об отзыве.

Подразумевается, что согласие пишется добровольно, поэтому дополнительных отметок об отсутствии принуждения со стороны работодателя можно не делать.

Штрафы за отсутствие разрешения сотрудника

Сотрудник, уже состоящий в штате, может отказаться от написания нового согласия на ОПД, и это зачастую не сильно повлияет на его дальнейшую работу. Но вот новый работник без такой бумаги не сможет устроиться на работу, потому что его данные будут необходимы для отдела кадров, бухгалтерии и канцелярии.

За нарушение законодательства в области взаимодействия с персональными данными и отсутствие письменных разрешений физических лиц работодатель может понести административную и даже уголовную ответственность.

Размеры штрафов устанавливаются ст. 13.11 КоАП РФ:

• ОПД в случаях, не предусмотренных законом – штраф в размере от 1 тысячи для граждан до 50 тысяч для юрлиц;
• за обработку без письменно оформленного согласия субъекта – административный штраф для граждан от 3 до 5 тысяч рублей, для должностных лиц – от 10 до 20 тысяч, для юридический лиц – от 15 до 75 тысяч рублей;
• невыполнение оператором неограниченного доступа к политике ОПД – от 700 до 1000 рублей на граждан, от 3000 до 6000 на должностных лиц, от 5000 до 10000 на ИП, от 15000 до 30000 на юрлиц;
• несвоевременная передача личных данных в государственные учреждения – взыскание в размере от 100 рублей до 5 тысяч рублей;
• незаконный сбор персональных данных – штраф до 200 тысяч рублей и до 360 часов исправительных работ;
• незаконное публичное распространение личных данных сотрудников – штраф до 300 тысяч рублей и принудительные работы на срок до 5 лет.

В менее тяжелых случаях работодатель может понести дисциплинарное или гражданско-правовое наказание.

Выводы

Работодатель обязан получить письменное разрешение от сотрудника на обработку персональных данных. Согласие оформляется в свободной форме с учетом реквизиты, установленных ст. 9 Закона 152-ФЗ.

В теле заявления следует перечислить необходимые личные данные и цель, для которой они могут использоваться работодателем. За нарушение законодательства работодателю грозит административная или уголовная ответственность. Так, за обработку данных без согласия предприятие будет оштрафовано на сумму до 75 тысяч рублей.

Читайте также:

  
• Как выплачивается денежное довольствие сотрудникам в период их временной нетрудоспособности
  
• Что грозит ип за неоформленного работника
  
• Если у гражданина таджикистана есть рвп нужен ли патент на работу
  
• Как защититься от энергетического вампира на работе обереги
  
• Должен ли руководитель находить индивидуальный подход к работнику