Как оформить согласие на обработку персональных данных в почта банк

Обновлено: 17.04.2024

Составление отказа от предоставления персональных данных необходимо в случае, когда гражданин не имеет желания давать кому-либо личную информацию.

Внимание! Этот документ можно скачать в КонсультантПлюс.

  • Бланк и образец
  • Онлайн просмотр
  • Бесплатная загрузка
  • Безопасно

Что относится к персональным данным

Персональные данные – понятие довольно широкое. В него обязательно включаются сведения из паспорта человека: фамилия, имя, отчество, пол, дата и место рождения, адрес проживания, номера ИНН, СНИЛС.

Кроме того, в персональные данные входит информация о национальной и религиозной принадлежности, семейном положении, здоровье, воинском учете, образовании, получаемых гражданином доходах, затратах, льготах, пособиях и субсидиях.

Сюда же причисляются сведения из трудового договора, дополнительных соглашений к нему, результаты профессиональных собеседований, анкет и тестов, заявления, объяснительные и т.п. документы, касаемые деятельности человека по месту работы.

Куда требуется предоставлять персональные данные

Сегодня передача личных сведений является широко распространенным явлением. Предоставлять персональные данные нужно, например, при устройстве на работу, подаче заявлений в садик, школу, другие учебные заведения, больницы, поликлиники, банковские, кредитные учреждения и т.д.

Отказ от предоставления персональных данных

По большому счету, согласие на предоставление персональных данных требуется только в отношении специальных и биометрических сведений. Если говорить проще, общедоступная информация, т.е. информация из паспорта, ИНН, СНИЛС, может использоваться совершенно свободно, конечно, в рамках закона и без нарушения этических и моральных норм.

А вот если кому-либо понадобились данные, касаемые религии или национальности человека, его здоровья или судимостей, взаимоотношений с работодателями (текущим и бывшими) и т.п. очень личные сведения – их можно получать только с согласия гражданина, оформленного в письменном виде.

В соответствии с законодательством РФ, любой человек имеет полное право отказаться от предоставления подобного рода информации, если считает, что она может привести к ущемлению его прав и интересов или даже вовсе без объяснения причин. Никакого наказания за такой отказ не предусмотрено.

И даже если представитель какого-либо учреждения требует предоставления таких сведений, угрожая отказом в предоставлении необходимых услуг (образовательных, медицинских и т.д.), его действия легко можно обжаловать как на уровне руководства, так и в прокуратуре или суде.

Единственное, что нужно помнить, что при обращении в различные муниципальные и бюджетные структуры, а также при трудоустройстве существует установленный законом перечень документов, а значит и персональных сведений, без которых заключение договоров (гражданско-правовых, трудовых и т.д.) будет просто-напросто невозможно.

Если есть сомнения в том, что работник той или иной организации требует документы сверх установленного законом списка, следует обратиться за разъяснениями к юристам или ознакомиться с соответствующими статьями российского законодательства.

С того момента, как персональные данные попадают во «вторые» руки, вся ответственность за их огласку возлагается на того, кто их получил.

При этом закон в отношении лиц, разгласивших чью-либо личную информацию довольно суров – он предусматривает наказание, начиная от крупного административного штрафа и вплоть до возбуждения уголовных дел.

Как написать отказ

В том случае, если перед вами встала необходимость по составлению отказа от предоставления персональных данных, а вы не знаете, как сделать это правильно и без ошибок, прочитайте расположенные ниже рекомендации и посмотрите пример – на его основе у вас без особых усилий получится сформировать собственный документ.

Прежде всего, дадим общую информацию, которая касается всех подобного рода бумаг. Сейчас единого стандарта такого отказа нет, что фактически обозначает то, что писать его разрешается в свободной форме. Также можно сделать его по типу разработанного и утвержденного внутри учреждения шаблону документа, если конечно, таковой имеет место быть.

Для отказа подойдет как обычный лист бумаги любого удобного формата (предпочтительно А5 или А4) или фирменный бланк (как правило, если такое требование устанавливается внутри компании). Отказ допустимо набирать на компьютере (с обязательным последующим распечатыванием), либо же писать собственноручно – в случае необходимости доказать его подлинность этот фактор будет иметь значение.

Отказ нужно делать в двух одинаковых экземплярах, один из которых следует передать адресату, второй – оставить у себя, предварительно заручившись на нем отметкой о вручении копии представителю учреждения.

Образец отказа от предоставления персональных данных

По своему составу отказ должен отвечать некоторым нормам делопроизводства, а по тексту содержать ряд определенных сведений. К последним можно отнести:

  • должность, ФИО руководителя;
  • наименование организации;
  • ФИО автора отказа;
  • его паспортные и контактные данные (для связи).

Это будет «шапка» документа, которая всегда расположена вверху бланка, слева или справа.

В основной части следует обозначить:

  • свое несогласие с предоставлением персональных данных;
  • обоснование отказа (здесь нужно сослаться на норму закона или Конституции РФ, которые в равной степени дают такое право);
  • если вы были ознакомлены с последствием своего отказа, об этом следует сделать соответствующую отметку;
  • также дать отметку о том, что за вами остается возможность обжаловать возможные санкции в суде.

Остальную информацию можно вносить в зависимости от потребностей и индивидуальных обстоятельств.

Бланк должен быть обязательно датирован и подписан тем, кто его составил – без его автографа он не обретет законного статуса.

К необходимости выполнять определенные обязанности по работе с персональными данными отделы кадров и службы, заведующие персоналом, уже привыкли. Есть скачанные шаблоны документов, отработанные регламенты. В результате для многих становится большой неожиданностью, когда по итогам проверки Роскомнадзора организация получает штрафы и предписание привести все в соответствие с законом.

Иногда сотрудники, ответственные за работу с персональными данными, даже не понимают, что не так, и что надо исправлять – ведь шаблоны документов все скачивают из интернета, показывают юристам, получают одобрение. Однако это как раз та сфера, в которой очень много привычных, но абсолютно неправильных документов и процедур. Многие и не задумываются, что все это просто не соответствует тому, что написано в законе.

Чтобы избежать штрафов со стороны Роскомнадзора, придется пересматривать прежние правила и принимать новые документы, разбираясь с первоисточником — Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – 152-ФЗ).

В первую очередь это касается согласия на обработку персональных данных. Все давно привыкли, что это обязательный документ, а потому не забывают при приеме на работу выдать новому сотруднику лист бумаги, на котором сплошным текстом набран огромный перечень персональных данных и случаев, куда, как, кому они будут передаваться. Иногда в конце есть еще и приписка «а также иные данные в иных случаях». Почему этот привычный документ в последнее время становится причиной штрафных санкций со стороны Роскомнадзора?

В пункте 4 ст. 9 152-ФЗ дано описание того, как должен выглядеть этот документ – согласие на обработку персональных данных. Обратите внимание на подпункт 4 – он требует, чтобы была указана цель обработки данных, которые оператор (в данном случае – работодатель) собирает. Если вы пишите цель «прием на работу и оформление трудовых отношений», а потом в перечне даете такие персональные данные, как семейное положение, регистрация, наличие и количество детей, а то еще и данные про родственников, то это прямое нарушение, за что вы и получите штраф.

Трудовой кодекс Российской Федерации (далее – ТК РФ) в ст. 86 говорит о том, что «при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, ТК РФ и иными федеральными законами».

Сам ТК РФ дает ограниченный перечень необходимых данных для устройства на работу – он вытекает из документов, которые приведены в ст. 65 ТК РФ. Там идет речь о паспорте, но исключительно как о документе, удостоверяющем личность, а это только первый разворот. Для выяснения отношения к воинской обязанности можно еще глянуть на стр. 13, а вот на остальные страницы кадровик вообще не имеет права смотреть, не то что собирать и обрабатывать. Закон не позволяет.

Да, при этом адрес прописки нужен, например, для передачи бухгалтерских отчетов в ФНС, но это же будет уже другая цель – не оформление трудовых отношений, а «внесение в бухгалтерские системы». Кстати, если вы получили согласие на обработку таких данных, как фамилия, имя и отчество для оформления трудового договора, то это не значит, что вы можете их использовать для той же бухгалтерии или для размещения на корпоративном сайте.

Так можно разобрать текст всего привычного согласия на обработку персональных данных и найти массу нарушений. Как же быть, как правильно составить это согласие?

Прежде всего, надо понять, что одним документом на весь период работы сотрудника вы не обойдетесь. Не пытайтесь в него впихнуть все и сразу – это только приведет к нарушениям. Сделайте правильно основное согласие, а потом будете брать уже узкоцелевые, когда это будет нужно.

Далее, учитывая требования закона, будет удобнее оформить согласие в виде такой таблицы.


Проверьте, чтобы каждой цели соответствовали только те персональные данные, которые разрешены законом. Сами цели тоже не могут выходить за рамки законодательно установленных. Например, кроме ограниченного ряда организаций, работодатель не вправе проводить какие-либо проверки сотрудника, а потому указывать такую цель и требовать под нее данные нельзя. При этом если вы, например, берете человека на должность, по которой предусмотрены зарубежные командировки, можно сразу включить пункт, связанный с этим – это не будет нарушением.

Закончить документ можно вот такой отсылкой.


Соответственно, если в период работы сотрудника понадобится взять у него какие-то еще персональные данные, передать его данные третьей стороне или уже имеющиеся данные использовать с другой целью – просто оформите это отдельным документом.


Конечно, такая работа может показаться более сложной, но это только на первый взгляд. После того как вы разработаете новые формы документов и начнете по ним работать, этот порядок станет таким же привычным, как и ранее существовавший, зато он точно убережет вас от серьезных штрафов.

Наши эксперты помогут Вам быть в курсе последних событий!

  • Какие привычные кадровые документы могут привести к штрафам
  • Должностная инструкция как палочка-выручалочка в трудовых отношениях
  • Запись вебинара «Методы трансфертного ценообразования: как обосновать цену сделки с взаимозависимым контрагентом»
  • Как составить согласие на обработку персональных данных и не попасть под штрафы
  • «Записки доброго бухгалтера» - приветствие читателям блога!
  • Основные изменения в бухгалтерском и налоговом учёте с 2014 года
  • Как должна выглядеть справка родителя с места работы о том, что он не получает пособие по уходу за ребенком?
  • Форму РСВ-1 планируют обновить
  • 2-НДФЛ 2012. Описываем, как правильно заполнять справки
  • Все, что нужно знать про штатное расписание
  • Воинский учет в организации – постановка с «нуля»
  • Касается каждого. Что будет, если до 2014 года вы не озаботитесь своей пенсией?
  • Профилактика рисков в трудовых отношениях. Давайте разберемся
  • Всё о справке 182н
  • Единый налоговый платеж с 1 июля 2022 года для организаций и ИП
  • Компании и ИП будут платить фиксированные взносы независимо от тарифа
  • Правила для перевода зарплаты на карты изменятся с 1 мая
  • РСВ за I квартал: как не допустить ошибок и отчитаться с первого раза
  • Работодателей обязали повысить зарплаты в 2022 году: новые суммы
  • «Записки доброго бухгалтера» - приветствие читателям блога!
  • Основные изменения в бухгалтерском и налоговом учёте с 2014 года
  • Как должна выглядеть справка родителя с места работы о том, что он не получает пособие по уходу за ребенком?
  • Форму РСВ-1 планируют обновить
  • 2-НДФЛ 2012. Описываем, как правильно заполнять справки

Когда компания берет у клиентов номера телефонов, e-mail или другие личные сведения, необходимо получать согласие на их обработку. В статье рассказываем, как грамотно составить согласие на обработку персональных данных и избежать типичных ошибок

Ульяна Жаркова

Ульяна Жаркова

Если вы используете в своей работе персональные данные клиентов, например у вас есть программа лояльности или email-рассылки, по закону вы обязаны собирать согласия на обработку этих данных.

Старший юрист Mindbox Ульяна Жаркова и юрист Mindbox Кира Лукашина рассказывают про порядок работы с персональными данными, объясняют, в каких случаях необходимо собирать согласия на их обработку и как это правильно делать.

В статье даем примеры согласий на обработку данных, разбираем ошибки из практики и объясняем, чем грозит компании нарушение закона о персональных данных.

В конце статьи — шаблон клиентского согласия на обработку персональных данных — адаптируйте его под себя и используйте в своей работе.

Когда необходимо собирать согласия на обработку персональных данных

Персональные данные — это любая информация, по которой клиента можно идентифицировать: ФИО, номер телефона, email, паспортные данные, дата рождения, адрес, cookie-файлы и так далее.

Собирать согласия на обработку персональных данных нужно всем компаниям, которые работают напрямую с покупателями-физлицами.

Кира Лукашина

Кира Лукашина

Мы выделили три частых ситуации, когда бизнес работает с персональными данными клиентов и нужно получить согласие на их обработку:

  1. Компания собирает на сайте cookie-файлы.
  2. На сайте компании клиент может оставить контактную информацию.
  3. Компания собирает данные офлайн.

Компания собирает на сайте cookie-файлы. Практически все сайты используют cookie-файлы, они собирают информацию об активности пользователя. С помощью cookie компания может узнать IP-адрес клиента или другие технические параметры устройства, с помощью которых пользователя в дальнейшем можно идентифицировать.

Раньше вопрос, считать ли cookie-файлы персональными данными, был спорным, но сейчас Роскомнадзор и суды широко трактуют понятие «персональные данные» и относят к ним cookie.

Поэтому, если ваш сайт собирает cookie-файлы, на нем должна всплывать плашка с запросом согласия на сбор cookie.

Согласие на обработку персональных данных

Плашка с запросом согласия на сайте Mindbox

Клиент оставил свои данные на сайте. Обычно сайт компании — это не только визитная карточка бизнеса, но и способ сбора контактной информации клиентов.

При заполнении такой формы клиент передает вам свои персональные данные, поэтому вы должны получить его согласие.

Компания собирает информацию о клиенте офлайн. Бизнес может использовать разные маркетинговые инструменты для офлайн-сбора информации о клиенте: анкетирование, опрос, регистрация в программе лояльности на кассе в момент покупки.

Сбором информации считают любой случай, когда вы просите клиента оставить свои данные на бумаге или даже просто назвать их продавцу, который их потом запишет.

Способы сбора согласий на обработку персональных данных

Вы можете собирать согласия у клиентов любым способом и в любой форме — в законе нет установленных шаблонов и правил. Исключение: бизнес, который работает с особенно важными данными, например с данными о здоровье или национальной принадлежности. Для этих категорий в законе прописаны повышенные требования, но к большинству компаний они не относятся.

Собирать согласия можно в письменном или электронном виде — на усмотрение бизнеса. Мы рекомендуем хранить согласия в течение всего срока их действия — обычно это период, в течение которого планируется обработка данных, и 3 года после.

В таблице — популярные способы сбора согласий.

Рассмотрим каждый из способов.

Печатная анкета. В ней должен быть пункт о согласии на обработку персональных данных. Клиент заполняет ее от руки. Анкета должна храниться в бумажном виде.

Форма сбора персональных данных с согласием на обработку

Бумажная анкета может отражать дух бренда, а не просто служить для сбора персональных данных

Подтверждение согласия через СМС-код или звонок. Продавец со слов клиента вносит его данные в электронную систему у кассе для участия в программе лояльности и просит клиента подтвердить свое согласие на передачу данных через СМС-код или звонок. Система автоматически отправляет клиенту код подтверждения.

Чекбокс с галочкой согласия в общей форме заявки. Клиент ставит галочку «согласен» в чекбоксе формы для сбора данных напротив ссылки на согласие и правила обработки персональных данных на сайте. Отправленная заявка с проставленной галочкой сохраняется на сайте. При необходимости ее можно выгрузить и использовать в качестве доказательства того, что клиент дал согласие.

Двойное подтверждение — double opt-in. Клиент дает согласие через e-mail или СМС. Например, сначала оставляет свой e-mail в форме на сайте, а затем подтверждает согласие, кликнув на ссылку в письме. Или оставляет на сайте номер телефона, а потом отправляет подтверждение в ответ на СМС, которое пришло от компании, или называет код продавцу в магазине.

Код подтверждения по СМС — double-opt-in

Обычно double opt-in используют в двух каналах: e-mail и СМС

Главное: вне зависимости от формы согласия сохранить подтверждение того, что клиент согласился на обработку своих персональных данных. Для этого сохраните заполненную от руки анкету или выгрузите логи — технические файлы о действиях клиента на сайте.

Согласия нужно хранить на случай проверки контролирующими органами или жалобы клиента.

Что должно быть в согласии на обработку персональных данных

Чтобы подготовить правильную форму согласия, нужно проанализировать весь процесс сбора данных и с учетом этого лаконично и в понятной форме объяснить клиенту, что вы собираетесь делать с его данными. В законе прописаны обязательные требования к тексту согласия — изучите их при подготовке формы.

Вот примерный перечень того, что нужно указать в согласии:

Закон запрещает собирать избыточные данные, не нужные для целей, которые вы заявляете в согласии. Например, если компания указывает, что собирает данные для рекламной email-рассылки, она не может требовать от клиента паспортные данные: это незаконно.

Топ-5 ошибок компаний при сборе персональных данных

Часто компании в России пытаются собирать данные, но делают это неправильно — такие случаи можно встретить в сети. Если вы видите, что на сайте собирают данные определенным образом, не стоит копировать такой пример, он может быть некорректным.

Мы собрали ряд примеров, как делать не надо, — они нарушают требования закона о сборе согласий на обработку данных.

В форме сбора данных нет запроса согласия на обработку. Даже если компания разместила на сайте политику обработки персональных данных в футере, она обязана запрашивать согласие при сборе данных в понятной клиенту форме.

Форма сбора данных

Согласие клиента нужно получить в явной форме — в примере нет ни галочки, ни предупреждения, ни прямого вопроса

Чтобы не нарушить закон, в форму надо добавить явный запрос согласия, например поставить чекбокс или добавить подпись «Нажимая кнопку „Проконсультируйте меня“, вы даете согласие на обработку персональных данных» и прикрепить ссылку на это согласие.

Галочка в чекбоксе на согласие поставлена заранее. Если у вас в форме есть чекбокс, заполнение которого подтверждает согласие на обработку данных, нельзя автоматически делать его отмеченным. Клиент должен вручную поставить галочку, иначе это нарушение закона: согласия в явной форме не было.

Это же правило действует при согласии на получение рассылки и участие в программе лояльности: галочка не должна быть проставлена заранее. Если один из клиентов возмутится и напишет жалобу в ФАС, бизнес может получить штраф.

Галочка в согласии на обработку персональных данных

При оформлении заказа нельзя принуждать клиента к подписке на рассылки или участию в программе лояльности

В согласии написано, что данные передаются третьим лицам, но данные этих лиц не указаны. Если в согласии вы не перечислили партнеров, которым раскрываете персональные данные клиентов, значит, у вас отсутствует согласие на передачу клиентских данных — вы не сможете это делать.

Cогласие на обработку персональных данных: указываем всех, кому передаются данные

Необходимо перечислить все компании, которым вы планируете передавать персональные данные клиентов

В согласии не указано, на что именно соглашается клиент. Если нет ссылки на полный текст согласия, это нарушение закона.

В тексте согласия написано, что клиент соглашается на обработку неограниченного перечня персональных данных. По закону список персональных данных, на обработку которых клиент дает согласие, должен быть четко определен — надо прописать, какие именно данные вы собираете и зачем.

Согласие на обработку персональных данных: образец заполнения перечня данных

Нельзя писать «включая, но не ограничиваясь» в согласии на обработку персональных данных. Список сведений должен быть точным

Как накажут бизнес, который не соблюдает правила обработки персональных данных

Не соблюдать требования к сбору персональных данных — риск для компаний и ИП. Ваш бизнес могут проверить по жалобе клиента или конкурента. Нарушение на сайте могут заметить сотрудники Роскомнадзора в процессе мониторинга — для этого не требуется даже проведение проверки.

Размер штрафа зависит от вида нарушения.

Штрафы могут быть наложены за каждый факт нарушения. Размер штрафов зависит в том числе и от «злостности» нарушения. Например, если крупная компания неоднократно попадалась на незаконных практиках и умышленно идет на очередное нарушение в корыстных целях, скорее всего, штраф для нее будет больше, чем для ИП, который допустил нарушение по незнанию и сразу исправил свою ошибку. Точный размер штрафа определяет контролирующий орган в каждом случае индивидуально.

Чтобы избежать штрафов и недовольства клиентов, собирайте согласия и обрабатывайте персональные данные законно.

Чтобы помочь в этом, мы подготовили примерный шаблон клиентского согласия об обработке персональных данных. Скачайте его на свой гугл-диск и адаптируйте под свой бизнес.

Рекомендуем проконсультироваться с юристом, стандартная форма согласия может не учитывать особенности внутренних процессов в конкретной компании.

Главное

  1. Чтобы понять, нужно ли брать согласие у клиента на получение и обработку персональных данных, достаточно ответить на один вопрос: оставил ли вам покупатель информацию, по которой вы можете его идентифицировать, даже косвенно? Если ответ «да», вам надо запрашивать согласие на обработку этих данных.
  2. Самые частые случаи, когда требуется согласие на обработку персональных данных: компания собирает на сайте cookie-файлы, на сайте компании клиент может оставить контактную информацию, компания собирает данные офлайн.
  3. Собирать согласия у клиентов можно любым способом и в любой форме: в законе нет установленных шаблонов и правил. На усмотрение бизнеса возможен письменный или электронный формат.
  4. Хранить согласие нужно в течение всего срока его действия — обычно это период, в течение которого планируется обработка данных, — и 3 года после.
  5. В согласии на обработку данных должны быть следующие пункты: наименование вашей компании как оператора; цели обработки персональных данных; перечень персональных данных; перечень действий с персональными данными; конкретный перечень лиц, которым могут быть переданы данные; срок действия согласия; способ, которым человек может отозвать согласие.
  6. Если вы видите, что на сайте собирают данные определенным образом, не стоит копировать такой способ, он может быть некорректным.
  7. Не соблюдать требования к сбору персональных данных — риск для компаний и ИП. Ваш бизнес могут проверить по жалобе клиента или конкурента. Нарушение на сайте могут заметить сотрудники Роскомнадзора в процессе мониторинга — для этого не требуется даже проведения проверки. Размер штрафа зависит от вида нарушения и составляет от 30 до 500 тысяч рублей за каждый случай.

Подборки материалов о том, как вести бизнес в России: советы юристов и бухгалтеров, опыт владельцев бизнеса, разборы нового в законах, приглашения на вебинары с экспертами.

Относительно недавно в России был введен в оборот новый документ под названием «Согласие на обработку персональных данных». Очень быстро он получил повсеместное распространение и на данный момент широко используется в самых разных организациях, начиная от государственных бюджетных учреждений и до коммерческих компаний.

Внимание! Этот документ можно скачать в КонсультантПлюс.

  • Бланк и образец
  • Онлайн просмотр
  • Бесплатная загрузка
  • Безопасно

Что собой представляет согласие

Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.

Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.

Когда чаще всего требуется согласие

Сейчас согласие необходимо писать почти повсеместно:

  • при подаче документов на ребенка в садик или школу;
  • при трудоустройстве;
  • при заключении договора с банком, страховой компанией и т.д.

Иными словами, везде, где гражданин предоставляет свои личные документы или документы лица, представителем которого он является, заполняет различного рода тесты и анкеты, он подписывается такое согласие.

Что вкладывается в термин «персональные данные»

Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • сведения из паспорта, трудовой книжки и прочих документов;
  • а также некоторые характеристики его личности.

При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.

В частности их условно можно поделить на три основных вида:

  1. общедоступные данные (ФИО, пол, дата, место рождения, гражданство и т.п.)
  2. биометрические (физиологические особенности индивида, его внешние параметры)
  3. специальные (народность, религия, здоровье и т.д.). Сюда же в некоторой степени относится и информация о месте работы человека, его отношениях с законодательством, привычках и т.п.

По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.

Для чего формируется согласие на обработку при трудоустройстве

Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д. Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).

В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.

Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.

Если сотрудник отказывается подписывать согласие

Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.

Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.

В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.

Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.

Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.

Что грозит за разглашение персональных данных

Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.

Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.

Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.

В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).

Как уведомить

Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.

Можно ли отозвать согласие

Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает. Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.

Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).

Это требование должно быть выполнено не позже чем через месяц после написания отзыва.

Образец согласия

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:

  • наименование компании-работодателя;
  • место и дата составления документа;
  • фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.

Далее в основной части подробно указывается:

  • каких именно персональных данных касается документ;
  • в каких целях и что именно допустимо с ними делать;
  • срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).

Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.

СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Я, Ковтун Инна Олеговна, паспорт 2495 564738, выдан Ленинским РОВД г. Иваново, адрес регистрации: г. Иваново, ул. Мельничная д.73, кв. 8, даю свое согласие ОАО «КомЖилФонд» на обработку моих персональных данных. Согласие касается фамилии, имени, отчества, данных о поле, дате рождении, гражданстве, типе документа, удостоверяющем личность (его серии, номере, дате и месте выдачи), а также сведений из трудовой книжки: опыте работы, месте работы и должности.

Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях. Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч. передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.

До моего сведения доведено, что ОАО «КомЖилФонд» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.

Подтверждаю, что давая согласие я действую без принуждения, по собственной воле и в своих интересах.

Сохранение и защита персональных данных — скорее забота клиента, чем банка.

13 Время прочтения: 10 минут

Юлия Кошкина, корреспондент в Банки.ру до 2020 года

Клиенты все чаще подозревают банки в некорректной работе с персональными данными. Где границы дозволенного законом и как на них указать финансовым организациям?

В 2018 году россияне подали свыше 10 тыс. жалоб на банки по причине некорректной работы с персональными данными, следует из статистики Роскомнадзора. По данным ведомства, последние пару лет количество таких обращений снижается, но кредитные организации по-прежнему остаются в топ-листе «нарушителей». В отчете за прошлый год нет информации о доле поданных банковскими клиентами жалоб, которые были признаны обоснованными. В 2015-м по итогам проверок нарушения подтвердились в 35% случаев.

Банки.ру изучил отзывы на форуме и в «Народном рейтинге» и выявил пять распространенных поводов для недовольства клиентов.

Атака рекламой

«Достали уже! Никакой управы на них нет! Постоянно звонят и предлагают свои кредитные карты и кредиты!! Сколько можно уже?! Когда уже все это закончится!» — возмущался один из пользователей «Народного рейтинга». Он, как и многие клиенты банков, готов получать услуги, но без лишнего рекламного сопровождения.

«Угораздило меня полгода назад открыть в Восточном Банке депозит на небольшую сумму. С тех пор на мой телефон регулярно идут холодные звонки с различными предложениями финансовых услуг от банка. При этом я ставлю контакт в черный список, но в следующий раз мне звонят с другого номера. Присылаете СМС, шлете спам в почту, ну этого хватит. Зачем человеку мешать работать?» — писала еще одна недовольная клиентка.

Согласно законодательству, кредитные организации считаются в России операторами персональных данных, то есть той информации, которая необходима для однозначной идентификации клиента. К персональным данным относятся фамилия, имя, отчество, дата и место рождения, адрес регистрации, семейное, социальное или имущественное положение, образование, профессия, уровень дохода, перечисляет партнер юридического бюро «Замоскворечье» Дмитрий Шевченко. Сюда же попадает биометрическая информация, банковская и кредитная история, если верить условиям обработки персональных данных на сайтах финансовых организаций. И это только очевидная часть обрабатываемых персональных данных, подчеркивает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.

Подобные сведения необходимы не только для проверки личности, но и для оценки платежеспособности клиента, замечает зампред правления банка «Ренессанс Кредит» Сергей Королев. Банки, как и любые операторы персональных данных, могут работать с личной информацией клиента только с его согласия, которое он дает, как правило, при первом обращении в кредитную организацию. «Согласие должно быть конкретным, информированным и сознательным», — подчеркивает руководитель практики интеллектуального и информационного права юридической группы «Яковлев и партнеры» Анна Никитова.

Кредитные организации включают в подобные документы весь перечень действий, которые они хотели бы совершать с информацией о клиенте. Речь может идти в том числе о передаче данных партнерам, использовании их для рекламной рассылки или для анализа.

«Все, под чем подпишется клиент, тем и распоряжаются. Передают внутри своей группы компаний, в маркетинг, коллекторам — в зависимости от того, какой список компаний присутствует в соглашении на обработку персональных данных», — отмечает руководитель практики «ИТ-безопасность» «КСК Групп» Алексей Работягов.

Если бланк согласия не предусматривает точных формулировок, стоит выяснить пределы этого согласия, рекомендует Никитова. По словам специалистов, человек может одобрить одни операции и запретить другие. Например, клиент может отказаться от получения рекламной рассылки, говорит Королев из «Ренессанс Кредита». Наличие такой опции также подтвердили в Сбербанке. Еще порядка 15 крупных кредитных организаций, в которые обратился корреспондент Банки.ру, не дали ответа на этот вопрос.

Прости-прощай

Если клиент хочет расстаться с кредитной организацией, это не означает автоматического удаления персональных данных. В теории они хранятся и используются, пока действует договор сторон. А в реальности многие игроки не спешат избавляться от ценной информации.

«Столкнулся с такой проблемой: не могу отозвать из ряда банков свои персональные данные! Прихожу в офис Россельхозбанка, озвучиваю свое пожелание, а на меня таким взглядом смотрят и говорят, что они про такое не слышали! Я, конечно, настоял на заявлении, но ответа не получил по истечении уже четырех месяцев!» — делился негативным опытом на форуме Банки.ру пользователь под ником savelich74.

Просьба удалить персональные данные должна подаваться в письменной форме — сразу в отделении или по почте. При этом банк должен уведомить клиента, что требование выполнено, объясняет Никитова. Закон определяет 11 случаев, когда банк может обрабатывать персональные данные без согласия клиента, подчеркивает Дмитрий Кузнецов. Например, если информация необходима для защиты законных интересов банка.

Даже при отзыве согласия банк будет хранить данные в связи с требованиями исковой давности и финансового контроля, замечает Работягов. «Персональные данные хранятся в течение сроков, установленных действующим законодательством, например, при отсутствии действующего договора — в течение пяти лет с даты прекращения договора», — подтвердили в Райффайзенбанке. В Сбербанке озвучили тот же срок хранения личной информации клиента, сославшись на требования 115-ФЗ (закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». — Прим. ред.).

Получается, что право на отзыв своих персональных данных у клиента есть, а вот шансов на положительный результат — гораздо меньше.

Предложение от незнакомца

Рекламные и продуктовые предложения поступают клиентам от банков и организаций, с которыми те никогда не связывались.

«Прекратите названивать с различных номеров с вашими предложениями! Согласие на обработку данных в вашем банке я не давала!» — жаловалась пользователь «Народного рейтинга» на Тинькофф Банк.

Зачастую подобное взаимодействие с клиентом дает обратный эффект. Вместо интереса к продукту банк провоцирует раздражение.

«Сегодня на почту приходит предложение оформить кредит. Никаких контактов с банком у меня не было. С чего бы банк стал предлагать мне кредиты? В общем, крупный банк занимается рассылкой спама. Всех бесят спамерские рассылки с любыми предложениями. Теперь я ни за что не обращусь в этот банк для получения банковских услуг», — писала несостоявшаяся клиентка Хоум Кредит Банка.

Закон не запрещает банкам получать персональные данные граждан из общедоступных источников. Аналогичный пункт есть в большинстве документов, которые описывают политику кредитных организаций в отношении персональных данных. Вопрос в том, что считать общедоступным источником.

Например, в 2017 году Сбербанк сообщал о намерении проверять заемщиков по «цифровому следу» — открытым данным из соцсетей. Неясно, широко ли это применяется на практике госбанком и другими игроками, но некоторые участники рынка обращают внимание на то, что такой подход несет определенные риски.

Национальное бюро кредитных историй пробовало собирать открытую информацию в соцсетях, но в итоге столкнулось с судебным иском, рассказал на Scoring Case Forum директор по маркетингу НБКИ Алексей Волков. «Дело даже не в вопросе, чьи это данные, а в вопросе самого субъекта и его согласия. Суд решил, что данные в соцсетях не являются открытыми, кто бы что ни считал. Исходя из понимания, что для нас как для бюро, для структуры сверхпубличной, продолжение этой практики является токсичным, мы этот проект свернули», — пояснил эксперт.

Использование открытых данных для «холодных звонков» — это тоже нарушение закона, утверждают собеседники Банки.ру. «Организация должна получить ваше согласие еще до того, как сотрудник кол-центра наберет ваш телефонный номер», — поясняет Кузнецов. Другой вопрос, как пресечь эту активность банка.

По словам Кузнецова, обзвоны, как правило, делают не банки, а сторонние организации, поэтому привлечь к ответственности такой кол-центр крайне сложно.

За того парня

Кредитные организации могут попросить заемщика оставить контакты третьих лиц для связи. У экспертов нет единого мнения, считается ли это нарушением закона «О персональных данных». «Банк может попросить предоставить телефоны родственников для связи с самим клиентом, в случае если по предоставленным прямым номерам банк не сможет до него дозвониться. Отдельного согласия от них не требуется: либо клиент сам уведомляет третьих лиц о дальнейшей обработке их персональных данных банком, либо их уведомляет непосредственно банк», — поясняет зампред «Ренессанс Кредита». В Райффайзенбанке противоречия также не увидели: «Набор таких данных, как имя и телефон, не позволяет определить конкретное физлицо».

«Такой подход не совпадает с основной идеей закона, но банки изворачиваются. Иногда платят штрафы, но в целом принимают риски», — резюмирует Работягов. В таких случаях юристы рекомендуют клиентам обращаться в банк и писать заявление на отзыв персональных данных. Основанием, в частности, может служить то, что вы не являетесь стороной договора.

Утечка без доказательств

Реклама — меньшая из бед, которые могут произойти. Клиентов банков больше волнуют ситуации, когда есть признаки утечки персональных данных из банка.

«Уже несколько лет храню вклады в Московском Кредитном Банке, вклады достаточно крупные. И каждый раз, стоит мне пополнить вклад, как через день начинают поступать звонки от всяких коммерческих организаций с предложениями вложить мои деньги на более выгодных условиях, ситуация тянется не первый год. Посоветуйте, пожалуйста, что делать?! Получается, что сотрудники продают или передают бесплатно информацию о моих счетах, мой адрес и т. д.!» — писала пользователь форума Банки.ру под ником KateV.

Аналогичные подозрения возникают у клиентов, когда от имени банка им начинают звонить мошенники. «Когда звонят конкретно клиенту банка, владея персональными данными, звонят высокопрофессиональные подготовленные мошенники, как в моем случае, звонили с номеров горячей линии банка (на другой номер я бы не повелась). Многие пишут, что работники банка слили инфу (в некоторых банках мне сказали, что за деньги купить можно все)», — отмечала форумчанка под ником 777kolibri_2010.

Российское законодательство предусматривает ответственность оператора за утечку персональных данных или некорректную работу с ними. Это может быть административный штраф до 75 тыс. рублей за каждое нарушение, говорит Дмитрий Шевченко. В 2018 году Роскомнадзор выписал таких штрафов на 3,9 млрд рублей. «Если разглашение персональных данных привело к гражданско-правовым последствиям, к примеру, причинен моральный вред, либо разглашение привело к убыткам субъекта персональных данных, то может быть предъявлен иск о возмещении убытков и компенсации морального вреда», — отмечает Никитова.

Однако утечку личной информации еще нужно доказать, подчеркивают собеседники Банки.ру. «Это практически нереально, так как не доказать, что есть ущерб. Вот утекут данные и деньги, тогда другой вопрос», — констатирует Работягов. «Чтобы привлечь оператора, допустившего утечку, к ответственности, придется доказывать, что он или нарушил требования по обеспечению безопасности, или слил данные сознательно», — заключает Кузнецов из Positive Technologies.

\n \n\t\t\t \n\t\t\t \n\t\t \n\t","content":"\t\t

\n\t\t\t\u0412\u044b \u043d\u0435 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u043e\u0432\u0430\u043d\u044b \u043d\u0430 \u0441\u0430\u0439\u0442\u0435.\n\t\t \n\t\t

Автор статьи

Куприянов Денис Юрьевич

Куприянов Денис Юрьевич

Юрист частного права

Страница автора

Читайте также: