С персональными данными (по тексту - ПД) мы сталкиваемся повсеместно, начиная с заполнения анкеты соискателя работы до регистрации на интернет-страницах. Компании и другие лица, которые получают и обрабатывают сведения о ПД, перед обработкой данных должны уведомить Роскомнадзор, а также назначить ответственное лицо за обработку этой информации (п.1 ст.22 Федерального закона от 27.07.2006 г. №152-ФЗ). И только после этого получить согласие с работника на обработку ПД.
Что представляет собой согласие на обработку ПД?
Согласие на обработку ПД представляет собой документ, который может быть составлен как на бумаге, так и в электронном виде. Суть этого документа заключается в добровольном решении физического лица передать оператору ПД свою личную информацию для определенных целей (ст.9 Федерального закона от 27.07.2006 г. №152-ФЗ).Когда необходимо получить согласие на обработку ПД работника?
Не во всех случаях работодатель должен брать с сотрудника согласие на обработку ПД. Например, при передаче сведений в СФР, налоговую инспекцию, прокуратуру, МВД, военкомат, в организацию, которая занимается специальной оценкой условий труда. Такие действия работодатель обязан совершать в силу закона, при исполнении трудовых обязанностей. В иных случаях согласие необходимо.Например, к профессиональному празднику во многих крупных компаниях принято фотографировать самых достойных работников и развешивать их фото на общедоступных стендах «Герои труда» или «Лучшие передовики производства». Для того чтобы страна знала своих героев под фото указывается ФИО, цех или управление, где трудится передовик, а также его должность. Такие стенды могут размещаться перед проходной, чтобы по пути на работу люди видели фото лучших работников.
Размещение на досках почета или иных подобных стендах невозможно без получения согласия об обработке ПД самого героя (письмо Роскомнадзора от 20.01.2017 г. №08АП-6054). Важно знать, что фотографии, аудио- и видеозаписи, а также отпечатки пальцев относятся к биометрическим ПД (письмо Роскомнадзора от 10.02.2020 г. №08АП-6782). Поэтому работодатель должен заручиться согласием на распространение этих ПД.
Какие нюансы нужно учитывать при оформлении согласия на обработку ПД?
В согласии должны быть прописаны все действия, которые планирует совершить работодатель с ПД сотрудника.К таким действиям могут относиться (п.3 ст.3 Федерального закона от 27.07.2006 г. №152-ФЗ):
- cбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение, в том числе, обновление, изменение;
- извлечение;
- использование;
- передача, в том числе, распространение, предоставление, доступ.
По какой форме должно составляться согласие на обработку персональных данных?
Ни Роскомнадзором, ни другим контролирующим органом не утверждена типовая форма согласия на обработку ПД. Унифицированные формы согласия разработаны только для государственных служащих. Например, для налоговиков типовая форма согласия разработана ФНС РФ (приложение №5 к Приказу ФНС РФ от 21.04.2015 г. №ММВ-7-4/165@).Поэтому форму согласия на обработку ПД конкретно под свои цели компания должна разработать самостоятельно. Но в любом случае согласие должно содержать исчерпывающий перечень сведений (п.4 ст.9 Федерального закона от 27.07.2006 г. №152-ФЗ):
- ФИО, адрес, реквизиты документа, удостоверяющего личность гражданина, сведения о дате его выдачи и выдавшем его органе;
- наименование или ФИО и адрес оператора ПД;
- цель обработки и перечень ПД;
- наименование или ФИО и адрес лица, осуществляющего обработку ПД, если обработка будет поручена третьему лицу;
- перечень действий с ПД, на совершение которых дается согласие, а также описание используемых оператором способов обработки ПД;
- срок действия согласия, а также способ его отзыва.
Почему ужесточились требования за нарушение обработки и утечку ПД?
Из года в год ужесточаются требования к обработке ПД и санкции за их утечку. И это неспроста. По данным компании «ЦИБИТ», за первые 4 месяца 2025 года зафиксировано более 50 крупных утечек ПД, а общий объём скомпрометированных сведений составил больше 21 млн телефонных номеров и 17 млн адресов электронной почты.Государство решает эту проблему путем расширения полномочий регулятора ПД и вводит огромные штрафы. В основном, утечка ПД происходит по вине сотрудников компании. Кто-то намеренно «сливает» данные, пытаясь заработать на этом, а кто-то небрежно относиться к своим должностным обязанностям по защите информации.
Например, старший руководитель группы взыскания на основании агентского договора с ПАО Сбербанк собирал задолженность с должников банка. Для этого ему предоставили доступ к специальному программному обеспечению, которое содержит банковскую тайну в виде ПД должников - клиентов банка. Сотрудник скопировал со своего служебного компьютера данные клиентов ПАО Сбербанк и выставил их на продажу на интернет-форуме «Dublik.at».
Впоследствии в трех ведущих СМИ размещены не менее 29 публикаций, посвященных данному инциденту. Ущерб от публикаций в связи с утечкой данных о клиентах ПАО Сбербанк оценил в 3,5 млн рублей (определение СК по гражданским делам ВС РФ от 13.02.2024 г. №16-КГ23-70-К4).
Какие штрафы грозят нарушителям за нарушение обработки ПД?
Начиная с 30 мая 2025 г., за нарушение правил обработки ПД компанию могут оштрафовать до 500 млн рублей (Федеральный закон от 30.11.2024 № 420-ФЗ). Если ранее первичное нарушение обработки ПД стоило компании до 100 тыс. рублей, то сейчас размер штрафа вырос до 300 тыс. рублей. Для виновных должностных лиц штраф вырос в 5 раз - до 100 тыс. рублей.Повторное нарушение обойдется компании в 500 тыс. рублей, а ее должностным лицам - до 200 тыс. рублей (п.18 ст.13.11 КоАП РФ). Ранее сумма штрафа для компаний составляла 300 тыс. рублей, а для ее должностных лиц -50 тыс. рублей.
