Согласия на обработку персональных данных. Как оформлять во всех ситуациях по новым правилам и с учетом новых ограничений
Согласия на обработку персональных данных. Как оформлять во всех ситуациях по новым правилам и с учетом новых ограничений
Анна Батура,главный
редактор журнала «Справочник кадровика»
Чем поможет статья. Подберете готовый шаблон согласия, чтобы работник быстро и правильно оформил документ в любой, даже нестандартной, ситуации.
Сделали для вас полное руководство по работе с согласиями на обработку персональных данных в 2026 году. Готовые новые шаблоны, образцы всех согласий и памятки помогут быстро оформить документы в любой ситуации, сэкономить время и избежать ошибок в формулировках.
Зачем скачивать новые шаблоны согласий
В новых шаблонах мы учли последние требования закона и практики Роскомнадзора. Вы можете не волноваться, что сотрудник заполнит согласие не по форме и с ошибками в содержании. Также мы предусмотрели, что согласия на обработку персональных данных сотрудники должны давать только в тех случаях, когда для обработки персональных данных нет закона, договора или других законных оснований.
Согласие всегда нужно оформлять отдельным документом. Оно должно быть:
конкретным. Для этого предусмотрите в шаблоне строки для четких формулировок целей обработки персональных данных;
предметным. Для этого составьте таблицу или предусмотрите строки, чтобы работник мог перечислить сведения, на обработку которых он дает согласие, и действия, которые он разрешает проводить;
информированным. В шаблоне должны быть фразы по формулам «я понимаю», «я осознаю», «меня уведомили»;
сознательным и однозначным. В шаблоне должны быть простые формулировки, которые доступны для понимания работника даже «на бегу» или когда он занят решением рабочих задач;
необходимым. То есть согласие сотрудник должен оформлять только в том случае, если для обработки нет оснований в законе или договоре.
Закон выделяет разные виды согласий, и они должны оформляться по-разному. В этой статье есть шаблоны и образцы согласий:
на обработку персональных данных, кроме распространения, ст. 9 Закона № 152-ФЗ;
обработку персональных данных, разрешенных субъектом персональных данных для распространения, ст. 10.1 Закона № 152-ФЗ;
обработку биометрических персональных данных, ст. 11 Закона № 152-ФЗ;
обработку специальных категорий персональных данных, ст. 10 Закона № 152-ФЗ;
трансграничную передачу персональных данных, ст. 12 Закона № 152-ФЗ;
обезличивание персональных данных, ст. 13.1 Закона № 152-ФЗ.
Согласия, кроме первого, общего — на обработку персональных данных, сотрудники оформляют в ситуациях, в которых требуется специальный документ. Например, если данные сотрудника становятся известными неопределенному кругу лиц, он дает согласие на распространение сведений. Если вы передаете данные за границу, то сотрудник составляет согласие на трансграничную передачу персональных данных. На обработку биометрии всегда оформляется согласие на обработку биометрических персональных данных. Если не требуется специальная форма, используйте первый шаблон — он подходит для всех общих ситуаций обработки.
Роскомнадзор относит к высокой категории риска компании, которые берут избыточные согласия на обработку персональных данных, обрабатывают данные специальных категорий и биометрию, а также передают сведения о сотрудниках за границу. Поэтому ведомство внимательно проверяет состав и форму согласий, оценивает их содержание. Наши шаблоны помогут учесть все нюансы, обязательные реквизиты и строки, а образцы — подобрать правильные формулировки.
За нарушения работы с согласиями предусмотрены немаленькие штрафы, которые могут назначить даже без выездной проверки, по изучению документов компании в интернете. Если не оформили согласие тогда, когда должны были, а также если допустили ошибку в форме или содержания оформленного согласия, кадровику или другому ответственному должностному лицу грозит штраф от 100 000 до 300 000 рублей, а компанию могут оштрафовать на сумму от 300 000 до 700 000 рублей, ч. 2 ст. 13.11 КоАП. Если не исправить ошибки и снова допустить нарушение, штрафы еще выше: от 300 000 до 500 000 рублей для должностных лиц и от 1 до 1,5 млн рублей для компании, ч. 2.1 ст. 13.11 КоАП.
Можно ли поручить обработку персональных данных сотрудников третьему лицу
Вы можете поручить обрабатывать персональные данные сотрудников сторонним компаниям и даже физическим лицам, которые оказывают подобные услуги, п. 3 ст. 6 Закона № 152-ФЗ. Если компания нанимает подрядчика, например, облачную бухгалтерию или ИТ-сервис, агентство для оформления билетов и брони гостиниц, ответственность перед сотрудником несете вы, а подрядчик отвечает за соблюдение Закона о защите персональных данных перед вами.
Прежде чем передать данные сотрудника подрядчику, убедитесь, что в договоре с подрядчиком прописали:
— обязанность подрядчика соблюдать конфиденциальность и избегать утечек сведений; — перечень разрешенных действий с определенными данными; — обязанность обеспечить безопасность данных согласно ст. 19 Закона № 152-ФЗ; — обязательство уничтожить данные после достижения цели обработки или расторжения договора на обработку персональных данных.
Если подрядчик допустит утечку данных ваших сотрудников, штраф может получить и ваша компания. В формулировках постановления Роскомнадзор или суд укажет, например, за «ненадлежащий выбор контрагента» или «отсутствие контроля за обеспечением безопасности».
Нужно ли брать согласие сотрудников для того, чтобы передать их данные для обработки подрядчику? Последние решения Роскомнадзора показывают, что такая обработка происходит на основании закона и договора с компанией, а не на основании согласий. Поэтому эти документы будут избыточными.
Согласие на обработку персональных данных, кроме распространения
Прежде всего убедитесь, что в анкетах, договорах, любых документах больше нет пункта «и даю согласие на обработку персональных данных». Все согласия на обработку персональных данных теперь полноценные документы с обязательными реквизитами и данными.
Вы просите работника оформить согласие на обработку персональных данных только тогда, когда у вас есть определенная цель, а основания для обработки нет в законе или договоре. Поэтому сначала исключите другие основания, решение Пресненского районного суда г. Москвы по делу № 02-0907/2024. Затем сформулируйте одну и только одну цель, чтобы работник вписал ее в шаблон. Согласие с общей целью без конкретики, суд признает недействительным, постановление АС Поволжского округа от 18.02.2021 по делу № А65-16592/2020. Не оформляйте одно согласие для нескольких целей обработки, например, для оформления корпоративных скидок, оплату фитнеса и новой программы ДМС.
Данные, которые вы будете обрабатывать, сотрудник должен перечислить через запятую. Формулировки типа «даю согласие на обработку всех персональных данных, которые передаю работодателю» незаконны.
Когда сотрудник будет выбирать способ обработки: автоматизированная или нет, заодно объясните ему, что такое автоматизированная обработка и обсудите, какие именно действия будете совершать с его персональными данными для того, чтобы достигнуть целей обработки. Обговорите с сотрудником нюансы отзыва согласия. Опишите ситуации, в которых такой отзыв невозможен, а для всех остальных случаев напомните процедуру отзыва. Уточните, что если работник отзовет согласие, вы прекратите обработку в течение 30 дней, ч. 5 ст. 21 Закона № 152‑ФЗ.
Сотрудник не должен писать, что согласие действует «бессрочно». Все ограничения по срокам указаны в шаблоне, в конкретной ситуации нужно выбрать нужные события, в связи с которыми согласие перестанет действовать.
Памятка, шаблон и образец согласия на обработку персональных данных, кроме распространения
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения
Согласие на распространение персональных данных сделает сведения о работнике доступными неограниченному кругу лиц неопределенное количество времени. В этом отличие распространения от передачи персональных данных, когда адресат точно известен. Например, вы распространяете персональные данные сотрудника на корпоративном сайте и передаете его данные в банк. Другие примеры распространения:
Пример
Размещаете фото и Ф. И. О. сотрудников на официальном сайте компании, публикуете данные на Досках почета в общедоступных местах, публикуете посты в корпоративных соцсетях с упоминанием успехов конкретных работников, включаете данные о сотрудниках в открытые базы или справочники.
Это тоже отдельный документ. В отличие от согласия на обработку есть еще и такое уточнение: согласие на распространение персональных данных — это всегда отдельное согласие. В шаблон согласия на распространения сразу включите таблицу со столбцами:
категории персональных данных (общие, специальные, биометрические);
перечень персональных данных по этим категориям (имя, дата рождения, адрес, должность, образование, стаж работы, награды);
отметки «Разрешаю/Не разрешаю» для всех строк перечня, условия распространения и запреты, которые установит работник.
В согласии обязательно указать способы распространения и все информационные ресурсы, на которых разместите сведения о сотруднике. Нельзя указать просто «любые ресурсы в сети Интернет».
Когда будете размещать информацию — сверяйтесь с заполненной таблицей. Размещайте только разрешенные сведения и учитывайте все ограничения. Например, если работник согласился размещать на сайте фото, адрес электронной почты и должность, но запретил дату рождения и номер личного телефона.
Обязательно разъясните сотруднику, что он в любой момент может отказаться от публикации сведений о нем, и вы выполните эти требования. Есть нюансы. В течение трех рабочих дней вы прекратите передачу данных и удалите их со всех публичных ресурсов. Но если данные сотрудника уже «разошлись» по сети, вы за это ответственности не несете. Вы должны только прекратить их дальнейшее распространение.
Особенно внимательно подходите к зачистке «цифровых следов» уволенных сотрудников. Не ждите требований бывшего сотрудника, особенно если он ушел со скандалом. Добавьте в привычную процедуру увольнения обязательный пункт: проверить, какие сведения о сотруднике распространяла компания, и убрать их из публичного доступа.
Памятка, шаблон и образец согласия на обработку персона
Согласие на обработку биометрических персональных данных
Биометрические данные — это только те сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. В трудовых отношениях это чаще всего фотографии для систем распознавания лиц на входе в офис, отпечатки пальцев. Простое фото на сайте, доске почета, пропуске биометрией не является.
Пример
Снимок лица, который используется в системе СКУД для автоматического открытия турникета. Сканирование рисунка ладони или радужки глаза, отпечатки пальцев — это биометрия.
Фотография в личном деле, скан паспорта или видеозапись в коридоре, которая ведется для общей безопасности, без цели идентификации конкретного лица в автоматическом режиме, — это НЕ биометрия.
В отличие от обычных персональных данных биометрические данные работник предоставляет только в том случае, если согласен на это. Даже если, например, в компании установлена пропускная система с использованием биометрических данных, в ПВТР или другом локальном акте важно предусмотреть альтернативу для тех, кто откажется. Если работник откажется сдать отпечатки пальцев, значит, вы должны будете оформить ему обычный пропуск в обход общих правил.
Если же сотрудник сначала оформил согласие, а потом передумал, то вы должны немедленно прекратить использовать его биометрические персональные данные. Так как биометрию обрабатывают в основном в автоматизированном режиме, важно не только прекратить использовать данные, но ...