Чек-лист и подсказки помогут избежать новых штрафов при работе с персданными

С 23 декабря 2023 года вступили в силу поправки, которые ужесточают ответственность за нарушения в работе с персональными данными (Федеральный закон от 12.12.2023 № 589-ФЗ). Расскажем, за какие нарушения повысили штрафы, когда нужны согласия на обработку персданных и какие сведения в них включить.

Какие штрафы ввели за нарушения при обработке персданных

Максимальный штраф для компаний за обработку персональных данных без согласия в письменной форме повысили со 150 000 до 700 000 руб. За повторное нарушение организацию оштрафуют на сумму до 1,5 млн руб. вместо 500 000 руб. Штраф выпишут при условии, что такое согласие требуется по закону. Такие же штрафы грозят тем, кто получит согласие, но нарушит требования к его содержанию (ч. 2, 2.1 ст. 13.11 КоАП). На какую сумму могут оштрафовать должностных лиц, смотрите в таблице ниже.

Кроме того, появились штрафы за нарушение требований при размещении биометрических персданных (ст. 13.11.3 КоАП). Это касается банков, МФЦ и других организаций. Речь идет о ситуациях, когда они с нарушениями размещают и обновляют биометрию в Единой биометрической системе. Тогда размер штрафа для юрлица составляет от 500 000 до 1 млн руб., для должностных лиц — от 100 000 до 300 000 руб.

В каких случаях надо получить письменное согласие на обработку персданных

По общему правилу согласие на обработку персданных можно составить в любой форме, которая позволяет подтвердить факт его получения. И все же в большинстве случаев стоит оформлять согласие в письменной форме. При возникновении спора это поможет доказать, что гражданин разрешил вам обрабатывать свои данные (ч. 3 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ).

В отдельных ситуациях письменное согласие прямо предусмотрено законом. К примеру, если обрабатываете специальные категории персональных данных. К ним относятся сведения о состоянии здоровья, национальности, политических взглядах, религиозных или философских убеждениях и т. д. (п. 1 ч. 2 ст. 10, ч. 1 ст. 11 Закона № 152-ФЗ).

Брать письменное согласие работника на обработку его персданных нужно не во всех случаях. Например, согласие на обработку персданных от сотрудников не требуется, если используете сведения только внутри компании для исполнения обязанностей, функций и полномочий работодателя (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ). Или же когда обрабатываете сведения о сотруднике, чтобы передать их в налоговую, СФР, военкомат и т. д.

А вот если сообщаете персданные работника третьим лицам или, наоборот, получаете их от третьих лиц, нужно оформить согласие в письменной форме (п. 3 ст. 86 ТК). Но и здесь есть исключения. Это могут быть экстренные ситуации при угрозе жизни и здоровью работника и др. (абз. 2 ст. 88 ТК).

Как оформить согласие на обработку персданных

Если закон требует согласие на обработку персданных в письменной форме, это не значит, что оно должно быть только на бумаге. Его также можно оформить в электронном виде с электронной подписью. Электронный документ с ЭП будет равнозначен бумажному согласию с собственноручной подписью (ч. 4 ст. 9 Закона № 152-ФЗ).

Унифицированной формы для согласия на обработку персданных нет. Документ можно составить в свободной форме. Образец — ниже. Главное включить в согласие обязательные реквизиты. Тогда оно будет соответствовать требованиям закона. То есть будет конкретным, предметным, информированным, сознательным и однозначным (ч. 1, 4 ст. 9 Закона № 152-ФЗ). Что отразить в согласии на обработку персданных, проверьте по чек-листу.

Чек-лист. Какие сведения включить в согласие на обработку персданных работника

Проверьте по нашему чек-листу свой бланк согласия, который предлагаете подписывать сотрудникам и другим физлицам. Если отметили галочками все пункты, значит, все обязательные сведения в вашем документе есть (ч. 4, 9 ст. 9 Закона № 152-ФЗ). Пропустили хотя бы один реквизит — добавьте его в форму согласия. Это поможет избежать штрафов.

	Сведения о работнике или его представителе Укажите Ф. И. О., адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его ведомстве. Если же получаете согласие от представителя, укажите данные представителя, а также реквизиты доверенности или другого документа, который подтверждает полномочия.
	Сведения о работодателе Укажите наименование и адрес компании либо Ф. И. О. и адрес индивидуального предпринимателя.
	Цель обработки персональных данных Укажите, с какой целью планируете обрабатывать персданные. Например, чтобы оформить пропуск на территорию работодателя.
	Перечень персданных для обработки Приведите список персданных, которые работник разрешает обрабатывать. Это могут быть Ф. И. О., пол и возраст, гражданство, паспортные данные и др.
	Сведения о том, кто будет обрабатывать персданные по поручению работодателя Напишите Ф. И. О. и адрес физлица или наименование и адрес организации, которые будут обрабатывать персданные по вашему поручению.
	Перечень действий и способов при обработке персданных Приведите список действий с персональными данными, на совершение которых работник дает согласие. Дайте общее описание способам обработки.
	Срок действия согласия и способ его отзыва Установите срок, в течение которого будет действовать согласие на обработку персданных. Это может быть любой срок, поскольку закон не устанавливает к нему требований или ограничений. Также определите способ отзыва согласия. К примеру, на основании письменного заявления работника в произвольной форме.
	Подпись Убедитесь, что работник завизировал согласие собственноручной или электронной подписью.

Это общие требования к согласию на обработку персданных в письменной форме. Для отдельных случаев есть особые правила. Например, требования к согласию на обработку персданных, разрешенных для распространения, утверждены приказом Роскомнадзора от 24.02.2021 № 18.

Распечатать образец • Скачать бланк в формате Word