Обработка персональных данных третьими лицами

Обработка персональных данных родственников и третьих лиц — надо ли брать согласие? – Институт Профессионального Кадровика

Обработка персональных данных третьими лицами
25 ноября

1604

#CNT# data-template-html-inactive=В избранное #CNT#>

С персональными данными родственников работника и других третьих лиц также могут производиться операции по их обработке. Их производит работодатель в качестве оператора ПД.

В зависимости от количества заключаемых договоров, наличия социальных программ на предприятии и прочих обстоятельств, субъектами ПД выступают партнеры, ближайшие родные сотрудников — люди, которые по отношению к работодателю не являются ни соискателями, ни работниками.

Более подробно об обработке персональных данных родственников и иных лиц, имеющих отношение к работникам (детей, родителей, супругов и др.) вы узнаете, если запишетесь на наш дистанционный курс по персональным данным.

Важно понимать, что характер конфиденциальной информации, собираемый по каждому субъекту, подчинен целям обработки. Какие цели могут обусловить сбор конфиденциальных сведений о третьих лицах:

  • внесение в ИСПДн, обеспечение дополнительными социальными льготами;
  • оформлении кадровой номенклатуры дел (сведения о родных по форме Т-2);
  • обеспечение исполнения договорных обязательств; другое.
Что нового появилось в трудовом законодательстве на этой неделе расскажет Валентина Митрофанова. Смотрите новый выпуск  «Кадрового обзора».
Важно!Не нужно получать согласие родных работника на обработку их личных сведений в границах, предусмотренных личной карточкой по форме Т-2 — п. 2 разъяснений Роскомнадзора от 14 декабря 2012 г.
СоветКак быть, если сотрудник отказывается сообщать данные о родственниках для заполнения Т-2?На основании ст. 9 Закона No 152-ФЗ сотрудник передает собственные персональные данные. При уклонении от предоставления информации о родственниках работодатель не вправе их требовать — ч. 1 ст. 9 No 152-ФЗ, п. 3 ст. 86 ТК РФ. В этом случае некоторые разделы личной карточки Т-2 останутся незаполненными по объективным причинам.Чтобы обезопасить себя от претензий со стороны проверяющих, рекомендуем составить акт или взять с работника соответствующее заявление об отказе.

Для достижения целей обработки ПД при:

  • выполнении обязанностей, возложенных законом на оператора;
  • исполнении условий договора с сотрудником необходимая обработка персональных данных родственников производится без согласия субъекта — статья 6 No 152-ФЗ.

Если случаи обработки конфиденциальной информации не предусмотрены действующим законодательством, необходимо получить согласие на обработку персональных данных от самого работника, от его родственников (жены, мужа, брата, сестры, родителей, совершеннолетних детей) и иных третьих лиц, чьи ПнД подлежат обработке.

Необходимо взять согласие родственников и прочих лиц на обработку персональных данных до того, как вы начнете производить какие-либо операции с ними.

Какие сведения указывают в согласии:

  • ФИО, регистрация третьего лица, данные паспорта;
  • название, расположение оператора;
  • цель обработки конфиденциальных сведений;
  • перечисляются сведения, на обработку которых получено согласие;
  • перечисляются действия, которые будут производиться с персональными данными родственников работника;
  • используемые работодателем методы обработки;
  • на какой срок выдано согласие на обработку ПД;
  • как можно отозвать согласие на обработку ПД (если другое не определено законом);
  • подпись родственника или другого третьего лица как субъекта персональных данных.
Важно!Законным представителем несовершеннолетнего выступает сам работник  — его родитель, поэтому отдельного документа — согласия на обработку ПД не требуется.

Обработка персональных данных родственников и членов семей может осуществляться двумя способами:

  1. Получение отдельного документа  — заявления от родственника сотрудника на обработку его персональных данных. Здесь согласие оформляет и подписывает сам член семьи (третье лицо).
  2. Оформление работником согласия на обработку персональных данных от лица родственника. Здесь работник выступает как его представитель на основании нотариальной доверенности.

Хранение персональных данных близких родственников работников, третьих лиц определяется целью их обработки. Она указана в согласии, также, как и срок действия документа.

По истечению срока, достижении целей обработки ПД, при отзыве согласия на обработку персональных данных конфиденциальная информация о любом третьем лице должна уничтожаться. Это требование статьи 21 Федерального закона No 152-ФЗ «О персональных данных».

Важно!Личные сведения уничтожаются со всех носителей, где они присутствуют — из ИСПДн и с бумажных носителей.

Регламент аннулирования персональных данных прописывается в ЛНА по ПД в организации. Он определяется работодателем самостоятельно. Для этого может быть создана специальная комиссия, состав которой определяется приказом. Состав комиссии может меняться в зависимости от вида ликвидируемых персональных данных.

Распространенные методы документальной фиксации уничтожения личной информации о субъекте — оформление акта об окончании обработки персональных данных или регистрация факта уничтожения ПнД в специальном журнале. Форма акта и журнала утверждается работодателем.

Речь идет об уничтожении персональных данных с бумажных носителей, из инфосистем.

Важно!Согласие на обработку персональных данных третьих лиц не уничтожается. Срок хранения согласий на обработку персональных данных определяет Приказ Росархива от 20.12.2019 No 236. Этот документ замещает отмененный в 2019 году приказ Минкульта РФ No 558.
Как должна происходить передача персональных данным третьим лицам (банкам, страховым компаниям и т.д.), потребность в которых возникает в процессе трудовой деятельности? Об этом и многом другом наш новый курс в рамках программы повышения квалификации.

 

Источник: https://profkadrovik.ru/articles/working-conditions/obrabotka-personalnykh-dannykh-tretikh-lits/

Что такое согласие на передачу персональных данных третьим лицам?

Обработка персональных данных третьими лицами

При взаимодействии с разными организациями граждане подписывают согласие на обработку своих персональных данных. Одним из пунктов такого документа является согласие на передачу своих персональных данных оператором третьим лицам (третьей стороне).

Зачем передавать персональные данные третьим лицам?

Третьими лицами могут быть организации или сотрудники оператора обработки персональных данных, которые участвуют в правоотношениях гражданина (субъекта данных) и оказывающей услуги организации.

Третьи лица могут выполнять непосредственные обязанности по договору (например, по трудовому договору), а также оказывать дополнительные услуги, сопутствующие или дополнительно возникающие при реализации условий договора.

Многие организации гордятся своими дополнительными трудовыми условиями под названием “социальный пакет”.

В социальный пакет может входить дополнительное медицинское обслуживание, спортивный отдых, обеспечение досуга сотрудников и многое другое, что является дополнительным и может обеспечиваться сторонними организациями, которым потребуются персональные данные сотрудников. Организация, в которой сотрудники работают, может передать их персональные данные на основании разрешения о передаче этих данных третьим лицам.

Передача данных третьим лицам в трудовых отношениях может быть осуществлена при использовании работодателем услуг кадрового или бухгалтерского аутсорсинга, проведении исследований эффективности менеджмента сторонними специалистами и другое.

Третьим лицам не нужно получать разрешение на обработку персональных данных у сотрудника организации, передавшей его данные в связи с какой-нибудь целью.

Особенности оформления согласия на передачу персональных данных третьим лицам

О чем не нужно волноваться?

Иногда субъект персональных данных опасается того, что выдавая разрешение на передачу персональных данных третьим лицам организация сразу начнёт их распространять, вплоть до продажи разным организациям – это ошибочное мнение.

В Федеральном законе “О персональных данных” закреплён принцип целевой обработки данных – это означает, что при получении согласия на обработку персональных данных оператором должны быть обозначены цели, в соответствии с которыми возможна обработка.

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.статья 5 Федерального закона от 27.07.2006 №152-ФЗ.

Оператор обработки персональных данных не может передавать персональные данные граждан любым третьим лицам по любому запросу, а может осуществлять только передачу данных для целевых обработок, обозначенных при заключении договора и получении согласия субъекта на обработку персональных данных.

Условия передачи персональных данных третьим лицам должны быть указаны конкретно и полно в тексте письменного согласия. В таком согласии должно быть указано каким организациям и в каких целях будет передаваться персональная информация. Любая передача данных, являющаяся дополнительной для осуществления правоотношений (трудовых, гражданских), должна быть сформулирована в тексте согласия.

Если в тексте согласия указано просто “передача данных третьим лицам”, то это неполная формулировка условий обработки данных, которая может подразумевать передачу персональных данных только для выполнения существенных условий договора (трудового или гражданского).

Существенными условиями являются такие условия, без которых невозможна реализация правоотношений по заключённому договору.

Для получения организацией данных о сотруднике или клиенте другой организации (проверка данных) или передаче персональных данных по запросу другим организациям нужно письменное согласие этого сотрудника или клиента, позволяющее установить факт информированности субъекта о целях и объеме передачи его персональных данных.

Дополнительные материалы по теме этой статьи:

  • Можно ли уволить работника за отзыв согласия на обработку персональных данных?
  • Что нужно знать об управлении согласием на обработку персональных данных?

5 марта 2020 года (редакция текста 28 июня 2020 года).

юрист Демешин Сергей Владимирович.

Участвуйте в обсуждении, пройдите опрос об интересных темах будущих публикаций (ссылка опроса в описании канала, также в описании указаны правила комментирования публикаций).

Источник: https://zen.yandex.ru/media/info_law_society/chto-takoe-soglasie-na-peredachu-personalnyh-dannyh-tretim-licam-5e60e78397b4e60aa6191588

Персональные данные третьих лиц

Обработка персональных данных третьими лицами
В новой версии Закона о персональных данных (от июля 2011 года) если лицо «А» (не важно юридическое или физическое) поручает Вам обработку персональных данных лица «Б», то именно лицо «А» ответственно за то, что оно имеет разрешение от лица «Б» на передачу его данных Вам. Вы при этом являетесь «обработчиком ПДн», а лицо «А» — «оператором ПДн».

Части 3, 4, 5 статьи 6-ой (новой редакции):

3.

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора).

Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.

В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Нравится 3 7 комментариев 1. Сейчас нет обязательного требования письменного согласия, есть просто «согласие», то есть вам нужно каким-то образом доказать факт получения согласия регулятору. Конечно в этом плане письменное согласие снимает все вопросы. Можно конечно реализовать галочку «Я согласен», но отправитель не может давать согласие за получателя на обработку его ПДн. 2. Согласие не требуется для осуществления почтовых отправлений, но это по-моему не ваш случай. Хотя можно попробовать доказать, что эти данные у вас не хранятся. Тут как раз необходимы детали, в которые вы не стали вдаваться =) 3. На различных конференциях представители РКН на вопросы о персональных данных отправляемых через веб-формы заявляют что такая информация не является персональными данными, так как никак нельзя проверить ее достоверность. И действительно, откуда вы знаете, что человек, который сказал вашей веб-форме что он Иван Иванов на самом деле Иван Иванов?

4. Поскольку вопрос действительно неординарный, я бы вам посоветовал позвонить в ваше региональное отделение РКН и узнать их мнение по этому вопросу. Как показывает практика, регулятор всегда идет на встречу операторам, желающим сделать все как надо. Ну, хуже точно не будет, тем более рассказывать что конкретно за проект им не нужно, нужно лишь описать ситуацию в общих чертах.

Есть такой термин — «когнитивное согласие». Если те субъекты ПДн передают лицу, отправляющему ПДн Вам, для определенных целей, услуг и т.д, а Вы не можете с них взять согласие на обработку, то подразумевается, что они сами согласны на это.

Пример: в организацию удаленно обращается человек с описанием проблемы, содержащей ПДн, даже к1, организация не может взять с субъекта согласие, но по своему уставу обязано эти данные принять и обработать.

Вот здесь и вступает в силу когнитивное согласие.

Нравится 2 10 комментариев > Адрес и ФИО получателя, по факту, являются персональными данными. Именно получатель должен будет разрешить вам обрабатывать свои данные. Если честно как сомнительно что кто-то на это согласится («разреши левому сайту хранить свои ПД и получи письмо счастья», я бы послал 🙂 ) > В законе черным по белому написано, что для обработки ПД необходимо писменное согласие субъекта. Письменное согласие необходимо только для некоторых категорий ПД (для них в законе это явно указано).
Нравится 1 Комментировать Как быть с данным вопросом с юридической точки зрения? Есть ли способ каким-то образом сделать такой сервис белым и пушистым для Регулятора? Нет. Пункт 2 части 1 статьи 6 ФЗ «О персональных данных» допускает обработку персональных данных лица без его согласия в целях, предусмотренных законами. Одним из таких законов является ФЗ «О почтовой связи». Во второй статье этого закона определено понятие адресных данных пользователей услуг почтовой связи (ФИО, почтовый адрес), а в статье 21 закреплено, что в случае неточности или неполноты адресных данных почтовое отправление возвращается отправителю. Т. е. суть почтовой связи, определенная в ФЗ «О почтовой связи», требует обработки персональных данных получателей почтовых отправлений, причем такая обработка, будучи регламентированной на уровне федерального закона, не требует согласия получателя в соответствии с вышеуказанным положением ФЗ «О персональных данных» (то же, кстати, касается и персональных данных отправителя почтового отправления). Однако деятельность по оказанию услуг почтовой связи, как и связи в целом, является лицензируемой (пункт 36 части 1 статьи 12 ФЗ «О лицензировании отдельных видов деятельности»). Ваш проект не удовлетворяет критериям деятельности в области почтовой связи, поскольку не предусматривает создание единого производственно-технологического комплекса средств, обеспечивающего передачу почтовых отправлений (см. определение почтовой связи в статье 2 ФЗ «О почтовой связи»). А значит «индульгенция» на обработку персональных данных из ФЗ «О почтовой связи» на Вас распространяться не будет.

А значит никак 🙂

Источник: https://qna.habr.com/q/34789

Передача персональных данных третьим лицам

Обработка персональных данных третьими лицами

Не все твердо знают, разрешает ли отечественное законодательство передачу персональных данных третьим лицам и в каких ситуациях это возможно. Есть строго установленный перечень случаев, когда это возможно с точки зрения закона. Если конкретная ситуация не попадает в этот перечень, она будет нарушать права владельцев сведений.

Трудовое право и вопрос передачи данных

Работодатель обязан хранить сведения, предоставленные работником. Трудовой кодекс РФ в ст. 88 предусматривает ситуацию, в которой персональные данные работника могли бы быть переданы третьим лицам. Применяются следующие правила, при которых этот тип правоотношений становится возможным:

  • любая ситуация сознательной передачи персональных данных работника третьим лицам становится допустимой только тогда, когда конкретный сотрудник предварительно дает на это разрешение. Немного по-другому такая ситуация трактуется при заполнении анкеты при поступлении на работу. Если при этом согласие не было запрошено или получено, передача данных будущего сотрудника для проверки может быть расценена как нарушение требований кодекса;
  • если согласие не было получено или не соответствует установленной форме, передача данных возможна только тогда, когда она поможет предотвратить угрозу жизни или самочувствию конкретного человека или в иных ситуациях, прямо оговоренных в законодательстве;
  • любая передача данных с целью получения за это каких-то преференций или прибыли (например, для включения в базу данных клиентов партнерской организации) в принципе невозможна без оформления согласия;
  • все сотрудники компании, которым поручено осуществление обработки этих сведений, должны быть поставлены в известность о том, что они обязаны сохранять в их отношении режим конфиденциальности. От них необходимо получить достоверное понимание того, что правило соблюдается и они несут ответственность;
  • если обмен персональными данными прямо предусмотрен требованиями закона, то режим максимальной защиты информации не применяется, обмен происходит по стандартным протоколам;
  • даже если передача персональных данных происходит в пределах одной компании, например от отдела кадров к отделу, который занимается охраной труда или добровольным медицинским страхованием, такая передача должна происходить в полном соответствии с локальным нормативным актом, ранее принятым в компании на уровне руководства в соответствии с законом о персональных данных;
  • доступ к информации надо оформлять ограниченному количеству лиц, при этом объем доступных сведений должен полностью соответствовать требованиям трудовой функции конкретного специалиста;
  • компания не может запрашивать любые данные о состоянии здоровья работников, кроме тех случаев, когда такие сведения необходимы для осуществления ими их обязанностей (например, о зрении при допуске работника к выполнению высотных работ) и порядок их получения предусмотрен законодательством;
  • если информация затребована представителем, сведения также могут быть переданы только в установленных случаях и в ограниченном объеме.

Следующая по порядку статья кодекса, ст. 89 ТК РФ, определяет права работников-субъектов персональных данных в целях защиты их персональных данных.

Она говорит о праве назначить представителя для защиты информации, в любой момент получить все сведения о месте хранения данных, о том, кто может их изучить или распространить, и дает право требовать исключить или уничтожить недостоверные сведения.

Передача информации для обработки

Закон предусматривает ситуации передачи данных для их обработки. Законодательство под термином «обработка» подразумевает любые действия с информацией, в том числе ее копирование, использование, распространение, передачу доступа к ней третьим лицам.

При этом оператор обязан получить разрешение обладателей этих сведений.

Процедура обязательно основывается на заключении отдельного договора поручения, четко описывающего все особенности правоотношений, или она может происходить в рамках заключенного государственного или муниципального контракта.

Передача сведений оператором третьим лицам должна иметь под собой определенные цели, понятные субъекту персональных данных. Примером может быть предоставление доступа к информационному массиву для статистической обработки или в случае, когда оператор не может самостоятельно обеспечить надлежащую защиту персональных данных.

Может такая передача происходить и на основании определенного акта органа государственной власти.

Все лица, которые получают право на обработку персональных данных на основании такого соглашения или акта, обязаны в полной мере выполнять все нормы, установленные законодательством о защите персональных данных, ответствовать его принципам и духу. Поручение, содержащееся в отдельном договоре, должно включать в себя обязательные пункты:

  • перечень манипуляций, которые лицо, действующее на основании поручения, может выполнять с передаваемой информацией;
  • цели обработки персональных данных, соответствующие законодательству и известные субъекту персональных данных заведомо;
  • обязанность агента соблюдать в отношении передаваемых сведений режим строгой конфиденциальности;
  • обязанность агента принимать все меры к защите персональных данных при совершении любых операций с ними;
  • также в соглашении должны быть указаны все требования к техническим и организационным мерам обеспечения целостности и сохранности информации.

При соблюдении этих условий действия оператора будут полностью соответствовать федеральному закону. При оформлении письменного согласия его рекомендованную форму можно найти на сайте Роскомнадзора.

Подписывая согласие, лицо должно быть информировано, в каких именно целях осуществляется обработка данных и какие именно действия с ними предполагается совершать. Согласие должно отвечать трем критериям – оно должно быть сознательным, конкретным и информированным. В противном случае оно может быть признано недействительным.

Форма согласия может быть любой, но если оно оформляется от имени субъекта его представителем, Роскомнадзор вправе проверить, действительно ли такое согласие было дано.

Иные случаи передачи данных

Кроме передачи информационных массивов для обработки законодательство предусматривает и некоторые другие случаи, в которых передача сведений третьим лицам станет допустимой. Так, статья 6 закона указывает на ситуации, при которых:

  • предоставление доступа к сведениям оператором третьим лицам для обработки становится возможным при наличии согласия на это (примером может быть заполнение анкеты на оформление дисконтной карты);
  • передача данных происходит в целях заключения коммерческих договоров, стороной которых или выгодоприобретателем по ним становится субъект персональных данных (примером может стать передача банком сведений заемщика страховой компании для оформления полиса страхования жизни и здоровья заемщика). Исходя из этой же нормы, данные могут быть переданы для выполнения обязательств по таким договорам или же по соглашениям, в которых субъект стал поручителем.

Количество случаев законной передачи данных строго ограничено. Часто возникает необходимость передачи информации при заключении контрактов на площадках электронных торгов. Если у субъекта есть усиленная электронная подпись, необходимая для участия в торгах, оформление согласия производится простым подтверждением – нажатием кнопки на сайте.

Любая ситуация, выходящая за рамки перечисленных, дает возможность гражданину направить обращение в Роскомнадзор с целью проведения проверки и принятия надлежащих мер реагирования.

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/peredacha-personalnyh-dannyh-tretim-licam/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.