Согласие на передачу персданных для получения ЭЦП


В рамках перехода на электронный кадровый документооборот работникам нужно получить усиленную неквалифицированную подпись (УНЭП). Оптимально организовать ее выдачу через третье лицо – специализированные удостоверяющие центры для получения электронной цифровой подписи (ЭЦП). На практике это делают следующим образом:

  • работник подписывает заявление в удостоверяющий центр;
  • в этом документе он подтверждает свои персональные данные и одновременно дает согласие на их обработку.
Однако возникает вопрос: достаточно ли указанных действий для соблюдения Федерального закона от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ)?

Ответ зависит от того, каким способом происходит передача персональных в удостоверяющий центр электронной подписи: через работодателя (первый вариант) или самостоятельно работником (второй вариант). Рассмотрим каждый из них подробно.

Профессиональный аудит поможет конкретизировать перечень персональных данных, актуализировать их субъектов и принятые в компании акты, а также разработать формы по новым требованиям закона. Так работодатель сможет избежать тюрьмы, дисквалификации и многомиллионных штрафов
ИНТЕРЕСНЫЕ СТАТЬИ

Как использовать простую электронную подпись в электронном документообороте

Подробнее

Согласие на передачу персональных данных работодателю для третьего лица

В первом варианте персональные данные работников третьему лицу (удостоверяющему центру) передает работодатель. Для этого ему нужно получить от сотрудника согласие на передачу данных третьим лицам с указанием наименования оператора, которому они передаются, целей обработки, перечня сведений и т.д. (по требованиям ст. 9 Закона № 152).

Работодатель обязан предупредить лиц, которые получают персональные данные работника, что они могут быть использованы лишь в целях обработки, для которых сообщены. От таких лиц можно затребовать подтверждение, что это правило ими соблюдено (ст. 88 ТК РФ). Следовательно, они по закону обязаны соблюдать режим секретности (конфиденциальности).
РЕКОМЕНДАЦИЯ

При работе с персданными руководствуйтесь основными принципами (законности, достаточности, доступности, территориальной принадлежности и др.), исполнение которых вы можете проверить самостоятельно либо с помощью профессионалов

Согласие работника на передачу персональных данных третьему лицу

Во втором варианте работник передает персональные данные третьему лицу (в удостоверяющий центр) напрямую. В этом случае сотрудник самостоятельно пишет согласие на передачу его данных тому лицу, которому их передает, с указанием наименования оператора, целей и сроками их обработки и иными обязательными условиями (по ст. 9 Закона № 152-ФЗ).
По любому вопросу о последних изменениях в области обработки персданных вас проконсультируют наши опытные специалисты.
ВЫПИСКА

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), которые совершают с персональными данными с использованием средств автоматизации или без них, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3 Закона № 152-ФЗ) 

Почему невозможна передача персональных данных без согласия

При передаче персональных данных работодатель не должен их сообщать третьей стороне без письменного согласия работника (ст. 88 ТК РФ).  Исключение – случаи, когда это необходимо в целях предупреждения угрозы его жизни и здоровью, а также в других ситуациях, предусмотренных законом.

Операторы и иные лица, получившие доступ к персданным, обязаны не раскрывать и не распространять их без согласия субъекта персональных данных, если иное не предусмотрено законом (ст. 7 Закона №152-ФЗ). Следовательно, обработка персданных по общему правилу осуществляется только с письменного согласия субъекта персональных данных (ч. 4 ст. 9 Закона № 152-ФЗ).
ОБРАТИТЕ ВНИМАНИЕ!

К персональным данным можно отнести фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, то есть ту информацию, которая позволяет идентифицировать конкретного человека. При этом приведенный перечень является открытым (ст. 3 Закона № 152-ФЗ)

СПРАВКА

Любое письменное согласие субъекта персональных данных на их обработку должно включать в себя (ст. 9 Закона № 152-ФЗ): 

  • фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись субъекта персональных данных

Заказать аудит персональных данных

Заказать 

Чек-лист Когда можно работать без Согласия на обработку персональных данных 

Скачать

Материал подготовлен  экспертами департамента трудового права компании «Митрофанова и партнеры»
Поделиться материалом
Скопировать ссылку