Основной нормативный документ, на который следует опираться, говоря о личных данных физлиц — это закон № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных). Кроме того, не стоит забывать и про Трудовой кодекс РФ.
Из всей персональной информации наниматель может получать и использовать только те данные, которые характеризуют физлицо как сторону трудового договора.
Случаи, когда допустима обработка персональных данных, перечислены в п. 1 ст. 6 Закона о персональных данных. В частности, первым подпунктом идет обработка при наличии согласия физического лица. Но кроме этого есть еще более десятка пунктов, из которых становится понятно, что получение одобрения физлица далеко не всегда необходимо.
Согласно разъяснениям Роскомнадзора, размещенным в 2021 году на их официальном портале, необходимо получать согласие иногда и от соискателей на свободные вакансии. Это прописано в абз. 11 п. 5 разъяснений.
Согласно п. 3 ст. 86 ТК РФ получение персональных данных от физлица допустимо только от него самого. Если по каким-либо причинам это невозможно, запрос делается у третьих лиц с письменного согласия того физического лица, данные на которого получаются.
В ч. 1 ст. 89 ТК РФ прописано, что сами работники вправе запросить у нанимателя полную информацию об их персональных данных и обработке этих данных. Порядок предоставления такой информации изложен в ст. 62 Трудового кодекса. Она предусматривает письменное заявление работника, на которое работодатель обязан отреагировать в течение 3 рабочих дней.
Физлицо может потребовать скорректировать состав целей, которые изначально были зафиксированы в согласии. Организациям и предпринимателям придется выполнить это требование или в течение 7 рабочих дней с момента его поступления представить письменный мотивированный отказ. Нужно учитывать, что его смогут обжаловать.
Согласию физического лица на обработку информации о себе посвящена статья 9 Закона о персональных данных.
В первую очередь, в статье оговаривается добровольный порядок выдачи согласия физлицом. То есть он может и отказаться оформлять такой документ. Правда, в таком случае ему необходимо пояснить все последствия такого решения.
П. 4 ст. 9 Закона о персональных данных указывает на обязательную информацию, которую должен включать документ.
Цель получения согласия относится к информации, которая обязательно должна раскрываться в согласии. В соответствии с последними поправками к Закону о персональных данных разрешено получать одно согласие на обработку персональных данных для нескольких целей при условии перечисления в нем всех целей.
Ранее прямого запрета на такое действие также не было в законодательстве, но вместе с тем, Роскомнадзор считал это нарушением.
Форма и содержание согласия на обработку персональных данных зависит от того, кто и от кого такой документ получает.
Если вы получаете паспортные данные своих клиентов или создали базу данных их телефонных номеров, вы обрабатываете персональные данные и признаетесь их оператором.
Связанным с согласием и необходимым дополнительным документом является и отзыв согласия. Это предусмотрено ч. 2 ст. 9 Закона о персональных данных: работник в любое время имеет право отозвать согласие на обработку персональных данных.
Продолжение обработки данных работника после получения отзыва возможно только в случаях, перечисленных в п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных.
Российское законодательство трепетно относится к защите персональных данных. К Кодексе об административных правонарушениях предусмотрена отдельная статья 13.11, описывающая санкции за нарушения в этой области.
За неполучение согласия на обработку персональных данных, нарушитель привлекается ответственности в соответствии с ч. 2 ст. 13.11 КоАП РФ (в случае отсутствия признаков уголовно наказуемого деяния):
• штраф от 3 000 до 5 000 руб. для физических лиц (в том числе ИП);
• штраф от 10 000 до 20 000 руб. для должностных лиц;
• штраф от 15 000 до 75 000 руб. для юрлиц.
Статью подготовила руководитель отдела подбора персонала Толмачёва Диана Глебовна. 
