Содержание

Согласие работника на обработку персональных данных


Совершение действий с ПДн требует от любого оператора, в том числе от работодателя, получения предварительного разрешения от их владельца. Это четко прописано в ФЗ-152 от 27.07.2006 года, причем согласие на обработку персональных данных сотрудника в некоторых случаях должно быть составлено по определенному образцу и в письменной форме. Юридическому лицу или ИП необходимо продумать текст документа, позаботиться о его правильном оформлении и провести разъяснительную работу, чтобы одобрение на хранение, копирование и прочие операции было осознанным и в дальнейшем не возникало претензий ни от самого субъекта, ни от Роскомнадзора.

Зачем необходимо согласие на обработку персональных данных сотрудника?


При трудоустройстве гражданин сообщает работодателю личную информацию о себе (Ф.И.О., дату рождения, семейный статус, образование и т.д.), которая содержится в:

  • гражданском и заграничном паспорте;

  • СНИЛС;

  • медицинской книжке;

  • военном билете;

  • дипломе об окончании колледжа, вуза и других образовательных учреждений;

  • трудовой книжке.


Чтобы исключить вероятность незаконного использования ПДн, работник дает согласие на их обработку — эта обязанность предусмотрена федеральным законодательством для каждого, кто является оператором, в том числе для индивидуальных предпринимателей. При этом в Трудовом Кодексе России переданная в отдел кадров информация считается конфиденциальной, соответственно, если нет добровольного разрешения субъекта, использовать её в делопроизводстве нельзя.


В любом образце соглашения на обработку персональных данных работника прописано также, что на оператора возлагается ответственность за обеспечение защиты полученных сведений от несанкционированного доступа, изменения, блокировки и т.д. Еще один важный нюанс — ПДн, переданные работодателю, могут применяться только в служебных целях, и на предприятии обязательно должно быть уполномоченное лицо, которое будет отвечать за их безопасность и контроль использования.

На какие действия дается разрешение?


Как оператору, так и работнику перед заполнением формы согласия на обработку персональных данных необходимо разобраться, что конкретно позволяет делать этот документ с предоставленными сведениями. В статье 3 ФЗ № 152 прописано, что соглашение позволяет работодателю совершать следующие действия:

  • собирать;

  • удалять или уничтожать;

  • блокировать;

  • изменять;

  • обновлять;

  • передавать;

  • хранить и накапливать;

  • записывать;

  • систематизировать;

  • использовать;

  • извлекать;

  • уточнять;

  • обезличивать ПДн.


Разрешение предоставляется на операции с использованием автоматизированных систем (ИСПДн) и при неавтоматизированной обработке.


При обработке персональных данных в определенных случаях операторы (компания либо ИП) должны уведомить Роскомнадзор, что обрабатывают личные сведения о гражданах. Это дает возможность прослеживать, насколько операторы, в т.ч. и работодатели, соблюдают требования ФЗ-152 и ТК РФ (в частности, статей 86 и 87).

Можно ли отказаться от подписания?


Изучив образец согласия на обработку персональных данных, сотрудники имеют возможность не ставить свою подпись на документе. Право отказаться предусмотрено законодательством, больше того, принуждение к подписанию является нарушением, за которое компанию можно привлечь к ответственности в судебном порядке. Основная причина нежелания соглашаться на хранение и другие операции с ПДн — опасение передачи конфиденциальной информации посторонним лицам, хотя в действительности именно благодаря этому документу удается избежать несанкционированного доступа.


Если разрешение не хочет подписывать уже принятый на работу сотрудник, работодатель имеет право осуществлять действия с личной информацией без него, руководствуясь целями предварительно заключенного трудового договора. Что касается еще не принятых в штат специалистов, то для них неподписанное соглашение — почти стопроцентная гарантия отказа в трудоустройстве, к примеру, если предприятие режимное и действует пропускная система.

Отзыв соглашения и ответственность за разглашение ПДн


Большинство россиян не придают особого значения факту подписания согласия, концентрируясь только на получении интересующей должности. Но со временем у некоторых возникает необходимость отозвать разрешение на использование ПДн — преимущественно это происходит после перехода на другое место работы, при недостаточной защищенности системы от внешних и внутренних угроз либо незаконной передачи информации третьим лицам. Впрочем, закон не требует от субъекта указывать причину отзыва согласия работника на хранение персональных данных — достаточно по образцу или в произвольной форме написать соответствующее заявление и подать его работодателю. На выполнение требований гражданина ФЗ-152 дает до 30 дней с момента составления документа.


Документ, в котором субъект дает право оператору на использование ПДн, позволяет урегулировать взаимоотношения между сторонами, а в случае нарушения его условий привлечь работодателя к ответственности (дисциплинарной, административной, гражданской). Большое значение имеет предварительное изучение условий, в частности, объема предоставляемых сведений и целей, для которых они необходимы. Действующая нормативно-правовая база требует, чтобы информацию обрабатывали исключительно в тех целях, которые прописаны в соглашении.

Заполнение бланка согласия на обработку персональных данных работника


Наиболее существенные моменты, которые следует знать при подписании:

  • разрешение должно предоставляться добровольно;

  • в отдельных случаях допускается электронный формат взаимодействия;

  • работодатель обязан проинформировать сотрудника относительно содержания — после ознакомления ставится подпись в специальном поле соглсия;

  • каждая фирма или ИП имеют право сами выбирать, как хранить и использовать полученные сведения, но нужно соблюдать требования 152-ФЗ;

  • перед осуществлением процессов обработки необходимо утверждение внутренней документации, регулирующей процессы сбора и использования ПДн;

  • документ должен быть максимально информативным и конкретным.


Для примера можно скачать образец согласия на обработку персональных данных работника. В сложных случаях гражданину есть смысл проконсультироваться с юристом, а оператору — поручить разработку текста документа профессионалам, которые учтут все нюансы и сделают так, чтобы он был составлен в строгом соответствии с актуальной нормативно-правовой базой.

Образец произвольного согласия на обработку персональных данных работника


Несмотря на отсутствие законодательно утвержденной формы, при составлении документа нужно предусмотреть наличие в нем следующей информации:

  • Ф.И.О. оператора (если это ИП) либо название организации;

  • паспортные данные субъекта ПДн;

  • конкретная цель сбора сведений;

  • перечень сведений, которые будут обрабатываться;

  • фирмы и предприниматели, которым предоставляется доступ для совершения операций с ПДн на основании договора либо поручения;

  • срок действия согласия;

  • процедура отзыва и ответственность сторон;

  • дата и подпись заявителя. Если привлекается представитель, то нужны его паспортные данные и реквизиты документа, подтверждающие право выступать от имени доверителя.

Согласие на обработку персональных данных работника

Работодателю не нужно согласие работников на обработку персональных данных, если информация будет использована только в рамках внутренних рабочих процессов.

Однако если надо оформить полис ДМС или отдать функции по расчету и начислению зарплаты на аутсорсинг, то персональные данные придется передать третьему лицу. Значит, без отдельного согласия работников не обойтись.

Что учесть при составлении такого документа, рассказали в статье.





















НА ЧТО ОБРАТИТЬ ВНИМАНИЕ

❶ Согласие на обработку персональных данных по образцу, приведенному в статье, подойдет только для работника. Такое согласие не будет актуальным, например, для соискателя. Очевидная, но часто встречающаяся ошибка.

❷ За работника в некоторых случаях согласие должен подписывать представитель. Например, если работник — несовершеннолетний. Поэтому в шаблоне соответствующего документа рекомендуем предусмотреть графы, в которые можно было бы внести сведения о представителе.

❸ Прописывайте полное наименование работодателя и сведения о его местонахождении.

В качестве дополнительного идентификатора работодателя можно также указать ИНН или ОГРН (ОГРНИП), однако такая информация необязательна.

❹ Правильно сформулировать цель обработки персональных данных бывает сложно. Проблема в том, что в соответствии с текущей правоприменительной практикой в согласии на обработку персональных данных следует указывать именно одну цель.

В то же время нигде не сказано, насколько детально должна быть прописана такая цель. Так, основанием для большинства действий работодателя с персональными данными работника будет соблюдение закона путем осуществления прав и исполнения обязанностей сторон трудовых отношений. Например, выплата заработной платы не будет являться самостоятельной целью, ведь это лишь часть обязанностей.

Однако если появляется стороннее обстоятельство, то цель может оказаться уже другой. Довольно распространенный пример — предоставление работникам полиса ДМС.

С одной стороны, если предусмотреть предоставление полиса ДМС в трудовом договоре, это станет обязанностью работодателя.

С другой стороны, страховые компании по условиям договора страхования могут предусматривать использование персональных данных застрахованных лиц в маркетинговых целях. В этом случае одним стандартным согласием не обойтись.

❺ В согласии на обработку персональных данных указывайте конкретный перечень таких сведений. Он должен соответствовать цели обработки и фактическим обстоятельствам.

Чтобы не запутаться, рекомендуем в отдельном документе вести список обрабатываемых персональных данных по каждой категории субъектов с указанием целей обработки таких сведений.

Благодаря указанному списку сможете оперативно составлять шаблоны согласий на обработку персональных данных и иных документов.

Главное — отслеживайте изменения в за-конодательстве и поддерживайте список в актуальном состоянии.

❻ Пропишите сведения о лице, которое будет осуществлять обработку персональных данных по вашему поручению. В одном согласии указывайте только одно лицо, действующее по поручению работодателя.

Принцип «одна цель обработки — одно согласие» проверяющие используют по аналогии при указании лица, которому поручают обработку данных.

Кроме того, Роскомнадзор рекомендует указывать в согласии иных операторов, помимо работодателя, которым будете передавать персональные данные работников.

❼ В согласии на обработку персональных данных укажите способы обработки такой информации. Учтите, что с 1 марта 2021 года для распространения персональных данных может потребоваться отдельное согласие гражданина. Требования к содержанию такого согласия устанавливает Роскомнадзор.

❽ Срок действия согласия на обработку персональных данных должен соответствовать цели обработки данных. Такое согласие не может быть бессрочным, потому что основная цель обработки может считаться достигнутой вместе с увольнением сотрудника.

Поэтому пропишите, что согласие действует, пока стороны состоят в трудовых отношениях.

➒ Работник вправе подписать согласие собственноручно или с помощью электронной подписи.

Источник: Трудовые споры

Когда уместно согласие? | ICO

  • Всегда ли нам нужно согласие?
  • Когда мы должны получить согласие?
  • В каких других обстоятельствах согласие может быть уместным?
  • Когда уместно использовать согласие на данные специальной категории?
  • Когда согласие неуместно?
  • Каковы альтернативы согласию?

Всегда ли нам нужно согласие?

Короче говоря, нет. Согласие является одним из законных оснований для обработки, но есть еще пять других. Согласие не всегда будет самым подходящим или самым простым.

Вы всегда должны выбирать законное основание, которое наиболее точно отражает истинный характер ваших отношений с человеком и цель обработки. Если дать согласие сложно, часто это происходит потому, что другое законное основание является более подходящим, поэтому вам следует рассмотреть альтернативы. См. раздел «Каковы альтернативы согласию?».

Точно так же явное согласие является одним из способов узаконить обработку персональных данных особой категории, но не единственным способом. Статья 9(2) перечисляет девять других условий (дополненных приложением 1 Закона о защите данных 2018 г.). Альтернативные условия обработки данных специальной категории, как правило, более строгие и адаптированы к конкретным ситуациям, но вы все равно должны сначала проверить, применимы ли какие-либо из них.

Когда мы должны получить согласие?

Вам, вероятно, придется рассмотреть вопрос о согласии, когда никакие другие законные основания явно не применимы. Например, это может иметь место, если вы хотите использовать или делиться чьими-либо данными особенно неожиданным или потенциально навязчивым способом или способом, несовместимым с вашей первоначальной целью.

Если вы используете данные специальной категории, вам может потребоваться получить прямое согласие для узаконивания обработки, если не применяется одно из других конкретных условий в статье 9(2). Обратите внимание, что некоторые другие условия по-прежнему требуют, чтобы вы сначала рассмотрели согласие или получили согласие на некоторые элементы вашей обработки. Например, если вы являетесь некоммерческой организацией и решили полагаться на статью 9(2)(d), вам все равно необходимо явное согласие на раскрытие данных любым сторонним контролерам.

Вам также, вероятно, потребуется согласие в соответствии с законами об электронной конфиденциальности для многих типов маркетинговых звонков и маркетинговых сообщений, файлов cookie веб-сайтов или других методов онлайн-отслеживания, а также для установки приложений или другого программного обеспечения на устройства людей. Эти правила в настоящее время содержатся в Положениях о конфиденциальности и электронных коммуникациях 2003 г. (PECR), они применяют определение согласия GDPR. Обратите внимание: если ePR будет принят, мы выпустим дополнительные рекомендации.

Если вам требуется согласие в соответствии с законами об электронной конфиденциальности для отправки маркетингового сообщения, то на практике согласие также является подходящим законным основанием в соответствии с GDPR Великобритании. Если законы об электронной конфиденциальности не требуют согласия на маркетинг, вместо этого вы можете рассмотреть законные интересы.

Если вам нужно согласие на размещение файлов cookie, это должно соответствовать стандарту GDPR Великобритании. Тем не менее, вы все равно можете рассмотреть альтернативное законное основание, такое как законные интересы, для любой связанной обработки персональных данных.

Дополнительная литература

Для получения дополнительной информации о существующих правилах электронной конфиденциальности см. наше Руководство по PECR.

Для получения дополнительной информации о маркетинге в соответствии с GDPR Великобритании см.:

  • Руководство по прямому маркетингу
  • Руководство по законным интересам

В каких других обстоятельствах согласие может быть уместным?

Согласие, вероятно, будет наиболее подходящим законным основанием для обработки (или соответствующим шлюзом через другие соответствующие положения), если вы хотите предложить людям реальный выбор и контроль над тем, как вы используете их данные. В частности, вы можете рассмотреть возможность использования согласия, чтобы повысить уровень их взаимодействия с вашей организацией и побудить их доверять вам более полезные данные.

Однако, является ли согласие уместным и действительным, всегда будет зависеть от конкретных обстоятельств.

См. также «Каковы преимущества правильного получения согласия?»

Когда уместно использовать согласие для данных особой категории?

Если вы хотите обрабатывать данные специальной категории, вы должны указать как законное основание в соответствии со статьей 6, так и отдельное условие для обработки данных специальной категории в соответствии со статьей 9, дополненное Приложением 1 Закона о защите данных 2018 года.

Первым условием, перечисленным в статье 9, является «явное согласие». Однако это не означает, что это всегда лучшее или наиболее подходящее состояние. Вы всегда должны учитывать, подходят ли какие-либо другие условия для конкретной ситуации.

Ваш выбор законного основания в соответствии со статьей 6 не обязательно определяет, какое условие статьи 9 вы должны применить. Даже если вы не полагались на согласие как на законное основание для обработки, вы все равно можете рассматривать «явное согласие» в качестве вашего согласия в соответствии со статьей 9.условие для любых данных специальной категории. Однако вы должны помнить, что явное согласие должно соответствовать стандарту GDPR Великобритании для действительного согласия и может быть отозвано в любое время.

Подробнее о том, что считается «явным» согласием, см. в разделе «Что такое действительное согласие?».

Если вам необходимо обработать данные специальной категории для предоставления услуги, запрошенной физическим лицом, наиболее подходящим законным основанием, вероятно, будет «необходимо для заключения договора». Но явное согласие может по-прежнему быть доступно в качестве вашего условия для обработки необходимых данных специальной категории. Однако вы должны быть уверены, что можете продемонстрировать, что согласие по-прежнему дается добровольно, в частности, что обработка действительно необходима для службы.

Пример

Женщина записалась на занятия йогой для беременных. Инструктор будет обрабатывать данные, касающиеся их здоровья (т.е. факт их беременности вместе с любой информацией о сроках родов), и поэтому ему необходимо как законное основание, так и условие для обработки данных специальной категории.

Поскольку инструктору необходимо обработать эти данные для проведения занятий йогой, подходящим законным основанием, вероятно, будет «выполнение контракта».

Несмотря на то, что человек не может записаться на курс, не сообщив информацию о своей беременности, явное согласие, вероятно, все же будет подходящим условием для обработки данных о здоровье. Обработка объективно необходима для предоставления запрошенного класса, и у человека есть свободный выбор, подписываться на этот класс или нет.

Дополнительная литература — руководство ICO

Последние рекомендации по условиям обработки данных специальной категории см. на странице данных специальной категории в нашем Руководстве по GDPR Великобритании.

 

Дополнительная литература – ​​Европейский совет по защите данных

Европейский совет по защите данных (EDPB) состоит из представителей органов по защите данных каждого государства-члена ЕС. Он принимает рекомендации по соблюдению требований GDPR. Рекомендации EDPB больше не имеют прямого отношения к режиму Великобритании и не являются обязательными для режима Великобритании. Тем не менее, они могут по-прежнему давать полезные рекомендации по некоторым вопросам.

EDPB выпустил Руководство по согласию.

Когда согласие неуместно?

Из этого следует, что если по какой-либо причине вы не можете предложить людям реальный выбор в отношении того, как вы используете их данные, согласие не будет подходящим основанием для обработки. Это может иметь место, если, например:

  • вы все равно будете обрабатывать данные на другом законном основании, если согласие будет отклонено или отозвано;
  • вы запрашиваете «согласие» на обработку в качестве предварительного условия доступа к вашим услугам; или
  • вы обладаете властью над человеком — например, если вы являетесь государственным органом или работодателем, обрабатывающим данные сотрудников.

Вы по-прежнему будете обрабатывать данные без согласия

Если вы по-прежнему будете обрабатывать персональные данные на другом законном основании, даже если согласие было отклонено или отозвано, то получение согласия от лица вводит в заблуждение и по своей сути несправедливо. Он представляет человеку ложный выбор и только иллюзию контроля. Вы должны определить наиболее подходящее законное основание с самого начала.

Пример

Компания, предоставляющая кредитные карты, просит своих клиентов дать согласие на отправку их личных данных в бюро кредитных историй для оценки кредитоспособности.

Однако, если клиент отказывается или отзывает свое согласие, компания-эмитент кредитной карты все равно отправит данные в бюро кредитных историй на основании «законных интересов». Поэтому спрашивать согласия вводит в заблуждение и неуместно — реального выбора нет. Компания с самого начала должна была полагаться на «законные интересы». Чтобы обеспечить справедливость и прозрачность, компания по-прежнему должна сообщать клиентам, что это произойдет, но это сильно отличается от предоставления им выбора в отношении условий защиты данных.

Прежде чем приступить к обработке персональных данных, вам необходимо тщательно подумать, потребуется ли вам по-прежнему сохранять какие-либо данные для каких-либо других целей, если физическое лицо отзовет свое согласие. Например, вам может потребоваться сохранить его для соблюдения юридических обязательств или в целях аудита. Если это так, вы должны с самого начала четко и ясно указать, какова ваша цель и законное основание для сохранения этих данных после отзыва согласия.

«Согласие» является условием оказания услуги

Если вы требуете от кого-либо согласия на обработку в качестве условия обслуживания, согласие вряд ли будет наиболее подходящим законным основанием для обработки. В некоторых случаях это даже не будет считаться действительным согласием.

Вместо этого, если вы считаете, что обработка необходима для предоставления услуги, более подходящим правовым основанием, вероятно, будет «необходимость для выполнения контракта» в соответствии со статьей 6(1)(b). Вам, скорее всего, потребуется полагаться на согласие только в том случае, если это требуется в соответствии с другим положением, например, для некоторых видов электронного маркетинга в соответствии с PECR.

Если обработка данных специальной категории действительно необходима для предоставления услуги физическому лицу, вы все равно можете полагаться на явно выраженное согласие в качестве условия для обработки данных этой специальной категории, если не применяются никакие другие условия статьи 9. См. Когда уместно использовать согласие для данных особой категории?

Возможно, обработка является условием услуги, но на самом деле не является необходимой для этой услуги. Если это так, согласие не просто неуместно как законное основание, но и считается недействительным, поскольку оно не дается добровольно. В этих обстоятельствах вы могли бы рассмотреть вопрос о том, подходят ли «законные интересы» в соответствии со статьей 6(1)(f) в качестве вашего законного основания для обработки. В этом случае вы не можете полагаться на явное согласие на какие-либо данные специальной категории, и вам нужно искать другую статью 9.состояние.

Пример

Кафе решает предоставить своим клиентам бесплатный Wi-Fi. Чтобы получить доступ к Wi-Fi, клиент должен указать свое имя, адрес электронной почты и номер мобильного телефона, а затем согласиться с правилами и условиями кафе.

В условиях указано, что, предоставляя свои контактные данные, клиент соглашается получать маркетинговые сообщения от кафе. Таким образом, кафе дает согласие на отправку прямого маркетинга в качестве условия доступа к услуге.

Однако сбор информации о клиенте в целях прямого маркетинга не является необходимым для предоставления Wi-Fi. Следовательно, это не является действительным согласием.

Подробнее о том, когда согласие дается добровольно, см. в разделе «Что такое действительное согласие?».

Вы обладаете властью

Согласие обычно неуместно, если между вами и человеком существует явный дисбаланс власти. Это связано с тем, что те, кто зависит от ваших услуг или опасается неблагоприятных последствий, могут подумать, что у них нет другого выбора, кроме как согласиться, поэтому согласие не считается добровольным. Это будет особая проблема для государственных органов и работодателей.

Пример

Компания просит своих сотрудников дать согласие на наблюдение за работой. Однако, поскольку сотрудники полагаются на компанию как источник средств к существованию, они могут чувствовать себя обязанными согласиться, поскольку не хотят рисковать своей работой или выглядеть трудными или имеющими что-то скрывать.

Пример

Жилищному товариществу необходимо собирать информацию о предыдущих судимостях квартиросъемщиков и потенциальных квартиросъемщиков для целей оценки риска при распределении имущества и проведении посещений на дому. Однако неуместно запрашивать согласие на это в качестве условия аренды. Арендатор, подающий заявку на социальное жилье, может оказаться в уязвимом положении и может не иметь многих других вариантов жилья. Таким образом, у них может не быть другого выбора, кроме как подписать условия жилищной ассоциации. Даже если обработка необходима для предоставления жилья, их согласие не считается добровольно предоставленным из-за дисбаланса полномочий.

Если вы являетесь государственным органом или обрабатываете данные сотрудников, или обладаете какой-либо другой властью над физическим лицом, вам следует искать другое основание для обработки, например, «общественное задание» или «законные интересы».

Однако государственным органам и работодателям не запрещено использовать согласие в качестве законного основания. Даже если вы обладаете властью, могут быть ситуации, когда вы все же можете показать, что согласие дано добровольно.

Пример

Местный совет управляет несколькими фитнес-центрами. Он хочет узнать, что люди думают об объектах, чтобы решить, на чем сосредоточить усилия по улучшению. Он решает отправить анкету по электронной почте лицам, у которых есть членство в фитнес-центре, чтобы спросить их об объектах.

Решение об участии или отказе от участия в опросе является совершенно необязательным, и, учитывая характер отношений и опроса, нет реального риска неблагоприятных последствий в случае отказа от ответа. Совет мог бы рассмотреть вопрос об использовании согласия для обработки ответов.

Пример

Работодатель решил снять видео о наборе персонала для своего веб-сайта. Он проинструктировал некоторых профессиональных актеров, но дает персоналу возможность добровольно сыграть роль в видео. Работодатель ясно дает понять, что участие сотрудников не требуется, и участие не будет учитываться при оценке эффективности.

Поскольку участие является необязательным и для тех, кто не хочет принимать участие, нет неблагоприятных последствий, работодатель может рассмотреть вопрос о согласии.

Однако вам необходимо внимательно изучить конкретные обстоятельства и быть уверенным, что вы можете продемонстрировать, что у человека действительно есть свободный выбор дать согласие или отказаться от него. Возможно, вам придется предпринять шаги, чтобы убедиться, что человек не чувствует никакого давления, чтобы дать согласие, и развеять любые опасения по поводу последствий отказа в согласии.

Пример

Человеку врач поставил диагноз рака. Врач объясняет, что есть помощь и поддержка от благотворительной организации по борьбе с раком, и они могут передать данные человека в благотворительную организацию, если человек того пожелает.

На первый взгляд, существует явный дисбаланс власти, когда человек нездоров и обращается к квалифицированному специалисту с обширными медицинскими знаниями, который отвечает за его лечение. Если врач предложит им связаться с благотворительной организацией или что это стандартная практика, в игру вступит проблема дисбаланса власти, поскольку человек может почувствовать, что он должен согласиться. Они также могут бояться, что им не будет предложено столько вариантов лечения, или что их лечение каким-то образом пострадает, если они не согласятся.

Однако, если врач позаботится о том, чтобы предложение помощи было нейтральным, и ясно дает понять, что это отдельная и совершенно необязательная услуга, не влияющая на план лечения, то контролер может продемонстрировать, что согласие добровольно. данный.

Врач также должен удостовериться, что согласие является конкретным, информированным, дано в форме четкого положительного действия и должным образом задокументировано. В частности, им необходимо четко определить благотворительную организацию, объяснить, какими данными они будут делиться с благотворительной организацией, и четко указать, для чего они будут использоваться.

Подробнее о том, когда согласие дается добровольно, см. в разделе «Что такое действительное согласие?».

Другое ненадлежащее использование согласия

Будьте очень осторожны при использовании других ранее существовавших концепций согласия вне контекста, поскольку они не всегда подходят для целей защиты данных.

Даже если вы подпадаете под отдельное юридическое или этическое требование для получения «согласия» на какие-либо действия, это не означает, что у вас автоматически есть или должно быть действительное согласие GDPR Великобритании на любую связанную обработку персональных данных. В некоторых случаях стандарт согласия может сильно отличаться. Тем не менее, важно тщательно рассмотреть ваши законные основания.

Если вы намерены полагаться на согласие как на законное основание, всегда проверяйте, соответствует ли согласие стандарту GDPR Великобритании, а не просто предполагайте, что оно применимо. В частности, подразумеваемое согласие часто не подходит в качестве законного основания для обработки в соответствии с GDPR Великобритании.

Пример

В сфере здравоохранения данные пациентов хранятся в тайне. Поставщики медицинских услуг, как правило, действуют на основе подразумеваемого согласия на обмен данными пациентов в целях непосредственного оказания медицинской помощи без нарушения конфиденциальности.

Подразумеваемое согласие на непосредственный уход является отраслевой практикой в ​​этом контексте. Но это «подразумеваемое согласие» на обмен конфиденциальными записями пациентов — это не то же самое, что согласие на обработку персональных данных в контексте законного основания в соответствии с GDPR Великобритании.

В контексте здравоохранения согласие часто не является надлежащим законным основанием в соответствии с GPDR. Этот тип предполагаемого подразумеваемого согласия не соответствует стандарту четкого положительного действия или не может квалифицироваться как явное согласие для данных особой категории, которая включает данные о здоровье. Вместо этого поставщики медицинских услуг должны указать другое законное основание (например, жизненно важные интересы, общественная задача или законные интересы). Для более строгих правил в отношении данных специальной категории статья 9(2)(h) специально узаконивает обработку для целей здравоохранения или социального обеспечения.

Даже если вам необходимо получить согласие пациента на само лечение, это совершенно не связано с вашими обязательствами по защите данных. Это не означает, что вы должны полагаться на согласие на обработку персональных данных пациента.

Как правило, всякий раз, когда у вас возникают трудности с соблюдением стандарта согласия, это предупреждающий знак о том, что согласие может быть не самым подходящим основанием для вашей обработки. Поэтому мы рекомендуем вам искать другую основу.

Дополнительная литература — руководство ICO

Для получения дополнительной информации о выборе наиболее подходящего законного основания для вашей обработки см. страницы правового основания в нашем Руководстве по GDPR Великобритании и воспользуйтесь нашим интерактивным инструментом руководства по законному основанию

 

Подробнее чтение – Европейский совет по защите данных

Европейский совет по защите данных (EDPB) состоит из представителей органов по защите данных каждого государства-члена ЕС. Он принимает рекомендации по соблюдению требований GDPR. Рекомендации EDPB больше не имеют прямого отношения к режиму Великобритании и не являются обязательными для режима Великобритании. Тем не менее, они могут по-прежнему давать полезные рекомендации по некоторым вопросам.

EDPB подготовил Руководство по согласию.

Каковы альтернативы согласию?

Если вы ищете другое законное основание, оно указано в статье 6(1). Таким образом, вы можете обрабатывать персональные данные без согласия, если это необходимо для:

  • Договора с физическим лицом : например, для поставки товаров или услуг, которые они запросили, или для выполнения ваших обязательств по трудовому договору. Это также включает шаги, предпринятые по их запросу до заключения контракта.
  • Соблюдение юридического обязательства : если в соответствии с законодательством Великобритании или ЕС от вас требуется обработка данных для определенной цели, вы можете это сделать.
  • Жизненно важные интересы : вы можете обрабатывать личные данные, если это необходимо для защиты чьей-либо жизни. Это может быть жизнь субъекта данных или кого-то еще.
  • Публичная задача : если вам необходимо обрабатывать персональные данные для выполнения ваших официальных функций или задачи в общественных интересах — и у вас есть правовая основа для обработки в соответствии с законодательством Великобритании — вы можете это сделать. Если вы являетесь государственным органом Великобритании, мы считаем, что это может дать вам законное основание для многих, если не для всех ваших действий.
  • Законные интересы : вы можете обрабатывать персональные данные без согласия, если вам это необходимо по реальной и законной причине (включая коммерческую выгоду), если только это не перевешивает права и интересы человека. Обратите внимание, однако, что государственные органы ограничены в своих возможностях использовать эту основу.

Организации частного сектора или третьего сектора часто могут рассмотреть основание «законных интересов» в статье 6(1)(f), если им сложно выполнить стандарт согласия и не применяется какое-либо другое конкретное основание. Это признает, что у вас могут быть веские причины для обработки чьих-либо персональных данных без их согласия, но вы должны избегать действий, которых они не ожидают, гарантировать, что это не окажет на них необоснованного воздействия, и что вы по-прежнему честны, прозрачны и подотчетны.

Если вы являетесь государственным органом и можете продемонстрировать, что обработка предназначена для выполнения ваших официальных функций в соответствии с законодательством Великобритании, то основание «общественное задание», вероятно, будет более подходящим. Если нет, вы все равно можете рассмотреть законные интересы или одно из других оснований. Как всегда, вы должны быть честными, прозрачными и подотчетными.

Если вам нужны другие условия для обработки данных особой категории, они изложены в статье 9(2) (дополненной Законом о защите данных 2018 г. ). Они более ограничены и конкретны и включают, например, положения, касающиеся трудового права, здравоохранения и социального обеспечения, а также научных исследований. Дополнительную информацию см. в нашем руководстве по данным специальной категории.

Руководство по Общему регламенту ЕС по защите данных Великобритании также содержит дополнительные рекомендации по правилам ограниченной обработки, автоматизированного принятия решений (включая профилирование) и передачи за границу.

Помните, что даже если вы не запрашиваете согласие, вам все равно необходимо предоставить четкую и исчерпывающую информацию о том, как вы используете личные данные, чтобы соблюдать право на получение информации.

Дополнительная литература — Инструмент ICO

Мы разработали интерактивное руководство по законному основанию, чтобы дать индивидуальные рекомендации относительно того, какое законное основание, вероятно, будет наиболее подходящим для вашей деятельности по обработке.

 

Дополнительная литература – ​​руководство ICO

  • Законное основание для обработки
  • Законные интересы
  • Публичное задание
  • Данные специальной категории
  • Право на получение информации
  • Право на ограничение обработки
  • Права, связанные с автоматизированным принятием решений, включая профилирование
  • Международные переводы

GDPR: 7 удивительных фактов, о которых должны знать HR-специалисты

В качестве всеобъемлющего закона, призванного дать европейцам больший контроль над своими личными данными, GDPR содержит некоторые нюансы для специалистов по кадрам.

Готовы к 25 мая 2018 г.? Именно тогда вступит в силу Общий регламент по защите данных (GDPR) — всеобъемлющий европейский закон о защите данных, который предоставляет расширенные права отдельным лицам на управление своими данными.

Если у вас есть предприятия в Европе, европейские кандидаты, подающие заявки на работу, и/или европейские сотрудники, применяется GDPR. GDPR также повлияет на вашу организацию, если вы предлагаете товары и услуги или отслеживаете поведение людей в Европе.

В качестве всеобъемлющего закона, призванного предоставить европейцам больший контроль над своими личными данными, GDPR содержит важные требования. Он также содержит некоторые нюансы, которые могут вас удивить. Например, знаете ли вы, что вам не всегда требуется получать согласие на сбор данных о сотрудниках в соответствии с GDPR? Или что некоторая информация, связанная с бизнесом, может квалифицироваться как персональные данные?

Вот семь важных фактов о новом законе, которые могут вас удивить:

1. Даже если ваша организация не находится в Европейском Союзе, вы можете быть затронуты

Новый закон распространяется на любую организацию, независимо от ее местонахождения, которая предлагает товары и услуги физическим лицам в Европе или следит за поведением физических лиц в Европе. Например, если вы работаете в многонациональной корпорации со штаб-квартирой в США, в которой работают люди из страны ЕС, это повлияет на вашу организацию.

2. Максимальные штрафы за несоблюдение GDPR могут быть очень значительными

Надзорные органы могут налагать два уровня штрафов за несоблюдение GDPR. Первый уровень может составлять до 2% от общемировых доходов или 10 миллионов евро за предыдущий год, в зависимости от того, что больше (за нарушения, связанные с ведением внутренней документации, договорами об обработке данных, уведомлением об утечке данных, сотрудниками по защите данных и защитой данных по дизайну). ). Второй уровень может составлять до 4% от общемировых доходов или 20 миллионов евро за предыдущий год, в зависимости от того, что больше (за нарушения, касающиеся основных принципов обработки данных, прав субъектов данных и передачи данных в третьи страны).

3. Льготный период отсутствует

GDPR заменяет законы государств-членов ЕС, которые реализуют Директиву ЕС о защите данных 95/46/EC. В отличие от Директивы, GDPR становится законом без дальнейших законодательных действий со стороны государств-членов ЕС. Несмотря на отсутствие льготного периода, у организаций было два года на подготовку, поскольку GDPR был официально принят в апреле 2016 года.

4. Персональные данные включают рабочий адрес электронной почты

GDPR называет информацию о физических лицах «личными данными». В контексте сотрудников «персональные данные» относятся к элементам, которые могут быть использованы для идентификации или связаны с живым сотрудником, такие как их имя, дата рождения, государственный идентификационный номер, пол, удостоверение личности сотрудника, семейное положение и домашний адрес.

Персональные данные в соответствии с GDPR могут включать информацию, связанную с бизнесом, такую ​​как рабочий адрес электронной почты человека, срок пребывания в должности, информацию о зарплате и оценку эффективности. Существуют также дополнительные соображения при обработке «особых категорий персональных данных», таких как расовая или этническая принадлежность, религиозные или философские убеждения, состояние здоровья и сексуальная ориентация. Организации должны убедиться, что лицо предоставило явное согласие (если нет альтернативного основания) на обработку таких данных.

5. Существует разница между обработчиком данных и контроллером данных

Хотя эти два термина могут звучать одинаково, они имеют очень разные значения. Например, Visier предоставляет решение для аналитики персонала и действует как процессор данных при обработке данных организации. Мы следуем инструкциям организации по обработке данных сотрудников, которые были собраны и переданы в нашу службу.

Когда ваша организация собирает данные о сотрудниках, контролирует управление данными о сотрудниках и определяет, как эти данные могут быть обработаны (обычно это действия, выполняемые с помощью систем управления персоналом), она действует как контроллер данных . Контроллеры данных несут ответственность за значительное количество действий в соответствии с GDPR, включая назначение сотрудника по защите данных (в некоторых случаях), ведение записей об обработке данных и проведение оценок воздействия на защиту данных.

6. Вам не всегда нужно получать согласие на сбор данных о сотрудниках

Чтобы обработка персональных данных была законной, контролеру требуется либо согласие субъекта данных (которое должно быть свободно предоставлено, конкретно, информировано и однозначный)  или на другом законном основании.

Помимо согласия, другие законные основания для обработки персональных данных включают:

  • Выполнение договора с физическим лицом

  • Выполнение юридического обязательства в соответствии с законодательством ЕС

  • Защита жизненно важных интересов физического лица

  • Выполнение задач, выполняемых в общественных интересах, и

  • Обработка, когда это необходимо для реализации законных интересов организации.

В соответствии с GDPR организации, скорее всего, обрабатывают данные сотрудников на том основании, что это необходимо для выполнения контракта, соблюдения трудового законодательства ЕС или для реализации законных интересов организации — при условии, что этот интерес не преобладают над интересами или правами и свободами работника.

7. Право на забвение не является абсолютным правом

«Право субъекта данных на удаление» или «право на забвение» признано концепцией в Европейском Союзе с 2006 года.

GDPR кодифицирует «право на забвение», предоставляя человеку право на удаление всех его личных данных организацией при определенных обстоятельствах. Однако право на забвение не является абсолютным правом. Физическое лицо должно будет создать соответствующую основу в соответствии со статьей 17 GDPR, прежде чем от организации потребуется удалить данные. В некоторых случаях, например, когда организации необходимо осуществить или защитить судебный иск, организация может отказаться выполнять запрос на стирание.

Соответствие GDPR

Конфиденциальность и безопасность данных клиентов являются главным приоритетом Visier, и соответствие GDPR — важному закону, который способствует добросовестному обращению с личными данными — соответствует этому обязательству. Мы предпринимаем шаги для обеспечения защиты данных клиентов с помощью соответствующих технических и организационных мер, включая сохранение конфиденциальности данных путем ограничения доступа только для уполномоченного персонала.