Comments 4
Сложновато всё сплошным текстом, но всё таки:
В статье упоминается о различных типах согласий, однако не раскрыто различие между обычным и явным согласием, особенно в контексте обработки чувствительных данных, таких как биометрия. Согласие при наличии справочника сотрудников, который доступен всем сотрудникам. Что делать с учётными записями в системах, где указаны ПДн. СКУД... всё, что встречается в организации на практике, а не теория.
В статье упоминается об обязанностях сотрудников, однако не раскрыто, какие права имеют сотрудники, например, право на доступ к своим данным или их исправление.
В статье упоминается о штрафах за нарушения, однако не раскрыто, какие конкретные действия могут привести к этим санкциям. Сухие формулировки в КоАП это не раскрывают.
Не раскрыто, что при передаче данных третьим лицам необходимо заключать договор о конфиденциальности.
Спасибо за ваш всесторонний комментарий. Тема очень обширная и раскрыть все нюансы сложно не раздув текст. Сами видите, как много уже получилось. Попробую ответить на вопросы в комментарии.
1. Обычное согласие достаточно для «обычных» персональных данных (ФИО, контакты); его можно оформить одной подписью или «галочкой». Явное (письменное) согласие требуется для специальных категорий и биометрии . Рекомендуется оформлять такое согласие отдельным документом.
2. Согласие на внутренний справочник. Я так полагаю это про электронные справочники или адресные книги в корпоративной системе? - Включите пункт о размещении минимальных данных (ФИО, должность, рабочий e‑mail/телефон) во внутреннем справочнике в общее согласие при приёме на работу либо оформите отдельный бланк. Локальным актом закрепите, что доступ к справочнику имеют только сотрудники компании и лишь в рабочих целях. Создание рабочих аккаунтов (почта, мессенджеры, CRM) допускается как часть исполнения трудового договора.
3. Сотрудник вправе знать, какие его данные обрабатываются, получать их копии, требовать исправления, удаления или ограничения обработки и отзывать ранее данное согласие. Работодатель обязан ответить на запрос, внести изменения или мотивированно отказать, иначе сотрудник может пожаловаться в Роскомнадзор или обратиться в суд.
Пример: компания заключила договор с аутсорсером на ведение бухгалтерии. Чтобы бухгалтерская фирма начисляла зарплату, ей потребуется доступ к персональным данным работников (ФИО, должности, оклады, ИНН и пр.). Данные передаются вне компании – значит, от каждого сотрудника нужно получить согласие на такую передачу. Это согласие можно оформить отдельным документом или включить отдельным пунктом в трудовой договор при приёме на работу consultant.ru.
Я понимаю, что есть разъяснение РКН, но это невыполнимый бред!!! У ИП нет в штате человека, который может вести бухгалтерию и кадровое производство. Он нанимает одного человека. И этот человек отказывается дать согласие. И вот тут по требованию РКН ИП что должен делать? Пойти на нарушение закона и уволить человека? У европейцев в этом вопросе такой бред отсутствует. Они четко говорят, что передача третьим лицам возможна без получения согласия, если такая передача необходима для исполнения договора. За ссылки с разъяснениями РКН отдельное спасибо, но скажу честно, с мозгами у авторов в РКН чувствуется определенная напряженка.
Нужно ли согласие сотрудников на обработку их персональных данных?