Содержание

Согласие на обработку персональных данных не требуется

Требуется ли письменное согласие работника на обработку его персональных данных работодателем? В отношении каких персональных данных не требуется согласие работника на обработку? В каком порядке следует получать письменное согласие работника на обработку других данных?

Основные правила обработки работодателем персональных данных работников установлены ТК РФ и Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ).
Трудовой кодекс РФ определяет персональные данные работника как информацию, необходимую работодателю в связи с трудовыми отношениями и касающуюся конкретного работника (часть первая ст. 85 ТК РФ). К персональным данным относится любая информация об определенном человеке: его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (п. 1 ст. 3 Закона N 152-ФЗ). Под обработкой персональных данных понимаются их получение, хранение, комбинирование, передача или любое другое использование (часть вторая ст. 85 ТК РФ).
Согласно ч. 1 ст. 6 Закона N 152-ФЗ обработка персональных данных может осуществляться только с согласия субъекта этих данных, то есть с согласия работника. Исключения установлены ч. 2 ст. 6 Закона N 152-ФЗ. Приведем те из них, которые актуальны в трудовых отношениях.
Во-первых, согласие не требуется при обработке персональных данных в целях исполнения договора, одной из сторон которого является субъект персональных данных. Поскольку работодателя и работника связывает трудовой договор (часть первая ст. 16, часть первая ст. 56 ТК РФ), обработка персональных данных, которая необходима для исполнения работодателем своих обязанностей по договору, осуществляется без согласия работника (п. 2 ч. 2 ст. 6 Закона N 152-ФЗ). Например, работодатель вправе обрабатывать информацию об образовании работника при предложении ему вакантной должности, соответствующей квалификации (часть третья ст. 74, часть первая ст. 76, часть третья ст. 81 ТК РФ и другие). Точно также работодатель без согласия работника может обрабатывать персональные данные о состоянии здоровья, если работа предполагает обязательные медицинские осмотры или если сотрудник нуждается в переводе на другую работу в соответствии с медицинским заключением.
В ряде случаев работодатель может ошибочно посчитать, что необходимость обработки персональных данных возникла в связи с исполнением трудового договора. Например, работодатель решил поощрить работника ценным подарком — часами, на которых выгравированы имя, отчество, фамилия сотрудника, год его рождения. Для передачи соответствующих сведений в мастерскую работодателю следует получить согласие работника. Ведь гравировка на часах не влияет на права и обязанности сторон, возникшие в связи с заключением трудового договора.
Во-вторых, согласие не требуется и при обработке персональных данных на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора (п. 1 ч. 2 ст. 6 Закона N 152-ФЗ). Например, не требуется согласие работника на предоставление в военные комиссариаты сведений о нем, указанных в п. 4 ст. 8 Федерального закона от 28.03.1998 N 53-ФЗ «О воинской обязанности и военной службе». Аналогичная ситуация и с фондами, осуществляющими обязательное социальное страхование.
В третьих, не требует согласия обработка персональных данных, осуществляемая в целях защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно (п. 4 ч. 2 ст. 6 Закона N 152-ФЗ). Например, при несчастном случае на производстве можно сообщить врачу группу крови пострадавшего работника, который находится в бессознательном состоянии.
Отметим, что в случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия (п. 4 ст. 86 ТК РФ). К данным о частной жизни можно отнести, например, сведения о составе семьи работника, его увлечениях, способах и месте проведения времени отдыха и т.п.
Закон N 152-ФЗ ограничивает обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ч. 1 ст. 10). Обработка этих персональных данных допускается только в ситуациях, которые названы в законе.
Следует иметь в виду, что обязанность по предоставлению доказательств получения согласия субъекта персональных данных на их обработку возлагается законом на оператора (ч. 3 ст. 9 Закона N 152-ФЗ). Поэтому даже в тех случаях, когда закон не предусматривает, что согласие на обработку персональных данных должно быть письменным, работодателю все же лучше попросить работника выразить свое согласие в письменной форме.
Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя (ч. 4 ст. 9 Закона N 152-ФЗ):
— фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
— наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
— цель обработки персональных данных;
— перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
— перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
— срок, в течение которого действует согласие, а также порядок его отзыва.

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Трошина Татьяна

Контроль качества ответа:
Рецензент службы Правового консалтинга ГАРАНТ
Михайлов Иван

1 апреля 2011 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

«Шпаргалка» от Роскомнадзора: как защищать права субъектов персональных данных

Роскомнадзор опубликовал на своем официальном сайте www.rsoc.ru информацию, в которой содержатся ответы на часто задаваемые вопросы в сфере защиты персональных данных. Например, в каких случаях операторы не обязаны обеспечивать конфиденциальность таких данных, когда на их обработку не требуется согласия субъекта персональных данных, можно ли представить такие данные за родственника, является ли веб-сайт информационной системой обработки персональных данных. Подобные разъяснения ведомство вправе давать как уполномоченный орган по защите прав субъектов персональных данных на основании постановления Правительства РФ от 16.03.2009 № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций».

Кто может являться оператором персональных данных?

В соответствии с п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных (далее — оператор).

При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

В каких случаях операторами не должна обеспечиваться конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 7 Закона о персональных данных обеспечения конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?

Согласно ч. 2 ст. 6 Закона о персональных данных согласия субъекта персональных данных не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Кто должен запрашивать согласие работников предприятия на обработку персональных данных при их передаче для обработки другому оператору?

Получить согласие работника на передачу его персональных данных для обработки другому оператору должна администрация предприятия, на котором работает субъект персональных данных.

В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?

В соответствии с ч. 1 ст. 22 Закона о персональных данных оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.

Исключение составляют случаи, предусмотренные ч. 2 комментируемой статьи, при обработке персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством РФ.

Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Роскомнадзора www.rsoc.ru в информационно-телекоммуникационной сети «Интернет».

Кроме того, на портале «Персональные данные» реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.

Вправе ли физическое лицо представлять персональные данные своих близких родственников?

Читать еще:  Снилс ребенку как получить москва

Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.

Вправе ли кредитная организация обрабатывать персональные данные физических лиц, получивших отказ в предоставлении кредита? Возможно ли хранить формы анкет-заявок на получение кредита в формате цифровых копий?

Персональные данные субъектов персональных данных, полученные кредитной организацией при рассмотрении заявок на получение кредита, в случае отрицательного решения кредитной организации подлежат уничтожению в срок, не превышающий трех рабочих дней с даты принятия соответствующего решения.

Обращаем ваше внимание, что типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных, могут храниться в формате цифровых копий при соблюдении требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?

При заполнении веб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных, является файл электронной цифровой подписи.

Кроме того, предложение оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта.

Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством РФ не установлено.

Вправе ли оператор запрашивать сведения о судимости?

В соответствии с ч. 3 ст. 10 Закона о персональных данных обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством РФ, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

Какие иностранные государства обеспечивают адекватную защиту персональных данных?

До начала осуществления трансграничной передачи персональных данных оператор, осуществляющий обработку персональных данных на территории РФ, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

Критериев, определяющих адекватность защиты прав субъектов персональных данных на территории иностранного государства, действующим законодательством РФ не предусмотрено.

Оператору, осуществляющему трансграничную передачу персональных данных, необходимо руководствоваться законодательством иностранного государства, на территорию которого осуществляется передача персональных данных, законодательством РФ в области защиты прав субъектов персональных данных, а также международными нормативными актами, в том числе Конвенцией о защите прав физических лиц при автоматизированной обработке персональных данных от 28.01.81 ETS № 108 с учетом перечня стран, подписавших и ратифицировавших данную Конвенцию. Это Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония.

Вторая группа, которая может претендовать на статус стран, обеспечивающих адекватную защиту персональных данных, это страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных. Это Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония.

Распространяются ли требования Закона о персональных данных на юридическое лицо иностранного государства?

Требования Закона о персональных данных распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории РФ.

Является ли веб-сайт информационной системой обработки персональных данных?

Согласно п. 9 ст. 3 Закона о персональных данных информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

В случае соответствия веб-сайта указанным требованиям он является информационной системой.

Как документально оформить факт уничтожения персональных данных субъекта?

Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа оператора.

Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим оператором.

Статья 24 Закона о персональных данных определяет ответственность за нарушение данного Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством РФ ответственности.

Административная ответственность наступает:

за неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо представление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ);

разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст. 13.14 КоАП РФ);

нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11 КоАП РФ);

непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст. 19.7 КоАП РФ).

Кроме того, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность, предусмотренная ст. 137, 272 УК РФ.

Отдельные представители операторского сообщества разработали собственные стандарты и рекомендации по исполнению Закона о персональных данных. Ознакомиться с ними можно в разделе «Стандарты, рекомендации и концепции» портала «Персональные данные»:

152-ФЗ: Согласие на обработку персональных данных и пресловутая Политика конфиденциальности

СМИ пишут об изменениях в законе о персональных данных, согласно которым с июля 2017 года требуется получать согласие на обработку персональных данных во всех случаях, когда пользователь интернета предоставляет какие-либо свои данные. Мол, даже под любой формой обратной связи на сайте должно быть согласие на обработку персональных данных.

Пишут, что и Роскомнадзор надо уведомить о том, что компания по указанной выше причине является оператором персональных данных.

Предупреждают, что нарушение правил обработки персональных данных приведет к наложению штрафа в размере 300.000 руб. Такого размера штрафа в ст. 13.11 КоАП нет, это сумма максимальных штрафов по всем перечисленным в статье нарушениям правил обработки персональных данных.

Разберемся в этой надуманной проблеме получения согласия на обработку персональных данных!

Рассмотрим:

  1. В каком случае не требуется получать согласие на обработку персональных данных.
  2. В каких случаях нужно уведомлять Роскомнадзор об обработке персональных данных.
  3. Что считать персональными данными.
  4. Когда нужны Политика конфиденциальности на сайте и Положение о персональных данных.
  5. Когда согласие на обработку персональных данных должно содержать полные паспортные данных.

C июля 2017 года изменения были внесены не в закон №152-ФЗ о персональных данных, а в ст. 13.11 Кодекса об административных правонарушениях. Иными словами, требования к обработке персональных данных остались прежними, изменили наказание за нарушение закона.

1. Согласие на обработку персональных данных не требуется, если данные нужны для исполнения договора или сделаны общедоступными по желанию субъекта

Вот оно то, что Роскомнадзор, многие юристы и следом предприниматели как будто в законе не замечают.

Ну правда, разве интернет-магазин заинтересован в персональных данных своих клиентов? Нет!

  • Имя нужно, чтобы как-то обращаться,
  • имейл, чтобы поддерживать связь, а теперь еще (тоже с июля 2017) и отправлять онлайн чек (в связи с этим очаровательным пакетом изменений, называемым «онлайн кассы»),
  • телефон, чтобы держать связь в целях доставки товаров,
  • адрес, чтобы доставить товар,
  • хотите возраст, социальное положение? зачем? Чтобы делать индивидуальные предложения, давать таргетированную рекламу? Так и укажите!
  • И так далее.

Вы можете собирать много данных, но все они нужны для совершения вами какого-то действия в отношении cyбъeктa персональных данных. То есть реально они вам нужны для исполнения договора с ним. Вот это и должно быть в вашем договоре.

Пункт 5.8 Правил ВКонтакте: «Поскольку Администрация Сайта осуществляет обработку персональных данных Пользователя в целях исполнения настоящих Правил, в силу положений законодательства о персональных данных согласие Пользователя на обработку его персональных данных не требуется».

Это так просто! Никакой паники. Никаких штрафов. Никаких согласий на обработку персональных данных.

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия cyбъeктa персональных данных на обработку его персональных данных;

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных)…

Помните, однако, что ряд действий требует согласия (например, передача данных службе доставки), поэтому имеет значение, как данные предоставляются и как это юридически оформлено. Надежнее получить консультацию и заказать документы юристам.

2. Уведомление Роскомнадзора об обработке персональных данных

Штраф за неуведомление Роскомнадзора согласно ст. 19.7 КоАП составляет для юрлиц до 5.000 руб.

Большинству лиц не требуется уведомлять Роскомнадзор об обработке персональных данных!

Сейчас в реестре операторов, осуществляющих обработку персональных данных, около 388 тыс. лиц. В их числе нет, например, ВКонтакте.

Вы же не поверите в логику, что крупнейшей социальной сети не требуется «регистрироваться» в качестве оператора, а вашему интернет-магазину, интернет-сервису или вообще простому сайту-визитке с формой обратной связи вдруг необходимо?

Смотрим раздел 1 настоящей статьи – когда не требуется получать согласие на обработку персональных данных. В указанных же ситуациях не требуется уведомлять и Роскомнадзор об обработке персональных данных.

Не вносите вклад в дурную практику получения согласия на обработку персональных данных всегда и везде (как это рекомендуют делать юристы сомнительного уровня, например, Единого центра документов).

3. Что относится к персональным данным?

Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).

Ни закон, ни подзаконные акты не содержат четкого указания на то, что относится к персональным данным.

Серьезные проблемы связаны с «определяемым» физическим лицом. Определяемым кем и как? По интернету любым лицом с проведением собственного поиска (насколько глубокого, насколько профессионального?)? В результате общения со знакомыми? Детективом? Полицией? ФСБ? Судом?

В ряде случаев полные ФИО и регион относили к персональным данным, в ряде – нет.

Можно написать целую статью, но к однозначному выводу о том, что всегда будет относиться к персональным данным, а что никогда не будет, на текущий момент невозможно.

Например, можно ли номер паспорта сам по себе считать персональными данными? Едва ли. А номер телефона? Тоже. Но при появлении других сведений, например: имени и фамилии (прямо относятся к субъекту персональных данных) или идентификация человека через обстоятельства, известные события и т.п. (косвенно относятся), — то в связке с другими сведениями они могут стать персональными данными.

Именные ящики в собственных доменных именах, вероятно, могут быть сами по себе отнесены к персональным данным, а с помощью имейла типа fantasticcreature@ya.ru напрямую лицо не установить, разве что косвенно – через поиск по соответствующему адресу в интернете.

Читать еще:  Сколько дней у гарантии на лечение зубов

4. Политика конфиденциальности, Положение о персональных данных

Вот на это действительно надо обратить внимание.

Закон называет оператором персональных данных любое лицо, которое осуществляет любые действия с персональными данными. Хочется верить, цель законодателя едва ли была настолько глупой, чтобы фактически любое лицо провозгласить оператором персональных данных.

Однако согласно федеральному закону от 27.07.2006 №152-ФЗ «О персональных данных» любой владелец сайта, через который собираются персональные данные (даже в целях исполнения заказов), должен иметь на сайте Политику конфиденциальности (штраф – до 30.000 руб.), а каждому работодателю или даже индивидуальному предпринимателю без работников, но заключающему договоры с физлицами, желательно иметь Положение об обработке персональных данных, которое по запросу Роскомнадзора он сможет предоставить в качестве доказательства принятия мер по защите обрабатываемых персональных данных (один из самых простых способов).

К слову, Роскомнадзор нередко трактует положения закона так, что Положение об обработке персональных данных как локальный документ (для внутреннего использования) должен быть у любого оператора персональных данных.

Наши юристы помогут вам разобраться в том, относится ли получаемая вами информация к персональным данным, и помогут правильно составить юридические документы, избавив от необходимости получать согласие на обработку персональных данных, т.к. в большинстве случаев персональные данные обрабатываются для исполнения договора с субъектом персональных данных.

5. Когда согласие на обработку персональных данных должно содержать полные паспортные данные

Не правда ли, очаровательно: хотите получить согласие на обработку достаточно ограниченного объема персональных данных, но обязаны потребовать целиком ФИО, адрес, паспортные данные. В противном случае – платим штраф до 75.000 руб.

Статья 9 ФЗ №152 от 27.07.2006 «О персональных данных». Согласие субъекта персональных данных на обработку его персональных данных

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Статья 13.11 КоАП. Нарушение законодательства Российской Федерации в области персональных данных

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, —

влечет наложение административного штрафа на граждан в размере от 3.000 до 5.000 рублей; на должностных лиц — от 10.000 до 20.000 рублей; на юридических лиц — от 15.000 до 75.000 тысяч рублей.

Случаи, в которых согласие на обработку персональных данных должно быть обязательно в письменной форме (а соответственно, должно включать в себя полные паспортные данные лица):

  • персональные данные предоставляются для размещения в общедоступных источниках (к которым относятся и сайты в интернете, но у них есть свои особенности по сравнению, в частности, с приведенными в законе примерами – справочниками и адресными книгами);
  • данные касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, если они не сделаны субъектом персональных данных общедоступными;
  • биометрические персональные данные (отпечатки пальцев, рост, вес, фотографии лица и другие), если они используются оператором для установления личности субъекта персональных данных, при этом Роскомнадзор полагает, что идентификация стороны по договору по паспорту, в том числе копирование паспорта в этих целях, не относится к обработке биометрических персональных данных, т.к. цели иные, т.е. такие данные обрабатываются на общих основаниях;
  • при проведении автоматических розыгрышей и иные случаи, когда юридические последствия порождаются исключительно компьютером (например, розыгрыши скидок, призов среди клиентов);
  • другие случаи, предусмотренные законодательством.

Персональные данные – 2018: как избежать штрафов

Письмо-предупреждение Роскомнадзора о нарушении положений Федерального закона от 27.07.2006 № 152-ФЗ к вам не придет, если вы берете согласие на обработку персональных данных, правильно составили Политику обработки персональных данных и предусмотрели другие важные детали.

Что изменилось с 1 июля 2017 года

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан.

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально. На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft. Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн.

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.
Читать еще:  Синдром 17 месяца после расставания

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн . Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

Согласие на обработку персональных данных

Относительно недавно в России был введен в оборот новый документ под названием «Согласие на обработку персональных данных». Очень быстро он получил повсеместное распространение и на данный момент широко используется в самых разных организациях, начиная от государственных бюджетных учреждений и до коммерческих компаний.

Что собой представляет согласие

Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.

Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.

Когда чаще всего требуется согласие

Сейчас согласие необходимо писать почти повсеместно:

  • при подаче документов на ребенка в садик или школу;
  • при трудоустройстве;
  • при заключении договора с банком, страховой компанией и т.д.

Иными словами, везде, где гражданин предоставляет свои личные документы или документы лица, представителем которого он является, заполняет различного рода тесты и анкеты, он подписывается такое согласие.

Что вкладывается в термин «персональные данные»

Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • сведения из паспорта, трудовой книжки и прочих документов;
  • а также некоторые характеристики его личности.

При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.

В частности их условно можно поделить на три основных вида:

  1. общедоступные данные (ФИО, пол, дата, место рождения, гражданство и т.п.)
  2. биометрические (физиологические особенности индивида, его внешние параметры)
  3. специальные (народность, религия, здоровье и т.д.). Сюда же в некоторой степени относится и информация о месте работы человека, его отношениях с законодательством, привычках и т.п.

По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.

Для чего формируется согласие на обработку при трудоустройстве

Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д. Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).

В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.

Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.

Если сотрудник отказывается подписывать согласие

Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.

Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.

В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.

Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.

Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.

Что грозит за разглашение персональных данных

Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.

Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.

Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.

В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).

Как уведомить

Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.

Можно ли отозвать согласие

Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает. Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.

Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).

Это требование должно быть выполнено не позже чем через месяц после написания отзыва.

Образец согласия

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:

  • наименование компании-работодателя;
  • место и дата составления документа;
  • фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.

Далее в основной части подробно указывается:

  • каких именно персональных данных касается документ;
  • в каких целях и что именно допустимо с ними делать;
  • срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).

Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.

СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Я, Ковтун Инна Олеговна, паспорт 2495 564738, выдан Ленинским РОВД г. Иваново, адрес регистрации: г. Иваново, ул. Мельничная д.73, кв. 8, даю свое согласие ОАО «КомЖилФонд» на обработку моих персональных данных. Согласие касается фамилии, имени, отчества, данных о поле, дате рождении, гражданстве, типе документа, удостоверяющем личность (его серии, номере, дате и месте выдачи), а также сведений из трудовой книжки: опыте работы, месте работы и должности.

Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях. Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч. передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.

До моего сведения доведено, что ОАО «КомЖилФонд» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.

Подтверждаю, что давая согласие я действую без принуждения, по собственной воле и в своих интересах.

Ссылка на основную публикацию
Adblock
detector