Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Согласие на обработку персональных данных граждан: законодательные требования к оформлению документа». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.
Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.
Согласие на обработку персональных данных
Сейчас согласие необходимо писать почти повсеместно:
- при подаче документов на ребенка в садик или школу;
- при трудоустройстве;
- при заключении договора с банком, страховой компанией и т.д.
Иными словами, везде, где гражданин предоставляет свои личные документы или документы лица, представителем которого он является, заполняет различного рода тесты и анкеты, он подписывается такое согласие.
Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:
- фамилия, имя, отчество;
- дата и место рождения;
- сведения из паспорта, трудовой книжки и прочих документов;
- а также некоторые характеристики его личности.
При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.
В частности их условно можно поделить на три основных вида:
- общедоступные данные (ФИО, пол, дата, место рождения, гражданство и т.п.)
- биометрические (физиологические особенности индивида, его внешние параметры)
- специальные (народность, религия, здоровье и т.д.). Сюда же в некоторой степени относится и информация о месте работы человека, его отношениях с законодательством, привычках и т.п.
По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.
Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.
Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.
В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.
Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.
Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.
Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.
Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.
Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.
В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).
Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.
Можно ли отозвать согласие
Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает. Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.
Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).
Это требование должно быть выполнено не позже чем через месяц после написания отзыва.
Понятие персональных данных и обращение с ними регулирует Федеральный закон от 27.07.2006 № 152-ФЗ. В соответствии с этим документом под личными данными граждан, охраняемыми законодательством, следует понимать любую информацию, которая прямо или косвенно относится непосредственно к их субъекту (то есть физическому лицу). Такая информация позволяет однозначно определить, о каком человеке идет речь. Но человек — полновластный хозяин своих данных, и если форма согласия на обработку персональных данных им не заполнена и не предоставлена, ни одна организация не вправе ими распоряжаться.
Конкретные указания на то, какая информация о человеке является его индивидуальными и охраняемыми данными, в законодательстве отсутствуют. По сложившейся практике под ней обычно скрывается:
- фамилия, имя, отчество;
- дата и место рождения;
- адрес проживания (место регистрации);
- семейное, социальное и имущественное положение;
- образование, профессия;
- доходы, имущество и обязательства.
Обычно такие сведения человек сообщает о себе сам во многих государственных органах, медицинских и образовательных учреждениях, кредитных организациях и даже в коммерческих структурах (при трудоустройстве). Кроме вышеперечисленных сведений, которые являются общими, есть еще специальные личные данные, такие как национальность, вероисповедание, политические взгляды, состояние здоровья и прочая информация подобного рода.
Существует целый ряд документов, которые по своей сути являются источниками и одновременно хранилищами личной информации. К ним, в частности, относятся:
- паспорт гражданина (внутренний и заграничный);
- другие документы, удостоверяющие личность;
- трудовая книжка;
- военный билет;
- свидетельство о рождении;
- документы об образовании;
- документы о составе семьи;
- справки о доходах;
- анкеты, заполняемые при трудоустройстве;
- автобиография;
- характеристики;
- личные карточки работников (форма Т-2);
- другие документы.
Очевидно, что большинство этих документов в подлинниках или копиях хранят работодатели граждан. Они и все остальные лица, к которым попадает такая информация, являются операторами ПД. В законе указано, что такое согласие на обработку персональных данных, которое обязаны получить все операторы.
В статье 3 закона № 152-ФЗ сказано, что оператором ПД является лицо, которое организует и осуществляет обработку персональных данных. Все работодатели, как юрлица, так и ИП, являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус, практически не ограничен. Это любое лицо, которому человек сделал заявление и согласие на ОПД, то есть доверил личную информацию о себе оператору и разрешил ее использовать для определенных целей.
Отдельное внимание следует уделить понятию обработки личной информации. О ней везде говорят, но никто толком не знает, что это такое. Тогда как часть 3 все той же статьи 3 закона № 152-ФЗ регламентирует это понятие как любое действие (или их совокупность), совершаемое с личной информацией. Под действиями законодатели понимают:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление или уничтожение данных.
Все операции проходят или в бумажном ручном режиме, или с использованием средств автоматизации, в том числе в режиме онлайн. На все эти действия оператор обязан получить от владельца одобрение: например, заполненный бланк согласия.
Деятельность работодателей в качестве операторов регулирует статья 86 Трудового кодекса РФ.
Определимся с общими требованиями к оформлению бумаг, которые подтверждают одобрение гражданина на действия с его личными данными. Необходимо учитывать, что форма для организаций и учреждений немного отличается от того, как выглядит заявление о согласии на обработку персональных данных (его берет с каждого нового сотрудника работодатель).
Нормами статьи 87 ТК РФ установлено, что все организации самостоятельно определяют порядок хранения и использования сведений, полученных от работников. Аналогичный принцип применим и ко всем остальным операторам. Главное — не нарушать требования, установленные федеральными законами и кодексами. Прежде чем приступать к действиям с информацией, необходимо утвердить локальный акт по организации: «Положение о персональных данных». В этом документе должны содержаться все основные требования к правилам оформления документации. Положение утверждает руководитель с одобрения профсоюзного органа (при его наличии). В нем прописывают, как выглядит подписанное согласие на обработку персональных данных и сколько оно хранится.
Когда речь идет о работодателях, важно учесть, что по нормам п. 8 части 1 статьи 86 ТК РФ всех работников и их представителей следует ознакомить с утвержденным положением под подпись. Для этих целей даже заводят специальный журнал. Если положение в организации-операторе отсутствует, это является грубым нарушением, за которое нормами статьи 13.11 КоАП РФ предусмотрен штраф.
Требования к письменному согласию, которое дает владелец личной информации, определены в части 1 статьи 9 закона № 152-ФЗ. Они изменились с 01.03.2021. Главное требование — конкретика, информативность и обязательное оформление в письменной форме. Также допускается электронная форма, если взаимодействие владельца и оператора происходит через интернет. В любом случае у оператора должна иметься возможность в любой момент подтвердить факт получения.
Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.
Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:
- ФИО;
- контактные данные;
- перечень персональных данных, обработку которых нужно прекратить.
Указанные ПД могут обрабатываться только оператором, которому оно направлено.
Согласие на обработку персональных данных — бланк 2022
Данное понятие регламентируется в законодательном порядке и подразумевает информацию, по которой прямо или косвенно можно идентифицировать личность, установить её индивидуальные особенности, семейный статус, положение в обществе и многое другое.
Конкретного перечня ПД не существует, так как только по фамилии, имени и отчеству однозначно идентифицировать человека не получится: на просторах нашей Родины одних ивановых иванов ивановичей – многие тысячи. Если же Ф.И.О. сочетаются с другой информацией: датой/местом рождения, адресом, номером телефона, семейным положением, отношением к религии и т.д.), то весь этот набор переходит в категорию персональных данных. Какая именно комбинация может считаться ПД – вопрос дискуссионный.
Оператор имеет право обрабатывать (т.е. собирать, предавать, записывать, хранить) только те персональные данные, на которые получено письменное согласие субъекта ПД. Если раньше ПД, размещённые человеком в открытом доступе, разрешалось использовать без предварительного согласия на то их обладателя, то с принятием закона № 152-ФЗ подобные «вольности» стали недопустимы: теперь оператор должен доказать правомерность их обработки. Иначе можно «налететь» на солидный штраф.
О случаях, когда обработка допустима без согласия держателя ПД, будет сказано ниже.
Понятия «личные» и «персональные» данные законодательно не разграничены, из-за чего их нередко отождествляют. Многие юристы рассматривают личную информацию граждан как общедоступные сведения, которые не характеризуют личность человека всесторонне (например, не раскрывают состояние здоровья, общественный статус и т.д.). Личные данные можно встретить в открытых источниках (в соцсетях, интернет-справочниках). Законом они не охраняются.
В распоряжении работодателя, как правило, находится общепринятый пакет документов, содержащих сведения о своих работниках. К таким документам относятся:
- копии документов сотрудника (паспорт, СНИЛС, ИНН, диплом(ы) об образовании);
- фотография;
- кадровые документы (трудовая книжка, трудовое соглашение, приказы);
- бухгалтерские документы (расчётные листки по зарплате);
- прочее (резюме, результаты психологического тестирования и т.п.).
В совокупности эти сведения являются ПД. Работодатель несёт административную, гражданскую и уголовную ответственность за их неправомерное распространение или утечку.
Под сбором данных понимается их передача субъектом оператору. Сбор согласий производится как в письменной, так и в электронной форме. Среди популярных способов:
Анкета заполняется физическим лицом от руки с указанием согласия на обработку ПД.
поставщик услуги со слов клиента вносит его личные данные в свою электронную базу и просит дать согласие на обработку полученных сведений посредством СМС-кода или звонка. Код отправляется системой автоматически. При этом клиенту предлагается ознакомиться с программой лояльности, ссылка на которую прикрепляется к СМС.
Получите доступ к демонстрационной версии ilex на 7 дней
В случаях, когда цель определяется организацией (оператором) самостоятельно в силу особого характера своей деятельности, то она обязана получить согласие у обладателя ПД. Например, если фирма практикует выплату зарплаты на банковскую карту, для передачи сведений в банк она должна взять у сотрудника соответствующее согласие, поскольку прямого требования закона на этот счёт не существует. То же относится к специальным и биометрическим данным.
Перечень основных моментов, которые должны быть отражены в документе, закрепляющем согласие на обработку персональных данных, содержится в п. 4 ст. 9 закона № 152-ФЗ. Это:
- информация о лице, разрешающем обработку данных (Ф. И. О., данные паспорта), или его представителе (для него дополнительно понадобится документ, удостоверяющий его полномочия);
- данные о получателе персональной информации (наименование или Ф. И. О., адрес);
- определение цели, с которой предоставляются данные;
- перечень сведений, которые подлежат обработке;
- способы обработки данных, в т. ч. указание на иное лицо, которое будет выполнять обработку, если есть намерение привлечь его к этому;
- срок действия согласия или способ его отзыва;
- собственноручная подпись лица, дающего разрешение.
Об основных принципах оформления документа, удостоверяющего полномочия представителя, читайте в статье «Доверенность на получение заработной платы — образец».
Бланк согласия на обработку персональных данных не имеет законодательно утвержденной формы. При его оформлении нужно только соблюсти обязательность включения в него сведений, предусмотренных п. 4 ст. 9 закона № 152-ФЗ. Каждый получатель персональной информации может разработать форму согласия самостоятельно, отразив в ней необходимый ему перечень сведений и особенности их обработки.
Все правила обращения с личной информацией регулирует Федеральный закон №152-ФЗ «О персональных данных». Согласно статье 3 этого закона, персональными данными можно назвать любую информацию, которая касается непосредственно физического лица — субъекта этих данных. К информации личного характера следует отнести все паспортные данные: Ф. И. О., дату и место рождения, возраст, место проживания, семейный статус.
В этом же законе есть статья 10, которая вносит в список персональной информации подробности о расе, национальности, моральных убеждениях человека, личной жизни, а также сведения о его здоровье.
В статье 11 понятие «персональные данные» расширяется: под термином понимают любые сведения, фото- или видеоматериалы, по которым можно определить личность человека.
Чтобы предупредить неправомерные действия, личная информация каждого человека должна надежно сохраняться. Многие люди бережно относятся к сведениям о себе, и это оправдано. Поэтому, согласно действующим законам РФ, нельзя обрабатывать личную информацию без согласия субъекта (в некоторых случаях — письменного).
Понятие «обработка» подразумевает все действия, которые происходят с данными, начиная с момента их сбора. Передача, запись, распределение, хранение, применение, удаление — эти и многие другие действия входят в понятие «обработка персональных данных».
Все в том же законе №152-ФЗ указано, что обработка персональной информации должна происходить с соблюдением основных принципов:
- соблюдение требований актуального законодательства;
- цель обработки необходимо определить и озвучить субъекту заранее;
- собирать и обрабатывать можно только информацию, которая соответствуют указанной цели;
- оператор обязан обеспечить точность данных, предупредить их искажение, а ответственные лица должны периодически следить за актуальностью информации;
- после достижения финальной цели данные нужно уничтожить.
Персональные данные для digital-маркетинга: полный гайд и шаблоны документов
Предоставление согласия на обработку персональных данных должно быть абсолютно добровольным. Это означает, что у работодателя нет права заставить человека подписать документ. В практике сотрудников кадровой службы могут встретиться люди, которые будут настороженно относиться к документу или даже откажутся его подписывать. Но отказ будущего работника подписывать соглашение в большинстве случаев связан с непониманием цели обработки его данных.
В таком случае важно объяснить человеку, что его личную информацию, согласно закону, будут использовать исключительно в служебных целях. Кроме того, этот документ создан для того, чтобы защищать права субъекта персональных данных. Это тоже важно донести до потенциального работника. Если на момент подписания согласия трудовой договор между работодателем и будущим работником еще не подписан, это может повлечь за собой потерю рабочего места.
Сотрудник может не подписывать документ только в том случае, если он уже работает в компании. Тогда обработка его данных возможна, но только в целях выполнения условий трудового договора.
В некоторых случаях прибегают к обработке, в частности, к передаче данных без согласия субъекта. Например, если эти действия нужны для предотвращения угрозы здоровью или жизни сотрудника, или их передают по требованию уполномоченных органов, в его разрешении нет необходимости.
В тексте согласия точно указывается цель обработки личных данных. «Отклоняться» от нее запрещено. В случае, если работодатель превысит свои полномочия, его может ожидать дисциплинарная, административная и даже уголовная ответственность.
Чтобы защитить свои интересы, будущий сотрудник может воспользоваться услугами юриста, прежде чем подписать форму соглашения. Специалист поможет проанализировать правомерность действий работодателя, правильность составления согласия и объем данных, которые нужно предоставить сотруднику при поступлении на работу. Например, информация о состоянии здоровья и пребывании в местах лишения свободы нужна только для определенного ряда специальностей.
Согласие на обработку персональных данных — это документ свободной формы, поэтому в каждой организации разрабатывают подходящий вариант шаблона. Но условия согласия на обработку персональных данных говорят о том, что в документе обязательно должна быть такая информация:
- наименование компании;
- место и дата оформления документа;
- Ф. И. О., паспортные данные субъекта;
- Ф. И. О. человека, который представляет интересы компании;
- Ф. И. О. и должность сотрудника, который будет производить обработку данных;
- объяснение цели работы с предоставленными данными;
- перечисление конкретных сведений о работнике, которые будут обрабатывать;
- срок, в течение которого документ считается актуальным;
- способ отказа от согласия;
- подпись сотрудника.
В июле 2016 года было введено в действие соглашение о защите конфиденциальности между ЕС и США EU-U.S. Privacy Shield. Данное соглашение является фреймворком, который определяет подходы коммерческих компаний к защищенному обмену ПДн между Евросоюзом и Северной Америкой. Цель такого соглашения — привести в соответствие нормы GDPR по защите ПДн в ЕС и методы обеспечения их безопасности в США. Предшественником данного фреймворка было соглашение Safe Harbor Privacy Principles («Принципы Безопасной Гавани для защиты личных данных»), которое действовало с 2000 по 2015 годы и подтверждало, что методы обеспечения безопасности ПДн в США соответствуют нормам Европейской Директивы 95/46/ЕС «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных». Указанное соглашение было подвергнуто критике из-за выявленных фактов целенаправленного постоянного доступа к ПДн европейских граждан со стороны правительства США, в частности, Агентства Национальной Безопасности. Это было учтено Европейским судом, который вынес в октябре 2015 года решение о недействительности Принципов Безопасной Гавани. Таким образом, в настоящее время компании из США, желающие обрабатывать ПДн граждан Евросоюза, должны соответствовать требованиям EU-U.S. Privacy Shield. Подтверждение соответствия осуществляется в виде добровольной самостоятельной сертификации в Министерстве торговли США. Компания-оператор должна выполнять следующие базовые требования, подтверждающие адекватный уровень защиты ею ПДн граждан Евросоюза:
- информирование субъектов об обработке их ПДн, что включает в себя указание на защиту ПДн в соответствии с Privacy Shield в политике компании по защите личных данных (Privacy Policy), уведомление субъектов ПДн об их правах и напоминание об обязанностях самой компании в случае получения законного запроса на предоставление ПДн со стороны государственных органов;
- предоставление бесплатного и доступного инструмента для разрешения споров, что означает обязанность компании в течение 45 дней ответить на жалобы субъекта, предоставить бесплатный правовой механизм оперативной обработки обращений субъектов, участвовать в процедурах рассмотрения жалоб, поступивших от европейских Data Protection Authorities (регуляторов по вопросам защиты данных);
- взаимодействие с Министерством торговли США в части предоставления ответов на запросы, касающихся соблюдения норм Privacy Shield;
- поддержание целостности данных и ограничений на их использование путем лимитирования объема обрабатываемых ПДн до релевантного целям обработки, а также путем соответствия принципам ограничения сроков хранения ПДн;
- обеспечение ответственности за передачу ПДн третьим лицам, что подразумевает:
- в случае третьего лица, выступающего в роли оператора, — соответствие принципам уведомления субъектов и их осознанного согласия (т.н. Notice and Choice Principles), внесение в договор с третьим лицом пунктов об обеспечении им защиты передаваемых ему ПДн (что означает ограничение на использование ПДн, обеспечение адекватного уровня защиты ПДн, уведомление в случае нарушения данных требований);
- в случае третьего лица, выступающего в роли агента, т.е. обработчика, — выполнение требований по передаче ему ПДн только для достижения ограниченных и конкретных целей по защите ПДн на уровне не ниже, чем это осуществляется оператором, по проверке выполнения обработчиком данных требований, по необходимости — уведомления обработчиком оператора в случае невозможности выполнения требований и по прекращению обработки ПДн обработчиком в случае выявленных нарушений;
- открытая публикация отчетов Федеральной торговой комиссии США по оценке и соответствию компании нормам Privacy Shield;
- соблюдение норм защиты полученных компанией ПДн даже в том случае, если она принимает решение выйти из соглашения Privacy Shield.
- Как мы видим, требования, предъявляемые в рамках Privacy Shield, гармонизированы с европейскими нормами защиты ПДн, а также в определенной степени напоминают принципы, задекларированные в отечественном 152-ФЗ.
Как оформить согласие на обработку персональных данных субъекта
Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Примеры:
- работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
- работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
- продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
- покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.
Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.
Оператор ПД – любой человек, ИП, компания, органы и учреждения государственной и муниципальной власти, которые осуществляют действия с ПД.
Примеры:
- работодатель, обрабатывающий ПД своих работников;
- продавец, обрабатывающий ПД клиентов-граждан;
- госорганы, обрабатывающие ПД граждан при предоставлении государственных услуг;
- владельцы сайтов, собирающие ПД пользователей сайта.
Согласие на обработку ПД – это добровольно принятое вами решение о предоставлении своих данных оператору для обработки в тех целях, которые им определены.
Согласие на обработку ПД должно быть оформлено:
- письменно, если того требует закон (см. выше);
- в остальных случаях закон допускает оформление согласия в любой иной форме, позволяющей подтвердить факт его получения оператором, например проставление галочки напротив текста о предоставлении согласия на сайте при регистрации (☑).
Пункты, которые обязательно должно содержать письменное согласие:
- Ф.И.О., адрес, реквизиты паспорта или иного документа, удостоверяющего личность;
- название организации или Ф.И.О. и адрес оператора;
- цель обработки ПД – вы должны понимать, для чего вы даете согласие на обработку данных; если оператор станет обрабатывать ПД в иных целях, это будет считаться нарушением закона;
- перечень ПД, которые будет обрабатывать оператор;
- информация о лице, которое будет обрабатывать ваши ПД по поручению оператора. Например, работодатель передает ваши данные сторонней организации, которая оказывает бухгалтерские или кадровые услуги, – для этого вы должны предоставить свое согласие;
- перечень действий, которые будет осуществлять оператор, т.е. что конкретно он может делать с ПД: собирать и хранить или собирать, хранить и передавать и т.д.;
- срок, на который выдано согласие;
- способ отзыва согласия;
- подпись.
Можно. Предоставление согласия – дело добровольное. Исключением являются те случаи, когда оператор может обрабатывать ПД без вашего согласия (см. выше).
Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?
На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.
- Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
- Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.
- Вас могут не пустить в здание, особенно если это режимный объект. Если на территории организации установлен особый пропускной режим, то отказ в пропуске может считаться законным, в том числе если вы не желаете дать согласие на обработку ПД.
Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:
- считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
- считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.
С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.
Однако оба довода являются спорными.
Согласие на обработку персональных данных: бланк 2021
Под ними понимают любые сведения, которые прямо или косвенно относятся к физическому лицу. Такая широкая трактовка позволяет отнести любую информацию о человеке к персональным данным. Федеральный закон о персональных данных является нормой прямого действия и должен соблюдаться всеми субъектами, получившими доступ к указанной информации.
Когда пользователь оставляет свои сведения на сайте в интернете при приобретении какого-либо товара, ресурс становится хранителем (оператором) персональных данных, что накладывает на него определенные права и обязанности.
Законодательство РФ предусматривает 3 вида ответственности:
- гражданско-правовая — как правило, устанавливается в договоре, который гражданин заключает с оператором персональных данных. Носит преимущественно денежный характер;
- административная — установлена в Кодексе об административных правонарушениях РФ и выражается либо в виде предупреждения, либо в виде денежного штрафа;
- уголовная — наступает за наиболее тяжкие нарушения законодательства. В подавляющем большинстве случаев к виновному применяется либо денежный штраф, либо наказание, связанное с ограничением свободы.
Перечень ситуаций установлен в ст. 6 Закона №152-ФЗ. Важно следить за соблюдением требований закона:
- при осуществлении правосудия;
- при заключении договора потребительского кредитования;
- при заключении трудового договора;
- при защите прав и интересов гражданина;
- если при заключении гражданско-правового договора стороны достигли согласия об этом;
- в случаях, когда требования законодательства требуют принятия мер по обработке персональных данных.
Закон содержит ряд норм о предоставлении персональных данных по запросам сторонних организаций и частных лиц. Без согласия гражданина сведения могут предоставляться только по запросу судебных и правоохранительных органов. В иных случаях факт несанкционированной передачи будет караться по УК РФ.
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Как взять согласие на обработку персональных данных
В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.
Это согласие работодатели уже давно должны были запросить у работников.
К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).
В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.
Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.
Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.
Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.
Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).
В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.
Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.
Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.
Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.
Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.
Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.
Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.
Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:
-
в течение трех рабочих дней с момента обращения;
-
или в срок, указанный в постановлении суда;
-
или в течение трех рабочих дней с момента вступления решения суда в законную силу.
Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.
К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).
Имеется конкретный список обязательных данных владельца персональной информации, которые должны быть в согласии:
- ФИО;
- контактные данные (телефон, электронная почта, адрес);
- информация об операторе-компании;
- информация об операторе-физлице;
- информация об операторе-ИП;
- информация об информационных ресурсах оператора, через которые неограниченному числу лиц дается доступ к информации и осуществляются иные операции с персональной информацией;
- цель обработки сведений;
- категории и перечень сведений, на обработку которых оформляется согласие — персональные данные (ФИО, дата и место рождения, адрес, семейное положение и т.п.), специальные категории персональных сведений, биометрические данные;
- срок действия согласия.
Если владелец персональных данных захочет, то можно заполнить и такую информацию:
- категории и перечень данных, для обработки которых владелец указывает условия и запреты, а также список этих условий и запретов;
- условия, с учетом которых полученная информация может направляться оператором лишь по его локальной сети, обеспечивающей доступ к сведениям только для конкретных работников, либо с применением определенных телекоммуникационных сетей, либо без передачи персональной информации.
Роскомнадзор предоставил для использования специальный конструктор, с помощью которого можно сформировать шаблон согласия. Данный документ только рекомендован, однако он соответствует предъявляемым к нему требованиям и учитывает особенности конкретного оператора.
Для создания шаблона нужно заполнить необходимые графы, после чего он рассматривается экспертами Роскомнадзора. Если необходимо, оператору выдаются рекомендации, как доработать документ. Результаты проведенной проверки пересылаются на адрес электронной почты, который указывается в форме.
После этого оператор может применять проверенную форму документа.
В шаблоне учитываются все обязательные данные, которые нужно отражать в согласии на основании Приказа от 24.02.2021 г. № 18.
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.
Согласие на обработку персональных данных: когда обязательно и как составить
Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.
Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.
Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).
Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.
С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.
Мы рассказывали в нашей консультации о том, что относится к персональным данным работника, как производится их обработка и защита. При этом в общем случае организации необходимо получать согласие сотрудника на обработку персональных данных. Приведем в этом материале форму согласия на обработку персональных данных работника и образец его заполнения.
Согласие на обработку персональных данных работника составляется в письменной форме в бумажном или электронном виде. Соответственно, и заверено оно должно быть собственноручной или электронной подписью.
Согласие на обработку данных должно содержать в числе прочего следующую информацию (ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ ):
- Ф.И.О.;
- адрес работника;
- сведения об основном документе, удостоверяющем личность (номер, дата выдачи и выдавший орган);
- наименование работодателя, который получает согласие на обработку данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание способов обработки персональных данных;
- срок, в течение которого действует согласие и способ его отзыва;
- подпись лица, давшего согласие.
Понятие персональных данных и обращение с ними регулирует Федеральный закон от 27.07.2006 № 152-ФЗ в редакции от 22.02.2017. В соответствии с этим документом, под личными данными граждан, охраняемыми законодательством, следует понимать любую информацию, которая прямо или косвенно относится непосредственно к их субъекту (то есть физическому лицу). Такая информация позволяет однозначно определить, о каком человеке идет речь. Но человек — полновластный хозяин своих данных, и любая организация не вправе ими распоряжаться, если он не подписал бланк согласия на обработку персональных данных 2019.