Как заполнить соглашение на обработку персональных данных на основании чего
Согласие на обработку персональных данных
Относительно недавно в России был введен в оборот новый документ под названием «Согласие на обработку персональных данных». Очень быстро он получил повсеместное распространение и на данный момент широко используется в самых разных организациях, начиная от государственных бюджетных учреждений и до коммерческих компаний.
К вашему вниманию! Этот документ можно скачать в КонсультантПлюс.
Что собой представляет согласие
Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.
Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.
Когда чаще всего требуется согласие
Сейчас согласие необходимо писать почти повсеместно:
Иными словами, везде, где гражданин предоставляет свои личные документы или документы лица, представителем которого он является, заполняет различного рода тесты и анкеты, он подписывается такое согласие.
Что вкладывается в термин «персональные данные»
Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:
При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.
В частности их условно можно поделить на три основных вида:
По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.
Для чего формируется согласие на обработку при трудоустройстве
В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.
Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.
Если сотрудник отказывается подписывать согласие
Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.
Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.
В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.
Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.
Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.
Что грозит за разглашение персональных данных
Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.
Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.
Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.
В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).
Как уведомить
Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.
Можно ли отозвать согласие
Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает. Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.
Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).
Это требование должно быть выполнено не позже чем через месяц после написания отзыва.
Образец согласия
Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:
Далее в основной части подробно указывается:
Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.
СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях. Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч. передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.
До моего сведения доведено, что ОАО «КомЖилФонд» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.
Подтверждаю, что давая согласие я действую без принуждения, по собственной воле и в своих интересах.
Что нужно знать о согласии на обработку персональных данных
Каждый человек сообщает свои Ф.И.О., реквизиты паспорта, адрес, информацию о здоровье и т.п. множеству организаций. В большинстве случаев на обработку данных нужно согласие физлица. Разберемся, что это такое, в какой форме его можно дать, как происходит получение согласия.
1. Что такое согласие на обработку персональных данных и когда оно нужно
Согласие на обработку персональных данных — это ваше разрешение совершать с персональными данными любые действия. Например, собирать данные, хранить их, изменять, использовать, распространять, удалять (абз. 6 ст. 1, п. 1 ст. 5 Закона о защите персональных данных).
Примечание
Персональные данные — это любая информация, касающаяся физлица. В первую очередь, это данные паспорта: Ф.И.О., пол, дата и место рождения, идентификационный номер, адрес регистрации. К персональным данным также относится информация о родителях/детях, образовании, роде занятий, здоровье, национальности, религиозных убеждениях и др.( п. 1 ст. 8, п. 1 ст. 10 Закона N 418-З, абз. 12 ст. 1 Закона о защите персональных данных).
Ваше согласие должно быть (п. 1 ст. 5 Закона о защите персональных данных):
Ваши данные могут обрабатывать, в частности, при:
— приеме на работу и в процессе трудовой деятельности;
— обращении в медучреждения;
— заключении договора в банке, страховой компании;
— заказе товаров в интернет-магазине;
— регистрации на сайтах различных организаций.
Обратите внимание!
Объем данных, которые вас просят предоставить, должен соответствовать целям их обработки (п. 2, ч. 1 п. 4 ст. 4 Закона о защите персональных данных). Иными словами, от вас не могут потребовать больше данных, чем нужно в конкретном случае. Например, информация о состоянии вашего здоровья нужна медцентру для оказания медуслуг, но не нужна интернет-магазину для доставки вам товаров.
По общему правилу ваши персональные данные можно получать и обрабатывать с вашего согласия (ч. 1 п. 3 ст. 4 Закона о защите персональных данных). Исключение составляют случаи, прямо установленные законодательством.
Примечание
Подробнее о случаях, когда согласие на обработку персональных данных не нужно, см. в разделе 5.
2. В какой форме можно дать согласие
Согласие может быть дано в одной из следующих форм (п. 2 ст. 5 Закона о защите персональных данных):
1) в письменной форме, т.е. вы подпишете «бумажный» документ, в котором выражено ваше согласие на обработку персональных данных;
2) в форме электронного документа. Такой документ создают с помощью специальных программ. Подписать его можно только электронной цифровой подписью, если она у вас есть (ст. 16, 17 Закона об электронном документе и ЭЦП);
3) в другой электронной форме. Такое согласие вы можете дать (п. 3 ст. 5 Закона о защите персональных данных):
— путем введения кода, полученного в СМС-сообщении или в письме на электронную почту.
Пример
При регистрации на сайте интернет-магазина нужно заполнить анкету, указав в ней персональные данные: Ф.И.О., пол, дату рождения. Чтобы зарегистрироваться, пользователям сайта предлагается получить код по СМС и ввести его в специальное окошко. При этом на сайте указано, что введение кода является согласием на обработку персональных данных физлица. Ввод кода физлицом будет выражением его согласия на обработку данных;
— путем проставления соответствующей отметки на интернет-сайте.
Пример
На сайте интернет-магазина размещено согласие покупателя сообщить свой адрес для доставки товаров. Если вы проставите галочку в графе «Согласен», это будет считаться согласием, которое получено в электронной форме;
— другими способами. Главное, чтобы такой способ позволял установить факт получения согласия.
Типовой формы или бланка согласия законодательство не содержит. Полагаем, организации, которые хотят получить ваши данные, будут самостоятельно разрабатывать формы согласия. Следовательно, вам составлять согласие не придется, достаточно будет подписать или проставить отметку в предложенной организацией форме.
3. Какие права есть у физлица в связи с обработкой персональных данных
В отношении своих данных вы вправе:
1) в любое время отозвать свое согласие на обработку данных. При этом вы не должны объяснять причины отзыва согласия (п. 1 ст. 10 Закона о защите персональных данных);
2) получить информацию об обработке ваших данных. В частности, вы можете узнать, какие из ваших персональных данных обрабатывает организация, откуда они получены и с какой целью обрабатываются (ч. 1 п. 1 ст. 11 Закона о защите персональных данных);
3) требовать внести изменения в ваши данные, если они неточные, неполные или устарели (ч. 1 п. 4 ст. 11 Закона о защите персональных данных).
Примечание
Для внесения изменений в данные нужно предоставить документ, который подтверждает, что данные не верны. Вместо оригинала такого документа можно предоставить его заверенную копию (ч. 1 п. 4 ст. 11 Закона о защите персональных данных);
4) получить информацию о предоставлении ваших данных третьим лицам (ч. 1 п. 1 ст. 12 Закона о защите персональных данных).
Обратите внимание!
Вы вправе получить информацию о передаче ваших данных третьим лицам бесплатно один раз в календарном году (ч. 1 п. 1 ст. 12 Закона о защите персональных данных);
5) требовать прекратить обработку ваших данных и/или удалить их. Такое требование вы можете заявить, если для обработки ваших данных нет законных оснований (ч. 1 п. 1 ст. 13 Закона о защите персональных данных). В этом требовании вам могут отказать, если обработка данных производится на законном основании (п. 3 ст. 13 Закона о защите персональных данных).
Пример
Цветков М.М. сообщил свой адрес и Ф.И.О. интернет-магазину для доставки товара. После доставки Цветков М.М. вправе потребовать, чтобы магазин удалил его данные, ведь цель, для которой они были предоставлены, уже выполнена. В этом случае интернет-магазин обязан удалить персональные данные Цветкова М.М.
Чтобы воспользоваться указанными правами, вам нужно подать заявление в организацию, которая работает с вашими данными. Заявление можно подать в письменной форме или в форме электронного документа (п. 1 ст. 14 Закона о защите персональных данных).
В заявлении вам нужно (п. 2 ст. 14 Закона о защите персональных данных):
— указать ваши Ф.И.О., адрес, дату рождения и идентификационный номер.
Примечание
Если идентификационного номера нет, нужно указать номер документа, удостоверяющего личность, который вы указывали при даче согласия (абз. 4 п. 2 ст. 14 Закона о защите персональных данных);
— изложить суть ваших требований, например, указать, что вы отзываете свое согласие или требуете удалить ваши данные;
— проставить личную подпись или электронную цифровую подпись, если она у вас есть и вы подаете заявление в форме электронного документа (п. 2 ст. 14 Закона о защите персональных данных).
После получения заявления организация должна выполнить ваше требование и сообщить вам об этом или сообщить о причинах невыполнения требования. Срок ответа на заявление зависит от сути ваших требований (ч. 1 п. 2 ст. 10, п. 2, ч. 2 п. 4 ст. 11, п. 2 ст. 12, ч. 1 п. 2 ст. 13 Закона о защите персональных данных):
| Суть требования | Срок ответа |
| Отзыв согласия | 15 дней после получения заявления |
| Получение информации об обработке данных | 5 дней после получения заявления |
| Внесение изменений в персональные данные | 15 дней после получения заявления |
| Получение информации о предоставлении данных третьим лицам | 15 дней после получения заявления |
| Прекращение обработки данных/их удаление | 15 дней после получения заявления |
Примечание
Организация обязана ответить на ваше заявление в той же форме, в которой оно было подано, если в самом заявлении вы не указали другой способ ответа (п. 3 ст. 14 Закона о защите персональных данных).
Решение организации вы вправе обжаловать. Для этого нужно подать жалобу в Национальный центр защиты персональных данных (далее — НЦЗПД). В свою очередь решение НЦЗПД можно обжаловать в суд (ст. 15 Закона о защите персональных данных, п. 1, ч. 1 п. 27 Положения от 28.10.2021 N 422).
4. Каков порядок получения согласия
До получения ваших данных организация, которая хочет их получить, обязана:
1. Предоставить вам необходимую информацию.
Организация должна сообщить вам (ч. 1 п. 5 ст. 5 Закона о защите персональных данных):
— свое название и местонахождение;
— с какой целью будут обрабатываться ваши данные. Например, магазин может собирать данные покупателей для изучения спроса, а медучреждение — для формирования статистики;
— перечень персональных данных, на обработку которых вы даете согласие.
Обратите внимание!
У вас не вправе потребовать больше данных, чем нужно для указанной цели (ч. 1 п. 4 ст. 4 Закона о защите персональных данных). Например, чтобы изучать спрос на товары, магазину не нужна информация о состоянии здоровья покупателей. В то же время медцентр может попросить вас предоставить данные о перенесенных заболеваниях и т.п., чтобы точно поставить диагноз;
— срок, на который вы даете согласие. Законодательством такой срок не определен. На практике он будет зависеть от цели, для которой обрабатываются данные.
Пример
Ромашкин А.А. заключил кредитный договор с банком сроком на 5 лет. Для исполнения этого договора банку нужны персональные данные Ромашкина А.А. Срок согласия, которое Ромашкин А.А. дал банку, равен сроку договора.
Интернет-магазин попросил у Ромашкина А.А. согласие на обработку его данных с целью организации доставки товара. Срок согласия — 3 месяца, т.к. магазин осуществляет доставку в трехмесячный срок;
— действия, которые организация будет совершать с вашими данными. Например, данные можно собирать, хранить, систематизировать, изменять, распространять, предоставлять, блокировать и т.п.
Пример
Магазин получает данные покупателей для организации рекламной СМС-рассылки. Он проинформирует покупателей, что их данные будут собираться и систематизироваться и уничтожаться. Это значит, что других действий магазин с данными совершать не будет, например, не передаст их другим организациям;
— общее описание способов обработки персональных данных в этой организации. Например, данные могут обрабатываться вручную или автоматизированно;
— информацию о лицах, которым организация поручила обработку ваших данных по договору, если такой договор заключен;
— другую информацию, если это необходимо.
Обратите внимание!
Указанную информацию вам должны предоставить в той же форме, в которой вы будете давать согласие на обработку персональных данных (абз. 1 ч. 1, ч. 2 п. 5 ст. 5 Закона о защите персональных данных). Например, если согласие будет дано путем проставления отметки на сайте, то информация или ссылка на нее должна быть размещена на этом же сайте.
2. Разъяснить вам ваши права.
Вам должны пояснить, какие у вас есть права и что нужно делать, чтобы их реализовать. Также вам обязаны разъяснить последствия дачи согласия на обработку данных или отказа в даче согласия (ч. 2 п. 5 ст. 5 Закона о защите персональных данных).
Примечание
Такое разъяснение должно быть изложено простым и понятным языком (ч. 2 п. 5 ст. 5 Закона о защите персональных данных).
Форма разъяснения должна соответствовать форме, в которой будет дано согласие (ч. 2 п. 5 ст. 5 Закона о защите персональных данных). Иными словами, если ваше согласие будет дано в виде документа на бумажном носителе, разъяснение должно быть изложено на бумаге. Если согласие будет оформлено в электронном виде, например, на сайте интернет-магазина, то и разъяснение должно быть размещено на этом сайте.
5. В каких случаях персональные данные можно обрабатывать без согласия физлица
Такие случаи прямо установлены законодательством. Ваше согласие не нужно, если ваши персональные данные используют при (ст. 6 Закона о защите персональных данных):
— оформлении трудовых отношений и в процессе работы у нанимателя;
— ведении персонифицированного учета застрахованных лиц;
— назначении и выплаты пенсий и пособий;
— начислении платы за жилищно-коммунальные услуги, в т.ч. при предоставлении льгот на оплату таких услуг;
— обращении к нотариусу за совершением нотариальных действий;
— рассмотрении уголовных и административных дел;
— исполнении судебных постановлений и других исполнительных документов;
— проведении выборов и референдумов;
— в научных целях и при сборе и обработке статистических данных;
— защите жизни, здоровья, жизненно важных интересов ваших или других лиц, если получение согласия невозможно;
— в других случаях, прямо предусмотренных законодательством. Например, при работе журналистов и СМИ, если такая работа направлена на защиту общественных интересов.
В любом случае объем данных, которые обрабатывают без вашего согласия, должен соответствовать целям их обработки (п. 2, ч. 1 п. 4 ст. 4 Закона о защите персональных данных). Иными словами, без вашего согласия можно обрабатывать только те данные, которые необходимы в конкретном случае.
Пример
При трудоустройстве на должность инженера наниматель затребовал у Ромашкина А.А. информацию о его образовании. Наличие образования обязательно для работы инженером, поэтому на получение этих данных согласие Ромашкина А.А. не нужно.
Одновременно у Ромашкина А.А. затребовали данные о его детях для вручения новогодних подарков. Для работы инженером такие данные не являются необходимыми, следовательно, для их получения нужно согласие Ромашкина А.А.
Особенности составления и получения согласия на обработку персональных данных
Документ, получивший название «Согласие на обработку персональных данных», введён в оборот в 2007 г. с принятием закона № 152-ФЗ «О персональных данных». Требования к содержащейся в нём информации и порядок её распространения уточнены в законе № 519-ФЗ и оформлены приказом Роскомнадзора № 18, вступившим в силу в сентябре 2021 г. Новый документ широко применяется различными организациями, включая государственные учреждения и коммерческие структуры.
Что такое согласие на обработку персональных данных
Под таким согласием понимается письменное разрешение субъекта персональных данных, дающее право заинтересованной организации получать, собирать, обрабатывать, использовать и хранить законным способом личные сведения о себе. При этом получатель принимает на себя обязательство, что поступившая в его распоряжение информация будет использоваться только в определённых законом целях и защищена от посягательств третьей стороны.
Что подразумевается под термином «персональные данные» (ПД)
Данное понятие регламентируется в законодательном порядке и подразумевает информацию, по которой прямо или косвенно можно идентифицировать личность, установить её индивидуальные особенности, семейный статус, положение в обществе и многое другое.
Конкретного перечня ПД не существует, так как только по фамилии, имени и отчеству однозначно идентифицировать человека не получится: на просторах нашей Родины одних ивановых иванов ивановичей – многие тысячи. Если же Ф.И.О. сочетаются с другой информацией: датой/местом рождения, адресом, номером телефона, семейным положением, отношением к религии и т.д.), то весь этот набор переходит в категорию персональных данных. Какая именно комбинация может считаться ПД – вопрос дискуссионный.
Какие данные могут подвергаться обработке
Оператор имеет право обрабатывать (т.е. собирать, предавать, записывать, хранить) только те персональные данные, на которые получено письменное согласие субъекта ПД. Если раньше ПД, размещённые человеком в открытом доступе, разрешалось использовать без предварительного согласия на то их обладателя, то с принятием закона № 152-ФЗ подобные «вольности» стали недопустимы: теперь оператор должен доказать правомерность их обработки. Иначе можно «налететь» на солидный штраф.
О случаях, когда обработка допустима без согласия держателя ПД, будет сказано ниже.
Что является личной информацией граждан
Понятия «личные» и «персональные» данные законодательно не разграничены, из-за чего их нередко отождествляют. Многие юристы рассматривают личную информацию граждан как общедоступные сведения, которые не характеризуют личность человека всесторонне (например, не раскрывают состояние здоровья, общественный статус и т.д.). Личные данные можно встретить в открытых источниках (в соцсетях, интернет-справочниках). Законом они не охраняются.
В каких документах присутствуют персональные данные
В распоряжении работодателя, как правило, находится общепринятый пакет документов, содержащих сведения о своих работниках. К таким документам относятся:
В совокупности эти сведения являются ПД. Работодатель несёт административную, гражданскую и уголовную ответственность за их неправомерное распространение или утечку.
Способы сбора согласий на обработку персональных данных
Под сбором данных понимается их передача субъектом оператору. Сбор согласий производится как в письменной, так и в электронной форме. Среди популярных способов:
Заполнение печатной анкеты
Анкета заполняется физическим лицом от руки с указанием согласия на обработку ПД.
Подтверждение согласия через СМС-код или звонок
поставщик услуги со слов клиента вносит его личные данные в свою электронную базу и просит дать согласие на обработку полученных сведений посредством СМС-кода или звонка. Код отправляется системой автоматически. При этом клиенту предлагается ознакомиться с программой лояльности, ссылка на которую прикрепляется к СМС.
Чекбокс с галочкой согласия в общей форме заявки
В форме на сайте компании имеется чекбокс, который клиент должен отметить галочкой, чтобы подтвердить своё согласие с правилами обработки ПД. Оформленная заявка хранится на сайте, а при необходимости может быть выгружена и предъявлена в качестве доказательства о согласии клиента.
Что такое портал персональных данных
Портал персональных данных – это сайт Роскомнадзора, уполномоченного защищать права субъектов ПД. Через портал можно найти реестр операторов и нарушителей, подать обращение или жалобу, получить доступ к электронной библиотеке по защите прав граждан и другим полезным ресурсам.
Кто такие операторы персональных данных и что они делают
Это государственные и муниципальные органы, юридические и физические лица, которые организуют и/или осуществляют обработку ПД, определяют её содержание и цели. В задачу оператора также входит обеспечение конфиденциальности и сохранности ПД. Оператор не вправе обрабатывать информацию, не получив предварительного одобрения их обладателя, за исключением предусмотренных законом случаев.
Когда нужно получение согласия на обработку персональных данных
В случаях, когда цель определяется организацией (оператором) самостоятельно в силу особого характера своей деятельности, то она обязана получить согласие у обладателя ПД. Например, если фирма практикует выплату зарплаты на банковскую карту, для передачи сведений в банк она должна взять у сотрудника соответствующее согласие, поскольку прямого требования закона на этот счёт не существует. То же относится к специальным и биометрическим данным.
Согласие при трудоустройстве
При приёме на работу работодатель должен заручиться согласием соискателя на обработку его ПД. Если целью сбора и обработки ПД является исполнение установленных законом требований, оператор вправе свободно собирать и обрабатывать индивидуальные сведения. В частности, принимая на работу сотрудника в рамках трудового договора, организация должна знать его имя и фамилию, возраст, место регистрации, контактный телефон, уровень образования.
Если работодатель собирается не только обрабатывать, но и распространять ПД потенциального сотрудника, он обязан получить на это отдельное согласие. Работодатель также обязан ясно обозначить, какую информацию, в какой форме и с какой целью он намерен обрабатывать и/или распространять.
Согласие на обработку персональных данных при получении кредита
Центробанк вместе с Роскомнадзором согласовали совместную позицию, касающуюся согласия заёмщика на обработку его ПД. Кредитные учреждения не имеют право распространять личную информацию своих клиентов без их согласия. Рекомендовано оформлять отдельное согласие на работу с биометрическими данными и ограничить срок действия документа датой завершения взаиморасчётов по кредиту. Более подробную информацию по данной теме можно посмотреть по ссылке http://www.garant.ru/hotlaw/federal/1476479/.
Согласие при определении ребенка в садик или школу
Согласие на обработку ПД несовершеннолетнего (ребёнка, школьника) даёт его законный представитель (отец, мать, опекун). Сведения о ребёнке и его представителе образовательное учреждение использует для организации воспитательного и образовательного процесса, медицинского обслуживания, льготного питания, статистической отчётности, проведения ЕГЭ, конкурсов, олимпиад.
Требования к документу в 2021 году
С марта 2021 г. начали действовать новые правила, призванные обеспечить ещё большую защиту персональных данных россиян. Прежний термин «общедоступные ПД» заменён на новый: «ПД, разрешённые для распространения». Цель поправки – поставить под жёсткий контроль использование ПД, имеющихся в открытых источниках.
Теперь не разрешается получать согласие на распространение ПД «по умолчанию», вдвое увеличились штрафы за нарушения, связанные с неправомерными действиями с персональными данными. На ПД, передаваемые третьим лицам либо публикуемым с целью распространения, необходимо получать отдельное разрешение.
Гражданам даются правомочия требовать прекращения распространения своих ПД в любое время.
Обязательно ли получать согласие в 2021 году
Как правило, такой документ работодатель подписывает практически с каждым работником – субъектом ПД, чьи данные он собирается обрабатывать. В данном случае лучше перестраховаться, чем иметь дело с Роскомнадзором. При этом принцип добровольности никто не отменял: субъект ПД вправе передать лишь те сведения, которые сочтёт необходимыми. Об исключениях из этого правила сказано ниже.
Когда согласие не требуется
Законом допускаются ситуации, при которых обрабатывать ПД разрешается даже при отсутствии согласия субъекта ПД. Такие случаи оговорены в Законе. Согласия не требуется, если обработка ПД осуществляется с целью:
Без согласия обработка ПД производится, когда лицо участвует в судопроизводстве (гражданском, арбитражном, уголовном).
Как еще могут ужесточить правила обработки персональных данных
Минцифры РФ предлагает дальнейшее ужесточение законодательства в области ПД. Актуальность такого подхода объясняется наличием технологий, позволяющих идентифицировать человека даже по обезличенным данным. В частности, операторам могут запретить:
Будут ли данные предложение реализованы на практике – покажет время.
Что делать, если человек отказывается давать согласие
Закон предоставляет гражданину право отказаться от согласия на обработку и распространение ПД. Санкций за такой отказ не последует. Однако в ряде случаев у человека могут возникнуть проблемы при обращении во многие организации, включая коммерческие структуры. Дело в том, что для оказания некоторых услуг, в том числе электронных, требуются документы, содержащие, помимо прочего, и персональные данные.
Что касается работодателя, то от принципиальности упрямца он почти не испытает неудобств: организация во многих случаях имеет право обрабатывать и распространять ПД без согласия своего сотрудника. В частности, согласие не требуется для исполнения трудового договора.
Также работодатель может на законных основаниях передавать ПД работника в ПФР, ФНС, прокуратуру и другие госорганы, утверждённые законодательством.
Что будет при незаконном разглашении персональных данных
Если оператор превышает свои полномочия при работе с ПД гражданина, это является прямым нарушением закона, за что может наступить административная, гражданская и даже уголовная ответственность. КоАП РФ предусматривает следующие штрафные санкции.
Сумма штрафа для юридических лиц
Обработка данных в непредусмотренных законом случаях или с иными целями, чем заявлено при сборе данных
Первое нарушение – от 60 до 100 тыс. руб.
Повторное нарушение – от 100 до 300 тыс. руб.
Ст.13.11 п.1, 1.1 КоАП РФ
Клиент дал вам свой e-mail для оформления заказа, а вы добавили его адрес в БД для рекламной рассылки
Обработка данных без письменного согласия клиента или несоблюдение требований, предъявляемых к составу включённых в согласие сведений
Первое нарушение – от 30 до 150 тыс. руб.
Повторное нарушение – от 300 до 500 тыс. руб.
Ст.13.11 п.2, 2.1 КоАП РФ
Вы передали данные клиента агентству по маркетингу, а в согласии их передача третьей стороне запрещена
Как правильно составить согласие в 2021 году
Что должно присутствовать в согласии в обязательном порядке
Согласно требованием Роскомнадзора в согласии субъекта ПД должно быть указано:
Гражданин правомочен сам выбирать, какого рода ПД оператору разрешается распространять и на каких условиях.
Форма согласия на обработку персональных данных в 2021 году
Унифицированного шаблона согласия на обработку ПД, разрешённых к распространению, пока нет. Поэтому рекомендуется придерживаться рекомендаций Роскомнадзора, которые сводятся к следующему.
В согласии также должно быть указано, с какой целью оператор будет производить обработку поступивших в его распоряжение ПД.
Возможные ошибки
К типичным ошибкам при заполнении формы согласия являются:
Документ не должен быть бессрочным либо предусматривать его автоматическую пролонгацию.
Образец заполнения
Как уведомить Роскомнадзор о получении новых персональных данных
Уведомить Роскомнадзор можно в бумажном или электронном виде.
«Бумажный» способ менее практичен: для его реализации нужно скачать форму уведомления, распечатать её, заполнить графы, подрезать у руководства, заверить печатью и отправить почтой или курьером в местное отделение ведомства.
Более удобный способ – воспользоваться сайтом Ростехнадзора или порталом Госуслуг. Там нужно найти форму уведомления и внести данные в режиме онлайн. После отправки документ следует распевать, заверить и отправить заказным письмом в качестве подтверждения. Заявка должна быть рассмотрена надзорным органом в течение месяца.
Можно ли отозвать согласие
Закон позволяет гражданину отозвать согласие на обработку своих ПД в любое время. При этом отзыв не обязан быть обусловлен какими-либо событиями или обстоятельствами.
Как прекратить передачу персональных данных
Так как согласие на обработку ПД оформляется в письменном виде, отзывать его следует путём подачи оператору письменного заявления. Форма отказа – свободная, передать её можно:
Важно получить подтверждение даты получения – с неё начнётся отсчёт периода, в течение которого оператор обязан завершить действия с ПД.
Вопрос: Является ли сбор сведений о зарплате обработкой ПД?
Ответ: Да, поскольку ПД работника будут передаваться третьему лицу – банку. Работнику следует предложить дать согласие на такую передачу с указанием банка, его адреса и перечня действий, которые могут совершаться с полученными сведениями.
Вопрос: должен ли гражданин предоставлять сведения о наличии судимости?
Ответ: сведения об отбывании гражданином срока в местах лишения свободы требуются лишь тогда, когда занятие должности не допускается при наличии судимости. В остальных случаях такие сведения гражданин может не предоставлять.
Вопрос: в каких случаях оператор имеет право не обеспечивать конфиденциальность ПД?
Ответ: обеспечение конфиденциальности ПД не требуется, если они: а) обезличены; б) общедоступны.
Заключение
По мере цифровизации экономики и развития интернет-технологий защита ПД граждан от незаконного использования и распространения приобретает всё большее значение. Миллиарды денег, похищенные мошенниками с банковских счетов россиян, оформление кредитов на подставные лица, махинации с недвижимостью – всё это, так или иначе, связано с утечкой ПД. В одних случаях вина лежит на самих субъектах ПД – доверчивых или беспечных гражданах, в других – на операторах ПД. Если граждане отвечают за себя сами, то ответственность оператора регламентируется государством в лице Роскомнадзора.
В 2021 году санкции за фривольное обращение с ПД серьёзно ужесточились.
Следует ожидать, что надзорный орган продолжит работу над проблемой реализации Закона № 152-ФЗ путём проведения правовых, организационных и технических мероприятий.