Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Соглашение о защите персональных данных образец в 2022 году». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.
Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.
Согласие на обработку персональных данных
Сейчас согласие необходимо писать почти повсеместно:
- при подаче документов на ребенка в садик или школу;
- при трудоустройстве;
- при заключении договора с банком, страховой компанией и т.д.
Иными словами, везде, где гражданин предоставляет свои личные документы или документы лица, представителем которого он является, заполняет различного рода тесты и анкеты, он подписывается такое согласие.
Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:
- фамилия, имя, отчество;
- дата и место рождения;
- сведения из паспорта, трудовой книжки и прочих документов;
- а также некоторые характеристики его личности.
При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.
В частности их условно можно поделить на три основных вида:
- общедоступные данные (ФИО, пол, дата, место рождения, гражданство и т.п.)
- биометрические (физиологические особенности индивида, его внешние параметры)
- специальные (народность, религия, здоровье и т.д.). Сюда же в некоторой степени относится и информация о месте работы человека, его отношениях с законодательством, привычках и т.п.
По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.
Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д. Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).
В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.
Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.
Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.
Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.
В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.
Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.
Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.
Согласие работника на обработку персональных данных: бланк на 2021 год
Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.
Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.
Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.
В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).
Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.
Можно ли отозвать согласие
Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает. Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.
Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).
Это требование должно быть выполнено не позже чем через месяц после написания отзыва.
Работа с персональными данными предусматривает обязательность:
- наличия согласия лица, к которому эти данные относятся, на их обработку;
- выполнения обработки лишь для заранее определенных целей, разрешенных законодательством;
- соблюдения конфиденциальности информации о персональных сведениях;
- соблюдения сроков хранения, установленных для таких сведений;
- публикации и передачи сторонним лицам этих данных лишь с согласия их носителя (кроме ситуаций, когда такое согласие не требуется по законодательству).
Носитель персональных данных имеет право на:
- доступ к относящимся к нему сведениям;
- информацию о целях, порядке, ходе и результатах их обработки (кроме ситуаций, когда такое информирование запрещено законодательно);
- сведения об операторе, лицах, осуществляющих обработку от его имени, и сторонних источниках, из которых оператор получает сведения, относящиеся к персональным;
- отзыв выданного им согласия на обработку персональных данных;
- судебную защиту своих интересов при осуществлении оператором неправомерных действий с информацией персонального характера.
- Персональные данные — сведения, прямо или косвенно относящиеся к конкретному человеку. Иметь с ними дело время от времени приходится самым разным лицам, а работодателям — всегда. Все действия, производимые с персональными данными, называются их обработкой.
- Работу с персональными данными характеризует ряд особых к ней требований, в число которых входят согласие носителя персональных сведений на обработку данных о нем, обязательное соблюдение конфиденциальности получателем этих сведений, а также заблаговременное определение целей и сроков их использования.
- Работодателю вменяется в обязанность получать персональные сведения непосредственно от работника, а письменное согласие на обработку требуется лишь в ситуациях получения сведений от иных лиц или передачи им данных. Поскольку многие операции, осуществляемые работодателем, требуют сопровождения персональными сведениями работников данных, направляемых третьим лицам (ИФНС, внебюджетные фонды, банки, контролирующие органы), наличие письменного согласия для них становится обязательным.
- Утвержденной формы у бланка согласия на обработку персональных данных не имеется. Но законодательно определен перечень сведений, которые должны быть в нем отражены. Допускается оформление согласия не только на бумаге, но и в виде электронного документа.
Понятие персональных данных и обращение с ними регулирует Федеральный закон от 27.07.2006 № 152-ФЗ. В соответствии с этим документом под личными данными граждан, охраняемыми законодательством, следует понимать любую информацию, которая прямо или косвенно относится непосредственно к их субъекту (то есть физическому лицу). Такая информация позволяет однозначно определить, о каком человеке идет речь. Но человек — полновластный хозяин своих данных, и если форма согласия на обработку персональных данных им не заполнена и не предоставлена, ни одна организация не вправе ими распоряжаться.
Новое согласие на обработку персональных данных — 2021
Конкретные указания на то, какая информация о человеке является его индивидуальными и охраняемыми данными, в законодательстве отсутствуют. По сложившейся практике под ней обычно скрывается:
- фамилия, имя, отчество;
- дата и место рождения;
- адрес проживания (место регистрации);
- семейное, социальное и имущественное положение;
- образование, профессия;
- доходы, имущество и обязательства.
Обычно такие сведения человек сообщает о себе сам во многих государственных органах, медицинских и образовательных учреждениях, кредитных организациях и даже в коммерческих структурах (при трудоустройстве). Кроме вышеперечисленных сведений, которые являются общими, есть еще специальные личные данные, такие как национальность, вероисповедание, политические взгляды, состояние здоровья и прочая информация подобного рода.
Существует целый ряд документов, которые по своей сути являются источниками и одновременно хранилищами личной информации. К ним, в частности, относятся:
- паспорт гражданина (внутренний и заграничный);
- другие документы, удостоверяющие личность;
- трудовая книжка;
- военный билет;
- свидетельство о рождении;
- документы об образовании;
- документы о составе семьи;
- справки о доходах;
- анкеты, заполняемые при трудоустройстве;
- автобиография;
- характеристики;
- личные карточки работников (форма Т-2);
- другие документы.
Очевидно, что большинство этих документов в подлинниках или копиях хранят работодатели граждан. Они и все остальные лица, к которым попадает такая информация, являются операторами ПД. В законе указано, что такое согласие на обработку персональных данных, которое обязаны получить все операторы.
В статье 3 закона № 152-ФЗ сказано, что оператором ПД является лицо, которое организует и осуществляет обработку персональных данных. Все работодатели, как юрлица, так и ИП, являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус, практически не ограничен. Это любое лицо, которому человек сделал заявление и согласие на ОПД, то есть доверил личную информацию о себе оператору и разрешил ее использовать для определенных целей.
Отдельное внимание следует уделить понятию обработки личной информации. О ней везде говорят, но никто толком не знает, что это такое. Тогда как часть 3 все той же статьи 3 закона № 152-ФЗ регламентирует это понятие как любое действие (или их совокупность), совершаемое с личной информацией. Под действиями законодатели понимают:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление или уничтожение данных.
Все операции проходят или в бумажном ручном режиме, или с использованием средств автоматизации, в том числе в режиме онлайн. На все эти действия оператор обязан получить от владельца одобрение: например, заполненный бланк согласия.
Деятельность работодателей в качестве операторов регулирует статья 86 Трудового кодекса РФ.
Определимся с общими требованиями к оформлению бумаг, которые подтверждают одобрение гражданина на действия с его личными данными. Необходимо учитывать, что форма для организаций и учреждений немного отличается от того, как выглядит заявление о согласии на обработку персональных данных (его берет с каждого нового сотрудника работодатель).
Нормами статьи 87 ТК РФ установлено, что все организации самостоятельно определяют порядок хранения и использования сведений, полученных от работников. Аналогичный принцип применим и ко всем остальным операторам. Главное — не нарушать требования, установленные федеральными законами и кодексами. Прежде чем приступать к действиям с информацией, необходимо утвердить локальный акт по организации: «Положение о персональных данных». В этом документе должны содержаться все основные требования к правилам оформления документации. Положение утверждает руководитель с одобрения профсоюзного органа (при его наличии). В нем прописывают, как выглядит подписанное согласие на обработку персональных данных и сколько оно хранится.
Когда речь идет о работодателях, важно учесть, что по нормам п. 8 части 1 статьи 86 ТК РФ всех работников и их представителей следует ознакомить с утвержденным положением под подпись. Для этих целей даже заводят специальный журнал. Если положение в организации-операторе отсутствует, это является грубым нарушением, за которое нормами статьи 13.11 КоАП РФ предусмотрен штраф.
Имеется конкретный список обязательных данных владельца персональной информации, которые должны быть в согласии:
- ФИО;
- контактные данные (телефон, электронная почта, адрес);
- информация об операторе-компании;
- информация об операторе-физлице;
- информация об операторе-ИП;
- информация об информационных ресурсах оператора, через которые неограниченному числу лиц дается доступ к информации и осуществляются иные операции с персональной информацией;
- цель обработки сведений;
- категории и перечень сведений, на обработку которых оформляется согласие — персональные данные (ФИО, дата и место рождения, адрес, семейное положение и т.п.), специальные категории персональных сведений, биометрические данные;
- срок действия согласия.
Если владелец персональных данных захочет, то можно заполнить и такую информацию:
- категории и перечень данных, для обработки которых владелец указывает условия и запреты, а также список этих условий и запретов;
- условия, с учетом которых полученная информация может направляться оператором лишь по его локальной сети, обеспечивающей доступ к сведениям только для конкретных работников, либо с применением определенных телекоммуникационных сетей, либо без передачи персональной информации.
Роскомнадзор предоставил для использования специальный конструктор, с помощью которого можно сформировать шаблон согласия. Данный документ только рекомендован, однако он соответствует предъявляемым к нему требованиям и учитывает особенности конкретного оператора.
Для создания шаблона нужно заполнить необходимые графы, после чего он рассматривается экспертами Роскомнадзора. Если необходимо, оператору выдаются рекомендации, как доработать документ. Результаты проведенной проверки пересылаются на адрес электронной почты, который указывается в форме.
После этого оператор может применять проверенную форму документа.
В шаблоне учитываются все обязательные данные, которые нужно отражать в согласии на основании Приказа от 24.02.2021 г. № 18.
Бланк согласия на обработку персональных данных не имеет законодательно утвержденной формы. При его оформлении нужно только соблюсти обязательность включения в него сведений, предусмотренных п. 4 ст. 9 закона № 152-ФЗ. Каждый получатель персональной информации может разработать форму согласия самостоятельно, отразив в ней необходимый ему перечень сведений и особенности их обработки.
Согласно действующему законодательству обработка большей части персональных данных о человеке должна осуществляться с его письменного согласия. Определенной формы у документа, содержащего такое согласие, не имеется, однако установлен перечень обязательной информации, которая должна быть включена в него. Итоговый перечень необходимых персональных данных разрабатывает получатель этих сведений.
- Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»
- Трудовой кодекс РФ
Получите доступ к демонстрационной версии ilex на 7 дней
Просто так начать обрабатывать персональные данные нельзя. До старта нужно уведомить Роскомнадзор. Только компании и учреждения, которые вели эту деятельность до выхода соответствующего закона, могут регистрироваться по факту. Другими словами, они могут уведомлять ведомство уже после того, как начали обработку.
Перед подачей заявления нужно подготовиться:
- Разработать пакет необходимых документов — например, положение об обработке персональных данных и приказы о назначении ответственных. Мы разбираем документы в специальном разделе.
- Выполнить ряд организационных и технических мер, в том числе ограничить доступ в помещения, установить пароли.
Правильно разработанная юридическая документация поможет свести к минимуму риск, что компанию обвинят в нарушении законодательства о персональных данных. Список необходимых документов включает:
- Политику конфиденциальности.
- Правила работы с персональными данными.
- Согласие на обработку персональных данных.
- Обязательство о неразглашении персональных данных.
В разделе мы расскажем об этих документах подробнее.
Политика конфиденциальности и правила работы с персональными данными. В документах многих компаний содержится одна и та же ошибка: правила работы с персональными данными они называют политикой конфиденциальности. Однако это разные документы.
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.
Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.
Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.
Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).
Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.
С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.
Согласие на обработку персональных данных — бланк 2020 — 2021
В случае, если сотрудник не дал согласия на распространение ПДн, но при этом дал согласие на обработку, то работодатель не в праве передавать информацию третьим лицам (п. 4 ст. 10.1 Закона № 152-ФЗ).
Правило не распространяется на передачу ПДн гос. органам (ИФНС, ФСС, ПФР, полиции и другим).
Стоит отметить, что сотрудник и вовсе может отказаться от дачи согласия на обработку ПДн. Но это не значит, что работодатель не вправе обрабатывать такие данные. Это возможно в случаях, указанных в ч. 2 ст. 9 Закона № 152-ФЗ. Одним из которых является выполнение возложенных законом обязанностей на компанию.
Получить согласие на распространение ПДн можно двумя способами:
1. Непосредственно у физ. лица, то есть с личной подписью на бумаге;
2. Через информационную систему Роскомнадзора. Любое физ. лицо может подключиться к системе для того, чтобы указать какие ПДн и кому он разрешает распространять.
Оператор, в свою очередь, также имеет возможность подключиться к данной системе и не получать от конкретного физического лица письменное согласие, а использовать информацию, содержащуюся в системе Роскомнадзора. Это возможность станет доступной с 1 июля 2021 года.
Компаниям и ИП однозначно стоит уделить внимание новшествам, описанным выше, так как штрафные санкции увеличились вдвое.
Начиная с 27 марта 2021 г. за работу с ПДн сотрудников без их письменного согласия ИП ждет штраф от 20 000 до 40 000 руб., организации, при аналогичном нарушении должны будут уплатить от 30 000 до 150 000 руб.
Если же ИП нарушит законодательство повторно, то штраф будет составлять от 100 000 до 300 000 руб., а для компаний — от 300 000 до 500 000 руб. (ч. 2 ст. 13.11 КоАП). Наказание за такое правонарушение может последовать в течение года (ст. 4.5 КоАП РФ).
Подведем итог: правила обработки личных данных касаются абсолютно всех физических и юридических лиц.
В этой связи, работодателям целесообразно брать с сотрудников:
1. согласия на обработку персональных данных;
2. согласия на распространение персональных данных.
Документы составляются в соответствии с требованиями действующего законодательства.
Игнорирование правил обработки и распространения данных может привести к серьезным финансовым потерям.
В программах 1С новый документ «Согласие на распространение персональных данных» на данный момент не реализован. Но и о наличии согласия на обработку персональных данных знают далеко не все бухгалтеры.
Первое, что необходимо знать — это то, что все данные хранятся в карточках физ. лиц. При приеме на работу личные данные субъекта в справочнике «Физические лица» заполняются автоматически на основании справочника «Сотрудники».
Ответ очевиден. Все ЛНА, касающиеся обработки ПД, необходимо привести в соответствие с законодательством. ЛНа должны содержать исчерпывающую информацию, касающуюся обработки ПД в организации, соответственно в них должны быть отражены и новые положения о распространении ПД.
ЛНА могут содержать определенные условия, связанные с распространением ПД, в том числе способы/формы получения согласия. Не ограничивайтесь только письменной формой согласия, предусмотрите возможность его получения в другой форме, позволяющей подтвердить сам факт получения.
Согласие на распространение персональных данных: новый документ работодателей
Административная ответственность в области ПД ужесточилась. С 27 марта 2021 года произошли изменения в составах правонарушений и санкциях. Размеры штрафов увеличились в два раза.
Ранее за совершение некоторых нарушений можно было избежать штрафа, отделавшись предупреждением. Теперь такая норма отсутствует.
|
Обратите внимание! За нарушения по ст. 13.11 КоАП РФ теперь могут оштрафовать в течение 1 года. Напомним, что до 27.03.2021 срок давности составлял лишь 3 месяца. |
Федеральный закон № 248-ФЗ заложил основы нового подхода к контролю и надзору в РФ: предмет регулирования, принципы, предмет и объекты контроля, организация контроля, участники этих процессов, порядок проведения контроля и прочее. Постановление Правительства РФ от 29.06.2021 № 1046 конкретизировало порядок организации и осуществления государственного контроля Роскомнадзором за обработкой ПД.
Федеральный закон № 248-ФЗ направлен на стимулирование добросовестности контролируемых лиц и профилактику рисков причинения ими вреда (ущерба) охраняемым законом ценностям. Таким образом, теперь в приоритете профилактика нарушений, более мягкие контрольно-надзорные мероприятия.
Закреплён широкий перечень профилактических мероприятий (ч. 1 ст. 45), участие в которых является правом, а не обязанностью контролируемых лиц. При этом, взаимодействие возможно только с согласия либо по инициативе проверяемого.
Предусмотрен перечень новых контрольно-надзорных мероприятий, помимо выездной и документарной проверки (ч. 2 и 3 ст. 56).
|
Важно Сократился срок проведения документарной и выездной проверок с 20 до 10 рабочих дней. |
При осуществлении контроля (надзора) применяется риск-ориентированный подход, введены системы оценки и управления рисками причинения вреда (ущерба) охраняемым законом ценностям.
Появилась возможность отменять решения, которые приняты в результате любого контрольно-надзорного мероприятия, проведенного с грубыми нарушениями. Ранее допускалась отмена только результата проверок.
Федеральный закон 248-ФЗ допустил возможность проведения аккредитованными организациями независимой оценки соблюдения требований законодательства.
Предметом контроля (надзора) является соблюдение операторами обязательных требований в области ПД.
При осуществлении контроля применяется система оценки и управления рисками, установлены критерии отнесения объекта контроля к одной из категорий риска:
- высокий
- значительный
- средний
- умеренный
- низкий.
К какой категории риска относится ваша организация? Попробуйте определить.
В рамках осуществления контроля Роскомнадзором могут проводиться такие профилактические мероприятия, как:
- информирование,
- обобщение правоприменительной практики,
- объявление предостережения,
- консультирование,
- профилактический визит.
Также в контрольных целях проводятся плановые и внеплановые мероприятия: инспекционный визит, документарная или выездная проверки.
Результаты контрольных мероприятий фиксируются в актах.
|
Обратите внимание! Плановые контрольные мероприятия, за исключением плановых контрольных мероприятий без взаимодействия с проверяемыми, проводятся на основании плана проведения плановых контрольных (надзорных) мероприятий на очередной календарный год, согласованного с органами прокуратуры. |
Урегулированы вопросы применения фотосъемки, аудио- и видеозаписи для фиксации доказательств нарушения обязательных требований.
Подробнейшим образом регламентировано обжалование решений контролирующего органа, действий (бездействия) их должностных лиц.
С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).
При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.
К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.
Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.
Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.
Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).
В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.
Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.
Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.
Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.
Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.
Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.
Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.
Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:
-
в течение трех рабочих дней с момента обращения;
-
или в срок, указанный в постановлении суда;
-
или в течение трех рабочих дней с момента вступления решения суда в законную силу.
Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.
К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).
| Обязанность | Норма Закона № 99-З |
| 1. Обеспечивать на всех этапах обработки персональных данных справедливое соотношение интересов всех заинтересованных лиц | Пункт 2 ст.4 |
| 2. Обеспечивать соразмерность обработки персональных данных заявленным целям их обработки | Пункт 2 ст.4 |
| 3. При изменении целей обработки персональных данных получать на это отдельное согласие | Пункт 4 ст.4 |
| 4. Принимать меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновлять их (а также корректировать по запросам субъектов данных) | Пункт 7 ст.4, п.1 ст.16 |
| 5. Хранить персональные данные не дольше, чем это требуют заявленные цели обработки | Пункт 8 ст.4 |
| 6. Предоставлять субъекту данных информацию обо всех условиях обработки персональных данных. Важно! Рекомендуется разработать стандартные формы для различных категорий персональных данных | Абзацы 2, 5 п.1 ст.16 |
| 7. Предоставлять пользователю отдельный документ (в письменном или электронном виде), в котором простым и ясным языком разъяснить субъекту данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия | Часть 2 п.5 ст.5 |
| 8. Получать согласие на обработку персональных данных от субъектов данных. Важно! Рекомендуется обеспечить фиксацию и хранение соответствующих данных, так как согласно п.7 ст.5 Закона № 99-З обязанность доказывания получения согласия субъекта персональных данных возлагается на оператора | Абзац 3 п.1 ст.16 |
| 9. Обеспечивать защиту персональных данных | Абзац 4 п.1 ст.16 |
| 10. При обработке специальных персональных данных принимать комплекс мер, направленных на предупреждение рисков, которые могут возникнуть при этом для прав и свобод субъектов персональных данных | Пункт 3 ст.8 |
| 11. Соблюдать процедуры и условия трансграничной передачи данных | Статья 9 |
| 12. При получении заявления от субъекта персональных данных при наличии установленных оснований прекратить обработку данных, осуществить их удаление (или, в зависимости от технических возможностей, блокирование) и уведомить субъекта об этом | Абзац 7 п.1 ст.16 |
| 13. По запросу субъекта персональных данных предоставлять ему в доступной форме информацию о том, какие его данные обрабатываются и как (категории, сроки, источники и т. п.), кому они передавались | Абзац 5 п.1 ст.16 |
| 14. В установленном порядке уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных | Абзац 8 п.1 ст.16 |
| 15. Выполнять указания уполномоченного органа по защите прав субъектов персональных данных по изменению, блокированию или удалению недостоверных или полученных незаконным путем персональных данных | Абзац 9 п.1 ст.16 |
Под ними понимают любые сведения, которые прямо или косвенно относятся к физическому лицу. Такая широкая трактовка позволяет отнести любую информацию о человеке к персональным данным. Федеральный закон о персональных данных является нормой прямого действия и должен соблюдаться всеми субъектами, получившими доступ к указанной информации.
Когда пользователь оставляет свои сведения на сайте в интернете при приобретении какого-либо товара, ресурс становится хранителем (оператором) персональных данных, что накладывает на него определенные права и обязанности.
Законодательство РФ предусматривает 3 вида ответственности:
- гражданско-правовая — как правило, устанавливается в договоре, который гражданин заключает с оператором персональных данных. Носит преимущественно денежный характер;
- административная — установлена в Кодексе об административных правонарушениях РФ и выражается либо в виде предупреждения, либо в виде денежного штрафа;
- уголовная — наступает за наиболее тяжкие нарушения законодательства. В подавляющем большинстве случаев к виновному применяется либо денежный штраф, либо наказание, связанное с ограничением свободы.
Перечень ситуаций установлен в ст. 6 Закона №152-ФЗ. Важно следить за соблюдением требований закона:
- при осуществлении правосудия;
- при заключении договора потребительского кредитования;
- при заключении трудового договора;
- при защите прав и интересов гражданина;
- если при заключении гражданско-правового договора стороны достигли согласия об этом;
- в случаях, когда требования законодательства требуют принятия мер по обработке персональных данных.
Закон содержит ряд норм о предоставлении персональных данных по запросам сторонних организаций и частных лиц. Без согласия гражданина сведения могут предоставляться только по запросу судебных и правоохранительных органов. В иных случаях факт несанкционированной передачи будет караться по УК РФ.
Согласие на обработку персональных данных: бланк 2021
2.1. В рамках данного Соглашения персональные данные Заказчика могут быть использованы в следующих целях:
а) Для предоставления Заказчику информации об используемом Заказчиком оборудовании, услуг и сервиса, а также для предоставления информации о товарах и услугах, которые, по мнению Исполнителя, могут представлять интерес для Заказчика;
б) Для проведения опросов и маркетинговых, статистических и других исследований;
в) Для доставки заказанных/согласованных товаров и оказания других услуг Заказчику;
г) Для информирования Заказчика о новых услугах или товарах Исполнителя и/или партнеров Исполнителя. Заказчик может быть информирован с помощью различных средств связи, включая, но не ограничиваясь перечисленным: почтовая рассылка, электронная почта, телефон (в том числе мобильный телефон), факсимильная связь, сеть интернет;
д) Для защиты интересов Исполнителя;
е) Для других законных целей, направленных на усовершенствование качества предоставляемых услуг и продуктов Исполнителя.
3.1. За исключением случаев, предусмотренных законодательством и настоящим Соглашением, Исполнитель обязуется без прямого согласия Заказчика не продавать, не предоставлять в пользование, не обменивать и никаким иным образом не передавать третьим лицам персональные данные Заказчика.
3.2. Исполнитель имеет право предоставить третьим лицам персональные данные Заказчика, если:
3.2.1 Заказчик дал свое прямое согласие на передачу своих персональных данных третьим лицам.
3.2.2. Передача персональных данных Заказчика необходима для оказания услуг Заказчику и/или для обработки персональных данных Заказчика. В случае, когда Исполнитель передает персональные данные Заказчика третьим лицам, Исполнитель требует от третьих лиц соблюдение конфиденциальности персональных данных Заказчика.
3.2.3. Передача, использование или раскрытие такой информации необходимы для:
а) соблюдения любых действующих законов и нормативных актов;
б) решения и/или устранения возникших технических проблем;
в) защиты интересов Исполнителя.
3.3. В случае, если Исполнителем будет осуществлена полная или частичная продажа или иная передача своих активов, к получателю активов перейдут все обязательства по сохранению конфиденциальности персональных данных Заказчика, предусмотренные данным Соглашением.
4.1. Исполнитель принимает все необходимые меры для защиты персональных данных Заказчика. Однако на Заказчике лежит вся ответственность за обеспечение безопасности устройств, через которые Заказчик осуществляют выход в сети Интернет, и информации, хранящейся на этих устройствах.
4.2. Заказчик подтверждает и соглашается с тем, что он лично отвечает:
4.2.1. За обеспечение безопасности устройства (персональный компьютер, мобильное устройство и т.д.), через которое Заказчик осуществляет выход в сети Интернет;
4.2.2. За хранение информации: пароли, информация об учетных записях и т.д.
[15] Компания осуществляет обработку персональных данных с использованием средств автоматизации и без использования таких средств, а также смешанным образом в следующих целях:
– идентификации Пользователя, зарегистрированного на ресурсе;
– установления с Пользователем обратной связи;
– определения места нахождения Пользователя (в случае необходимости);
– подтверждения достоверности и полноты персональных данных, предоставленных Пользователем (в случае необходимости);
– осуществления информационной рассылки о продуктах и сервисах ресурса (Стороны подтверждают, что данная информация не является спамом, и на ее получение Пользователь дает свое согласие);
– предоставления доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте https://neg.by;
– продвижения услуг, оказываемых Компанией, и улучшения их качества.
[16] В случае если Компания поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Компания. Лицо, осуществляющее обработку персональных данных по поручению Компании, несет ответственность перед Компанией.
[17] Компания обязуется и обязывает иных лиц, получивших доступ к персональным данным, не раскрывать их третьим лицам и не распространять их без согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь.
Персональные данные для digital-маркетинга: полный гайд и шаблоны документов
Законодательно утвержденной формы у согласия на обработку персональных данных нет. Допустимым является его оформление не только на бумаге, но и в виде электронного документа, подписанного электронной подписью (п. 4 ст. 9 Закона № 152-ФЗ), а также подача через представителя (п. 1 ст. 9 Закона № 152-ФЗ).
Законодательно утвержден список сведений, которые должны присутствовать в согласии на обработку (п. 4 ст. 9 Закона № 152-ФЗ):
- Ф. И. О. лица, дающего согласие, его адрес, данные удостоверения личности (включая дату его выдачи и наименование выдавшего органа);
- аналогичные сведения в отношении представителя этого лица (если согласие дается через представителя), а также реквизиты документа, подтверждающего полномочия представителя;
- наименование или Ф. И. О. и адрес оператора, который будет выполнять обработку данных;
- цель обработки;
- перечень сведений, на обработку которых дается согласие;
- наименование или Ф. И. О. и адрес третьего лица, которое может быть привлечено оператором к обработке;
- перечень действий с персональными данными и способов их обработки;
- срок действия согласия и способ его отзыва;
- подпись лица, дающего согласие на обработку.
Отсутствие утвержденной формы дает возможность каждому из работодателей разработать бланк согласия на обработку персональных данных самостоятельно, утвердив его для применения внутренним документом.
Чтобы дать свое согласие на использование личной информации в каких-либо определенных целях, достаточно заполнить специальный бланк. Конечно, согласие можно написать в письменном виде в произвольной форме.
Однако более удобным будет использование шаблона. Заполнять его можно не только от руки, но и на компьютере.
Если согласие заключается внутри организации, здесь используется специальный бланк. При этом в него вносится не только информация о сотруднике, но и название компании, работником которой он является.
Рекомендуется внимательно подойти к процедуре составления разрешения. Здесь владелец данных имеет возможность отметить, какую именно информацию можно использовать. Также указывает, что именно он разрешает делать с этой информацией.
Хотя законом предусмотрен определенный срок действия этого документа и возможность в любой момент отозвать его, это также рекомендуется указать в документе. Кроме этого, физическое лицо должно указать, что добровольно дает разрешение, без какого-либо принуждения. Свои слова человек подтверждает подписью.
Учебные, медицинские, государственные и другие учреждения достаточно часто просят личную информацию с разрешением на ее обработку. Наиболее часто она запрашивается:
- при трудоустройстве;
- при оформлении ребенка в школьное или дошкольное учреждение;
- при составлении договора финансовой или страховой организацией.
Разрешение использовать информацию обязан получить каждый оператор. Но закон предусматривает исключения при определенных обстоятельствах:
- При сборе информации федеральными службами;
- Для оказания государственных услуг;
- Для судебных разбирательств;
- Для защиты прав гражданина, когда нет возможности получить его согласия;
- Для защиты прав третьих лиц;
- Журналистам разрешено использовать некоторые данные без согласия гражданина;
- Если на законном основании открытые данные стали доступны, их также можно использовать без разрешения.
Во многих других ситуациях разрешение − необходимое условие для использования информации. При этом каждый гражданин, подтверждая такой документ, должен иметь представление о том, в каких целях будет использоваться информация.
Например, если после покупки магазин просит вашего разрешения, чтобы оповещать об акциях, это четко должно быть сформулировано.
Человек или организация, занимающаяся сбором и обработкой личной информации, называется оператором. К таким лицам выдвигаются определенные требования:
- Оператор должен позаботиться о том, чтобы получаемые данные были в полной сохранности;
- Контроль над соблюдением закона о персональных данных между работником и компанией;
- Следить за правильностью предоставления разрешения и отмены;
- Использовать полученные данные только по закону;
- Категорически запрещается без разрешения копировать информацию на любые носители, делать ее видео и фото;
- При занесении информации в компьютер оператор должен защитить ее от утечки.
Когда информация обрабатывается сотрудником компании, то правила его работы прописаны в должностных инструкциях. Безусловно, компания требует соблюдения конфиденциальности получаемой информации. При этом оператор должен любым удобным способом публично ознакомить всех сотрудников компании с правилами предоставления и обработки личных данных.
Перед тем, как начать собирать информацию, оператору необходимо зарегистрироваться в Роскомнадзоре. Он вносится в реестр, тем самым уведомляя о своем намерении работать с личной информацией.
Это документ о том, что субъект персональных данных согласен с тем, что заинтересованная сторона вправе получать, хранить и использовать сведения о нем. При этом ч.1 ст.9 Закона 152-ФЗ не обязывает давать его письменно. Закон гласит, что соглашение может быть получено в любой форме, но быть сознательным и конкретным.
Однако, оператор обработки персональных данных несет ответственность за свои действия и при возникновении спорной ситуации сможет доказать свою правоту только при наличии письменного документа. Форма его является условной, единого бланка законодательно не установлено и каждый из операторов может сам ее разрабатывать для своих условий.
Согласие на обработку персональных данных гарантирует их защиту от неправомерных действий, применение для определенных целей и в рамках перечисленных задач.