Согласие на обработку персональных данных с 1 марта 2021 года, образец, бланк, субъект, лицо, нужно ли получение, как получить

Доверенность

С 01 марта 2021 года любые персональные данные могут распространяться только с особого согласия субъекта.

Согласие на обработку персональных данных с 1 марта 2021 года, образец, бланк, субъект, лицо, нужно ли получение, как получить

Изменения в Закон “О персональных данных” внесены законом № 519-ФЗ и об особенностях распространения персональных данных я уже писал.

Роскомнадзор установил специальные требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

UPD от 22 апреля 2021 Опубликован Приказ Роскомнадзора № 18 от 24.02.2021 г. «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Зарегистрирован в Министерстве Юстиции 21 апреля 2021 г.

Приказ вступает в силу с 1 сентября 2021 года и действует до 1 сентября 2027 года.

Оперативные обновления узнавайте в моем Телеграм-канале.

Согласие на распространение персональных данных и согласие на обработку персональных данных — в чем разница

До принятия 519-ФЗ все виды обработки ПД могли быть прописаны в одном согласии. С 1 марта 2021 года правила изменились: человек может дать согласие на обработку персональных данных, но в тоже время не разрешить их распространять. Попробую на примерах и в схемах объяснить нюансы.

Обработка — это любое действие с персональными данными, в том числе:

  • сбор, запись, систематизация;
  • накопление, хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование, удаление, уничтожение персональных данных.

Из этого следует, что распространение —  это один из случаев передачи персональных данных. Он отличается от предоставления и доступа к персональным данным. Соответственно и согласия для этих случаев обработки разные.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Основным отличием распространения от предоставления является определение получателей данных. 

Согласие на обработку персональных данных с 1 марта 2021 года, образец, бланк, субъект, лицо, нужно ли получение, как получитьПередача персональных данных

В одном случае круг получателей не определен и не известен заранее. В другом — это известный получатель или определенный круг лиц.

Примеры распространения персональных данных

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц. По сути — это их публикация:

  • размещение профилей в соцсетях;
  • публикация данных о сотрудниках на корпоративных сайтах, форумы;
  • сайты с объявлениями, отзывами, вакансиями.
  • публикации в газетах, журналах;
  • печатные рекламные буклеты с контактами, ФИО и фото сотрудников;
  • публикация результатов спортивных мероприятий на интерактивных мониторах;
  • визитки, возможно.

Если вы планируете распространять персональных данные для неопределённой аудитории, то необходимо получать согласие на распространение персональных данных. В этом согласии субъект персональных данных должен прямо вам разрешить это делать.

Согласие на обработку персональных данных с 1 марта 2021 года, образец, бланк, субъект, лицо, нужно ли получение, как получитьРаспространение персональных данных

Согласие на обработку персональных данных, разрешенных для распространения, в любом случае дается конкретному оператору. Такое согласие не разрешает другим лицам использовать персональные данные субъекта в своих целях. Случаи обработки персональных данных без согласия субъекта строго определены в пунктах 2-11 части 1 статьи 6 Закона «О персональных данных».

Требования к содержанию согласия на распространение персональных данных

Роскомнадзор планирует запустить единую информационную систему для управления согласиями персональных данных, разрешенных для распространения. Пока этой системы нет, единственным возможным способом получения согласия является предоставление согласия непосредственно оператору.

Согласие не всегда должно быть в письменной форме. Допускается любая форма, позволяющая подтвердить факт его получения.

Письменная форма согласия требуется в случаях, если распространяются персональные данные, для обработки которых требуется письменная форма.

Каждый оператор должен разработать свой бланк согласия или веб-форму, предусмотрев в нем обязательные сведения, которые утвердил Роскомнадзор. Единой формы нет, Роскомнадзор утвердил лишь требования к содержанию согласия

Вот краткий чек-лист содержания согласия:

  1. Фамилия, имя, отчество субъекта.
  2. Контакты субъекта: номер телефона, адрес электронной почты или почтовый адрес субъекта.
  3. Наименование оператора персональных данных, ИНН, ОГРН и адрес, указанный в ЕГРЮЛ.
  4. Сведения об информационных ресурсах, где будут распространятся персональные данные.
  5. Цель или цели распространения персональных данных.

  6. Категории и перечень персональных данных, распространение которых субъект разрешает.
  7. Категории и перечень персональных данных, для распространение которых субъект устанавливает условия и запреты. Заполняется по желанию субъекта.

  8. Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников. Заполняется по желанию субъекта.
  9. Четко определенный срок действия согласия.

Подробнее о каждом пункте читайте ниже.

Читайте обязательно, потому что если согласие будет получено с нарушением или будет указана не вся информация, то считайте, что согласия нет. А за обработку персональных данных без согласия — новые штрафы и блокировка сайта.

Подробные требования к содержанию согласия

Согласие должно включать в себя следующую информацию:

1) Фамилия, имя, отчество (при наличии) субъекта персональных данных

2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)

Согласие может предусматривать указание либо адреса электронной почты, либо почтового адреса. Конечно, можно указать и то, и другое, но зачем лишняя информация?

3) Сведения об операторе персональных данных

Если оператором является юридическое лицо, то указывается: наименование, ИНН, ОГРН, а также адрес, указанный в ЕГРЮЛ

Физическое лицо указывает: фамилия, имя, отчество (при наличии), место жительства или место пребывания.

Для индивидуального предпринимателя указывается: фамилия, имя, отчество (при наличии), ИНН, ОГРНИП. Адрес указывать не надо, как это следует из приказа, что странно. Я рекомендую указывать и адрес ИП.

4) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных

Сведения об информационных ресурсах оператора указываются в виде адреса, состоящего из наименования протокола (http или https), сервера (www), домена (персональные данные.ru), имя каталога на сервере и имя файла веб-страницы, на которой будут размещены персональные данные субъекта персональных данных.

5) Цель (цели) обработки персональных данных

Формулировки цели или целей обработки персональных данных должны соответствовать положениям законодательства Российской Федерации, устанавливающим функции, полномочия и обязанности оператора, и (или) документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных.

6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных

Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу:

  • общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
  • специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
  • биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).

Указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку персональных данных, согласия на обработку персональных данных в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов

  • Указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных.
  • Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению персональных данных неограниченному или определенному кругу лиц соответственно.
  • Дополнительно в Согласии могут быть указаны условия, при которых полученные персональные данные могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.

8) Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников

Заполняется по желанию субъекта персональных данных.

9) Срок действия согласия

Должен быть отражен конкретный срок его действия: определенный период времени или дата окончания срока действия.

Не допускается указание на автоматическую пролонгацию срока действия согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.

Что делать со старыми согласиями

Ранее полученные согласия можно оставить и использовать до истечения срока их действия. Они сохранят свою силу для всех других случаев обработки персданных, кроме распространения.

Нужно только определить и составить список всех персональных данных, которые вы публикуете. После чего получить новые согласия. Легко сказать…

Остаюсь с вами на связи и отвечаю на вопросы в Телеграм-чате. Следить за обновлениями контента удобнее в Телеграм-канале.

Новое согласие на обработку персональных данных — 2021

Практически каждая организация так или иначе работает с персональными данными. В большинстве случаев на такую обработку требуется отдельное письменное согласие.

Еще несколько лет назад, когда штрафы за нарушение законодательных норм о личной информации не были столь велики, многие игнорировали правила обработки персданных.

Однако недавно прошла новая волна повышения штрафов за неправильную обработку личных данных, поэтому ошибка может стоить организации сотен тысяч рублей. Работникам также будет полезно знать, нужно ли на работе предоставлять согласие на обработку личной информации.

В данной статье мы расскажем о требованиях к согласию на обработку персданных, рассмотрим последние изменения по данному вопросу и потенциальные штрафы. Также вы сможете скачать образцы согласия, которые разработали специалисты сайта «Время Бухгалтера».

Обязательно ли согласие на обработку персональных данных

Обработкой личных данных законодатель считает любые действия, которые вы проводите с ними. А персональные данные — это всевозможные сведения о гражданах.

Таким образом, даже если вы, например, всего лишь получаете паспортные реквизиты своих клиентов или создаете базу их телефонных номеров, вы обрабатываете личную информацию и признаетесь их оператором. Это значит, что вы обязаны под риском ответственности соблюдать требования, которые предъявляются к обработке личной информации.

Так, вы должны определить цель обработки и строго ей следовать, при необходимости получать согласие на обработку и уведомлять о ней Роскомнадзор, а также принимать меры по защите информации.

По общему правилу обрабатывать персональные данные гражданина можно лишь с его согласия (п. 1 ч. 1 ст. 6 закона о персональных данных). Причем субъект данных имеет право в любой момент такое согласие отозвать (тогда продолжать обрабатывать данные можно лишь в строго установленных законом случаях).

Согласие на действие с личными данными должно быть конкретным, информированным и сознательным. Обязанность доказать наличие такого согласия или обстоятельств, в силу которых это согласие не требуется, возлагается на оператора.

Читайте также:  Фиктивное банкротство: признаки, ответственность, ст. 197 УК РФ, судебная практика

Из данной нормы видно, что действует презумпция отсутствия согласия у гражданина, поэтому разрешение не должно быть устным.

Самыми распространенными ситуациями, когда потребуется согласие на обработку персданных, это сбор данных (заявок) клиентов и прием новых сотрудников на работу (это включает в себя даже этап рассмотрения резюме, ведь там содержатся персональные данные).

Не требуется согласие на обработку персональных данных физического лица в случаях, приведенных в пп. 2—11 ч. 1 ст. 6 закона о персональных данных.

Так, согласие не потребуется, если обработка необходима:
1) для заключения договора по инициативе гражданина или договора, по которому он будет выгодоприобретателем или поручителем.

Например, если физическое лицо арендует у вас помещение или квартиру;
2) для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является гражданин.

Так, не требуется дополнительное согласие, если гражданин заказал доставку на дом, а его адрес необходимо уточнить;
3) для осуществления и выполнения функций, полномочий и обязанностей, которые возложены на вас законодательством. Например, если магазин уточняет у клиента адрес его электронной почты, чтобы направить ему электронный кассовый чек согласно закону № 54-ФЗ;

4) для осуществления прав и законных интересов либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина. Например, охранник может записывать данные посетителей бизнес-центра, не получая от них дополнительное письменное согласие.

Согласие работника на обработку персональных данных — бланк 2021

Работа с персональными данными работника требует выполнения определенных требований. О том, что представляют собой персональные данные, об условиях работы с ними и оформлении согласия на их обработку — в нашем материале.

Состав персональных данных и виды их обработки

В число персональных данных входят любые сведения, прямо или косвенно относящиеся к определенному человеку (п. 1 ст. 3 Закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Их обработкой считаются действия по (п. 3 ст. 3 Закона № 152-ФЗ):

  • сбору;
  • записи;
  • систематизации;
  • накоплению;
  • хранению;
  • обновлению и изменению;
  • извлечению;
  • использованию;
  • передаче;
  • обезличиванию;
  • блокированию;
  • удалению;
  • уничтожению.

Осуществляются такие действия в отношении персональной информации многими ее получателями: госорганами, юридическим и физическими лицами. И, конечно, необходимость в работе с персональными данными есть у каждого работодателя. Именно поэтому в ТК РФ имеется особая глава (гл. 14), посвященная персональным данным и устанавливающая:

Положения ТК РФ, касающиеся персональных данных, применяются с учетом правил, установленных Законом № 152-ФЗ.

Особенности работы с персональными данными

Работа с персональными данными предусматривает обязательность:

  • наличия согласия лица, к которому эти данные относятся, на их обработку;
  • выполнения обработки лишь для заранее определенных целей, разрешенных законодательством;
  • соблюдения конфиденциальности информации о персональных сведениях;
  • соблюдения сроков хранения, установленных для таких сведений;
  • публикации и передачи сторонним лицам этих данных лишь с согласия их носителя (кроме ситуаций, когда такое согласие не требуется по законодательству).

Носитель персональных данных имеет право на:

  • доступ к относящимся к нему сведениям;
  • информацию о целях, порядке, ходе и результатах их обработки (кроме ситуаций, когда такое информирование запрещено законодательно);
  • сведения об операторе, лицах, осуществляющих обработку от его имени, и сторонних источниках, из которых оператор получает сведения, относящиеся к персональным;
  • отзыв выданного им согласия на обработку персональных данных;
  • судебную защиту своих интересов при осуществлении оператором неправомерных действий с информацией персонального характера.

Письменное согласие от работника потребуется, если работодатель намерен получать информацию персонального характера от иных лиц (п. 3 ст. 86 ТК РФ) или передавать такую информацию иным лицам (ст. 88 ТК РФ).

В силу того, что работодатель регулярно сопровождает индивидуальными сведениями передаваемые в ИФНС и ПФР данные по налоговым начислениям, страховым взносам, страховому стажу, а также дает доступ к ним при начислении социальных выплат, оформлении зарплатных карт и проведении внешних проверок, ему необходимо наличие согласия работников (как и лиц, оформленных по договору ГПХ) на их обработку. Потребуется такое согласие также от претендентов на вакантные должности, если предоставленную ими информацию работодатель намерен проверять у иных лиц. Для них срок действия согласия будет ограничен временем, отведенным на принятие решения о приеме на работу.

Полезная информация от КонсультантПлюс

Распространять персональные данные граждан по-старому больше не получится

Партнер юридической компании «Гареев, Махно и Касьян»

С 1 марта 2021 г. компании и ИП обязаны соблюдать новые правила сбора и размещения персональных данных в открытом доступе. Нововведения способны ощутимо усложнить жизнь предпринимателей

С 1 марта 2021 г. в нашей стране введен новый порядок распространения персональных данных граждан1. В статье мы расскажем об этих изменениях и рассмотрим проблемы, которые могут возникнуть у предпринимателей уже сейчас.

Персональные данные (ПД) – это любая информация о человеке: Ф.И.О., дата рождения, паспортные данные, адрес, e-mail и т.д.

Оператор – лицо (компания), которое осуществляет любые действия с персональными данными (в законе эти действия называются обработкой), например собирает, записывает, систематизирует, копит, хранит, уточняет, извлекает, использует, передает, обезличивает, блокирует, удаляет, уничтожает, распространяет, предоставляет доступ.

Распространение ПД – это размещение ПД, при котором к данным имеет доступ неопределенный круг лиц. Например: размещенные в аккаунте социальной сети Ф.И.О., дата рождения, контактные данные могут быть просмотрены и скопированы как пользователями соцсети, так и теми, кто в ней не зарегистрирован.

Предоставление ПД – это размещение ПД, при котором к данным имеет доступ определенное лицо или определенный круг лиц. Например: размещенные в закрытом форуме ПД доступны только тем, кто зарегистрирован как участник форума.

ПД, размещенные в открытом доступе, – это ПД, размещенные в интернете, доступ к которым предоставлен всем желающим без необходимости регистрации на сайте.

Да, если соблюдено одно из указанных условий.

  • На вашем сайте в открытом доступе размещаются ПД.
  • Вы собираете и структурируете ПД, размещенные в открытом доступе.
  • Вы публикуете ПД в печатной или иной форме, при которой ПД находятся в открытом доступе. Пример: социальные сети, сайты объявлений, форумы, печатные издания с объявлениями и т.д.

Нет, если соблюдено одно из указанных условий.

  • На вашем сайте размещаются ПД, доступ к которым есть только у зарегистрированных пользователей, т.е. оператор может ограничить и определить круг лиц, имеющих доступ к ПД. Эта позиция была устно донесена Роскомнадзором в ходе ответов на вопросы на дне открытых дверей 28 января 2021 г. В отсутствие письменных разъяснений остается довериться данной позиции и надеяться на то, что Роскомнадзор не изменит ее. Пример: закрытая корпоративная социальная сеть или сайт-интегратор объявлений, на котором доступ к ПД продавцов можно получить только после регистрации на сайте.
  • Ваша компания распространяет или предоставляет ПД в определенных законом государственных, общественных или публичных интересах независимо от того, что распространение или предоставление ПД запрещено самим лицом2. Под государственными, общественными и публичными интересами в основном понимаются вопросы безопасности государства, граждан и т.д. Поэтому сложно придумать реальный случай, когда коммерческая организация могла бы прикрыться данным пунктом закона.
  • Вы являетесь государственным органом власти или органом местного самоуправления, распространяющим ПД в силу выполнения возложенных на вас полномочий3.

1.

Законность распространения ПД подтверждалась несколькими способами.

  • Оформление согласия на обработку ПД. Оно могло оформляться как письменно, так и путем заполнения формы на сайте4. Пример: предоставление согласия на обработку ПД на сайте объявлений о продаже автомобилей. Сайт получает согласие продавца, размещает его имя и номер телефона, чтобы с ним могли связаться покупатели.
  • Заключение договора с лицом, по которому компания распространяла ПД в его интересах. В этом случае согласие не требовалось5. Пример: заключение договора с рекрутинговым агентством, по которому оно размещает на своем сайте анкету с ПД соискателя и к ней получает доступ неограниченное число лиц.

2.

Если оператор незаконно получил и распространил ПД, то «пострадавшее» лицо доказывало факт незаконности получения оператором его ПД. Оператор обязан был уничтожить ПД, если лицо предоставляло сведения, подтверждавшие, что ПД были получены оператором незаконно6.

Пример: гражданин получил на свой e-mail именное предложение оформить кредит. Он обращается письменно в банк (к оператору) с требованием уничтожить ПД как полученные незаконно и ссылается на то, что никогда не передавал свои ПД в этот банк и не заключал с ним договор.

3. Если оператор получал от лица отзыв согласия на обработку ПД, у него было 30 дней на то, чтобы прекратить обработку ПД и уничтожить их7.

Введено новое понятие – ПД, разрешенные субъектом ПД к распространению.

Под этим термином закон понимает ПД, к которым лицо предоставило доступ неограниченному кругу лиц путем дачи согласия на обработку персональных данных, разрешенных для распространения (далее – согласие на распространение)8.

Это означает, что установлен отдельный порядок регулирования распространения ПД, который не соответствует общему порядку регулирования обработки ПД.

Если раньше для распространения ПД достаточно было получить общее согласие на обработку ПД, то теперь для этого нужно получить отдельное согласие.

Иными словами, оператор должен получить:

  • согласие на обработку ПД, по которому сможет собирать, систематизировать, хранить и осуществлять иные действия с ПД;
  • отдельное согласие на распространение ПД, без которого распространение ПД будет незаконным.
  • Законность распространения ПД и их сбора из открытых источников подтверждается исключительно наличием согласия на распространение.
  • Если ранее оператор мог законно распространять ПД путем получения согласия на обработку ПД, заключения договора или сбора ПД из открытых источников, то теперь законное условие одно – получение отдельного согласия на распространение ПД9.
  • Установлены требования к оформлению согласия на распространение ПД.

1.

Требования к содержанию согласия на распространение ПД должны быть в ближайшее время приняты Роскомнадзором10. С текстом проекта приказа Роскомнадзора можно ознакомиться на сайте: regulation.gov.ru.

Читайте также:  Открытая лицензия, свободная, что это такое, creative commons, гк рф, является, на использование произведения науки, литературы или искусства, существенное условие

Форма согласия на распространение ПД, которую предлагает Роскомнадзор, на наш взгляд, перегружена лишней информацией. Например, оператор должен будет указывать в согласии свои коды по классификаторам (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС). Каким образом знание этих кодов может помочь лицу в спорах с оператором – непонятно.

2.

В форме согласия на распространение ПД оператор обязан дать возможность лицу предусмотреть:

  • перечень и категории ПД (общие, специальные, биометрические), на которые распространяется его согласие на распространение11;
  • запрет на распространение и предоставление ПД неограниченному кругу лиц12;
  • запрет на обработку ПД неограниченным кругом лиц, за исключением права получения доступа;
  • условия обработки ПД неограниченным кругом лиц, за исключением права получения доступа.

Чтобы соответствовать этим требованиям, операторам придется потратиться на создание на своих сайтах отдельных форм согласий, которые будут учитывать все возможные варианты запретов и ограничений.

При этом обыватели часто не знают, что такое ПД и какие у них есть права относительно обработки их ПД. Непонятно, как они самостоятельно смогут заполнить такое согласие и не допустить ошибок.

3. Согласие на распространение ПД может быть получено оператором непосредственно или с использованием информационной системы Роскомнадзора13.

Согласие оператор может получить от лица в письменной форме или через специальную онлайн-форму на своем сайте. При этом молчание или бездействие лица не являются согласием на распространение ПД14.

Информационная система Роскомнадзора должна заработать с 1 июля 2021 г. Пока она находится на стадии разработки, и о ней ничего не известно, а разъяснений со стороны Роскомнадзора нет. Поэтому комментировать данную норму еще рано.

4. Оператор обязан не позднее 3 рабочих дней с момента получения согласия на распространение ПД опубликовать информацию:

  • об условиях обработки ПД;
  • об условиях обработки ПД неограниченным кругом лиц15;
  • о наличии запретов на обработку ПД.

Согласно м Роскомнадзора, озвученным на дне открытых дверей 28 января 2021 г., данная информация должна быть опубликована оператором на своем сайте таким образом, чтобы доступ к документу был у всех желающих. Как мы указывали выше, письменных разъяснений нет, и нам остается довериться данной позиции.

Так как четкие требования к форме согласия не установлены, возникает риторический вопрос: в каком объеме должны быть раскрыты ПД в данном документе, чтобы лицо нельзя было спутать с тезкой? Такой пример: на сайте размещены ПД двух человек, Ф.И.О. которых идентичны. При этом один из них разрешает распространять все свои ПД, а другой – только Ф.И.О. и номер телефона. Как стороннее лицо должно определять, к кому из них относятся те или иные условия обработки ПД?

Что делать оператору, если согласие на распространение ПД составлено некорректно?

1.

Если из текста документа не следует, что лицо согласно на распространение ПД, то такие ПД должны обрабатываться оператором без права распространения16. Данный пункт позволяет сделать вывод о том, что малейшее сомнение в правильности оформления согласия будет трактоваться не в пользу оператора.

2.

Если из текста согласия на распространение ПД не следует, что субъект ПД не установил запреты и условия обработки ПД или он не указал перечень и категории ПД, в отношении которых установлены запреты и условия, то такие ПД должны обрабатываться оператором без права распространения и предоставления неограниченному кругу лиц17. Это означает, что если есть сомнения в правильности установления лицом запретов или условий обработки ПД, то оператор обязан обрабатывать ПД без их раскрытия неограниченному кругу лиц.

Порядок прекращения распространения ПД.

1.

Если ранее оператор должен был прекратить обработку ПД в течение 30 дней с момента получения от лица отзыва согласия, то сейчас он должен прекратить распространение, предоставление ПД и закрыть доступ к ним в любое время по требованию лица18.

Согласие на распространение ПД прекращает действовать с момента, когда оператор получил такое требование19. При этом в законе не определена форма требования. Скорее всего, оно может быть оформлено как письменно, так и в электронном виде.

Возникает вопрос: что делать оператору, если требование было получено на e-mail ночью или в выходной день? Формально он должен удалить ПД с сайта немедленно, поскольку согласие больше не действует. Такой порядок может привести к недобросовестному поведению со стороны граждан (субъектов ПД).

2.

Субъект ПД вправе обратиться к любому лицу, обрабатывающему его ПД, т.е. не только к оператору, которому было дано согласие на распространение ПД, но и к другим лицам, которые стали обрабатывать ПД в последующем. Гражданин вправе требовать от таких лиц:

  • прекратить распространение ПД, или
  • прекратить предоставление ПД и доступ к ним в случае, если такое лицо не соблюдает требования, установленные ст. 10.1 Закона о персональных данных (особенности обработки ПД, разрешенных субъектом ПД для распространения), или
  • обратиться в суд.

В случае такого обращения лицо, обрабатывающее ПД, обязано прекратить распространение, передачу ПД и доступ к ним:

  • в течение 3 рабочих дней с момента получения требования, или
  • в срок, указанный в решении суда, или
  • в течение 3 рабочих дней с момента вступления в силу решения суда20.

Если раньше обязанность доказать незаконность обработки ПД лежала на гражданине (субъекте ПД), то сейчас «обработчик и распространитель» ПД должен доказать законность распространения или обработки ПД.

Закон прямо указывает, что лицо должно доказать законность последующего распространения или обработки ПД в случае, если ПД были раскрыты неопределенному кругу лиц субъектом без предоставления оператору согласия21.

Это означает, что если субъект сам раскрыл свои ПД на сайте оператора, то ответственность несут только те лица, которые взяли ПД с указанного сайта и продолжают распространять или обрабатывать ПД.

Возникает вопрос: как оператор будет доказывать тот факт, что ПД были распространены субъектом самостоятельно? Здесь также есть шанс, что субъекты ПД будут злоупотреблять своими правами.

Закон указывает, что если ПД были раскрыты неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, то лицо, в последующем распространяющее или обрабатывающее ПД, обязано доказать законность распространения или обработки ПД.

Что делать компаниям, которые собирают ПД из открытых источников?

До 1 марта 2021 г. действовала норма, согласно которой не требовалось получать согласие на обработку ПД лица, если ПД размещались в открытом доступе самим лицом или по его просьбе. Такие ПД назывались «персональными данными, сделанными общедоступными субъектом ПД».22 Пример: компания собирает ПД о конкретном лице на странице социальной сети для его оценки как потенциального клиента банка.

Ответы Роскомнадзора на вопросы о персональных данных

В сентябре Роскомнадзор дал разъяснения по закону о персональных данных в форме вопросов и ответов. Публикуем их.

Уполномоченный орган — федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи.

В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 года № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.

В соответствии с п. 2 ст.3 Федерального закона от 27.07.

2006 № 152-ФЗ «О персональных данных» оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

В соответствии с ч. 2 ст.7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обеспечения конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Согласно ч. 2 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;(п. 1.1 введен Федеральным законом от 25.11.2009 № 266-ФЗ)

  • 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
  • 3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  • 4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • 5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
  • 6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • 7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Получить согласие работника на передачу его персональных данных для обработки другому оператору должна администрация предприятия, на котором работает субъект персональных данных.

В соответствии с ч.1 ст.22 Федерального закона от 27.07.

2006 № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Исключение составляют случаи, предусмотренные ч.2 комментируемой статьи, при обработке персональных данных:

  1. 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
  2. 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  3. 3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
  4. 4) являющихся общедоступными персональными данными;
  5. 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
  6. 6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  7. 7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  8. 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации
Читайте также:  Мотивированный отказ заказчика от приемки результата выполненных работ по договору подряда, ГК, сроки, образец письма

.Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Роскомнадзора.

Кроме того, на портале Персональные данные реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.

Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.

Вы вправе обратиться в ближайшее территориальное управление Роскомнадзора. Адреса и контактные телефоны указаны на официальном сайте Роскомнадзора.

Ст.24 Федерального закона «О персональных данных» определяет ответственность за нарушение данного Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.Административная ответственность за нарушение настоящего Федерального закона наступает за:

— неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст.5.39 КоАП РФ);

— нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст.13.11 КоАП РФ);

— разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст.13.14 КоАП);

— непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст.19.7 КоАП РФ).

Кроме того, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность, предусмотренная ст.137, 272 УК РФ.

Персональные данные субъектов персональных данных, полученные кредитной организацией при рассмотрении заявок на получение кредита, в случае отрицательного решения кредитной организации подлежат уничтожению в срок, не превышающий трех рабочих дней с даты принятия соответствующего решения.

Обращаем Ваше внимание, что типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных, могут храниться в формате цифровых копий при соблюдении требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.

При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных, является файл электронной цифровой подписи.

Кроме того, предложение оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта. Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

В соответствии с ч.3 ст.10 Федерального закона «О персональных данных» обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

До начала осуществления трансграничной передачи персональных данных оператор, осуществляющий обработку персональных данных (далее — Оператор) на территории Российской Федерации, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

Критериев, определяющих адекватность защиты прав субъектов персональных данных на территории иностранного государства, действующим законодательством Российской Федерации не предусмотрено.

Оператору, осуществляющему трансграничную передачу персональных данных, необходимо руководствоваться законодательством иностранного государства, на территорию которого осуществляется передача персональных данных, законодательством Российской Федерации в области защиты прав субъектов персональных данных, а также международными нормативными актами, в том числе Конвенцией о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года ETS № 108 с учетом перечня стран, подписавших и ратифицировавших данную Конвенцию. Это Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония.

Вторая группа, которые могут претендовать на статус стран, обеспечивающих адекватную защиту персональных данных, это страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных. Это Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония.

Требования Федерального закона «О персональных данных» распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации.

Согласно пункту 9 статьи 3 Федерального закона «О персональных данных» информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.В случае соответствия веб-сайта указанным требованиям он является информационной системой.

Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора.

Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале.

Типовая форма акта и журнала утверждаются самим Оператором.

  • Да, такие документы, разработанные отдельными представителями операторского сообщества, существуют:
  • — стандарты и рекомендации в области стандартизации Банка России;
  • — концепция защиты персональных данных в информационных системах персональных данных оператора связи;
  • — методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости.

Источник: Информация Роскомнадзора от 25.09.2015

Письменное согласие физлица на обработку его персональных данных

Организации, которые работают с физлицами, часто используют персональные данные. Предлагаем пример оформления письменного согласия физлица на обработку его персональных данных.

Персональные данные в Республике Беларусь подразделяются на основные и дополнительные .

Персональные данные физлица можно получать и обрабатывать с предварительного согласия физлица или без согласия, когда это предусмотрено законодательством . Без согласия получают и обрабатывают персональные данные как правило, госорганы.

На заметку
Сейчас согласие физлица нужно получить на сбор, обработку, хранение, а также пользование персональными данными . Проект Закона Республики Беларусь «О персональных данных» предусматривает получение согласия физлица на сбор, обработку (за исключением обезличивания), распространение, предоставление персональных данных.

Предлагаем пример формы для получения письменного согласия на обработку персональных данных физлица. Такую форму можно предложить для заполнения физлицу — субъекту персональных данных или его представителю. Предлагаем перечислить в форме нужные организации персональные данные.

Уместно будет при получении от физлица согласия разъяснить порядок его отзыва. Отзыв согласия соответствует практике применения действующего с 25 мая 2018 г. Общего Регламента о защите персональных данных (General Data Protection Regulation/GDPR). Предусматривает право на отзыв согласия и принятый в первом чтении проект Закона Республики Беларусь «О персональных данных».

  • На основе этой формы можно разрабатывать собственные документы.
  • СОГЛАСИЕ
    на сбор, обработку, распространение,
  • предоставление и хранение персональных данных
  • Субъект персональных данных: _____________________________ (фамилия, собственное имя, отчество (если таковое имеется)) _______________________________ (дата рождения, номер и серия документа, удостоверяющего личность, кем выдан) в лице представителя субъекта персональных данных  , _______________________________ (фамилия, собственное имя, отчество (если таковое имеется)) ________________ (вид документа, удостоверяющего личность) серия _______ N ____________________ выдан _______________________________ (каким органом и когда выдан), проживающий(ая) по адресу: ________________________________, действующий(ая) от имени субъекта персональных данных на основании _______________________________ (реквизиты доверенности или иного документа, подтверждающего полномочия представителя) в целях _______________________________ (цель обработки указывает лицо, которое получает согласие), принимаю решение о представлении моих персональных данных ________________________ (наименование, УНП, место нахождения организации, которая получает согласие) и даю согласие на сбор, обработку, распространение, предоставление и хранение (выбрать действие(ия), на которое(ые) дается согласие) следующих персональных данных:
  • фамилия, собственное имя, отчество (если таковое имеется);
  • данные о регистрации по месту жительства и (или) месту пребывания
  • ________________________________________________________________________;
  • ________________________________________________________________________;
  • ________________________________________________________________________.
  • Согласие предоставлено на срок: ______________________________.
  • Порядок отзыва согласия:_________________________________________________.

___.___.______             _________                     _________________________________
(дата)                                    (подпись)                    (инициалы, фамилия субъекта персональных данных)

———————————

Может предусматривать согласие на пользование персональными данными .
Заполняется в случае получения согласия от представителя субъекта персональных данных.

Читайте этот материал в ilex >>
*по ссылке Вы попадете в платный контент сервиса ilex

Leave a Comment

Ваш адрес email не будет опубликован. Обязательные поля помечены *