Согласование на обработку персональных данных. Разрешение на обработку персональных данных: бланк и важные нюансы его оформления. Принципы работы с базой персональных данных

Posted on

Обычно такие сведения человек сообщает о себе сам во многих государственных органах, медицинских и образовательных учреждениях, кредитных организациях и даже в коммерческих структурах, например при трудоустройстве. Кроме вышеперечисленных сведений, которые являются общими, есть еще специальные личные данные, например национальность, вероисповедание, политические взгляды, состояние здоровья и прочая информация подобного рода.

Где можно найти персональные данные гражданина

Существует целый ряд документов, которые по своей сути являются источниками и, одновременно, хранилищами личной информации. К ним, в частности, относятся:

• паспорт гражданина (внутренний и заграничный)
• другие документы, удостоверяющие личность;
• трудовая книжка;
• военный билет;
• свидетельство о рождении;
• документы об образовании,
• документы о составе семьи;
• справки о доходах;
• анкеты, заполняемые при трудоустройстве;
• автобиография;
• характеристики;
• личные карточки работников (форма Т-2);
• другие документы.

Очевидно, что большинство этих документов в подлинниках или копиях хранят работодатели граждан. Именно они, а также все остальные лица, к которым попадает такая информация, являются операторами персональных данных.

Операторы персональных данных и действия с ними

В статье 3 Закона № 152-ФЗ сказано, что оператором является лицо, которое организует и осуществляет обработку персональных данных. Все работодатели как юрлица, так и ИП являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус практически не ограничен. Это может быть любое лицо, которому человек доверил информацию о себе.

Отдельное внимание нужно уделить понятию обработки личной информации. О ней везде говорят, но никто толком не знает, что это такое. Тогда, как часть 3 все той же статьи 3 Закона № 152-ФЗ регламентирует это понятие, как любое действие (или их совокупность), совершаемое с личной информацией. Под действиями законодатели понимают:

• сбор,
• запись,
• систематизацию,
• накопление,
• хранение,
• уточнение (обновление, изменение),
• извлечение,
• использование,
• передачу (распространение, предоставление, доступ),
• обезличивание,
• блокирование,
• удаление или уничтожение данных.

Все операции могут проходить как в бумажном ручном режиме, так и с использованием средств автоматизации, в том числе в режиме онлайн. Именно на все эти действия оператор должен получить от владельца бланк согласия на обработку персональных данных 2017. При этом, для работодателей это является отдельным случаем, так как цели их обработки, в том числе, регулирует .

Заявление о согласии на обработку персональных данных и требования к оформлению документов

Как уже было сказано выше, операторы обязаны получить от граждан согласие на обработку персональных данных на сайте или в бумажном варианте. Однако образец формы согласия на обработку персональных данных для организаций и учреждений немного отличается от того заявления, которое должен взять с каждого нового работника его работодатель. Для начала определимся с общими требованиями к оформлению этих документов.

Этой информации – любое действие или операция с личными данными субъекта: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Зачем собирать информацию о субъекте и давать согласие на ее анализ?

Для клиента/пациента

Сведения о состоянии здоровья гражданина относятся к специальной категории персональных данных. Согласно ч. 2 п. 4 ст. 10 ФЗ № 152 обработка таких сведений допускается без согласия субъекта при условии, что она осуществляется в целях:

• установления диагноза;
• профилактики заболевания;
• оказания медицинских и медико-социальных услуг.

Это правило справедливо для ситуаций, когда обработка осуществляется профессиональным врачом, обязанным хранить врачебную тайну в соответствии с законодательством РФ.

Исключение составляют те ситуации, когда получить согласие невозможно, но необходима для защиты жизни или здоровья пациента.

Если человек пользуется какой-либо услугой – заключает договор, оформляет кредит – то есть является клиентом, личные сведения о нём также могут быть обработаны согласно ФЗ № 152 .

Данные клиента могут использованы для:

1. Оказание консультационных, информационных и посреднических услуг.
2. Заключение и исполнение договора с клиентом.
3. Ведение кадровой работы и бухгалтерских услуг.
4. Иные сделки, не запрещенные законодательством РФ.

Для сотрудника организации

Работодатель имеет право на своих сотрудников, оно закреплено в ст. 22 ФЗ № 152 . Цели обработки персональных данных в организации:

• Оформление гражданско-правовых договоров с гражданами, предусмотренных Законодательством РФ и Уставом предприятия.
• Кадровый учёт, соблюдение законов и , оформление обязательств по трудовым и гражданско-правовым договорам.
• Помощь в трудоустройстве, получении образования или продвижения по службе, оформлении и использовании льгот.
• Обеспечение личной безопасности работника и сохранность имущества.
• Выполнение требований налогового, а также пенсионного законодательства при начислении взносов на пенсионное страхование.
• Формирование статистики в соответствие с Трудовым, Налоговым Кодексами и федеральными законами.
• Контроль выполняемой сотрудником работы.

(Ст. 86 «Трудового Кодекса Российской Федерации» от 30.12.2001 г. № 197-ФЗ). Личные сведения о сотруднике, относящиеся к категории «специальные», не подлежат обработке работодателем.

Обязательно должны быть установлены сроки действия Согласия на обработку персональных данных, это может быть конкретная дата или событие, например, увольнение или отзыв сотрудником своего согласия.

Примеры

Банковская сфера

Банк «Финансовый». Цель обработки персональных данных клиента – осуществление банковских и других операций, в том числе:

1. Открытие и ведение банковских счетов.
2. Перевод денежных средств по банковским счетам.
3. Перевод денежных средств от лиц – физических и юридических без открытия банковского счёта.
4. Купля-продажа иностранной валюты.
5. Оказание услуг консультирования и информирования, в том числе посредством адреса электронной почты.

Медицинская организация

Медицинская организация «Здоровье». Цель обработки:

• Организация оказания медицинской помощи.
• Выписка льготных рецептов.
• Оплата счетов в системе ОМС и ДМС.
• Использования для статистики и при проведении научно-исследовательской работы.
• Информирование посредством смс-оповещения о результатах анализов, проводимых акциях и расписании работы специалистов.

Заключение

С , клиента или пациента не всё так просто, как кажется на первый взгляд. Просто так, без согласия и предупреждения, они не могут быть переданы третьим лицам или использованы в тех целях, с которыми субъект не согласен. Если человек столкнулся с тем, что произошла утечка его личных данных, он всегда может обратиться в Роскомнадзор или в суд.

Персональными данными физического лица являются любая информация о нем (паспортные сведения, семейное положение и место работы, возраст и прочее). Часто такая информация разглашается со стороны работодателя в процессе осуществления его деятельности. Несмотря на то, что по закону это не является нарушением, многие люди заинтересованы в защите информации о себе, и такое предохранение работодателя обязывает производить российское законодательство.

ФЗ «О персональных данных» № 152-ФЗ был принят еще 27 июля 2006 года, последние изменения и дополнения в документ вносились 1 сентября 2015. Согласно этому документу персональные данные могут обрабатываться, храниться и передаваться третьим лицам только с согласия субъекта.

Но при этом сохранять такую информацию в тайне закон обязывает не всегда, разделяя все персональные данные на три категории:

1. Специальные (национальность и вероисповедание, взаимоотношения с законом, сведения о состоянии здоровья и частично – информация о работе).
2. Биометрические (данные, касающиеся внешности и физиологии).
3. Общедоступные основные анкетные данные (Ф.И.О., дата рождения, пол и другие паспортные данные).

Для обработки информации третьей категории согласия носителя не требуется. Не требуется оно и при обработке, хранении и передаче данных первых двух категорий в таких исключительных случаях, как установление личности человека при отсутствии у него документов, а еще в ходе любых оперативно-розыскных работ.

Согласно закону в каждом предприятии имеется внутренний документ, в котором было бы оговорено, что именно относить к персональным сведениям, в каких случаях они могут передаваться и разглашаться, а поступающего на работу в организацию сотрудника необходимо с такой бумагой ознакомить и он должен дать свое согласие на обработку данных.

Сотрудникам не стоит относиться к этой информации как к материалам, которые могут как-то применяться против них, так как за суровой фразой «обработка персональных данных» фактически подразумевает лишь использование анкетных сведений (3 категория) для оформления:

• зарплатной карты или счета сотрудника;
• доверенности на предоставление интересов компании или на получение материальных ценностей;
• счетов;
• договоров;
• исходящих писем различного характера.

Но в то же время работодатель обязан ограничивать доступ к таким данным, обеспечивая его только ответственным за хранение и обработку этих сведений лицам. В компетенции таких сотрудников еще должно быть заполнение соответствующих бланков, которые являются формальным разрешением работника на использование информации. Этот документ должен составляться при каждом использовании данных и действует на протяжении прописанного в нем срока.

Пример заполнения бланка согласия

Бланк согласия на обработку персональных данных можно составить по приведенному на нашем сайте образцу, но при необходимости в него допускается внесение небольших поправок и изменений в оформлении. В верхней правой части бланка пишется Ф.И.О. и должность человека, на имя которого составляется документ, а также указывается название организации.

Читайте также:

Личная карточка работника, образец заполнения (форма Т 2)

Далее пишется заголовок «Согласие на обработку моих персональных данных», после которого указываются паспортные сведения сотрудника и прописываются реквизиты организации, дающей разрешение. Обязательна ссылка на федеральный закон № 152-ФЗ.

После этого перечисляются цели, в которых организация намерена использовать персональную информацию, а также сами сведения (это могут быть как анкетные данные, так и специфические факты относительно сферы деятельности сотрудника). В некоторых ситуациях личные данные могут предоставляться в несколько разных учреждений, и в таком случае не стоит перечислять их в одном документе: для каждого составляется отдельный бланк.

В конце бланка указывается срок, в течение которого документ считается действительным, а также упоминание о том, что сотрудник имеет право отозвать свое разрешение. После этого вписывает должность сотрудника, его Ф.И.О., подпись и дата составления бланка.

В отдельных случаях (например – по запросу из государственных органов) работодатель имеет право обойтись без составления такого документа. Если же сотрудник считает, что сведения о нем были переданы третьим лицам неправомерно, он имеет право подать в жалобу в Роскомнадзор. Если незаконная передача персональной информации подтвердится – работодателя может ждать наказание (штраф или лишение свободы).

Правовое регулирование согласия на обработку персональных данных

Согласию на обработку персональных данных (далее — ПД) посвящена ст. 9 закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — закон № 152-ФЗ). Также вопросы дачи согласия на обработку затронуты в Трудовом кодексе РФ (далее — ТК РФ) и иных нормативных актах.

С 01.07.2017 увеличились размеры штрафов за нарушения в области обработки сведений о гражданах. При этом если до указанной даты максимальный размер штрафа для организаций составлял 10 000 руб., то после вступления в силу изменений в Кодекс РФ об административных правонарушениях (далее — КоАП РФ) ранее единый состав нарушения разделен на 7, а ответственность за обработку данных без согласия граждан на эти действия установлена:

• для организаций в размере от 15 000 до 75 000 руб.;
• должностных лиц — от 10 000 до 20 000 руб. (п. 2 ст. 13.11 КоАП РФ).

Помимо привлечения к ответственности операторам выдаются предписания, которые могут касаться, в частности, уточнения формы согласия на обработку ПД (например, дополнения формы указанием цели обработки, постановление ФАС СКО от 27.04.2011 по делу № А32-12882/2010).

Форма согласия на обработку персональных данных: бланк

При оформлении согласия на обработку ПД важно следующее:

• согласие должно быть конкретным, информированным и сознательным (ч. 1 ст. 9 закона № 152-ФЗ, Обзор судебной практики…, утв. Президиумом ВС РФ 27.09.2017);
• форма выражения согласия должна быть такая, чтобы было возможно подтвердить его получение организацией (лицом), обрабатывающей сведения (ч. 1 ст. 9 закона № 152-ФЗ);
• если согласие выражает не само лицо, чьи ПД будут обрабатываться, а его представитель, необходимо проверить, уполномочен ли он на дачу такого согласия (ч. 1 ст. 9 закона № 152-ФЗ);
• в установленных законодательством случаях согласие должно быть выражено письменно или посредством электронной подписи (ч. 4 ст. 9 закона № 152-ФЗ);
• согласие должно содержать перечисленные в ч. 4 ст. 9 закона № 152-ФЗ элементы, в частности то, какие действия с ПД можно совершать;
• за недееспособных физических лиц согласие дают представители (ч. 6 ст. 9 закона № 152-ФЗ), так считывание биометрических данных детей (например, рисунка вен руки для расчета в безналичной форме в столовой) осуществляется после получения письменного согласия их родителей (постановление 8-го арбитражного апелляционного суда от 14.09.2017 № 08АП-10047/2017, 08АП-10109/2017 по делу № А70-2034/2017);
• согласие на использование ПД умершего дают его наследники (ч. 7 ст. 9 закона № 152-ФЗ).

Образец формы согласия на обработку персональных данных можно скачать по ссылке: Согласие на обработку персональных данных - образец .

Заявление работника о согласии на обработку персональных данных

Заявление о согласии на обработку персональных данных оформляется с учетом особенностей, установленных соответствующей отраслью права. Так, в трудовых отношениях оно оформляется в качестве отдельного документа или включается в текст трудового договора (в том числе в виде приложения).

При этом согласно п. 3 ч. 1 ст. 86 Трудового кодекса РФ (далее — ТК РФ):

• вся информация о сотруднике получается непосредственно от него;
• для получения информации о сотруднике от третьих лиц необходимо заблаговременное получение письменного согласия сотрудника;
• при запросе согласия сотрудника на получение информации о нем у сторонних субъектов организация-работодатель должна сообщить сотруднику, что это за информация, каковы цели получения, откуда она будет получена и каковы последствия того, что работник откажется соглашаться на получение указанной информации от третьих лиц.

Также законодательством установлены особенности получения согласия на обработку ПД для представителей отдельных профессий (например, для спортсменов такие особенности определены в ст. 348.2 ТК РФ).

Итак, в настоящей статье был представлен для скачивания образец согласия на обработку персональных данных, а также отмечены некоторые существенные законодательные положения о получении такого согласия, в частности о необходимости указания в согласии всех установленных законом № 152-ФЗ элементов.

Хотите иметь дело с проверкой Роскомнадзором своего ИТ-продукта или сайта? А потом ещё платить штраф, нести ответственность?

В закладки

Думаю, что нет. Поэтому, давайте, начнём разбирать что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов.

Немного теории

Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

1) нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

Физическое лицо: предупреждение или штраф в размере 1 000 - 3 000 рублей;

Должностное лицо: штраф в размере от 5 000 - 10 000 рублей;

Юридическое лицо: штраф в размере 30 000 - 50 000 рублей;

2) Обработка персональных данных без согласия гражданина приведет:

Физическое лицо: штраф в размере 3 000 - 5 000 рублей;

Должностное лицо: штраф в размере от 10 000 - 20 000 рублей;

Юридическое лицо: штраф в размере 15 000 - 75 000 рублей;

3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:

Физическое лицо: штраф в размере 700 - 1 500 рублей;

Должностное лицо: штраф в размере от 3 000 - 6 000 рублей;

Индивидуальный предприниматель: штраф в размере от 5 000 - 10 000 рублей

Юридическое лицо: штраф в размере 15 000 - 30 000 рублей;

Первоначально определимся с основными понятиями и поймём, что же они значат (неформальное объяснение по тексту будет обозначаться “Д”, это от слова description):

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Д: это любая совокупность информации, через которую можно определить определенного человека. К примеру, абстрактная электронная почта, допустим [email protected] - не относится к ПД, однако электронная почта с рабочим адресом допустим, [email protected] с подписью в письме “Главный инженер” - относятся к персональным данным, т.к. мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации “Ромашка”.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Д: это вы, собирающий персональные данные. Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека - и вот вы уже владелец персональных данных в лице оператора.

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Д: это любые действия, которые вы совершаете как оператор.

Самый большой штраф как вы видите - это за сбор ПД гражданина без согласия, поэтому в статье будем говорить в основном об этом.

Определим сразу случаи, когда согласие на обработку ПД не надо собирать в соответствии с законодательством Российской Федерации:

1. Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.

Д: когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.

2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Д: когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные. Сюда подходит и оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент когда собираете ПД - наступает раньше.

3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.

Д: вы обезличиваете данные физического лица и “размываете” их в море других данных, соответственно определить кому что принадлежит - невозможно даже вам.

4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

Д: данный пункт не относится к интернет-проектам, но для понимания ситуации, пример, когда приезжает частная медицинская бригада и оказывает помощь.

5. Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.

Д: если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги - нет необходимости требовать согласия на обработку ПД.

6. Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

7. Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Д: не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством Российской Российской Федерации.

Во всех остальных случаях, при контакте и сборе ПД от физического лица - вы должны получать его согласие и иначе никак - закон есть закон!

Что делать

Теперь разберём как собирать ПД и получать согласие.

Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных. Если у вас юридическое лицо или вы - индивидуальный предприниматель - вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии. Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах - относится не только к работе с потребителями, но и с работниками.

Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.

Самое главное по теме. Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.

При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!

Немного юридического обоснования чекбоксов, а как называет Роскомнадзор - “галочек”:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:

“4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью...”.

Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:

“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.

Вариативно, ещё шаг 4.

Подать уведомление об обработке ПДн в Роскомнадзор.

В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется:

- политика обработки персональных данных;

- приказ об утверждении вышеуказанной политики;

- согласие на обработку персональных данных;

И зачем всё это вообще?

Для чего же это вообще нужно? Зачем нужно беспокоиться о персональных данных и о получении согласия пользователя на их обработку?

Конечно, это прежде всего административная (штрафы, блокировка) и гражданская (причинение вреда) ответственность - такие вещи могут очень серьёзно повлиять на бизнес. Но есть ещё такая штука как частная жизнь граждан, как злоупотребление правом и недобросовестная реклама продавцов. Я на 100% уверен, что каждый из нас не любит, когда на телефон приходит спам, реклама, а посередине ночи будит смс или звонок с просьбой “срочно перевести деньги, а то в тюрьму посадят”. А всё это происходит из-за ненадлежащего исполнения лицами, осуществляющими сбор персональных данных, своих обязательств. И согласие на обработку ПД - всего лишь часть механизма, который должен обеспечивать нашу с вами защиту как граждан и повышать социальную ответственность. К сожалению, такие полезные институты и механизмы могут превратиться в инструмент для давления… И мы как юристы должны эффективно использовать законы и максимально обезопасить бизнес от этого.

Так что, если вы выполнили все условия и шаги из настоящей статьи, то поздравляем - вы не только уменьшили вероятность быть оштрафованным и привлеченным к ответственности (работа с ПД физических лиц лишь небольшая часть правовой политики ИТ-продукта), но и сделали шаг к социально-ориентированному Интернет-пространству, уважающему личные данные пользователей!

Спасибо за внимание!