Согласие на обработку персональных данных

Содержание

Согласие в письменной форме гражданина РФ на обработку его персональных данных должно включать:

  • фамилию, имя, отчество субъекта;
  • адрес регистрации субъекта;
  • номер основного документа удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • цель обработки;
  • перечень личных данных;
  • срок, в течение которого действует документ;
  • перечень действий с персональными сведениями, на совершение которых дается согласие;
  • способ отзыва документа (если иное не установлено законом);
  • дата заполнения согласия;
  • подпись субъекта.

Важно! На основании ч. 2 ст.9 152-ФЗ работник имеет право отозвать свое согласие.. Такое заявление пишется в свободной форме

В нем необходимо потребовать прекратить сбор, обработку, использование и хранение сведений и уничтожить всю информацию о подчиненном. Можно сослаться на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22. Такое заявление должно быть удовлетворено не позже, чем через месяц после подачи. Правда в этом случае работодатель имеет право прекратить действие трудового договора с этим работником

Такое заявление пишется в свободной форме. В нем необходимо потребовать прекратить сбор, обработку, использование и хранение сведений и уничтожить всю информацию о подчиненном. Можно сослаться на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22. Такое заявление должно быть удовлетворено не позже, чем через месяц после подачи. Правда в этом случае работодатель имеет право прекратить действие трудового договора с этим работником.

Для чего необходимо согласие на обработку данных

Закон о персональных данных с 1 июля 2017 года, ужесточивший наказание за их разглашение, устанавливает, что каждый работодатель является оператором по их обработке. Поэтому он должен осуществлять специальные мероприятия по их защите.

С этой целью он разрабатывает и использует Положение о защите персональных данных работников. Обязательным приложением к нему должно идти согласие работника на использование сведений о нем.

Этот документ составляется сразу же, как только осуществляется прием на работу сотрудника в компанию. Так как при трудоустройстве он в организацию предоставляет значительный объем информации о себе, который не должен подлежать разглашению.

Однако, работа компании предполагает взаимодействия с широким кругом лиц, с которыми отношения устанавливаются через сотрудников компании. Поэтому некоторую информацию фирме приходится разглашать, например, данные работника, указанные в доверенности и т.д..

Чтобы это она могла делать, ответственные работники должны при каждом подобном случае у соответствующих сотрудников брать согласие на разглашение. Причем в согласии обязательно указывается – какие именно данные подлежат передаче. Человек, работающий на предприятии, имеет право отменить свое согласие в любое время.

Очень часто зарплата сотрудников перечисляется на их карт-счета, которые открываются в банках. Для этого обязательно необходимо взять у персонала компании соответствующие согласия.

Внимание! В любом случае согласие у работника предприятия должно получаться в добровольном порядке, без принуждения человека к этому.

Вся информация, полученная компанией о работнике, может использоваться с его разрешения только в хозяйственных целях, а именно:

  • Повышение образования работника;
  • Для целей создания для работника безопасных условий работы;
  • Для обеспечения учета и контроля результатов трудовой деятельности работника.

Администрация должна в обязательном порядке объяснить своему работнику каким образом она собирается применять предоставленную им информацию, как осуществляется хранение и защита личных данных сотрудников.

Также субъекты должны знать, что если запрос о предоставлении личных данных исходит от государственных органов по запросам, то в этом случае допускается их разглашение, и получать на это согласие работника не нужно.

Если работник откажется предоставить согласие на использование его личных данных, администрация сможет осуществить их обработку в рамках выполнения своих обязанностей по трудовому договору с работником (например, при осуществлении обязательного страхования и т. д.).

Внимание! Однако, существуют такие последствия отказа работника от передачи согласия, когда он не сможет выполнять своих трудовых обязанностей. Например, на предприятии существует контрольно-пропускной режим

Без согласия сотрудника на разглашение его данных, руководство не сможет оформить ему пропуск, а поэтому он не сможет ходить на работу.

Согласие на работу с личными сведениями

По дефолту никто не имеет право разглашать чужие данные. Возможно это только при наличии согласия в письменной форме. Документ дает право на обработку различных сведений: ФИО, адрес, дата рождения. Запрашивать его должны операторы. Статус операторов имеют все лица, которые получают информацию.

Что собой представляют ПД? Определение их содержится в ФЗ №152 от 27 июля 2006 года. Этот же закон устанавливает правила обращения с этими данными. Персональные сведения, согласно ФЗ, представляют собой личную информацию, прямо или косвенно относящуюся к лицу. Это данные, по которым можно однозначно идентифицировать личность. Как правило, это следующие сведения:

  • ФИО.
  • Адрес.
  • Обязательства.
  • Образование.
  • Специальность.

Подобные сведения принимаются и обрабатываются в медицинских и финансовых учреждениях. Они запрашиваются в магазинах при оформлении бонусных карт. Там же запрашивают согласие на обработку.

К СВЕДЕНИЮ! К ПД относится такая информация, как национальность, состояние здоровья, исповедуемая религия.

Особенности составления

В статье 87 ТК указано, что фирма может сама установить порядок хранения сведений, переданных сотрудниками. Однако операторы не должны нарушать требования, утвержденные законами. Если организация каким-либо образом взаимодействует с персональными данными, ей будет нужно:

  1. Утвердить внутренний акт «Положение о персональных сведениях».
  2. Установить форму согласия на обработку информации, которая будет использоваться в компании.

Отсутствие положения о персональных сведениях – это нарушение, предполагающее наложение штрафа.

Требования к согласию содержатся в части 1 статьи 9 ФЗ №152. Документ должен быть содержательным. Исключены разночтения и двусмысленности. Согласие должно быть получено именно в письменной форме. Только она будет иметь юридическое значение. Обязательность наличия именно письменной формы подтверждается в статье 13.11 КоАП.

Перечень терминов

Автоматизированная обработка персональных данных

Обработка персональных данных с помощью средств вычислительной техники.

Биометрические персональные данные

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

Блокирование персональных данных

Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Безопасность персональных данных

Состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Информационная система персональных данных

Совокупность баз персональных данных, информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без таковых.

Конфиденциальность персональных данных

Обязательное для соблюдения Обществом или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Обработка персональных данных

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общедоступные персональные данные

Персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Обезличивание персональных данных

Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Оператор

Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Предоставление персональных данных

Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Персональные данные

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Специальные категории персональных данных

Персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.

Уничтожение персональных данных

Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Образец заполнения согласия на обработку персональных данных

Сверху в правой части документа указывается Ф.И.О. человека, на чье имя составляется разрешение, его должность, название компании.

После этого посередине листа пишется заголовок документа: «Согласие на обработку моих персональных данных».

Затем в заявлении нужно указать личные данные сотрудника, его домашний адрес, полные данные паспорта или другого имеющегося документа, подтверждающего личность — серию, номер, дату и место выдачи. Обязательно необходимо сделать ссылку на федеральный закон или другие нормативные акты. После чего вписывается название компании, в которую подается данное разрешение, ее полный адрес местонахождения.

Затем нужно указать для каких целей будет производиться разглашение информации, и перечислить все те персональные сведения, для использования которых предоставляется согласие — это могут быть личные данные, сведения о зарплате, стаже, поощрениях и взысканиях и т.д . Также нужно указать перечень действий, какими методами будет производиться обработка. Если данные планируется предоставлять в несколько мест, то на каждое учреждение лучше всего составить отдельное согласие.

Ниже проставляется временной период, в течение которого действителен данный документ. Затем в текст включается информация о том, каким именно способом можно произвести отзыв разрешения. Не будет лишним добавить сведения о том, что работнику было разъяснено о его правах в сфере защиты персональных данных.

После этого сотрудник указывает свою должность, проставляет личную подпись, расшифровывает ее, и дату заполнения.

Как отправить данные?

Документ необходимо согласовать с Роскомнадзором. В соответствии с ч. 3 ст. 22 Федерального закона № 152-ФЗ, компании, являющиеся операторами персональных данных, обязаны подать в Роскомнадзор специальное уведомление с запросом на регистрацию. Это можно сделать на сайте Роскомнадзора, после чего нужно отправить уведомление в информационную систему уполномоченного органа по защите прав субъектов персональных данных.

Помимо этого, заполняющий Согласие обязан отправить в территориальный орган Роскомнадзора, к которому приписана ваша компания по месту регистрации, распечатанную и заверенную форму соглашения. После прохождения этого этапа юридический вопрос о легитимности сбора и обработки пользовательской информации будет снят.

В связи с тем, что наказания за правонарушение ужесточились, а также в связи с регулярными проверками со стороны Роскомнадзора и иных органов, грамотно заполнить соглашение и отправить его в вышестоящие органы необходимо всем операторам. Это довольно несложная процедура, к тому же, заполнив соглашение один раз, все юридические вопросы по отношению к нему будут сняты. В таком случае все три стороны — государство, Компания и Пользователь — будут удовлетворены и смогут мирно сосуществовать далее.

Пошаговая инструкция

Как сделать для компаний?

  1. Заполняющий Согласие указывает запрашивающую сторону и Пользователя, которому адресован документ.
  2. Обозначает цели сбора и обработки информации со ссылкой на ФЗ № 152-ФЗ «О персональных данных» от 27.07.2006 года. Стандартные цели сбора и обработки для корпоративных сайтов:
    • Осуществление клиентской поддержки.
    • Предоставление Пользователю информации о маркетинговых событиях Компании.
    • Проведение аудита и прочих внутренних исследований с целью повышения качества предоставляемых услуг.
  3. Далее заполняющий Согласие уточняет, что имеется в виду под персональными данными. Например, если сайт запрашивает ФИО и контактный телефон Пользователя, указываются именно эти пункты.
  4. Пишет, на каких носителях (электронных или физических) хранятся данные и какой вид обработки используется — автоматический, ручной или смешанный.
  5. Важный пункт — обязательство не передавать информацию третьим лицам, за исключением определенных случаев. Практически всегда исключениями в данном пункте являются:
    • По запросам уполномоченных органов государственной власти РФ только по основаниям и в порядке, установленным законодательством РФ.
    • Стратегическим партнерам, которые работают с Компанией для предоставления продуктов и услуг.

Как разработчику позаботиться о безопасности посетителей?

Заключить соглашение необходимо с разработчиком сайта и/или с агентством, которое занимается его технической поддержкой.

В Согласии необходимо дополнительно прописать требование о защите персональных данных, а также какие персональные данные они могут обрабатывать, в каких целях и какие действия с ними могут выполнять.

Необходимые локальные документы и журналы

К журналам учета и локальным документам относятся:

  1. список сведений характера, которые не подлежат разглашению;
  2. инструкция администратора информационной безопасности;
  3. приказ о назначении лиц, ответственных за организацию и перечне мер (для организаций).
  4. перечень, подлежащих защите в информационных системах;
  5. приказ об утверждении мест хранения ПДн;
  6. перечень помещений, в которых ведется обработка ПДн;
  7. инструкция пользователей информационной системы ПДн;
  8. приказ о назначении комиссии их по уничтожению;
  9. проект системы защиты информационной системы ПДн;
  10. порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;
  11. план внутренних проверок режима защиты ПДн;
  12. приказ о вводе в эксплуатацию информационной системы и заключение о вводе в эксплуатацию информационной системы;
  13. журнал учета носителей информации информационной системы ПДн;
  14. журнал учета мероприятий по контролю;
  15. план проведения внутренних проверок состояния защиты;
  16. журнал учета обращений граждан-субъектов ПДн о выполнении их законных прав;
  17. правила обработки персональных данных без использования средств автоматизации. О регулировании здесь;
  18. положение о разграничении прав доступа к обрабатываемым ПДн;
  19. акт классификации информационной системы;
  20. инструкция по проведения антивирусного контроля в информационной системе ПДн;
  21. инструкция по организации парольной защиты;
  22. журнал периодического тестирования средств защиты информации;
  23. форма акта уничтожения документов, содержащих ПДн;
  24. журнал учета средств защиты информации;
  25. журнал проведения инструктажа по информационной безопасности;
  26. инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций;
  27. приказ о перечне лиц, допущенных к обработке;
  28. положение о защите;
  29. соглашение о неразглашении;
  30. план мероприятий по обеспечению безопасности ПДн;
  31. модель угроз безопасности в информационной системе;
  32. форма ответа на запрос субъекта ПДн.

Можно ли отменить или аннулировать соглашение

Со временем у гражданина может возникнуть ситуация, при которой он против, чтобы производилось использование ранее им переданных данных. При этом нужно обязательно выяснить, производил ли он подписание письменного соглашения на их обработку.

Если нет — то он должен обращаться в суд, поскольку был нарушен закон о неприкосновенности личной жизни. Если же согласие на обработку данных он давал, то нужно произвести его отзыв.

Внимание! Заявление на отзыв нужно составлять в двух копиях. Одна остается у оператора, у которого отзывается разрешение, а на второй нужно попросить поставить отметку о получении запроса

По закону, в течение оговоренного срока получатель заявления должен письменно ответить на него.

Если заявление на отзыв отправляется по почте, то делать это желательно заказным письмом как по фактическому, так и по юридическому адресам.

Производить отзыв рекомендуется в следующих случаях:

  • После выплаты кредита банку;
  • После пользования услугами организаций, в которых для их получения необходимо было сообщать сведения о себе;
  • При переводе ребенка в другую школу;
  • При смене места работы;
  • При завершении лечения в медицинских центрах.

Важно! После получения документа на отзыв, оператор должен перестать использовать личные данные гражданина, и при возможности произвести их уничтожение.

Общие правила

Следуя им, владелец сайта или его представитель максимально обезопасит себя от штрафных санкций Роскомнадзора.

  • При составлении Согласия желательно его сверять со статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ. В данной статье подробно описано, какие реквизиты должны присутствовать в документе.
  • Необходимо дополнительно указать права и обязанности сторон в том случае, если они не прописаны в стандартном бланке.
  • Требуется также указать, каким образом происходит сбор и обратка информации: автоматическим, ручным или смешанным.
  • Дополнительно обозначить, что запрашивающая сторона обязуется не передавать полученные персональные данные третьим лицам, а также в каких случаях допускается передача ПД.
  • В документе необходимо указать e-mail, через который Пользователь сможет связаться с Компанией, если он пожелает:
    1. отменить действие согласия;
    2. если пожелает изменить или удалить свои данные.

Ответственность за разглашение персональных данных

За разглашение персональных данных 137 ук рф устанавливает несколько видов наказаний.

Сбор и распространение данных о частной жизни без согласия на это лица может наказываться:

  • Штраф до 200 тыс. р.;
  • Зарплата или другой доход за 18 месяцев;
  • Обязательные работы до 360 часов;
  • Исправительные работы до 1 года;
  • Принудительные работы до 2 лет с лишением возможности занимать конкретные должности на срок до 3 лет;
  • Арест до 4 месяцев;
  • Лишение свободы до 2 лет с лишением возможности занимать должность на срок до 3 лет.

Если нарушение было произведено с использованием служебного положения:

  • Штраф от 100 тыс. до 300 тыс. р.;
  • Зарплата или другой доход от 1 до 2 лет;
  • Лишение права находиться на должности в период от 2 до 5 лет;
  • Принудительные работы до 4 лет с лишением возможности занимать конкретные должности на период до 5 лет;
  • Арест до 6 месяцев;
  • Лишение свободы до 4 лет с лишением возможности занимать должность на период до 5 лет.

Особенности для персон

Предоставление разрешения на обработку личной информации требуется при трудоустройстве на новое место работы, при представлении интересов несовершеннолетних детей.

Работников

При трудоустройстве потенциальный сотрудник предоставляет руководству предприятия документы, содержащие информацию о его личности:

  • паспорт;
  • трудовую книжку;
  • СНИЛС;
  • диплом об окончании учебного заведения;
  • медицинскую книжку и т. п.

Работа с предоставленными персональными данными допускается при наличии письменного согласия сотрудника (статья 65 ТК РФ). Разрешение лица на работу с ПДн должно включать в себя информирование субъекта о конкретных сведениях из числа личных, которые будут обрабатываться, а также о целях их обработки и использования.

Полученная нанимателем информация, касающаяся личности работника, может быть использована исключительно в служебных целях.

О том, что относится к персональным данным работника, каков порядок защиты и хранения информации в организации, читайте тут.

Детей

Информированное согласие на работу с личными данными несовершеннолетних требуется при обращении в лечебные учреждения, военкоматы, для оформления ребенка в образовательные учреждения и пр.

Целью получения разрешения является необходимость систематизации сведений о несовершеннолетних.

Персональная информация о несовершеннолетнем предполагает возможность его идентификации и включает в себя сведения о его:

  • Ф.И.О.;
  • дате и месте рождения;
  • адресе проживания;
  • документе, удостоверяющем личность;
  • информацию об образовании и проч.

Роскомнадзор относит к персональным данным также фотографии субъекта, поскольку они позволяют идентифицировать его.

За несовершеннолетних согласие на работу с ПДн подписывают их родители или иные законные представители. В документе должны быть указаны следующие сведения:

  1. Ф.И.О. законного представителя.
  2. Ф.И.О., дату рождения несовершеннолетнего.
  3. Цели сбора сведений, например:
    • медицинские обследования;
    • оказание медицинских услуг;
    • предоставление образовательных услуг;
    • постановку на воинский учет и пр.
  4. Перечисление документов, на обработку которых дается согласие родителем или законным представителем несовершеннолетнего.

Скачать форму согласия родителя на обработку персональных данных несовершеннолетнегоСкачать образец заполнения шаблона согласия родителя на обработку персональных данных несовершеннолетнегоМы не рекомендуем самостоятельно оформлять документы. Экономьте время – обращайтесь к нашим юристам по телефонам:

Дача разрешения производится в добровольном порядке, однако при отказе от сообщения личных сведений несовершеннолетнему в ряде случаев не сможет быть предоставлен полный набор услуг, на которые он имел бы право при наличии такого согласия (к примеру, при отсутствии согласия на работу с персональными сведениями несовершеннолетний не получает доступа к электронному дневнику).

Родители или законные представители несовершеннолетних имеют право в любое время потребовать у оператора информацию о способах работы с личными сведениями, их защите и хранении.

Родители или законные представители ребенка могут в любой момент отозвать данное ранее согласие на работу с персональными сведениями о несовершеннолетнем.

О том, как заполнить согласие на обработку персональных данных несовершеннолетнего и зачем оно нужно, читайте здесь.

Как отозвать?

Если у лица возникает необходимость в отзыве ранее данного разрешения на работу с его персональными сведениями, ему достаточно написать заявление в произвольной форме, в котором потребовать прекратить собирать, хранить, использовать и обрабатывать ПДн. Оператор обязан выполнить требование не позднее месячного срока с момента получения заявления.

Прежде чем приступить к обработке личной информации, предоставленной гражданином, хозяйствующему субъекту необходимо получить от него письменное разрешение. Работа со сведениями при отсутствии такого разрешения грозит оператору привлечением к административной ответственности.

Поделитесь в социальных сетях:vKontakteFacebookTwitter
Напишите комментарий