Согласие на обработку персональных данных

Содержание и текст пользовательского соглашения

В соглашении содержатся следующие пункты (ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ):

  1. Устанавливаются стороны — юридическое или физическое лицо, взаимодействующее с персональными данными пользователей, и «Субъект персональных данных», именуемый далее «Пользователем».
  2. Уточнение, что понимается под персональными данными.
  3. Установление границ ответственности и прав: обязательство Пользователя указывать достоверную информацию о себе, право Сайта устанавливать требования к составу Персональной информации Пользователя и т. д.
  4. Уточнение, что понимается под обработкой персональных данных.
  5. Правовое основание сбора, обработки и хранения персональных данных.
  6. Объяснение, для каких целей осуществляется сбор и обработка персональной информации.
  7. Срок, в течение которого действует согласие и способ его отзыва.
  8. Пункт, подтверждающий полную ознакомленность Пользователя с соглашением (личная подпись).

Далее можете ознакомиться с шаблоном и примером согласия на обработку персональных данных:

  • Скачать форму типового пользовательского соглашения на обработку персональных данных на сайте
  • Скачать образец текста пользовательского соглашения на обработку персональных данных на сайте

Общедоступные персональные данные

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

Как заполнять документ: пошаговая инструкция

Чаще всего родителям заполнение этой бумаг требуется для школы или детского сада.

Прокомментируем примерный вид согласия на обработку персональных данных на ребенка (пример заполнения можно скачать ниже):

  1. Шапка:Согласие законного представителя на обработку персональных данных несовершеннолетнего.
  2. Заполняются графы с контактной информацией о родителе:

    Я, Иванов Иван Иванович проживающий по адресу: г. Москва, ул. Кирова, д.85, кв. 152 паспорт серия: 0000 №000000 выдан (кем и когда) являюсь законным представителем несовершеннолетнего Иванова Сергея Ивановича.

  3. Указывается, на каком основании и кому даётся согласие на обработку данных:

    На основании ст. 64 п. 1 Семейного кодекса РФ настоящим даю свое согласие на обработку в ГОУ СОШ № 000 персональных данных моего несовершеннолетнего ребенка Иванова Сергея Ивановича, относящихся исключительно к перечисленным ниже категориям персональных данных:

    • свидетельства о рождении;
    • медицинской карты;
    • адрес проживания;
    • оценки успеваемости;
    • учебные работы.

    Подробнее о категориях персональных данных читайте в этом материале.

  4. Оговариваются цели и действия оператора:

    Я даю согласие на использование персональных данных моего ребенка исключительно в следующих целях:

    • обеспечение организации учебного процесса;
    • ведение статистики.

    Настоящее разрешение предоставляется на осуществление сотрудниками ГОУ СОШ № 000 следующих действий в отношении персональных данных ребенка: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование (только в указанных выше целях), обезличивание, блокирование (не включает возможность ограничения моего доступа к персональным данным ребенка), уничтожение.

    Подробнее об уничтожении ПД читайте тут.

  5. Уточняется, на какие действия разрешение не даётся:

    Я не даю согласия на какое-либо распространение персональных данных ребенка, в том числе на их передачу каким-либо третьим лицам, включая физические и юридические учреждения, в том числе внешние организации и лица, привлекаемые ГОУ СОШ № 000 для осуществления обработки персональных данных, государственные органы и органы местного самоуправления.

  6. Указывается, каким способом позволяется работать с информацией:

    Я даю согласие на обработку персональных данных ребенка только неавтоматизированным способом и не даю согласия на их обработку автоматизированным способом.

    Обработку персональных параметров ребенка для любых иных целей и любым иным способом, включая распространение и передачу каким-либо третьим лицам, я запрещаю. Она может быть возможна только с моего особого письменного согласия в каждом отдельном случае.

  7. Определяются сроки действия разрешения:

    Данное Согласие действует до достижения целей обработки персональных данных в ГОУ СОШ № 000 или до отзыва данного документа. Согласие может быть отозвано в любой момент по моему письменному заявлению.

  8. Подтверждается, что человек составлял бумагу, не подвергаясь давлению со стороны:

    Я подтверждаю, что, давая настоящее Согласие, я действую по своей воле и в интересах ребенка, законным представителем которого являюсь.

    Дата: 01.09.2018 г. Подпись: ______ (Иванов Иван Иванович).

Подробнее о том, что такое персональные данные и когда нужно согласие клиента на их обработку, читайте тут.

Популярные статьи  Детский ортопедический массажный коврик для ног и стоп от Fosta и Комфорт: как сделать

Согласие на обработку данных, разрешенных к распространению

Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. 

Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.

Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).

В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.

Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.

Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). 

Персональные данные − это прямо или косвенно относящаяся к физическому лицу информация, с помощью которой он может быть идентифицирован. К персональным данным относятся  ФИО, паспортные данные, ИНН, СНИЛС, дата рождения, адрес (регион, город, улица, дом, квартира), образование, место работы, семейное и социальное положение, сведения о здоровье, уровень дохода и т.д., то есть, любые сведения, по которым можно идентифицировать человека. При этом, чтобы считать данные персональными, их необходимо использовать в совокупности, так как только лишь по фамилии или по данным об образовании идентифицировать личность невозможно.  

Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.

Можно ли отозвать согласие?

В случае обнаружения противоправных действий в отношении персональных данных, переданных для обработки оператору, а также при увольнении с работы или иных случаях гражданин вправе отозвать ранее переданное согласие. Чаще всего этот документ хоть и подписывается в сознательном порядке, но сам факт может забыться. Поэтому такие случаи достаточно редки.

При желании оформить отзыв согласия достаточно просто. Это делается путем написания заявления в произвольном виде с требованием:

  • о прекращении любых действий с полученными ранее персональными данными;
  • об уничтожении их.

При этом в заявлении можно сослаться на нормативную базу Федерального закона № 152, в частности п.2 ст.9. Оператор обязан в течение одного месяца после получения отзыва выполнить требования гражданина.

Отметим, что ответственность оператора в части обработки личных сведений закреплена ч.2 ст.13.11 КоАП и нарушением считается:

  • обработка данных в случаях, когда требуется согласие, но оно не получено от субъекта в письменном виде;
  • согласие составлено с нарушением требований с составу сведений, которые должны присутствовать в этом документе.

Данные: виды и способы получения

Действие настоящей Политики распространяется на следующие Данные:

  • Данные, предоставляемые пользователями при предоставлении своих данных на Сайте https://storgi.ru/, а так же при направлении электронных писем необходимых для реализации функциональных возможностей Сайта
  • Данные предоставляемые пользователем юридическим лицом, а именно: отрасль деятельности компании пользователя, размер компании пользователя, местонахождения компании пользователя, ИНН.
  • Обязательные для предоставления Данные помечены специальным образом. Иные Данные предоставляются на усмотрение пользователя.
  • Данные, автоматически передаваемые в процессе использования Сайта с помощью установленного на устройстве пользователя программного обеспечения, в том числе IP-адрес, индивидуальный сетевой номер устройства, электронный серийный номер, данные cookies, информация о браузере, операционной системе, времени доступа, поисковых запросах.
Популярные статьи  Установка кондиционера своими руками - пошаговая инструкция для начинающих

Можно ли работать с персональными данными и не уведомлять об этом Роскомнадзор

Есть ситуации, когда компания или физлицо работает с персональными данными, но уведомлять об этом Роскомнадзор не нужно. Вот несколько примеров:

  • работодатель собирает, изменяет, обезличивает, удаляет и не передает третьим лицам персональные данные своих работников. Например, собирает СНИЛС, ИНН и паспортные данные, чтобы платить за сотрудников взносы;
  • персональные данные нужны для гражданско-правового договора, их не распространяют и не передают третьим лицам. Например, клиент нанимает фотографа для съемки и в договоре оказания услуг пишет свои ФИО и паспортные данные. Так как после съемки фотограф не будет нигде хранить эти данные и не планирует, допустим, отправлять клиенту рекламу, становиться оператором ему не нужно;
  • компания публикует некоторые персональные данные с разрешения человека. К примеру, выкладывает на своем сайте фотографии работников, указывает их должности, ФИО и сведения об образовании;
  • персональные данные нужны, чтобы выдать разовый пропуск на территорию;
  • компания или физлицо собирает данные на бумаге, без средств автоматизации. Например, проводит на улице анонимный опрос о вреде курения.

Просто собирать информацию о клиентах в системе — даже сертифицированной и защищенной — не получится. Вам придется зарегистрироваться в качестве оператора персональных данных, а для этого нужно разработать документацию и отправить уведомление в Роскомнадзор.

Как подать уведомление в Роскомнадзор

Уведомление подает тот, кто отвечает за обработку персональных данных. Его можно отправить обычной почтой или через сайт Роскомнадзора, если есть усиленная квалифицированная электронная подпись или регистрация на госуслугах.

В уведомлении нужно подробно описать:

  1. Кто будет собирать информацию и какую именно: имена, адреса, технические данные, номера телефонов.
  2. Для чего и каким образом собираются персональные данные. Например, «для организации деловых поездок» и «с помощью средств автоматизации». Средства автоматизации — это, к примеру, корпоративный компьютер или программы бухучета. В законе это называется средствами вычислительной техники.
  3. Где будете хранить персональные данные.
  4. Какие меры принимаете, чтобы их обезопасить. Например, вы назначили ответственного за обработку данных, разработали политику и модели угроз безопасности, обучили людей, которые будут работать с персональными данными.

Необходимых мер по закону больше — все не перечислить. Чтобы их соблюсти и ничего не нарушить, как раз и понадобятся юристы или специалисты в сфере ИТ и информационной безопасности.

В уведомлении нужно указать полный адрес с почтовым индексом места, где расположены серверы компаний, на которых хранятся базы персональных данных. Роскомнадзор зарегистрирует уведомление и внесет оператора в реестр в течение 15 дней. Платить за это не нужно.

Согласие на обработку персональных данныхСогласие на обработку персональных данных

Что является личной информацией граждан?

Понятие информации о гражданине, относящейся к персональной, дано в ст.3 Закона 152. Это любые сведения, связанные с субъектом (физическим лицом) прямо или косвенно:

  • ФИО, пол, возраст;
  • семейное положение, а также родственные связи и наличие детей;
  • сведения об образовании и наличии квалификационных навыков;
  • адрес места жительства и прописки;
  • любые фото- и видеоматериалы, используемые оператором и позволяющие точно установить личность гражданина;
  • биографические данные, включая наличие судимости, прохождения службы в армии, предыдущих мест работы и т.д.);
  • сведения о заработке и финансовом положении;
  • иные сведения, позволяющие идентифицировать физическое лицо.

Стоит перечислить и документы, в которых эти сведения содержатся:

  • гражданский паспорт, свидетельства о браке, рождении детей;
  • документы об образовании, повышении квалификации и т.д.;
  • трудовая книжка;
  • военный билет.

Остальные документы, содержащие сведения о гражданах, хранятся у работодателя и необходимы для кадрового учета. Это, например, характеристики, личные карточки, анкеты и т.д.

В ряде ситуаций требуется предоставление справки о доходах, полученных в определенный временной период. Гражданину следует знать, что без его согласия эти сведения не подлежат обработке.

Когда чаще всего требуется согласие

Учебные, медицинские, государственные и другие учреждения достаточно часто просят личную информацию с разрешением на ее обработку. Наиболее часто она запрашивается:

  • при трудоустройстве;
  • при оформлении ребенка в школьное или дошкольное учреждение;
  • при составлении договора финансовой или страховой организацией.

Разрешение использовать информацию обязан получить каждый оператор. Но закон предусматривает исключения при определенных обстоятельствах:

  • При сборе информации федеральными службами;
  • Для оказания государственных услуг;
  • Для судебных разбирательств;
  • Для защиты прав гражданина, когда нет возможности получить его согласия;
  • Для защиты прав третьих лиц;
  • Журналистам разрешено использовать некоторые данные без согласия гражданина;
  • Если на законном основании открытые данные стали доступны, их также можно использовать без разрешения.

Во многих других ситуациях разрешение − необходимое условие для использования информации. При этом каждый гражданин, подтверждая такой документ, должен иметь представление о том, в каких целях будет использоваться информация. Например, если после покупки магазин просит вашего разрешения, чтобы оповещать об акциях, это четко должно быть сформулировано.

В некоторых случаях брать персональные данные у граждан обязывает закон. К примеру, устраиваясь на работу, сотруднику придется указать персональные данные. Ведь трудовой договор обязывает компанию знать, где прописан сотрудник, какое имеет образование, как его зовут. Хотя согласия здесь не нужно, ведь компания не собирается использовать эти данные. Однако в том случае, если подразумевается перевод заработной платы на банковскую карточку, компании придется предоставить ваши данные финансовой организации. Естественно, для этого понадобится ваше разрешение.

Кто имеет право обрабатывать сведения о лице

Согласие на обработку персональных данныхЧеловек или организация, занимающаяся сбором и обработкой личной информации, называется оператором. К таким лицам выдвигаются определенные требования:

  • Оператор должен позаботиться о том, чтобы получаемые данные были в полной сохранности;
  • Контроль над соблюдением закона о персональных данных между работником и компанией;
  • Следить за правильностью предоставления разрешения и отмены;
  • Использовать полученные данные только по закону;
  • Категорически запрещается без разрешения копировать информацию на любые носители, делать ее видео и фото;
  • При занесении информации в компьютер оператор должен защитить ее от утечки.
Популярные статьи  Сульфатостойкий цемент: особенности, состав клинкера и применение для бетона и свай

Когда информация обрабатывается сотрудником компании, то правила его работы прописаны в должностных инструкциях. Безусловно, компания требует соблюдения конфиденциальности получаемой информации. При этом оператор должен любым удобным способом публично ознакомить всех сотрудников компании с правилами предоставления и обработки личных данных.

Общие правила

Следуя им, владелец сайта или его представитель максимально обезопасит себя от штрафных санкций Роскомнадзора.

  • При составлении Согласия желательно его сверять со статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ. В данной статье подробно описано, какие реквизиты должны присутствовать в документе.
  • Необходимо дополнительно указать права и обязанности сторон в том случае, если они не прописаны в стандартном бланке.
  • Требуется также указать, каким образом происходит сбор и обратка информации: автоматическим, ручным или смешанным.
  • Дополнительно обозначить, что запрашивающая сторона обязуется не передавать полученные персональные данные третьим лицам, а также в каких случаях допускается передача ПД.
  • В документе необходимо указать e-mail, через который Пользователь сможет связаться с Компанией, если он пожелает:
    1. отменить действие согласия;
    2. если пожелает изменить или удалить свои данные.

Что такое согласие на обработку персональных данных?

Это документ о том, что субъект персональных данных согласен с тем, что заинтересованная сторона вправе получать, хранить и использовать сведения о нем. При этом ч.1 ст.9 Закона 152-ФЗ не обязывает давать его письменно. Закон гласит, что соглашение может быть получено в любой форме, но быть сознательным и конкретным.

Однако, оператор обработки персональных данных несет ответственность за свои действия и при возникновении спорной ситуации сможет доказать свою правоту только при наличии письменного документа. Форма его является условной, единого бланка законодательно не установлено и каждый из операторов может сам ее разрабатывать для своих условий.

Согласие на обработку персональных данных гарантирует их защиту от неправомерных действий, применение для определенных целей и в рамках перечисленных задач.

Оформление согласия

Требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, разработаны Роскомнадзором, но не утверждены. Пока шаблон согласия не утвержден, приведем образец с учетом этих требований. Об изменениях будем держать вас в курсе.

Роскомнадзор отметил, что указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку данных, согласия на их обработку в соответствии с требованиями ст. 9 – 11 Закона № 152-ФЗ.

Подчеркнем, что в согласии должен быть отражен конкретный срок его действия (определенный период времени или дата окончания срока действия). При этом не допускается ни указание об автоматической пролонгации срока действия согласия, ни определение срока его действия путем установления бессрочного статуса или указания на событие, наступление которого возможно в долгосрочной перспективе.

* * *

Итак, если вы размещаете информацию о работниках в открытом доступе и еще не получили от них согласие, срочно его запросите. Ведь требования к защите персональных данных становятся жестче, поправки в ст. 13.11 «Нарушение законодательства РФ в области персональных данных» КоАП РФ вступят в силу 27 марта 2021 года (Федеральный закон от 24.02.2021 № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»).

Так, обработка персональных данных без письменного согласия повлечет за собой уже двойные штрафы:

  • 6 000 – 10 000 руб. для граждан;

  • 20 000 – 40 000 руб. для должностных лиц;

  • 30 000 – 150 000 руб. для организаций.

Если нарушение повторится, штраф составит:

  • 10 000 – 20 000 руб. для граждан;

  • 40 000 – 100 000 руб. для должностных лиц;

  • 300 000 – 500 000 руб. для организаций.

Кто такие операторы ПД и что они делают

В статье 3 закона № 152-ФЗ сказано, что оператором ПД является лицо, которое организует и осуществляет обработку персональных данных. Все работодатели, как юрлица, так и ИП, являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус, практически не ограничен. Это любое лицо, которому человек сделал заявление и согласие на ОПД, то есть доверил личную информацию о себе оператору и разрешил ее использовать для определенных целей.

Отдельное внимание следует уделить понятию обработки личной информации. О ней везде говорят, но никто толком не знает, что это такое

Тогда как часть 3 все той же статьи 3 закона № 152-ФЗ регламентирует это понятие как любое действие (или их совокупность), совершаемое с личной информацией. Под действиями законодатели понимают:

  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передачу (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление или уничтожение данных.

Все операции проходят или в бумажном ручном режиме, или с использованием средств автоматизации, в том числе в режиме онлайн. На все эти действия оператор обязан получить от владельца одобрение: например, заполненный бланк согласия.

Деятельность работодателей в качестве операторов регулирует статья 86 Трудового кодекса РФ.

Оцените статью
Денис Серебряков
Согласие на обработку персональных данных
Шалевый воротник спицами: мастер-класс с фото и видео