Согласие на обработку персональных данных зачем это нужно
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.
6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
9. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
(часть 9 введена Федеральным законом от 30.12.2020 N 519-ФЗ)
5 базовых принципов закона о персональных данных, о которых нужно знать
Деятельность по обработке персональных данных регулирует №152-ФЗ «О персональных данных». Он касается всех без исключения организаций, поэтому важно иметь представление об основных требованиях, которые он устанавливает.
1. Закон распространяется на все организации — и коммерческие, и бюджетные
Под персональными данными, как следует из ст. 3 №152- ФЗ, подразумевается любая информация, имеющая отношение к физлицу: информация, указанная в паспорте (ФИО, дата рождения, адрес регистрации, семейное положение и др.), а также сведения об образовании, занимаемой должности, зарплате и даже росте, весе, цвете глаз и др.
Закон распространяется абсолютно на все организации. Поскольку в каждой организации есть работники, то их данные так или иначе используются при заключении трудового договора, начислении зарплаты и в других случаях. Персональные данные вносятся в личные дела сотрудников, которые хранятся у кадровиков.
Под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных. Распространение персональных данных — это действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2. Компании могут использовать данные различных категорий субъектов
С каждой из категорий субъектов персональных данных компанию связывает определенный тип правоотношений. Некоторые компании обрабатывают персональные данные не только работников, но и клиентов, например, производственные компании. Так, компании из сферы услуг (автошколы, салоны красоты, парикмахерские, туристические агентства и др.) взаимодействуют с клиентами-физлицами, обрабатывая их персональные данные с целью предоставления, например, дисконтных карт. Интернет-магазины собирают данные физлиц, чтобы осуществлять доставку товаров.
Существует определенная категория лиц, которая не является ни клиентами, ни работниками компании, однако она передает свои данные в организацию, где они хранятся и обрабатываются. К такой категории относятся соискатели, принимающие участие в конкурсе на вакансию и передающие потенциальному работодателю свои персональные данные в виде резюме или анкеты на сайте компании.
Сотрудники могут работать в организации по договору подряда. Оформляя человека по такому договору, компания может не запрашивать у него сведений о семейном положении или ограничений по здоровью. В случае с работником, оформленным по трудовому договору, компания должна это делать.
У товариществ собственников жилья нет ни работников, ни клиентов. Это сообщество, в котором состоят члены. Существуют и другие виды организаций с подобной структурой и без трудовых или гражданских правоотношений: общественные организации, политические партии, религиозные организации и др.
3. Обработке подлежат персональные данные, отвечающие целям их обработки
Важно понимать, какие данные каких субъектов используются, чтобы устанавливать цель обработки персональных данных.
Организациям необходимо иметь представление не только о том, данные каких категорий субъектов они обрабатывают, но и с какой целью они это делают, исходя из специфики деятельности. Например, у интернет-магазина и автошколы цель обработки данных может заключаться в выполнении условий договора с клиентами.
Проверьте, насколько ваша организация готова к проверке Роскомнадзора
4. Необходимо знать, какие именно данные нужно использовать
Закон требует от компаний понимания, какие именно персональные данные в отношении каждой категории субъектов они обрабатывают.
Очевидно, что если в случае с работником необходимо знать об ограничениях по здоровью для начисления социальных выплат, имеются ли у него дети до 18 лет, чтобы предоставить ему налоговый вычет, то в отношении клиента интернет-магазина, который заказал товар, эти сведения не нужны. В этом случае достаточно знать имя, адрес и телефон покупателя.
Закон запрещает обрабатывать персональные данные, которые не требуются для достижения цели их обработки.
Достигнув цели обработки данных, компания должна прекратить обработку этих данных. Так, если интернет-магазин осуществил доставку товара клиенту, то в дальнейшем ему уже не потребуются его номер мобильного телефона и адрес доставки.
5. Необходимо понимать, когда требуется согласие на обработку данных
Для каждой категории субъектов (работников, клиентов, соискателей и др.) определяется цель обработки данных. Порой эта цель заключается в выполнении требований определенных законов. В этом случае организация может абсолютно спокойно собирать данные соответствующей категории и обрабатывать их. Так, в отношении работников организации выполняют трудовое законодательство, многие кредитные и финансовые организации обязаны на своем официальном сайте публиковать сведения об аффилированных лицах, ОАО должно размещать у себя на сайте информацию о структуре акционеров.
Если цель обработки данных какой-то категории субъектов установлена компанией самостоятельно, исходя из специфики деятельности, то она должна взять согласие об обработке персональных данных у субъекта данных (ст. 9 №152- ФЗ). Например, если компания принимает на работу сотрудника по трудовому договору, то по трудовому законодательству она должна знать, как его зовут, где он прописан, какое у него образование. И эти сведения компания может получать у человека без его согласия. Если же компания собралась выплачивать сотруднику зарплату на банковскую карту и планирует передавать сведения о нем в банк, то она обязана взять на это согласие, так как прямого требования передавать персональные данные в банк для выплаты заработной платы в законе нет.
Если интернет-магазин после доставки товара планирует рассылать клиентам SMS-сообщения о скидках, то он должен заранее сформулировать эту цель и взять с клиентов согласие на использование данных именно с этой целью. В ч.1 ст.15 №152- ФЗ есть упоминание о том, что рекламные контакты с клиентами совершаются только с их согласия.
Закон отдельно выделяет требования для данных, неправомерные действия с которыми могут нанести вред субъекту персональных данных. Речь идет о специальной категории персональных данных (ст. 10 №152- ФЗ) и биометрических персональных данных (ст. 11 №152-ФЗ).
К биометрическим данным относятся сведения, которые отражают физиологические особенности человека и необходимы для установления его личности (например, если в компании используются системы контроля доступа). К специальной категории данных относятся сведения о национальной, расовой принадлежности, философских, политических и религиозных убеждениях, состоянии здоровья и интимной жизни. Эти данные выделяются в отдельную категорию, так как закон прямо запрещает их использовать, за исключением ряда случаев (один из них — если субъект дал на то свое письменное согласие).
Отдельно закон говорит о передаче данных за границу (ст. 12 №152- ФЗ).
С учетом всех базовых принципов, описанных выше, требования к обработке данных можно разделить на три больших блока (ст. 19 №152- ФЗ):
1. Правовые меры
Организация решает, как будет соблюдать законодательство, оформляет решение в виде внутренних документов, например, «Политики в отношении обработки персональных данных», издает приказ, в котором назначает ответственного за организацию процесса обработки персональных данных и т д.
2. Организационные меры
Эти меры связаны с деятельностью компании. Закон требует, чтобы «Политика в отношении обработки персональных данных» была доступна для всех категорий субъектов персональных данных. Ее рекомендуется размещать на информационном стенде, где с ней смогут ознакомиться не только работники, но и клиенты.
По закону любой субъект персональных данных может написать в компанию письмо с требованием уточнить, обрабатывает ли она его данные. Если обрабатывает, то какие данные, с какой целью и на каком основании. Также любой субъект имеет право потребовать прекратить обработку своих персональных данных.
Рассмотрение этого письма и подготовка ответа на него — деятельность, относящаяся к организационным мерам. О том, как отвечать на такие письма, уточняется в ст. 20-21 №152-ФЗ.
3. Технические меры
Связаны с использованием средств защиты информации. Это могут быть как примитивные средства — сургучовые печати, решетки на окнах, так и высокотехнологичные способы — антивирусы, межсетевые экраны, средства защиты от несанкционированного доступа, средства криптографической защиты и др.
При обработке персональных данных организации следует:
Существенное дополнение: в рамках текущего законодательства ни у одного контролирующего органа нет полномочий на то, чтобы контролировать выполнение технических мер у коммерческих частных организаций. Роскомнадзор может контролировать только выполнение правовых и организационных мер у частных компаний. Поэтому о четвертом шаге можно говорить формально: закон предоставляет возможность коммерческим компаниям большую свободу в выборе технических мер. Что касается государственных организаций, то для них требования по использованию средств защиты информации четко определены и подробно описаны.
Игорь Луканин, руководитель продукта «Контур.Персональные данные»
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Документ, получивший название «Согласие на обработку персональных данных», введён в оборот в 2007 г. с принятием закона № 152-ФЗ «О персональных данных». Требования к содержащейся в нём информации и порядок её распространения уточнены в законе № 519-ФЗ и оформлены приказом Роскомнадзора № 18, вступившим в силу в сентябре 2021 г. Новый документ широко применяется различными организациями, включая государственные учреждения и коммерческие структуры.
Что такое согласие на обработку персональных данных
Под таким согласием понимается письменное разрешение субъекта персональных данных, дающее право заинтересованной организации получать, собирать, обрабатывать, использовать и хранить законным способом личные сведения о себе. При этом получатель принимает на себя обязательство, что поступившая в его распоряжение информация будет использоваться только в определённых законом целях и защищена от посягательств третьей стороны.
Что подразумевается под термином «персональные данные» (ПД)
Данное понятие регламентируется в законодательном порядке и подразумевает информацию, по которой прямо или косвенно можно идентифицировать личность, установить её индивидуальные особенности, семейный статус, положение в обществе и многое другое.
Конкретного перечня ПД не существует, так как только по фамилии, имени и отчеству однозначно идентифицировать человека не получится: на просторах нашей Родины одних ивановых иванов ивановичей – многие тысячи. Если же Ф.И.О. сочетаются с другой информацией: датой/местом рождения, адресом, номером телефона, семейным положением, отношением к религии и т.д.), то весь этот набор переходит в категорию персональных данных. Какая именно комбинация может считаться ПД – вопрос дискуссионный.
Какие данные могут подвергаться обработке
Оператор имеет право обрабатывать (т.е. собирать, предавать, записывать, хранить) только те персональные данные, на которые получено письменное согласие субъекта ПД. Если раньше ПД, размещённые человеком в открытом доступе, разрешалось использовать без предварительного согласия на то их обладателя, то с принятием закона № 152-ФЗ подобные «вольности» стали недопустимы: теперь оператор должен доказать правомерность их обработки. Иначе можно «налететь» на солидный штраф.
О случаях, когда обработка допустима без согласия держателя ПД, будет сказано ниже.
Что является личной информацией граждан
Понятия «личные» и «персональные» данные законодательно не разграничены, из-за чего их нередко отождествляют. Многие юристы рассматривают личную информацию граждан как общедоступные сведения, которые не характеризуют личность человека всесторонне (например, не раскрывают состояние здоровья, общественный статус и т.д.). Личные данные можно встретить в открытых источниках (в соцсетях, интернет-справочниках). Законом они не охраняются.
В каких документах присутствуют персональные данные
В распоряжении работодателя, как правило, находится общепринятый пакет документов, содержащих сведения о своих работниках. К таким документам относятся:
В совокупности эти сведения являются ПД. Работодатель несёт административную, гражданскую и уголовную ответственность за их неправомерное распространение или утечку.
Способы сбора согласий на обработку персональных данных
Под сбором данных понимается их передача субъектом оператору. Сбор согласий производится как в письменной, так и в электронной форме. Среди популярных способов:
Заполнение печатной анкеты
Анкета заполняется физическим лицом от руки с указанием согласия на обработку ПД.
Подтверждение согласия через СМС-код или звонок
поставщик услуги со слов клиента вносит его личные данные в свою электронную базу и просит дать согласие на обработку полученных сведений посредством СМС-кода или звонка. Код отправляется системой автоматически. При этом клиенту предлагается ознакомиться с программой лояльности, ссылка на которую прикрепляется к СМС.
Чекбокс с галочкой согласия в общей форме заявки
В форме на сайте компании имеется чекбокс, который клиент должен отметить галочкой, чтобы подтвердить своё согласие с правилами обработки ПД. Оформленная заявка хранится на сайте, а при необходимости может быть выгружена и предъявлена в качестве доказательства о согласии клиента.
Что такое портал персональных данных
Портал персональных данных – это сайт Роскомнадзора, уполномоченного защищать права субъектов ПД. Через портал можно найти реестр операторов и нарушителей, подать обращение или жалобу, получить доступ к электронной библиотеке по защите прав граждан и другим полезным ресурсам.
Кто такие операторы персональных данных и что они делают
Это государственные и муниципальные органы, юридические и физические лица, которые организуют и/или осуществляют обработку ПД, определяют её содержание и цели. В задачу оператора также входит обеспечение конфиденциальности и сохранности ПД. Оператор не вправе обрабатывать информацию, не получив предварительного одобрения их обладателя, за исключением предусмотренных законом случаев.
Когда нужно получение согласия на обработку персональных данных
В случаях, когда цель определяется организацией (оператором) самостоятельно в силу особого характера своей деятельности, то она обязана получить согласие у обладателя ПД. Например, если фирма практикует выплату зарплаты на банковскую карту, для передачи сведений в банк она должна взять у сотрудника соответствующее согласие, поскольку прямого требования закона на этот счёт не существует. То же относится к специальным и биометрическим данным.
Согласие при трудоустройстве
При приёме на работу работодатель должен заручиться согласием соискателя на обработку его ПД. Если целью сбора и обработки ПД является исполнение установленных законом требований, оператор вправе свободно собирать и обрабатывать индивидуальные сведения. В частности, принимая на работу сотрудника в рамках трудового договора, организация должна знать его имя и фамилию, возраст, место регистрации, контактный телефон, уровень образования.
Если работодатель собирается не только обрабатывать, но и распространять ПД потенциального сотрудника, он обязан получить на это отдельное согласие. Работодатель также обязан ясно обозначить, какую информацию, в какой форме и с какой целью он намерен обрабатывать и/или распространять.
Согласие на обработку персональных данных при получении кредита
Центробанк вместе с Роскомнадзором согласовали совместную позицию, касающуюся согласия заёмщика на обработку его ПД. Кредитные учреждения не имеют право распространять личную информацию своих клиентов без их согласия. Рекомендовано оформлять отдельное согласие на работу с биометрическими данными и ограничить срок действия документа датой завершения взаиморасчётов по кредиту. Более подробную информацию по данной теме можно посмотреть по ссылке http://www.garant.ru/hotlaw/federal/1476479/.
Согласие при определении ребенка в садик или школу
Согласие на обработку ПД несовершеннолетнего (ребёнка, школьника) даёт его законный представитель (отец, мать, опекун). Сведения о ребёнке и его представителе образовательное учреждение использует для организации воспитательного и образовательного процесса, медицинского обслуживания, льготного питания, статистической отчётности, проведения ЕГЭ, конкурсов, олимпиад.
Требования к документу в 2021 году
С марта 2021 г. начали действовать новые правила, призванные обеспечить ещё большую защиту персональных данных россиян. Прежний термин «общедоступные ПД» заменён на новый: «ПД, разрешённые для распространения». Цель поправки – поставить под жёсткий контроль использование ПД, имеющихся в открытых источниках.
Теперь не разрешается получать согласие на распространение ПД «по умолчанию», вдвое увеличились штрафы за нарушения, связанные с неправомерными действиями с персональными данными. На ПД, передаваемые третьим лицам либо публикуемым с целью распространения, необходимо получать отдельное разрешение.
Гражданам даются правомочия требовать прекращения распространения своих ПД в любое время.
Обязательно ли получать согласие в 2021 году
Как правило, такой документ работодатель подписывает практически с каждым работником – субъектом ПД, чьи данные он собирается обрабатывать. В данном случае лучше перестраховаться, чем иметь дело с Роскомнадзором. При этом принцип добровольности никто не отменял: субъект ПД вправе передать лишь те сведения, которые сочтёт необходимыми. Об исключениях из этого правила сказано ниже.
Когда согласие не требуется
Законом допускаются ситуации, при которых обрабатывать ПД разрешается даже при отсутствии согласия субъекта ПД. Такие случаи оговорены в Законе. Согласия не требуется, если обработка ПД осуществляется с целью:
Без согласия обработка ПД производится, когда лицо участвует в судопроизводстве (гражданском, арбитражном, уголовном).
Как еще могут ужесточить правила обработки персональных данных
Минцифры РФ предлагает дальнейшее ужесточение законодательства в области ПД. Актуальность такого подхода объясняется наличием технологий, позволяющих идентифицировать человека даже по обезличенным данным. В частности, операторам могут запретить:
Будут ли данные предложение реализованы на практике – покажет время.
Что делать, если человек отказывается давать согласие
Закон предоставляет гражданину право отказаться от согласия на обработку и распространение ПД. Санкций за такой отказ не последует. Однако в ряде случаев у человека могут возникнуть проблемы при обращении во многие организации, включая коммерческие структуры. Дело в том, что для оказания некоторых услуг, в том числе электронных, требуются документы, содержащие, помимо прочего, и персональные данные.
Что касается работодателя, то от принципиальности упрямца он почти не испытает неудобств: организация во многих случаях имеет право обрабатывать и распространять ПД без согласия своего сотрудника. В частности, согласие не требуется для исполнения трудового договора.
Также работодатель может на законных основаниях передавать ПД работника в ПФР, ФНС, прокуратуру и другие госорганы, утверждённые законодательством.
Что будет при незаконном разглашении персональных данных
Если оператор превышает свои полномочия при работе с ПД гражданина, это является прямым нарушением закона, за что может наступить административная, гражданская и даже уголовная ответственность. КоАП РФ предусматривает следующие штрафные санкции.
Сумма штрафа для юридических лиц
Обработка данных в непредусмотренных законом случаях или с иными целями, чем заявлено при сборе данных
Первое нарушение – от 60 до 100 тыс. руб.
Повторное нарушение – от 100 до 300 тыс. руб.
Ст.13.11 п.1, 1.1 КоАП РФ
Клиент дал вам свой e-mail для оформления заказа, а вы добавили его адрес в БД для рекламной рассылки
Обработка данных без письменного согласия клиента или несоблюдение требований, предъявляемых к составу включённых в согласие сведений
Первое нарушение – от 30 до 150 тыс. руб.
Повторное нарушение – от 300 до 500 тыс. руб.
Ст.13.11 п.2, 2.1 КоАП РФ
Вы передали данные клиента агентству по маркетингу, а в согласии их передача третьей стороне запрещена
Как правильно составить согласие в 2021 году
Что должно присутствовать в согласии в обязательном порядке
Согласно требованием Роскомнадзора в согласии субъекта ПД должно быть указано:
Гражданин правомочен сам выбирать, какого рода ПД оператору разрешается распространять и на каких условиях.
Форма согласия на обработку персональных данных в 2021 году
Унифицированного шаблона согласия на обработку ПД, разрешённых к распространению, пока нет. Поэтому рекомендуется придерживаться рекомендаций Роскомнадзора, которые сводятся к следующему.
В согласии также должно быть указано, с какой целью оператор будет производить обработку поступивших в его распоряжение ПД.
Возможные ошибки
К типичным ошибкам при заполнении формы согласия являются:
Документ не должен быть бессрочным либо предусматривать его автоматическую пролонгацию.
Образец заполнения
Как уведомить Роскомнадзор о получении новых персональных данных
Уведомить Роскомнадзор можно в бумажном или электронном виде.
«Бумажный» способ менее практичен: для его реализации нужно скачать форму уведомления, распечатать её, заполнить графы, подрезать у руководства, заверить печатью и отправить почтой или курьером в местное отделение ведомства.
Более удобный способ – воспользоваться сайтом Ростехнадзора или порталом Госуслуг. Там нужно найти форму уведомления и внести данные в режиме онлайн. После отправки документ следует распевать, заверить и отправить заказным письмом в качестве подтверждения. Заявка должна быть рассмотрена надзорным органом в течение месяца.
Можно ли отозвать согласие
Закон позволяет гражданину отозвать согласие на обработку своих ПД в любое время. При этом отзыв не обязан быть обусловлен какими-либо событиями или обстоятельствами.
Как прекратить передачу персональных данных
Так как согласие на обработку ПД оформляется в письменном виде, отзывать его следует путём подачи оператору письменного заявления. Форма отказа – свободная, передать её можно:
Важно получить подтверждение даты получения – с неё начнётся отсчёт периода, в течение которого оператор обязан завершить действия с ПД.
Вопрос: Является ли сбор сведений о зарплате обработкой ПД?
Ответ: Да, поскольку ПД работника будут передаваться третьему лицу – банку. Работнику следует предложить дать согласие на такую передачу с указанием банка, его адреса и перечня действий, которые могут совершаться с полученными сведениями.
Вопрос: должен ли гражданин предоставлять сведения о наличии судимости?
Ответ: сведения об отбывании гражданином срока в местах лишения свободы требуются лишь тогда, когда занятие должности не допускается при наличии судимости. В остальных случаях такие сведения гражданин может не предоставлять.
Вопрос: в каких случаях оператор имеет право не обеспечивать конфиденциальность ПД?
Ответ: обеспечение конфиденциальности ПД не требуется, если они: а) обезличены; б) общедоступны.
Заключение
По мере цифровизации экономики и развития интернет-технологий защита ПД граждан от незаконного использования и распространения приобретает всё большее значение. Миллиарды денег, похищенные мошенниками с банковских счетов россиян, оформление кредитов на подставные лица, махинации с недвижимостью – всё это, так или иначе, связано с утечкой ПД. В одних случаях вина лежит на самих субъектах ПД – доверчивых или беспечных гражданах, в других – на операторах ПД. Если граждане отвечают за себя сами, то ответственность оператора регламентируется государством в лице Роскомнадзора.
В 2021 году санкции за фривольное обращение с ПД серьёзно ужесточились.
Следует ожидать, что надзорный орган продолжит работу над проблемой реализации Закона № 152-ФЗ путём проведения правовых, организационных и технических мероприятий.
