Согласие на обработку пд

Пункт 1 части 1 статьи 6 Закона о персональных данных устанавливает, что обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Случаи, при которых обработка персональных данных допускается без согласия субъекта персональных данных, предусмотрены пунктами 2-11 части 1 статьи 6 Закона о персональных данных.

К таким случаям, в частности, относится:

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта);

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Содержание

Другие вопросы по теме

  • Кто может являться оператором персональных данных?
  • В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?
  • Каким образом можно отозвать согласие на обработку персональных данных?
  • Какие действия могут быть предприняты субъектом персональных данных при нарушениях требований законодательства Российской Федерации в области персональных данных?

«Шпаргалка» от Роскомнадзора: как защищать права субъектов персональных данных

Роскомнадзор опубликовал на своем официальном сайте www.rsoc.ru информацию, в которой содержатся ответы на часто задаваемые вопросы в сфере защиты персональных данных. Например, в каких случаях операторы не обязаны обеспечивать конфиденциальность таких данных, когда на их обработку не требуется согласия субъекта персональных данных, можно ли представить такие данные за родственника, является ли веб-сайт информационной системой обработки персональных данных. Подобные разъяснения ведомство вправе давать как уполномоченный орган по защите прав субъектов персональных данных на основании постановления Правительства РФ от 16.03.2009 № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций».

Кто может являться оператором персональных данных?

В соответствии с п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных (далее — оператор).

При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

В каких случаях операторами не должна обеспечиваться конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 7 Закона о персональных данных обеспечения конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?

Согласно ч. 2 ст. 6 Закона о персональных данных согласия субъекта персональных данных не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Кто должен запрашивать согласие работников предприятия на обработку персональных данных при их передаче для обработки другому оператору?

Получить согласие работника на передачу его персональных данных для обработки другому оператору должна администрация предприятия, на котором работает субъект персональных данных.

В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?

В соответствии с ч. 1 ст. 22 Закона о персональных данных оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.

Исключение составляют случаи, предусмотренные ч. 2 комментируемой статьи, при обработке персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством РФ.

Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Роскомнадзора www.rsoc.ru в информационно-телекоммуникационной сети «Интернет».

Кроме того, на портале «Персональные данные» реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.

Вправе ли физическое лицо представлять персональные данные своих близких родственников?

Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.

Вправе ли кредитная организация обрабатывать персональные данные физических лиц, получивших отказ в предоставлении кредита? Возможно ли хранить формы анкет-заявок на получение кредита в формате цифровых копий?

Персональные данные субъектов персональных данных, полученные кредитной организацией при рассмотрении заявок на получение кредита, в случае отрицательного решения кредитной организации подлежат уничтожению в срок, не превышающий трех рабочих дней с даты принятия соответствующего решения.

Обращаем ваше внимание, что типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных, могут храниться в формате цифровых копий при соблюдении требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?

При заполнении веб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных, является файл электронной цифровой подписи.

Кроме того, предложение оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта.

Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством РФ не установлено.

Вправе ли оператор запрашивать сведения о судимости?

В соответствии с ч. 3 ст. 10 Закона о персональных данных обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством РФ, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

Какие иностранные государства обеспечивают адекватную защиту персональных данных?

До начала осуществления трансграничной передачи персональных данных оператор, осуществляющий обработку персональных данных на территории РФ, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

Критериев, определяющих адекватность защиты прав субъектов персональных данных на территории иностранного государства, действующим законодательством РФ не предусмотрено.

Оператору, осуществляющему трансграничную передачу персональных данных, необходимо руководствоваться законодательством иностранного государства, на территорию которого осуществляется передача персональных данных, законодательством РФ в области защиты прав субъектов персональных данных, а также международными нормативными актами, в том числе Конвенцией о защите прав физических лиц при автоматизированной обработке персональных данных от 28.01.81 ETS № 108 с учетом перечня стран, подписавших и ратифицировавших данную Конвенцию. Это Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония.

Вторая группа, которая может претендовать на статус стран, обеспечивающих адекватную защиту персональных данных, это страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных. Это Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония.

Распространяются ли требования Закона о персональных данных на юридическое лицо иностранного государства?

Требования Закона о персональных данных распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории РФ.

Является ли веб-сайт информационной системой обработки персональных данных?

Согласно п. 9 ст. 3 Закона о персональных данных информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

В случае соответствия веб-сайта указанным требованиям он является информационной системой.

Как документально оформить факт уничтожения персональных данных субъекта?

Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа оператора.

Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим оператором.

К сведению

Статья 24 Закона о персональных данных определяет ответственность за нарушение данного Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством РФ ответственности.

Административная ответственность наступает:

  • за неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо представление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ);

  • разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст. 13.14 КоАП РФ);

  • нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11 КоАП РФ);

  • непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст. 19.7 КоАП РФ).

Кроме того, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность, предусмотренная ст. 137, 272 УК РФ.

К сведению

Отдельные представители операторского сообщества разработали собственные стандарты и рекомендации по исполнению Закона о персональных данных. Ознакомиться с ними можно в разделе «Стандарты, рекомендации и концепции» портала «Персональные данные»:

  • стандарты и рекомендации в области стандартизации Банка России — www.cbr.ru/credit/Gubzi_docs/;

  • концепция защиты персональных данных в информационных системах персональных данных оператора связи — www.minkomsvjaz.ru/3495/8317/8319/8322/;

  • методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости — www.minzdravsoc.ru/docs/mzsr/informatics/5, www.minzdravsoc.ru/docs/mzsr/informatics/4.

Обработка персональных данных

Значимость предмета статьи поставлена под сомнение. Пожалуйста, покажите в статье значимость её предмета, добавив в неё доказательства значимости по частным критериям значимости или, в случае если частные критерии значимости для предмета статьи отсутствуют, по общему критерию значимости. Подробности могут быть на странице обсуждения.

  • Дата постановки шаблона: 14 января 2013

Обработка персональных данных — совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка персональных данных в России

В 1990-х годах в России персональные данные сотрудников и клиентов организаций продавались на дисках. Их можно было купить на рынке или в подземном переходе. В 1990-е годы законодательство РФ не предполагало какой-либо ответственности за разглашение конфиденциальной информации. Впервые понятие «персональные данные» упоминается в российском законодательстве в указе Президента «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 года. В этом указе лишь перечисляется то, что относится к конфиденциальной информации, но там ничего не сказано ни об обработке персональных данных, ни о видах ответственности за неправомерную обработку.

В 2001 году Государственной Думой был принят Трудовой Кодекс РФ, в котором глава 14 посвящена защите персональных данных работников. В этой главе было определено понятие «обработка персональных данных работника» следующим образом: «Обработка персональных данных работника — получение, хранение, комбинирование, передача или любое другое использование персональных данных работника».

Согласно Трудовому кодексу РФ, работодатель не имеет права на обработку персональных данных без ведома и согласия работника, не может получать данные о его религиозных, политических и иных убеждениях, а также несёт ответственность за потерю, искажение и неправомерную обработку персональных данных.

Следующим важным шагом было принятие Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных». Цель этого закона — обеспечение защиты прав и свобод человека, при обработке его персональных данных.

Принципы обработки персональных данных

  • Обработка персональных данных должна осуществляться на законной и справедливой основе.
  • Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
  • Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
  • Обработке подлежат только персональные данные, которые отвечают целям их обработки.
  • Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
  • При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
  • Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Условия обработки персональных данных

  • Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
  • Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
  • Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производств.
  • Обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг.
  • Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
  • Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
  • Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
  • Обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
  • Обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных.
  • Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.
  • Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

> См. также

  • Персональные данные
  • Защита персональных данных
  • Субъект персональных данных
  • Оператор персональных данных

Ссылки

  • Указ Президента Российской Федерации от 6 марта 1997 г. № 188 (недоступная ссылка)
  • Трудовой кодекс Российской Федерации (14 глава) (недоступная ссылка)
  • Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных»
  • Постановление Правительства РФ № 687 от 15.09.2008 г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
  • Борисов М. А. Особенности защиты персональных данных в трудовых отношениях 2013. 224 с. ISBN 978-5-397-03294-0

Что значит обработка персональных данных

Что такое личные данные и их обработка. Что входит в состав личной информации

Принципы обработки личной информации

Способы и условия обработки данных

Уведомление Роскомнадзора об обработке личной информации

Меры, которые должен принять оператор при обработке сведений

Запрет на обработку информации

Ответственность за нарушения в работе с личными сведениями

Итоги

Что такое личные данные и их обработка. Что входит в состав личной информации

Термин «обработка персональных данных» введен законом «О персональных данных» от 27.07.2006 № 152-ФЗ.

Под обработкой персональных данных понимаются различные действия с личной информацией людей (в частности, сбор, хранение, систематизация, использование, передача иным лицам и т. п.), которые выполняются физическими лицами или организациями.

Что входит в состав личных сведений о человеке? Закон об этом прямо не говорит, хотя и оперирует словосочетанием «любая информация», которая относится к человеку. Соответственно, можно сделать вывод, что персональные данные — это Ф. И. О., дата рождения, адрес, телефон, email, ссылка на профиль в социальной сети и т. д.

Принципы обработки личной информации

Законодательно установлены принципы работы с личной информацией, которые следует соблюдать. В частности:

  • Нужно руководствоваться порядком, прописанным законодательно, в частности в законе № 152.
  • Нельзя собирать, обрабатывать и использовать информацию без определенной цели.
  • Объем собранных данных должен соответствовать цели, для которой они собираются. Не допускается сбор избыточной информации.
  • Срок хранения сведений устанавливается законом, определяется договором с владельцем данных либо целью их обработки.
  • Данные должны быть актуальными, точными и достаточными. Соответственно, если оператору стало известно, что они изменились, должны быть внесены соответствующие поправки.

Способы и условия обработки данных

Способов обработки персональных данных законом установлено всего два (п. 3 ст. 3 закона № 52-ФЗ): автоматизированный и неавтоматизированный.

Также законом определены условия обработки персональных данных:

  • Обработка допускается только в установленных законом случаях (для выполнения возложенных на оператора функций, например, в связи с участием человека в судебном процессе, для исполнения судебного акта и иных).
  • Оператор имеет право поручить обработку информации другим лицам, но только если такое право предусмотрено законом или договором.
  • Ответственность за допущенные нарушения несет сам оператор, даже если обработка данных поручена кому-либо другому.
  • Порядок обработки персональных данных предполагает соблюдение конфиденциальности. Запрещается раскрывать и передавать сведения. Однако возможны исключения из этого правила. Например, при рассмотрении дела в суде личные данные истца станут известны ответчику и третьим лицам, которым вручаются копии иска, где прописана информация о сторонах процесса.

Уведомление Роскомнадзора об обработке личной информации

Обработке данных по закону должно предшествовать направление потенциальным оператором уведомления об обработке персональных данных в Роскомнадзор.

Не уведомлять этот госорган можно в некоторых случаях, перечисленных в ч. 2 ст. 22 закона № 152-ФЗ, а именно если:

  • данные обрабатываются в рамках трудовых отношений;
  • сведения получены в результате заключения договора и не передаются иным лицам;
  • информация является общедоступной;
  • обрабатываются только фамилия, имя, отчество;
  • данные собираются с целью однократного пропуска человека на территорию оператора или в иных аналогичных случаях;
  • данные собираются без использования средств автоматизации.

Содержание уведомления об обработке персональных данных регламентируется ч. 3 закона № 152-ФЗ. А в приложении № 1 к Методическим рекомендациям по уведомлению уполномоченного органа…, утвержденным приказом Роскомнадзора от 30.05.2017 № 94, приводится форма документа.

После получения уведомления Роскомнадзор в течение 30 дней вносит перечисленную в ст. 22 ч. 3 закона № 152-ФЗ информацию в реестр. Для заявителя данная процедура бесплатна.

Меры, которые должен принять оператор при обработке сведений

В ходе обработки информации одна из основных задач оператора — обеспечить их безопасность, конфиденциальность и неприкосновенность. Для этого он должен принять следующие меры:

  1. Разработать политику работы с личными сведениями и довести ее до сведения клиентов.
  2. Запрашивать согласие на обработку персональной информации.
  3. В случае использования информационных систем четко определить потенциальные угрозы, исключить возможность распространения личных данных.
  4. Изучить и соблюдать меры безопасности, установленные приказами ФСТЭК «Об утверждении…» от 18.02.2013 № 21 и ФСБ «Об утверждении…» от 10.07.2014 № 378.
  5. Фиксировать все случаи несанкционированного доступа к данным. Восстанавливать поврежденные или утраченные в ходе такого доступа сведения.
  6. Устанавливать правила, по которым люди могут получить доступ к информации.
  7. Обеспечивать внутренний контроль за соответствием обработки персональных данных требованиям закона.

Запрет на обработку информации

В любой момент человек имеет возможность отозвать свое разрешение на обработку его личной информации оператором. В этом случае оператор должен:

  • исключить из информационной системы или иной базы данных хранения все сведения о лице, направившем запрет на обработку персональных данных;
  • в дальнейшем не производить никаких операций с личными сведениями заявителя (включая хранение и использование);
  • направить уведомление об отзыве согласия лицу, обрабатывающему информацию на основании договора с оператором (если такой договор заключался).

Ответственность за нарушения в работе с личными сведениями

За нарушение правил работы с персональными данными оператор несет административную ответственность по ст. 13.11 КоАП РФ.

Статья Кодекса Российской Федерации об административных правонарушениях

Основание для привлечения к ответственности

Мера ответственности

Ч. 1 ст. 13.11 КоАП РФ

Обработка данных в случае, если она противоречит целям их сбора

Штраф 1–3 тыс. руб. для граждан, 5–10 тыс. руб. для должностных лиц, 30–50 тыс. руб. для организаций

Ч. 2 ст. 13.11 КоАП РФ

Обработка информации без согласия ее владельца

Штраф 3–5 тыс. руб. для граждан, 10–20 тыс. руб. для должностных лиц, 15– 70 тыс. руб. для организаций

Ч. 3 ст. 13.11 КоАП РФ

Неопубликование или недоведение до сведения граждан политики работы оператора с персональными данными

Штраф 700–1500 руб. для граждан, 3–6 тыс. руб. для должностных лиц, 5–10 тыс. руб. для ИП, 15–70 тыс. руб. для организаций

Ч. 4 ст. 13.11 КоАП РФ

Непредоставление гражданам информации об обработке их персональной информации

Штраф 1– тыс. руб. для граждан, 4–6 тыс. руб. для должностных лиц, 10–15 тыс. руб. для ИП, 25–40 тыс. руб. для организаций

Ч. 5 ст. 13.11 КоАП РФ

Невыполнение требований граждан актуализировать, блокировать или уничтожить персональные данные в определенных законодательством случаях

Штраф 1–2 тыс. руб. для граждан, 4–10 тыс. руб. для должностных лиц, 10–20 тыс. руб. для ИП, 25–45 тыс. руб. для организаций

Ч. 6 ст. 13.11 КоАП РФ

Несоблюдение правил хранения сведений, повлекшее несанкционированный доступ к ним третьих лиц

Штраф 700–2000 руб. для граждан, 4–10 тыс. руб. для должностных лиц, 10–20 тыс. руб. для ИП, 25–50 тыс. руб. для организаций

Ч. 7 ст. 13.11 КоАП РФ

Несоблюдение требований к обезличиванию персональных данных либо их необезличивание должностными лицами государственных и муниципальных учреждений

Штраф 3–6 тыс. руб.

Итоги

Таким образом, процедура обработки личных данных строго регламентирована законодательством, а за ее нарушение установлена административная ответственность. Любому оператору персональных данных необходимо разработать правила обработки информации, уведомить в случае необходимости Роскомнадзор, не допускать перечисленных в статье нарушений.

> Согласие на обработку персональных данных: что это такое и для чего оно необходимо?

Для сайта Для родителей Для работы Видео по теме

Общие положения

Есть 3 категории:

  1. Общедоступные — главные данные в анкете, сюда входят ФИО, пол, место и дата рождения.
  2. Биометрические — сведения о внешности, определенных особенностях физиологического характера, если они не определяются визуально.
  3. Специальные — сведения о национальности, вероисповедании, судимости, состоянии здоровья, а также частичные сведения о работе (например, причина увольнения).

ВНИМАНИЕ: за исключением общедоступных данных, такая информация является конфиденциальной, для её использования необходимо разрешение человека, в противном случае речь идет о нарушении законодательства.

Для поликлиники

Согласие на обработку персональных данных для поликлиники заключается в том, что субъект (в данном случае пациент поликлиники) в добровольном порядке принимает решение об их предоставлении, соглашается на обработку в своем интересе, своей волей и добровольно.

Для работодателя

Согласие для работодателя — это документ, который необходимо составить, если работодатель желает использовать персональные данные работника для осуществления трудовых отношений. Они могут обрабатываться в виде получения, хранения, комбинирования, передачи, а также может быть иное использование, не противоречащее действующему российскому законодательству.

Здесь речь идет о заявлении, в котором подтверждается согласие работника на то, что он даёт свои персональные данные в целях осуществления трудовых отношений. Если они от третьих лиц, то без письменного разрешения такую информацию предоставлять нельзя, это будет относится к нарушению права на неприкосновенность частной жизни человека.

Если информация работодателем получена не от работника, а от третьих лиц, то работодатель в обязательном порядке обязуется поставить работнику определенную информацию:

  • адрес оператора, а также его имя, фамилию и отчество;
  • с какой целью необходимо обрабатывать информацию, какие для этого существуют правовые основания;
  • указываются лица, которые получат доступ к обработке конфиденциальных сведений о работнике;
  • права субъекта персональных данных, такие права установлены законом на основании Федерального Закона №152-ФЗ «О персональных данных».

Если личную информацию о работнике работодатель получил от третьих лиц, то такая информация должна использоваться строго в соответствии с Положением о персональных данных.

В каждой организации такое положение свое, все зависит от того, какой деятельностью занимается предприятие.

Цель документа

Цели такого документа носят следующий характер:

  • Чтобы можно было заключить с работником гражданско-правовой договор.
  • Организовать кадровый учет в организации, обеспечить соблюдение законодательства, заключать и исполнять обязательства по трудовым договорам и договорам гражданско-правового характера.
  • Вести кадровое делопроизводство, оказывать содействие сотрудникам в трудоустройстве, обучать и повышать по службе, пользоваться льготами.
  • Исполнять требования законодательства по налогам (вопросы исчисления уплаты налога на доходы физических лиц и единого социального налога). Требования пенсионного законодательства, когда формируются и передаются в ПФР персонифицированные данные о конкретном получателе доходов. Такая информация учитывается, когда начисляются взносы на обязательное пенсионное страхование.
  • Заполнить первичную статистическую документацию на основании Налогового, Трудового кодекса и федеральных законов.

Когда разрешение нужно?

Если планируется обработать специальные или биометрические персональные данные, то согласие человека необходимо. А общедоступная информация может быть использована, но только в тех случаях, когда это не противоречит действующему законодательству и общепринятым нормам этики и морали.

В каких случаях в этом нет необходимости

Если расследуется уголовное дело или осуществляются мероприятия оперативно-розыскного характера. Биометрические данные могут быть использованы без согласия человека, когда необходимо установить его личность, когда у человека по определенным причинам отсутствуют документы. При таких ситуациях нет необходимости в согласии на обработку личной информации.

Дополнительные приложения

  1. Согласие субъекта на обработку персональных данных.
  2. Уведомление оператора об обработке.
  3. Поручение третьей стороны на обработку.
  4. Акт уничтожения.
  5. Уведомление о прекращении обработки и уничтожении.
  6. Запрос субъекта на предоставление сведений об обработке.
  7. Запрос субъекта на уточнение.
  8. Уведомление субъекта об обработке.

Заявление

Согласие на обработку моих персональных данных

Я, ФИО, зарегистрированный/зарегистрированная по адресу, паспортные данные, в соответствии со ст.9 Федерального Закона от 27.07.2006 №152 -ФЗ «О защите персональных данных», выражаю свое согласие на обработку моих следующих персональных данных:… Настоящее согласие действительно с… числа по … число. Если выяснится, что полученная информация будет использована неправомерно, то это соглашение будет отозвано путем письменного заявления.

Заполнение

Для сайта

ФИО, проживающий по адресу, паспортные данные (кем и когда выдан), настоящим выражают свое согласие на обработку сайтом моих персональных данных, к ним относятся:

  • ФИО;
  • место и год рождения;
  • телефон;
  • адрес электронной почты;
  • иные сведения, необходимые для осуществления действий сайта.

Такое согласие является действительным до того момента, пока не будут достигнуты цели обработки.

Скачать образец согласия на обработку персональных данных для сайта

Для родителей

Я, ФИО, проживающий/проживающая по адресу, паспортные данные, настоящим выражаю свое согласие на обработку в образовательном учреждении персональных данных моего несовершеннолетнего ребенка (ФИО ребенка). К ним относятся:

  • ФИО;
  • дата рождения;
  • домашний адрес;
  • дата поступления в образовательное учреждение;
  • дата выбытия из образовательного учреждения;
  • причина выбытия;
  • отметка о выдаче личного дела;
  • ФИО родителе;
  • место работы родителей;
  • должность, занимаемая родителями;
  • контактные телефоны;
  • состояние здоровья.

Я выражаю свое согласие на использование персональных данных в целях обеспечения учебно-воспитательного процесса ребенка.

Отдельно пишется информация о возможности передачи информации третьим лицам, если это является необходимым и не противоречит действующему законодательству.

Более подробно о подписании согласия для родителей на обработку персональных данных учащихся читайте .

Для работы

Я, ФИО, зарегистрированный/зарегистрированная по адресу, паспортные данные, основываясь на ФЗ №152 «Об обработке персональных данных», даю свое согласие на обработку моих персональных данных (перечисляются данные, которые могут быть использованы работодателем).

Если есть необходимость предоставить конфиденциальную информацию не в одну организацию, а сразу в несколько, лучше для каждой организации заполнить отдельный бланк, а не делать все воедино. Этот пункт должен в обязательном порядке содержать перечень действий, которые могут осуществляться с предоставленными сведениями.

Документ подписывает непосредственно работник, ФИО полностью расшифровываются. В самом конце ставится дата оформления документа.

Желательно включить в документ пункт, в котором будет указано, что сотруднику подробно разъяснили все его обязанности и права, касающихся защиты его предоставленной информации.

Работодатель, как и его должностные лица, могут быть подвергнуты административной (штраф от 4000 до 5000 рублей) и уголовной (до 5 лет лишения свободы) ответственности. Если полученная конфиденциальная информация были использованы неправомерно, также может быть применена мера гражданской ответственности (возмещение морального и материального ущерба).

Бывают ситуации, когда отказ о предоставлении такой информации влечет за собой негативные последствия. Если в организации действует пропускной режим, то сотруднику нельзя будет оформить или поменять пропуск. То есть, если сотрудник отказывается предоставлять согласие на обработку конфиденциальной информации, то он не сможет осуществлять трудовую деятельность.

С пошаговой инструкцией по оформлению согласия сотрудников на обработку персональных данных можно ознакомиться , а в этой статье вы найдете пример заполнения заявления.

Видео по теме

Смотрите подробнее, как составить согласие на обработку персональных данных в видео ниже:

Подписывать ли согласие на обработку персональных данных?

Согласие на обработку персональных данных — относительное нововведение законодательства, обеспечивающее защиту личной информации о человеке от неправомерного использования. Согласие на обработку персональных данных требуется при трудоустройстве, открытии банковского счета и во многих других жизненных ситуациях. Основания и последствия дачи такого согласия, отказа от его предоставления или отзыва изложены в настоящей статье.

Что является персональными данными

Защита персональных данных работника

Уведомление об обработке персональных данных

Последствия отказа от дачи согласия на обработку персональных данных

Ответственность за разглашение персональных данных

Отзыв согласия на обработку персональных данных

Что является персональными данными

Понятие персональных данных дается в ст. 3 одноименного закона № 152-ФЗ от 27.07.2006. Это все сведения, относящиеся к человеку, то есть к физическому лицу. Иными словами, персональными данными можно считать абсолютно любую информацию — от имени до содержания трудовой книжки.

Однако, несмотря на то, что на обработку (то есть изучение, хранение, передачу и т. д.) таких сведений необходимо согласие их носителя, далеко не все из них требуют соблюдения конфиденциальности.

Закон «О персональных данных» делит их на 3 категории:

  • общедоступные — основные анкетные данные (имя, отчество, фамилия, гендерная принадлежность, дата рождения и т. д.);
  • биометрические — внешние данные и некоторые физиологические особенности (последние — при условии их визуального определения);
  • специальные — национальность, вероисповедание, сведения о состоянии здоровья, а также данные о взаимоотношениях с законом (судимость, привлечение к ответственности), частично — информация в сфере занятости (причины увольнения и т. д.).

Согласие на обработку персональныхданных требуется от их носителя только при использовании второй и третьей категорий, то есть специальных и биометрических. Общедоступная информация может использоваться свободно в рамках закона, а также в соответствии с общепринятыми канонами морали и этики.

Скачать форму согласия

Исключение — обработка информации в рамках уголовного дела, в ходе оперативно-розыскной деятельности, в целях установления личности при отсутствии документов (в основном касается биометрических данных) и в прочих подобных ситуациях.

В таких ситуациях согласия на обработку персональных данных не требуется.

Защита персональных данных работника

Принимая сотрудника на работу, работодатель, в соответствии со ст. 65 Трудового кодекса РФ, требует от него ряд документов, а именно:

  • паспорт;
  • диплом или другой документ, подтверждающий наличие образования или квалификации;
  • трудовую книжку (исключение — первичное трудоустройство);
  • СНИЛС;
  • военный билет (обязательно для мужчин, для женщин — в случае постановки на воинский учет).

Если должность, на которую претендует соискатель, не предполагает ее замещения гражданином, имеющим судимость, может потребоваться еще и соответствующая справка.

Все эти документы содержат персональные данные о будущем или настоящем сотруднике. Поэтому, как только они оказываются в руках работодателя, в действие вступают положения гл. 14 ТК РФ, обеспечивающие конфиденциальность личной информации.

В частности, ст. 86 ТК РФ дает руководителям согласие на обработку персональных данных работника только в служебных целях, которыми могут являться:

Не знаете свои права? Подпишитесь на рассылку Народный СоветникЪ.
Бесплатно, минута на прочтение, 1 раз в неделю.

  • оказание содействия в продвижении сотрудника по карьерной лестнице или получении им образования;
  • обеспечение безопасности подчиненных;
  • контроль за эффективностью труда работников.

Согласно п. 8 ст. 65 ТК РФ работодатель должен под роспись довести до работника, каким образом и в каком порядке будут храниться, обрабатываться и использоваться предоставленные им сведения. Согласие на обработку персональных данных при приеме документов от работника нужно обязательно, при этом работник предупреждается о возможности отказаться либо в дальнейшем представить отзыв согласия на обработку персональных данных, а также о последствиях этого.

Последствия отказа от дачи согласия на обработку персональных данных

Сам по себе отказ от согласия на обработку персональных данных юридических последствий не несет — в силу ч. 1 ст. 9 закона № 152-ФЗ согласие должно быть выражено добровольно и свободно.

Однако ч. 5 ст. 6 этого же закона допускает отсутствие согласия на обработку персональных данных, если это необходимо в целях исполнения договора, в том числе и трудового. Иными словами, работодатель, исполняя свои обязанности, возложенные на него законом, может в интересах работника — субъекта персональных данных обработать эти сведения без его согласия (при условии использования данных исключительно в служебных целях).

Положение ч. 5 ст. 6 закона № 152-ФЗ распространяется на уже действующих сотрудников, то есть принять соискателя на работу без его согласия на обработку персональных данных работодатель не сможет — трудового договора еще нет, соответственно, и обязанности его исполнять у руководителя тоже нет.

Кроме того, в ряде случаев отказ от согласия на обработку персональных данных всё же может привести к нежелательному результату. Например, если в организации действует пропускной режим, то выписать (заменить) сотруднику пропуск при таких обстоятельствах работодатель не сможет — это действие выходит за рамки служебных целей. Таким образом, отсутствие согласия здесь означает невозможность исполнения трудовых функций.

Ответственность за разглашение персональных данных

В силу ст. 90 ТК РФ ответственность работодателя за разглашение персональных данных варьируется от дисциплинарной до уголовной. То есть любое нарушение конфиденциальности личной информации о работнике, будь то передача сведений или неправомерное их использование, обойдется для виновного весьма суровым наказанием.

Например, в соответствии со ст. 137 Уголовного кодекса РФ, подобные действия могут стоить руководителю должности или даже свободы на срок до 2 лет.

Таким образом, законодательство содержит все необходимые инструменты для того, чтобы работники могли не опасаться за разглашение информации о себе.

Однако, прежде чем ставить подпись в форме согласия на обработку персональных данных, имеет смысл выяснить, не выходят ли запрашиваемые сведения за рамки необходимых для трудоустройства или кадровых перестановок.

Например, сведения о наличии или отсутствии судимости требуются только в тех случаях, когда это нужно для соответствия занимаемой должности. То есть, устраиваясь на работу менеджером по продажам, такие данные предоставлять не нужно. Соответственно, и согласие на обработку персональных данных такого характера тоже предоставлять не следует.

Уведомление об обработке персональных данных

Ст. 22 закона № 152-ФЗ обязывает работодателя вначале направить уведомление об обработке персональных данных в специализированный орган, которым является Роскомнадзор. Уточнить, выполнил ли руководитель это условие, можно на официальном интернет-портале службы.

Кроме того, перед тем как дать согласие на обработку персональных данных, будет нелишним удостовериться в том, что работодатель имеет на это право, то есть является оператором. В этом тоже поможет сайт Роскомнадзора.

Отзыв согласия на обработку персональных данных

Отзывать согласие на обработку персональных данных имеет смысл в 2 случаях:

  • при выявлении со стороны работодателя нарушения в части хранения и обеспечения конфиденциальности информации о сотруднике;
  • при увольнении.

Отзыв составляется в свободной форме, но при его оформлении стоит сослаться на 2 нормы закона № 152-ФЗ: п. 1 ст. 9, устанавливающий добровольность дачи согласия на обработку персональных данных, и п. 5 ст. 22, регламентирующий обязанность оператора (в данном случае — работодателя) прекратить обработку и уничтожить всю имеющуюся у него информацию о сотруднике.

Работодатель должен уничтожить все сведения в течение 30 дней с того момента, как работник отозвал свое согласие на обработку персональных данных.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *