+7(499)-938-48-12 Москва
+7(812)-425-63-82 Санкт-Петербург
8(800)-350-73-64 Горячая линия

Обработка персональных данных без согласия субъекта

Содержание

Субъект персональных данных – это кто такой? Форма согласия субъекта персональных данных

Обработка персональных данных без согласия субъекта

Персональными данными называют любые сведения, относящиеся к конкретному или определяемому на их основании физлицу. К ним относят Ф. И. О.

, место, дату рождения, семейный, социальный, имущественный статус, адрес проживания, профессию, образование и пр. Субъект персональных данных – это, проще говоря, носитель такой информации.

В качестве источников сведений могут выступать паспорт, медицинская карта, финансовые ведомости и так далее.

Ограниченный доступ

Персональные данные без согласия субъекта не могут вноситься ни в какие документы и базы. С разрешения носителя информации в общедоступные источники могут включаться сведения о его Ф. И. О.

, адресе, месте, дате рождения, абонентском номере и пр. Действующим законодательством гарантируется защита прав субъектов персональных данных.

Лица, осуществляющие сбор и последующую работу с такими сведениями, за нарушение конфиденциальности сведений несут ответственность, вплоть до уголовной.

Они осуществляют сбор и работу с информацией, относящейся к личности гражданина. Субъекты обработки персональных данных – муниципальные или госструктуры, физлица и организации.

Они не только осуществляют работу с информацией, но и определяют цели и содержание тех или иных операций с информацией.

При этом для совершения каких-либо действий оператор должен получить согласие субъекта персональных данных.

Доступ к личным сведениям

Одна из возможностей, которой наделен субъект персональных данных, – это получение информации об операторе. Носитель сведений может знать адрес нахождения, наличие соответствующих сведений у лица. Аналогичными возможностями обладает представитель субъекта персональных данных.

Полномочия этого лица должны подтверждаться документами, оформленными в соответствии с законодательными требованиями. Ознакомление со сведениями, которыми располагает оператор, – еще одна возможность, которой обладает субъект персональных данных. Это необходимо, в частности, для проверки достоверности сведений.

Эта возможность может быть ограничена только в случаях, прямо предусмотренных законодательством. Носитель информации может предъявить требование оператору о ее уточнении, блокировании или уничтожении.

Эта возможность реализуется в случаях, когда сведения являются устаревшими, неполными, незаконно полученными, недостоверными, не являются необходимыми для целей, заявленных оператором.

Субъект персональных данных – это главный участник операций с информацией о его личности. В соответствии с этим, он может предпринимать законные меры по обеспечению охраны сведений и предотвращению ущерба его личности, доброму имени, репутации.

Предоставление информации

Сведения о наличии данных у оператора должны передаваться субъекту в доступной форме. Не допускается включение в них личной информации других лиц.

Предоставление доступа к сведениям возможно по запросу субъекта-носителя данных или его поверенного.

Заявление должно содержать информацию об основном документе, подтверждающем личность гражданина, – номер, дату и место выдачи, наименование уполномоченной структуры. В запросе в обязательном порядке ставится подпись субъекта.

Если от его имени действует другое лицо, приводятся сведения о документе, подтверждающем полномочия. Подпись в заявлении в таком случае ставит представитель. Обращение может направляться в электронном виде. В этом случае заявление должно содержать цифровую подпись.

Перечень доступных сведений

Субъект вправе получить информацию, содержащую разные данные. К ним, в том числе, относят:

  1. Подтверждение факта работы с личными сведениями и ее цель.
  2. Методы обработки данных, используемые оператором.
  3. Сведения о работниках, имеющих доступ к информации, или которым он может быть предоставлен.
  4. Перечень сведений, с которыми осуществляется работа, источники их получения.
  5. Срок обработки и хранения имеющихся данных.
  6. Сведения о юридических последствиях работы с информацией.

Предписания законодательства

Как выше было сказано, право на доступ к личным данным может ограничиваться. Это происходит, если:

  1. Работа с информацией, полученной в рамках разведывательной, оперативно-розыскной, иной подобной деятельности производится для обороны страны, обеспечения ее безопасности и охраны порядка в обществе.
  2. Обработку данных осуществляют сотрудники, задержавшие субъекта по подозрению в преступлении, или предъявившие ему обвинение, или применившие к нему одну из существующих мер пресечения. Исключение составляют случаи, закрепленные УПК.
  3. Предоставление информации нарушит конституционные свободы и права третьих лиц.

Сбор информации

Законодательство может предусматривать обязанность субъекта предоставить свои данные для обработки. В таких случаях оператор должен разъяснить лицу последствия отказа от выполнения предписаний.

Если информация была получена не от носителя, кроме случаев, когда она была предоставлена на основании ФЗ, или если она является общедоступной, лицо, осуществляющее сбор сведений, должно предоставить следующие данные субъекту:

  1. Наименование оператора и его адрес (для физлиц – Ф. И. О.).
  2. Цель работы с информацией, юридическое основание.
  3. Потенциальные пользователи сведений.
  4. Права субъекта, установленные законодательством.

Меры безопасности

Оператор обязан использовать все доступные и допустимые средства, которыми обеспечивается защита прав субъекта персональных данных. В частности, он должен применять криптографические приемы, предотвращающие случайный либо незаконный доступ к сведениям, их уничтожение, блокирование, изменение, распространение и копирование.

Требования к безопасности данных при их обработке, к материальным носителям, технологиям хранения устанавливаются Правительством. Надзор за исполнением предписаний возлагается на исполнительную федеральную структуру власти в рамках ее компетенции.

Орган по защите прав субъектов персональных данных осуществляет контроль без возможности ознакомления со сведениями.

Работа с заявлениями

Законодательство регламентирует порядок, в соответствии с которым осуществляется рассмотрение запросов субъектов персональных данных. На операторов, работающих с информацией, возлагается ряд обязанностей.

В первую очередь при поступлении запроса необходимо сообщить субъекту или его доверенному лицу о наличии соответствующих данных.

Оператору надлежит предоставить возможность ознакомиться с информацией в десятидневный срок с даты получения заявления.

В случае принятия решения о неудовлетворении запроса, уполномоченное лицо должно направить мотивированный ответ.

В нем должна присутствовать ссылка на положения нормативного акта, предусматривающего соответствующее основание.

Это необходимо сделать в семидневный срок с даты обращения носителя личной информации или получения заявления. Возможность ознакомления с данными предоставляется субъекту/представителю безвозмездно.

При необходимости оператор вносит в сведения изменения, уничтожает или блокирует информацию. Для этого субъект (представитель) предоставляет информацию, подтверждающую, что данные устарели, были получены противоправным способом, являются недостоверными и пр. О внесенных корректировках оператор уведомляет самого носителя сведений, а также сторонних лиц, которым они были переданы.

Устранение нарушений

При выявлении недостоверных сведений, обнаружении незаконных действий оператора при обращении либо по заявлению субъекта/его представителя к уполномоченной структуре о блокировке, она должна быть проведена незамедлительно.

Заинтересованное лицо может предоставить документы, в соответствии с которыми информация может быть уточнена. Если выявлены незаконные действия оператора, он в трехдневный срок с момента их обнаружения обязан устранить нарушения. Если это сделать не представляется возможным, сведения полежат уничтожению.

Это действие должно быть совершено в течение трех дней с даты обнаружения нарушений.

При достижении цели, для которой была необходима обработка данных, оператор обязан немедленно прекратить всю работу с информацией.

При этом он должен уничтожить сведения в трехдневный срок, если другое не предусматривается законодательством. О совершенных действиях оператор уведомляет субъекта или его представителя.

Если обращение либо заявление были направлены уполномоченной структурой, реализующей функции в сфере безопасности личных сведений, то извещается и она.

Форма согласия субъекта персональных данных

Разрешение лица на работу с его личными сведениями может предоставляться в любом виде, позволяющем подтвердить факт получения, если другое не закрепляется ФЗ № 152.

В своих разъяснениях Роскомнадзор (орган по защите прав субъектов персональных данных) рекомендует оформлять его письменно. Требования к документу присутствуют в 9 статье указанного выше Закона.

В письменное согласие включают:

  1. Ф. И. О., адрес лица, сведения о документе, подтверждающем личность (номер, серия, дата выдачи и наименование учреждения, его оформившего).
  2. Информацию о представителе субъекта. Кроме Ф. И. О., адреса, сведений о паспорте, приводятся реквизиты доверенности.
  3. Наименование либо адрес, Ф. И. О. оператора.
  4. Цель обработки личной информации.
  5. Перечень сведений, на работу с которыми дает разрешение их носитель.
  6. Наименование либо адрес и Ф. И. О. лица, осуществляющего обработку информации по поручению оператора.
  7. Конкретные действия, которые будут совершаться с информацией. Должно присутствовать также общее описание способов, используемых оператором при обработке данных.
  8. Период, в течение которого действует разрешение, если другое не устанавливается законодательством.
  9. Подпись субъекта-носителя данных.

Разрешение может предоставляться в электронном виде. В этом случае документ удостоверяется цифровой подписью.

Ответственность за неисполнение предписаний законодательства

Лицам, признанным виновными в нарушении требований ФЗ № 152, могут вменяться санкции в соответствии с действующими нормами. В частности, ст. 13.11 КоАП предусматривает наказания за незаконные сбор, хранение, использование, распространение сведений о гражданах. В качестве самой мягкой санкции выступает предупреждение. Кроме этого, ст. 13.11 предусматривает штрафы для:

  • физлиц – 300-500 р.;
  • служащих – 500-1 000 р.;
  • организаций – 5-10 тыс. р.

Моральный вред субъекту персональных данных, возникший в связи с ущемлением его интересов, нарушением предписаний действующего законодательства, подлежит возмещению в рамках гражданского судопроизводства. Его компенсация осуществляется вне зависимости от взыскания имущественного ущерба и понесенных убытков.

Уведомление о работе с информацией

До начала обработки данных оператор должен известить уполномоченную структуру (Роскомнадзор) о своем намерении. Исключение из этого правила закреплены в ч. 22 статьи ФЗ № 152. Оператор может не уведомлять уполномоченный орган, если он работает с данными:

  1. Относящимися к лицам, с которыми он связан трудовыми отношениями.
  2. Полученными при заключении договора, в качестве одной из сторон которого выступает субъект данных. При этом действует оговорка. Информация, полученная оператором, не должна распространяться и передаваться третьим лицам. Она используется исключительно для реализации условий договора и оформления соглашений с субъектом-носителем сведений.
  3. Относящихся к участникам религиозной или общественной организации. При этом полученная информация не должна распространяться без их разрешения.
  4. Являющимися общедоступными.
  5. Включающими только Ф. И. О. носителя.
  6. Необходимыми для однократного пропуска лица на территорию, где располагается оператор, либо в других подобных целях.
  7. Содержащимися в информационных базах, имеющих статус автоматизированных систем.
  8. Обрабатываемыми без применения средств автоматизации, согласно ФЗ или других нормативных актов, предусматривающих требования к безопасности информации при работе с ней и соблюдению интересов ее носителей.

Оформление уведомления

Извещение должно быть оформлено письменно. Оно подписывается уполномоченным служащим. Допускается направление уведомления в электронном виде. В этом случае оно заверяется цифровой подписью. В извещении необходимо указать:

  1. Наименование (Ф. И. О.) и адрес оператора.
  2. Цель работы со сведениями.
  3. Категории данных, которые будут обрабатываться.
  4. Юридическое основание для работы со сведениями.
  5. Категории лиц-носителей информации.
  6. Перечень конкретных действий оператора.
  7. Описание мер, которые будут предприняты для обеспечения безопасности сведений.
  8. Дату начала работы с информацией.

В уведомлении также должен присутствовать срок прекращения либо условие, при котором завершается обработка личных данных.

Источник: http://fb.ru/article/319423/subyekt-personalnyih-dannyih---eto-kto-takoy-forma-soglasiya-subyekta-personalnyih-dannyih

Требования при передаче персональных данных третьим лицам

Обработка персональных данных без согласия субъекта

Являясь владельцем частного бизнеса, управленцем или просто юридически грамотным гражданином, нужно своевременно отслеживать законодательство РФ и его изменения. В последнее время такими актуальными проблемами стали нормы данных гражданина.

Личными данными считается какая-либо достоверная информация, которая имеет связь с сугубо конкретным человеком. К таким сведениям относятся:

  • возраст, сведения о дате его рождения;
  • город его рождения и регистрации;
  • ФИО;
  • полученное образование;
  • уровень заработной платы;
  • семейное положение.

То есть это те сведения, которые позволяют без сомнения определиться с тем, о ком говорится.

Одно из важнейших требований норм закона – это конфиденциальность и неразглашение сведений 3-м лицам.

Субъект ПД – это то лицо, чьи данные используют. Сегодня нормы законов четко и жестко регламентируют, что можно, а что нельзя делать с ПД человека. Совершать действия можно только тогда, когда он не выступает против.

Существует перечень встречающихся фактов, когда такое согласие обязательно должно писаться от руки.

Например, использование сведений о национальности, предпочтении в политических взглядах, какие-либо факты о том, насколько здоров субъект и о его закрытой жизни.

Также подобного соглашения никто не уполномочен размещать ПД (персональные данные) в известные всем каналы, например, в интернет.

Что такое объект ПД? Это прежде всего:

  • данные, характеризующие конкретную личность;
  • факты того, женат/замужем ли человек;
  • факты, по которым можно опознать, а также сведения о предках и биографии;
  • информация о болезнях и лечении.

Объекты персональной информации можно встретить в таких документах, как:

  • паспорт гражданина либо какой-то другой ценный носитель удостоверения личности;
  • справки, содержащие сведения о полученных суммах с предыдущего предприятия;
  • документы на ребенка, свидетельство о вступлении в брачные отношения;
  • анкета, которую работодатели просят заполнить, приходя на собеседование;
  • аттестат либо какой-то еще документ об образовании;
  • трудовая книжка;
  • военный билет;

Нюансы законодательства

Сфера вышеописанных вопросов основывается и регулируется Конституцией РФ, федеральным законодательством нашей страны и международными соглашениями РФ.

Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ регулирует данные отношения наиболее основательно.

Принципы:

  • законность целей и методов обрабатывания ПД;
  • недопустимость в использовании излишней информации, не соответствующей цели;
  • методы и разновидности действий должны быть оправданы с целями.

Нацеленность на результат может быть самой различной. Среди них:

  • трудоустройство гражданина на рабочее место;
  • оказание медицинских услуг;
  • устройство в детский сад, школу, лагерь;
  • обеспечение безопасности работника.

Соблюдение законности также регулируется и Трудовым кодексом. Например, ч. 8 ст. 86 ТК РФ гласит, что Регламент о данных должны подписать все работники или их законные представители.

При этом как правило работодатель оформляет нужный журнал для сбора и сохранности подписей.

Оборот сведений

Сфера оборота ПД включается в себя множество операций, основные из которых рассмотрим ниже.

Предоставление информации – действия, согласно которым данные передают каким-либо другим лицам.

В настоящее время список организаций, которые запрашивают их, достаточно внушителен:

  • школы;
  • больницы;
  • банки и другие кредитные учреждения;
  • организации, в которые подается заявление на трудоустройство и многие другие.

Соблюдать закон должна абсолютно любая компания, в чьи руки попадают индивидуальные сведения о физлицах. Многие фирмы, например, продавая товары или услуги, собирают данные своих клиентов.

Они обязаны четко действовать в этом отношении. ООО или ИП должны вносить изменение в бланках договорных документов как со своими работниками, так и с клиентами.

Как вариант, разработать и прописать в договоре специальную форму согласия на обработку ПД.

Обработка – это приведение данных в соответствии с системой, процедура сбора, накопления, хранения и передачи, использования в соответствии с целями, удаления и других манипуляций со знаниями о физлице.

Совет! На сайте компании, где происходит оформление заказа, рекомендуется сделать обязательной отметку о персональных сведениях. Что клиент согласен их предоставить. А также то, что работники компании имеют право их передавать в курьерскую службу.

Стоит помнить, что какое-либо использование персональных данных может быть только добровольным, за исключением некоторых случаев, предусмотренных законом.

Регулирует вышеописанные отношения между субъектом и оператором (организация, которая собирает, обрабатывает, использует данные) Спецорган — Роскомнадзор.

Периодически им проводятся плановые проверки в тех или иных организациях. Кроме Роскомнадзора отследить соблюдения фз может и Роструд.

Грамотный руководитель не будет ждать очередного штрафа, а создаст у себя в организации на основе политику в отношении обработки ПД.

Она будет включать приказы, ознакомления, положения и акты для всех работников организации.

В Регламенте ПД могут, например, содержаться следующие аспекты:

  1. Что именно в том или ином случае есть персональные данные;
  2. Фактические сведения каких документов работодатель будет предоставлять в органы.
  3. Кто из коллег будет иметь права работы с ПД. Соответственно кто будет отвечать за соблюдения всех актов и норм.
  4. Какие применяются меры в вопросе сохранения и неразглашения.
  5. Порядок передачи фактов о физическом лице внутри фирмы и третьим лицам.
  6. Процедура уточнения информации по персональным данным, порядок их блокировки и удаления.

Особенности предоставления личных данных

В части 1 ст. 9 Закона № 152-ФЗ имеется ремарка, что согласиться гражданин может только в полном сознании и понимании того, что делает. Целью данного регламента является обеспечение права и свободы гражданина, в том числе на неприкосновенность частной жизни, а также семейные тайны.

Гражданин вправе отказаться в любое время от ранее данного согласия, если у него нет желания на их разглашение. Тем более, если такие сведения каким-то образом ущемляют его права и интересы. Сделать это можно, написав заявление в определенном формате. Оформить это нужно в двух экземплярах, один остается на руках с отметкой о вручении второго оператору.

Однако во многих организациях, в том числе и при трудоустройстве, использование данных о человеке является обязательным для заключения договорных отношений. При таком условии отказаться от предоставления нельзя.

Кроме соглашения на использование ПД необходимо получить положительное решение на передачу 3-м лицам.

Есть определенные исключения, когда лица могут передавать вышеописанные данные гражданина без его согласия. К таким случаям относится:

  • при передаче в инспекцию по налогам и военный орган;
  • при запрашивании милицией или прокурором;
  • службе в случае возникновения угроз для жизни и здоровья человека;
  • по письму трудовых инспекторов;
  • при тяжком нанесении вреда жизни и здоровью в соответствующие инстанции.

При этом кредитное учреждение, банковские работники, сотрудники страховых компаний в этот перечень не входит. Туда информация попадает с согласия от руки личности.

Ответственность за нарушения

За несоблюдение требований предусмотрена административная ответственность. Согласно статье 13.

11 Кодекса РФ об административных правонарушениях наказание не такое уж и серьезное – предупреждение либо штраф в размере от 500 до 1 000 рублей (для гражданских лиц), в диапазоне 5 000 — 10 000 рублей (для юр. лиц).

Такая относительно легкая ответственность несоизмерима со сложностью и громоздкостью самого документа. В настоящее время на рассмотрении находятся поправки к закону, согласно которым штрафы могут быть увеличены до 300000 рублей.

Наряду с такой легкой формой наказания в законе есть информация о возможности возбуждения уголовного дела в определенных случаях.

Закон принят — значит его нужно соблюдать, своевременно отслеживая поправки и изменения.

Подробнее о передаче персональных данных смотрите ниже на видео.

Рекомендуем другие статьи по теме

Источник: http://znaybiz.ru/kadry/rezhim/trudovaya-disciplina/peredacha-personalnyx-dannyx.html

Особенности получения согласия на обработку персональных данных

Обработка персональных данных без согласия субъекта

Под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту ПД)[1].

Если закон устанавливает обязанность получить согласие субъекта ПД на их обработку, оператор не имеет права принуждать этого субъекта к подписанию соответствующего соглашения. Гражданин принимает решение о предоставлении его ПД и дает согласие на их обработку свободно, своей волей и в своем интересе (п. 1 ст. 9 Закона о персональных данных).

Если субъект ПД недееспособен, согласие на обработку дает его законный представитель (например, если субъект – ребенок, его представляет один из родителей). Если субъект ПД мертв, согласие необходимо получить у его наследников (при условии, что это согласие не было дано субъектом ПД при жизни)[2].

Роскомнадзор в Разъяснениях[3] указывает, что работодатель вправе обрабатывать персональные данные работника без получения соответствующего согласия в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка (являющимися обычно приложением к коллективному договору), соглашением, а также локальными актами.

А вот при привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан получить согласие работников на передачу их персональных данных.

Пунктом 2 ст. 9 Закона о персональных данных предусмотрена возможность субъекта ПД отозвать свое согласие на их обработку. Там же оговаривается возможность такой обработки без согласия субъекта ПД в случаях, установленных законом.

Форма согласия на обработку ПД

Согласие на обработку ПД может быть дано субъектом ПД или его представителем в любой форме, позволяющей подтвердить факт его получения (если иное не установлено федеральным законодательством (п. 1 ст. 9 Закона о персональных данных).

Роскомнадзор в Разъяснениях рекомендует согласие работника либо оформлять в виде отдельного документа, либо закреплять в тексте трудового договора. Требования такого документа указаны в ч. 4 ст. 9 Закона о персональных данных.

Согласие в письменной форме должно включать в себя, в частности:

  1. фамилию, имя, отчество, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;
  2. фамилию, имя, отчество, адрес представителя субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПД);
  3. наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПД;
  4. цель обработки персональных данных;
  5. перечень ПД, на обработку которых дается согласие субъекта ПД;
  6. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  7. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки;
  8. срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва, если иное не установлено федеральным законом;
  9. подпись субъекта персональных данных.

Если согласие на обработку ПД составляется в форме электронного документа, оно должно быть подписано электронной подписью – таково требование п. 4 ст. 9 Закона о персональных данных.

Некоторые вопросы получения согласия субъекта ПД на их обработку

Что нужно учитывать, когда условие об обработке ПД является частью документа, например, договора?

Когда условие об обработке ПД является неотъемлемой частью подписываемого документа:

  1. согласия должно быть конкретным и информированным, то есть включать сведения, позволяющие субъекту ПД однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных. Законом о персональных данных установлены требования к форме такого согласия (которые разберем ниже).
  2. Документ должен предусматривать возможность отказа от данного условия, поскольку согласие добровольное.

Возьмем в качестве примера Постановление Девятого арбитражного апелляционного суда от 20.04.2015 № 09АП-9095/2015-АК. Гарантийная мастерская вынудила клиента подписать приложение к заявлению о сдаче товара, включающее пункт о согласии на обработку персональных данных.

Согласие было неотъемлемой частью приложения, имело типовую форму с заранее определенными условиями, что не позволяло потребителю влиять на его содержание. Кроме того, приложение не предоставляло возможности отказаться от этого условия.

Суд признал ремонтную организацию виновной в нарушении Закона о персональных данных.

Получатель жилищной субсидии не дает согласия на обработку персональных данных по религиозным соображениям. Имеет ли он право на получение госуслуги?

Когда обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Законом о госуслугах[4], для обеспечения предоставления такой услуги, для регистрации субъекта ПД на едином портале государственных и муниципальных услуг, согласие субъекта ПД на обработку указанной информации не требуется.

Статьей 6 Закона о персональных данных определены условия обработки персональных данных, в том числе указаны случаи, когда допускается обработка ПД без согласия на это субъекта ПД, среди которых и получение госуслуги. Из буквального толкования названной нормы следует, что каждый из таких случаев является самостоятельным основанием обработки персональных данных.

Обращаясь с заявлением о предоставлении жилищной субсидии и указывая в нем необходимые данные, а также прилагая к нему предусмотренные законодательством документы, получатель госуслуг фактически выражает согласие на передачу и обработку своих персональных данных, требуемых для предоставления услуги.

Ни Законом о персональных данных, ни Законом о госуслугах не установлено, что обработка персональных данных гражданина в целях предоставления ему государственных или муниципальных услуг должна осуществляться только с его письменного согласия. Гражданин имеет право получать госуслуги даже без предоставления письменного заявления на обработку своих персональных данных.

Рассмотрим Апелляционное определение Костромского областного суда от 16.05.2012 по делу № 33-703А. При подаче документов в МФЦ гражданка не стала подписывать заявление о согласии на сбор ее персональных данных, в связи с чем ей было отказано в выплате субсидии.

Суд первой инстанции признал действия сотрудников МФЦ правильными, поскольку обработка персональных данных заявителя сотрудниками МФЦ может осуществляться только с письменного согласия.

Нежелание дать такое согласие – основание для отказа в приеме заявления и комплекта документов на предоставление государственных и муниципальных услуг.

Вывод суда о том, что МФЦ как оператор персональных данных обязан обеспечить их защиту, соответствовал нормам Закона о персональных данных и Закона о госуслугах.

Вместе с тем последующие выводы о невозможности обработки персональных данных без письменного согласия получателя госуслуг и обоснованности отклонения документов на предоставление субсидии апелляционный суд признал ошибочными, поскольку заявление о предоставлении госуслуги с приложенными к нему документами получатель не отзывал, от предоставления услуги не отказывался. А отзыв заявления о согласии на обработку персональных данных, получение которого в силу закона необязательно, не являлся основанием для невозможности предоставления госуслуги. Тем более что у оператора были основания продолжить обработку персональных данных без согласия субъекта ПД.

Субъект ПД уклоняется от исполнения договора (не платит по счетам) и не хочет, чтобы кредитор беспокоил его звонками. Может ли субъект отозвать согласие на обработку своих персональных данных?

Обработка персональных данных может быть продолжена даже после того, как субъект ПД направил требование о ее прекращении, если правоотношения, возникшие между сторонами, продолжаются.

Рассмотрим в качестве примера Апелляционное определение Пермского краевого суда от 14.10.2015 по делу № 33-11127/2015. При заключении кредитного договора гражданин дал согласие на обработку ПД, а впоследствии обратился с заявлением об отзыве этого согласия. Банк отказался исполнить требования клиента, поскольку у него имелась просроченная задолженность.

Суд первой инстанции, а затем и апелляционный суд, куда обратился должник, указали, что согласие на обработку персональных данных действительно может быть отозвано субъектом персональных данных (п. 2 ст. 9 Закона о персональных данных).

Однако в случае отзыва субъектом ПД согласия на обработку оператор все равно может ее продолжить при наличии на то законных оснований.

Одно из таких оснований установлено п. 5 ч. 1 ст. 6 Закона о персональных данных: обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет выгодоприобретателем или поручителем.

Как следует из содержания данной нормы закона, согласие субъекта ПД на обработку персональных данных не требуется, если она осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД.

Поскольку субъект ПД задолженность перед банком не погасил – договор не расторгнут, для взыскания недостающих сумм кредитная организация вправе продолжать обработку ПД и после отзыва субъектом ПД своего согласия.

Случается и другое – оператор обрабатывает персональные данные лица, не участвующего в договоре, которые предоставлены другой стороной при заключении сделки. Например, получатель кредита указывает телефоны своих близких родственников, по которым можно с ним связаться.

Оператор может получить такие данные иным путем, если другая сторона не выполняет обязательства по договору.

Но следует помнить, что в рассматриваемом случае обработка полученных оператором персональных данных незаконна, несмотря на то, что это могло бы помочь исполнению договора.

Объект ПД, не давший своего согласия на обработку ПД и не являющийся стороной договора, имеет право потребовать прекратить незаконно использовать полученные сведения, а также компенсировать моральный и материальный вред, полученный в результате указанных действий.

Рассмотрим Апелляционное определение Верховного Суда Республики Карелия от 14.09.2015 по делу № 33-3094/2015. При заключении договора по просьбе сотрудника банка клиент предоставил телефон своей супруги.

После несвоевременного внесения очередной суммы обязательного платежа сотрудники банка стали звонить женщине с требованием посодействовать в возвращении долга. В первом же разговоре жена должника сообщила, что не согласна на использование ее персональных данных, и просила прекратить их обработку.

Однако звонки с угрозами и требованиями продолжали поступать. Суд, куда обратилась истица, признал действия банка незаконными, потребовал прекратить обработку персональных данных и выплатить женщине компенсацию морального вреда, поскольку ст.

17, 24 Закона о персональных данных предусмотрено право субъекта ПД на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Вправе ли прокурор потребовать от медучреждения предоставить персональные данные пациентов, больных наркоманией, если согласия на такую обработку ПД эти пациенты не давали?

Прокурор или иное должностное лицо имеет право на получение персональных данных в том числе пациентов больницы, если обработка данных необходима для осуществления и выполнения возложенных на него законодательством РФ функций, полномочий и обязанностей.

Источник: https://law.kolomnaonline.ru/osobennosti-polucheniya-soglasiya-na-obrabotku-personalnyh-dannyh.html

Обработка персональных данных в 2018: как избежать штрафа

Обработка персональных данных без согласия субъекта

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы 

ОснованиеРазмер штрафа
ФизлицаДолжностные лицаЮрлицаИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДнпредупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до
10 000 руб.
предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб.от 10 000 до 20 000 руб.от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДнот 700 до 1500 руб.от 3000 до 6000 руб.от 15 000 до 30 000 руб. от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработкепредупреждение или штраф — от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 6000 руб.предупреждение или штраф — от 20 000 до 40 000 руб.предупреждение или штраф — от 10 000 до 15 000 руб. 
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)предупреждение или наложение штрафа в размере от 1000 до 2000 руб.предупреждение или штраф — от 4000 до
10 000 руб.
предупреждение или штраф — от 25 000 до 45 000 руб.  предупреждение или штраф — от 10 000 до 20 000 руб. 
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копированияот 700 до 2000 руб.от 4000 до
10 000 руб.
от 25 000 до 50 000 руб.от 10 000 до 20 000 руб. 
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДнпредупреждение или наложение административного штрафа — от 3000 до 6000 руб. 

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:  

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?  

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан. 

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора  

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально.

 На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.         

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.

1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft.

 Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда.

 За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн. 

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;  
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

Чтобы выполнить все требования закона об обработке персональных данных, следуйте бесплатной инструкции и разрабатывайте необходимые документы без изучения 152-ФЗ.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ обеспечения конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно ч. 2 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

5 базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов 

Источник: https://kontur.ru/articles/4816

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.