Lazurnensky.ru

Обзорный аналитик
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

Согласие на обработку персональных данных: бланк 2021

Рекомендации по составлению документа на 2021 год с учетом требований действующего законодательства

Сегодня особенно актуальными среди многих групп пользователей стали вопросы защиты персональных данных. Статистика говорит о возрастании случаев завладения денежными средствами и/или имуществом граждан при помощи их личных данных. Поэтому как организация так и физическое лицо должны внимательно относится к вопросу передачи и приема персональных данных.
В статье мы коснемся по большей части вопросов, связанных с оформлением согласия на обработку персональных данных для юридических лиц.

Изменения в законе о персональных данных с 1 марта 2021 года

Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.

Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. С 1 марта 2021 года изменился порядок обработки персональных данных, разрешенных гражданами для распространения.

2. Согласие на распространение персональных данных теперь оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных.

3. Получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. Нужно заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

4. Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора.

5. Гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц.

6. По новым правилам физлицо в любое время может обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа.

7. Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет штраф для ИП и должностных лиц организаций от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Существующий правовой пробел позволял любым третьим лицам осуществлять сбор и последующее бесконтрольное использование общедоступных персональных сведений, в том числе и в социальных сетях. Причем собранные таким образом сведения зачастую используются третьими лицами в целях, отличных от цели их первоначального распространения, – для рассылки рекламы, предложения услуг и т.д.

Новые правила исключают для операторов персданных и третьих лиц подобную возможность и устанавливают четкие правила дачи согласия на распространение и обработку общедоступных личных сведений.

Одновременно вступившие в силу поправки регламентируют процедуру отзыва согласия на распространение общедоступных персональных данных, а также определяют последствия несоблюдения операторами порядка получения согласия на их обработку и распространение.

Все это позволит избежать бесконтрольного использования третьими лицами общедоступных сведений о гражданах вопреки целям их первоначального получения и обработки.

НЕТ ЮВЕНАЛЬНОЙ ЮСТИЦИИ, СНИЛС и УЭК.

-> 1. Подаем заявление, фиксируем на своем экземпляре входящий номер. -> 2. Через месяц присылают ответ. -> 3. Ответ направляем Н.Н. Мишустину на [email protected] для оценки правомерности действий (бездействия).

1. Образец отказа от электронного гражданства к президенту: http://vk.com/doc-63909415_276670939

2. Образец отказа от согласия на обработку персональных данных (в общем виде): http://vk.com/doc-63909415_276671177

3. Список уполномоченных организаций РФ УЭК: http://vk.com/doc-63909415_347061619

4.а Инструкция для родителей об отказе на сбор персональных данных в школах или почему везде требуют СНИЛС (дата:13-02-2017) Скачать в формате doc; txt; pdf.

4.б В помощь родителям при запросе документов школой или почему везде требуют СНИЛС (дата:20-03-2017) Скачать в формате doc; txt; pdf.

5. Образец отказа на обработку персональных данных при зачислении в 1-ый класс (дата:13-02-2017) Скачать в формате doc; txt; pdf.

6. В ПФ РФ и в ЗАГС о запрете передачи данных о рождении ребенка из отдела ЗАГС (против чипизации младенцев) (дата:15-02-2017) Скачать в формате doc; txt; pdf.

7.а Образец заявления в школу против обработки персональных данных в отношении ребенка (дата:15-02-2017) Скачать в формате doc;

Требования к содержанию согласия на распространение персональных данных

Роскомнадзор планирует запустить единую информационную систему для управления согласиями персональных данных, разрешенных для распространения. Пока этой системы нет, единственным возможным способом получения согласия является предоставление согласия непосредственно оператору.

Согласие не всегда должно быть в письменной форме. Допускается любая форма, позволяющая подтвердить факт его получения.

Письменная форма согласия требуется в случаях, если распространяются персональные данные, для обработки которых требуется письменная форма.

Каждый оператор должен разработать свой бланк согласия или веб-форму, предусмотрев в нем обязательные сведения, которые утвердил Роскомнадзор. Единой формы нет, Роскомнадзор утвердил лишь требования к содержанию согласия

Вот краткий чек-лист содержания согласия:

  1. Фамилия, имя, отчество субъекта.
  2. Контакты субъекта: номер телефона, адрес электронной почты или почтовый адрес субъекта.
  3. Наименование оператора персональных данных, ИНН, ОГРН и адрес, указанный в ЕГРЮЛ.
  4. Сведения об информационных ресурсах, где будут распространятся персональные данные.
  5. Цель или цели распространения персональных данных.
  6. Категории и перечень персональных данных, распространение которых субъект разрешает.
  7. Категории и перечень персональных данных, для распространение которых субъект устанавливает условия и запреты. Заполняется по желанию субъекта.
  8. Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников. Заполняется по желанию субъекта.
  9. Четко определенный срок действия согласия.

Подробнее о каждом пункте читайте ниже. Читайте обязательно, потому что если согласие будет получено с нарушением или будет указана не вся информация, то считайте, что согласия нет. А за обработку персональных данных без согласия — новые штрафы и блокировка сайта.

Форма согласия на обработку персональных данных

Согласие может быть дано субъектом или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта полномочия данного представителя на дачу согласия от имени субъекта проверяются оператором персональных данных. [1] Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных лежит на операторе персональных данных.

Согласно п.4 ст.9 Федерального закона N 152-ФЗ «О персональных данных», согласие должно включать в себя следующее:

  1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  2. фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  3. наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  4. цель обработки персональных данных;
  5. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  6. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  7. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  8. срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  9. подпись субъекта персональных данных.
Читать еще:  Как оформить лист рассылки и лист ознакомления с приказом? Их можно объединить?

Помимо собственноручной подписи субъекта персональных данных, может быть использована электронная подпись. В данный момент законом не предусмотрен, но рассматривается вариант, когда Согласие является публичной офертой, опубликованной на сайте, а акцептом (согласием с условиями публичной оферты) какое-либо действия, например регистрация. Примерами являются сайты Роскомнадзора и сервиса «Б-152».

Шаблон согласия на обработку персональных данных бывает разным, но главное, чтобы были правильно заполнены пункты, требуемые законом. Как правило, на штрафы попадают те компании, которые не собирают согласия на обработку персональных данных или неправильно составляют согласие.

Законодательная база Российской Федерации

Бесплатная горячая линия юридической помощи

  • Энциклопедия ипотеки
  • Кодексы
  • Законы
  • Формы документов
  • Бесплатная консультация
  • Правовая энциклопедия
  • Новости
  • О проекте
Бесплатная консультация
Навигация
Федеральное законодательство
  • Конституция
  • Кодексы
  • Законы

Действия

  • Главная
  • ФЕДЕРАЛЬНЫЙ ЗАКОН от 27.07.2006 N 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительного согласия не требуется.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

Согласие на обработку данных, разрешенных к распространению

Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя.

Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.

Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).

В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.

Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.

Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.

Заполняем уведомление об обработке персональных данных в Роскомнадзор. Как избежать ошибок?

Если неправильно заполнить уведомление об обработке персональных данных, то впоследствии со стороны Роскомнадзора могут последовать штрафы. Например, бывает, что не указывают все информационные системы персональных данных или не могут предоставить договор с арендуемым дата-центром. Между тем, Роскомнадзор уделяет уведомлению большое внимание на проверках, сверяя описанный в нем порядок обработки персональных данных с фактическим.

Рассказывает:

Павел Новожилов,

руководитель группы консалтинга Центра информационной безопасности компании «Инфосистемы Джет»

К омпания до начала обработки персональных данных (ПДн) обязана уведомить Роскомнадзор о своем намерении обрабатывать ПДн (кроме некоторых исключительных ситуаций). Это указано в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (Закон № 152-ФЗ).

Если компания направит уведомление с ошибками, представители регулятора могут не отреагировать сразу на все несоответствия, заметив только наиболее грубые. Но когда в компании будет проверка, от внимания проверяющих не ускользнут даже мелкие ошибки. Обнаружив, что сведения в уведомлении не соответствуют фактическому порядку обработки ПДн, Роскомнадзор может выдать предписание об устранении нарушений, а в случае невыполнения этих требований в установленный срок и оштрафовать.

Что не стоит указывать в качестве правового основания для обработки ПДн?

Правовыми основаниями для обработки ПДн могут быть нормативные правовые акты:

  • Гражданский и Трудовой кодексы,
  • Федеральный закон «Об исполнительном производстве»,
  • Приказы Минздравсоцразвития,
  • положения и инструкции Банка России и т.д.

Кроме этого, к основаниям относятся учредительные документы оператора ПДн, договоры с субъектами ПДн и их согласия на обработку. О последних при заполнении уведомления часто забывают.

Многие указывают в качестве правового основания в уведомлениях и во внутренних документах сам Закон № 152-ФЗ. Это ошибка.

Как заполнить раздел об информационных системах персональных данных?

Для начала рекомендуем определиться с перечнем информационных систем персональных данных (ИСПДн). Ими могут быть, например, SAP HR, 1C ЗУП, Siebel и другие. Как правило, организации оформляют такой перечень документально.

Затем следует обратить внимание на группу ИСПДн. Как таковые группы нигде не определены, поэтому каждая компания самостоятельно принимает решение о группировке. На практике группировка выполняется по системам, имеющим схожую архитектуру и единую категорию обработки ПДн.

Хотя Закон № 152-ФЗ и допускает деление ИСПДн на группы, важно учитывать, что указываемые о них данные могут применяться не ко всем информационным системам. Приведем простой пример: трансграничная передача ПДн может осуществляться только в двух информационных системах из восьми, входящих в ИСПДн.

Читать еще:  Опись вложения к заказному письму: образец, правила составления, особенности

Что указать о месте размещения базы данных?

Не так давно появилось требование вносить в уведомление сведения о местонахождении базы данных ПДн граждан РФ (подп. 10.1 п. 3 ст. 22 Закона № 152-ФЗ). На практике это значит, что организация должна указать, какой использует центр обработки данных (ЦОД, дата-центр): собственный или арендованный.

Если организация арендует ЦОД, то нужно убедиться в наличии договора с арендованным дата-центром, так как в ходе проверки его придется предоставить специалистам Роскомнадзора. Информацией о размещении ЦОД обладают ИТ-специалисты.

Важно разобраться, где происходит первичный сбор ПДн россиян. При проверке представители Роскомнадзора будут обращать внимание на зарубежные дата-центры, указанные в уведомлении, и к этому стоит подготовиться заранее. Напомним, что за первичный сбор ПДн граждан РФ с использованием базы данных за пределами России компаниям грозят штрафы от 1 млн до 6 млн руб. за первое нарушение и от 6 млн до 18 млн руб. за повторное (ч. 8 ст. 13.11 КоАП РФ).

На заметку

Если организация собирает ПДн граждан РФ с использованием базы данных действительно через иностранный ЦОД, то тогда будет штраф по ч. 8 ст. 13.11 КоАП РФ. Но бывает, что организации собирают ПДн на территории РФ, а потом выполняется их передача в информационные системы, размещенные в зарубежном ЦОД. То есть нарушения не будет, если актуализация данных и ввод осуществлялся в базах данных на территории РФ, так как дальнейшая передача в иностранные ЦОД не запрещена при соблюдении данного условия.

Как быть с трансграничной передачей ПДн?

В случае трансграничной передачи персональных данных при заполнении уведомления необходимо обратить внимание на два важных нюанса.

Во-первых, нужно убедиться в наличии договора с компанией, куда они передаются, поскольку он может понадобиться представителям Роскомнадзора во время проверки.

Во-вторых, следует проверить, какие именно страны в нем указаны. Дело в том, что в договоре могут быть прописаны как конкретные страны, так и указана их группа, объединенная по какому-либо признаку: СНГ, страны всего мира, страны Европы и т.д. Если в договоре используется общая формулировка, например, «страны Европы», то в уведомлении их необходимо перечислить. В противном случае проверяющие могут расценить это как нарушение и выписать организации соответствующее предписание.

Что указывать в описании мер и средств обеспечения безопасности?

Если смотреть раздел уведомления «Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ», то тут указываются меры из постановлений Правительства от 06.07.2008 № 512, от 01.11.2012 № 1119, от 15.09.2008 № 687. Например, могут быть указаны следующие меры:

  • в компании разработана модель угроз;
  • определены уровни защищенности ПДн при их обработке в ИСПДн;
  • определен перечень лиц, осуществляющих обработку ПДн неавтоматизированным и автоматизированным способами.

Если смотреть раздел «Описание мер, предусмотренных статьями 18.1. и 19 Закона № 152-ФЗ», то необходимо указать выполняемые оператором меры защиты, указанные в данных статьях. Например:

  • назначено ответственное лицо за организацию обработки ПДн;
  • в компании проводится оценка вреда субъектам ПДн;
  • установлены правила доступа к ПДн.

В части подраздела «средства обеспечения безопасности» перечисляют подсистемы обеспечения защиты ПДн. Например, средства управления доступом, средства межсетевого экранирования, средства антивирусной защиты и др.

БЛИЦ-ОПРОС

Какую указывать дату начала обработки персональных данных в уведомлении? Если указать реальную дату, то есть позже начала работы, не будет ли это поводом для проверки Роскомнадзора из-за того, что компания не сразу подала уведомление?

— Как правило, указывается дата, с которой компания начала работать и, как следствие, обрабатывать ПДн. Если организация отправит уведомление гораздо позже, Роскомнадзор может сразу обратить на это внимание, расценить как несоответствие Закону № 152-ФЗ и выдать предписание о его устранении. В большинстве же случаев поводом для проверки становятся публикации об утечках в СМИ и обращения граждан, по которым выявлено нарушение.

Если компания обрабатывает cookies, то нужно ли указывать об этом в разделе «Другие категории персональных данных, не указанные в данном перечне»?

— Да, такую информацию необходимо указывать.

Что делать, если процесс обработки ПДн изменился после отправки уведомления?

Операторы персональных данных обязаны сообщать в Роскомнадзор обо всех изменениях, которые происходят после подачи уведомления (п. 7 ст. 22 Закона № 152-ФЗ). Для внесения изменений в ранее поданное уведомление я рекомендую выполнить следующее:

  • зайти на сайт Роскомнадзора;
  • заполнить обязательные поля информационного письма;
  • заполнить поля информационного письма, в которые внесены изменения;
  • после заполнения полей информационного письма отправить его в информационную систему Роскомнадзора;
  • распечатать заполненную форму информационного письма и подписать внутри своей организации;
  • направить по почте подписанную форму информационного письма в территориальный орган Роскомнадзора по месту регистрации организации.

Когда можно не подавать уведомление в Роскомнадзор?

Существует девять исключений, когда уведомление в Роскомнадзор можно не заполнять (п. 2 ст. 22 Закона № 152-ФЗ). Однако в большинстве случае воспользоваться ими и не отправлять уведомление в Роскомнадзор не получится.

  1. Компания обрабатывает ПДн только своего персонала. Но на практике компании зачастую обрабатывают персональные данные соискателей, посетителей, клиентов, пользователей личного кабинета, контрагентов и т.д. Поэтому большинству организаций это исключение не подойдет.
  2. Компания получает ПДн при заключении договора и использует их исключительно для его исполнения, а сами данные при этом не распространяются и не передаются третьим лицам без согласия субъекта. На деле выполнить эти условия не так просто. Ведь организация может передавать ПДн значительному количеству третьих лиц, а наличие согласий на такие действия не всегда отслеживает. ПДн могут обрабатываться и в целях, отличных от тех, что указаны в договоре, например, для рассылки в маркетинговых целях. В подобных случаях применить это исключение не получится.
  3. Общественные объединения и религиозные организации обрабатывают ПДн своих участников для достижения законных целей, предусмотренных в их учредительных документах. Здесь, как и в предыдущем примере, есть важное и вместе с тем трудновыполнимое условие: персональные данные не должны распространяться или раскрываться третьим лицам без письменного согласия субъектов. Так что и это исключение применимо не для каждой общественной или религиозной организации.
  4. Субъект сам сделал свои персональные данные общедоступными. Сложность здесь заключается в том, что наряду с общедоступными данными компании, как правило, обрабатывают и другие категории ПДн, в том числе специальные и биометрические. Поэтому практически для всех организаций это исключение не применимо.
  5. Персональные данные включают только ФИО. Как подсказывает опыт подготовки организаций к проверкам Роскомнадзора, зачастую компании обрабатывают гораздо больше сведений о гражданах, поэтому это исключение также не применимо в большинстве случаев.
  6. ПДн обрабатываются для однократного пропуска человека на территорию оператора. Здесь также есть подводные камни, ведь организации могут обрабатывать ПДн и в других целях, например, при подборе кадров, оказании материальной помощи персоналу и т. д.
  7. ПДн обрабатывают государственные информационные системы (ГИС), созданные для защиты безопасности государства и общественного порядка. Часть информационных систем действительно может иметь такой статус. При этом в организации могут быть и другие системы, для которых данное исключение не действует. Например, если в них обрабатываются персональные данные для внутренних целей: ПДн соискателей, контрагентов и т. д.
  8. Компания обрабатывает ПДн без использования средств автоматизации при их защите по всем нормативным требованиям. Однако сегодня сложно представить себе компании, которые могли бы обойтись без информационных систем для обработки ПДн.
  9. ПДн обрабатываются для обеспечения транспортной безопасности. Организации транспортного комплекса, например, ж/д или авиаперевозчики, как и компании из других отраслей, могут обрабатывать персональные данные в других целях, и в этом случае данное исключение для них будет не применимо.

Таким образом, практически всем операторам ПДн необходимо направлять уведомление в Роскомнадзор.

Работа с заявлениями

Законодательство регламентирует порядок, в соответствии с которым осуществляется рассмотрение запросов субъектов персональных данных . На операторов, работающих с информацией, возлагается ряд обязанностей. В первую очередь при поступлении запроса необходимо сообщить субъекту или его доверенному лицу о наличии соответствующих данных. Оператору надлежит предоставить возможность ознакомиться с информацией в десятидневный срок с даты получения заявления.

В случае принятия решения о неудовлетворении запроса, уполномоченное лицо должно направить мотивированный ответ. В нем должна присутствовать ссылка на положения нормативного акта, предусматривающего соответствующее основание. Это необходимо сделать в семидневный срок с даты обращения носителя личной информации или получения заявления. Возможность ознакомления с данными предоставляется субъекту/представителю безвозмездно.

Читать еще:  Выписка из правил внутреннего трудового распорядка — образец

При необходимости оператор вносит в сведения изменения, уничтожает или блокирует информацию. Для этого субъект (представитель) предоставляет информацию, подтверждающую, что данные устарели, были получены противоправным способом, являются недостоверными и пр. О внесенных корректировках оператор уведомляет самого носителя сведений, а также сторонних лиц, которым они были переданы.

Персональные данные, разрешенные работником для распространения

Вторым новшеством, которое касается некоторых работодателей, можно назвать введение Федеральным законом от 30.12.2020 N 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» нового правового понятия: «Персональные данные, разрешенные субъектом персональных данных для распространения». Это понятие расширило перечень специальных категорий ПД, установленных статьей 10 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

Специальной категорией ПД являются персональные данные, разрешенные субъектом персональных данных для распространения, какими считаются данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном законодательством о ПД.

Немногие работодатели предоставляют неограниченному кругу лиц доступ к своей информации, доступ к ПД работников. Соответственно, немногие работодатели должны актуализировать свою деятельность, свои локальные акты, приводя их в соответствие с обновлениями, вступившими в силу 1 марта текущего года.

Те же работодатели, которые предоставляют доступ к ПД работников неограниченному кругу лиц, должны получить согласие субъекта ПД, к содержанию которого будут установлены единые требования.

Данные требования устанавливаются уполномоченным органом по защите прав субъектов персональных данных. В настоящий момент единые требования проходят общественные обсуждения в отношении текста проекта нормативного правового акта и независимую антикоррупционную экспертизу (https://regulation.gov.ru/projects#npa=112660).

Обратите внимание, что работодателям нужно будет актуализировать локальные акты после утверждения единых требований к содержанию согласия на обработку персональных данных, разрешенных их субъектом для распространения.

Кстати сказать, пунктом 2 статьи 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» работодателю как оператору ПД позволено осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных во многих случаях отношений работник – работодатель. В том числе и в случае наличия разрешенных субъектом персональных данных ПД для распространения.

Названные два из пяти изменений 2020 года Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» являются улучшением, защитой прав работника. Новшества обязывают работодателя актуализировать локальные акты. Согласно статье 12 Трудового кодекса Российской Федерации от 30.12.2001 № 197-ФЗ в случаях, когда вступает в силу закон, устанавливающий более высокий уровень гарантий работникам по сравнению с установленным локальным нормативным актом, локальный акт или его часть просто прекращают свое действие. Именно поэтому следует обратить внимание на текст положения о защите персональных актов и привести его в соответствие с действующим законодательством.

Тем более, что 27.03.2021 актуализированы нормы Кодекса Российской Федерации об административных правонарушениях от 30.12.2001 N 195-ФЗ, усугубляющие ответственность оператора персональных данных, ответственность должностных лиц, принимающих участие в процедурах обработки ПД.

В частности, новации статьи 13.11 КоАП за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных предусматривает наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от шестидесяти тысяч до ста тысяч рублей, с увеличением величины штрафа за повторность.

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть, влечет наложение административного штрафа на граждан в размере от шести тысяч до десяти тысяч рублей; на должностных лиц — от двадцати тысяч до сорока тысяч рублей; на юридических лиц — от тридцати тысяч до ста пятидесяти тысяч рублей. И это не предел.

Образец заявления об отзыве согласия на обработку персональных данных в банк

В Публичное акционерное общество

«Екатеринбургский Муниципальный Банк»

Юридический адрес: 620014, г. Екатеринбург, ул. 8 марта, д. 13

От Заемщика

Заявление

в банк об отзыве согласия на обработку персональных данных

Я, Л., заключил с Вашей организацией кредитный договор.

При установлении, осуществлении и защите гражданских прав и при исполнении гражданских обязанностей участники гражданских правоотношений должны действовать добросовестно.

В соответствии с ч. 1 ст. 420 ГК РФ договором признается соглашение двух или нескольких лиц об установлении, изменении или прекращении гражданских прав и обязанностей. В силу ст. 421 ГК РФ граждане и юридические лица свободны в заключении договора.

Понуждение к заключению договора не допускается, за исключением случаев, когда обязанность заключить договор предусмотрена настоящим Кодексом, законом или добровольно принятым обязательством.

В силу п. 2 ст. 433 Гражданского кодекса Российской Федерации, если в соответствии с законом для заключения договора необходима передача имущества, договор считается заключенным с момента передачи соответствующего имущества.

Согласно п. 1 ст. 807 Гражданского кодекса Российской Федерации по договору займа одна сторона (займодавец) передает в собственность другой стороне (заемщику) деньги или другие вещи, определенные родовыми признаками, а заемщик обязуется возвратить займодавцу такую же сумму денег (сумму займа) или равное количество других полученных им вещей того же рода и качества. Договор займа считается заключенным с момента передачи денег или других вещей.

В рамках оформления этого кредитного договора мной было подписано согласие на обработку персональных данных, что регламентируется 152-ФЗ «О персональных данных».

Данный закон призван обеспечить защиту прав и свобод гражданина при обработке его персональных данных, в том числе защиту права на неприкосновенность частной жизни, личную и семейную тайну. В связи с этим данный закон в ст. 9 закрепляет за мной возможность отозвать согласие на обработку персональных данных, что я и делаю данным заявлением.

Так, данный отзыв прав на использование и обработку персональных данных касается адреса моего места проживания и регистрации, адресов проживания моих родственников, знакомых и близких, а также бывших членов семьи, адресов моих работодателей. Также данный отзыв распространяется на мои сотовые и стационарные телефоны, а также сотовые и стационарные телефоны моих родственников и коллег.

У банка и всех аффилированных с ним учреждений всегда остается возможность оперативно связываться со мной посредством почтовой связи по адресу: указанному выше. Таким образом, данный отзыв ни в коей мере не нарушает права и интересы банка и третьих лиц. Любые другие конфликтные ситуации банк и аффилированные с ним организации могут разрешать в суде, как то установлено законодательством Российской Федерации.

В соответствии с 152-ФЗ «О персональных данных» в случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку. Также он должен обеспечить прекращение такой обработки, если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора. В случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, оператор должен уничтожить персональные данные или обеспечить их уничтожение, если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора.

Кроме того, настоящим уведомляю, что мои родственники и коллеги, которым поступили звонки по поводу моих кредитных обязательств, не давали ни банку, ни другим связанным с ним организациям согласия на обработку и использование своих персональных данных, в связи, с чем планируют обратиться в правоохранительные органы с заявлением о проведении проверки по ст. 137 УК РФ «Нарушение неприкосновенности частной жизни».

ПОЛЕЗНО: смотрите видео и узнаете, почему любой образец иска, жалобы лучше составлять с нашим адвокатом, пишите вопрос в комментариях ролика, подписывайтесь на канал YouTube

В случае, если после отзыва моего согласия нарушение моих прав продолжится, оставляю за собой право обратиться в правоохранительные органы с заявлением о совершении преступления, предусмотренного ст. 183 УК РФ «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну», а также в Роскомнадзор Российской Федерации.

Руководствуясь указанными выше обстоятельствами,

ПРОШУ:

  • С момента получения данного заявления в трехдневный срок прекратить обработку и передачу моих персональных данных третьим лицам.
  • Уведомить меня о результатах рассмотрения данного заявления письменно в установленный законом срок.

Автор статьи:

© адвокат, управляющий партнер АБ «Кацайлиди и партнеры»

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector