Согласие на обработку персональных данных

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Согласие на обработку персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Все правила обращения с личной информацией регулирует Федеральный закон №152-ФЗ «О персональных данных». Согласно статье 3 этого закона, персональными данными можно назвать любую информацию, которая касается непосредственно физического лица — субъекта этих данных. К информации личного характера следует отнести все паспортные данные: Ф. И. О., дату и место рождения, возраст, место проживания, семейный статус.

Общедоступные данные по-новому

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

Образец заполнения бланка

Согласие на обработку персональных данных — это документ свободной формы, поэтому в каждой организации разрабатывают подходящий вариант шаблона. Но условия согласия на обработку персональных данных говорят о том, что в документе обязательно должна быть такая информация:

• наименование компании;
• место и дата оформления документа;
• Ф. И. О., паспортные данные субъекта;
• Ф. И. О. человека, который представляет интересы компании;
• Ф. И. О. и должность сотрудника, который будет производить обработку данных;
• объяснение цели работы с предоставленными данными;
• перечисление конкретных сведений о работнике, которые будут обрабатывать;
• срок, в течение которого документ считается актуальным;
• способ отказа от согласия;
• подпись сотрудника.

Что входит в заявление о согласии на обработку персональных данных

Примеры заполнения есть в свободном доступе в большом количестве. Документ составляют на основании положений пункта 4 статьи 9 Федерального закона № 152-ФЗ, указывая:

• паспортные данные субъекта;
• сведения о представителе и его праве представлять интересы гражданина;
• сведения об операторе ПДн, которому дается разрешение на хранение, изменение, блокировку и прочие операции;
• перечисление информации, подлежащей передаче и обработке;
• технологию использования ПДн;
• лиц, которых компания либо ИП собираются привлечь для обработки;
• срок действия соглашения;
• порядок отзыва разрешения;
• оригинал подписи заявителя;
• дату подписания.

Хранение и использование персональных данных

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.

Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).

Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.

Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.

• Законы в сфере сбора и обработки ПД ужесточились, контроль усилился, а штрафы выросли;
• Почти все юридические лица и ИП, которые собирают информацию о пользователе на сайте, считаются операторами персональных данных и попадают под действие 152-ФЗ.
• Закон чётко не определяет, что такое персональные данные. К ним относится любая информация о пользователе: имя, фамилия, телефон, ссылка на профиль в социальных сетях и другое.

Чтобы соблюдать 152-ФЗ, как минимум, надо:

• зарегистрироваться как оператор ПД,
• составить политику обработки ПД и согласие на обработку персональных данных,
• повесить на сайт уведомление о сборе метаданных;

Суть охраны персональных данных в 2020 году

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных”.

Обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (статья 3 Закона).

В силу п. 1 ст. 6, ст. 9 Закона о персональных данных обработка персональных данных осуществляется с согласия работника.

Поскольку в случае возникновения спора доказать получение согласия работника на обработку его персональных данных должен работодатель (ч. 3 ст. 9 Закона о персональных данных), лучше оформить такое согласие письменно.

Если у работодателя уже есть согласие работника на обработку персональных данных, то получать новый документ на 2019-2020 год не нужно.

В силу абз. 11 п. 5 Разъяснений Роскомнадзора получать согласие на обработку персональных данных нужно не только у работника, но и у соискателя. Однако если от имени соискателя действует кадровое агентство, с которым он заключил соответствующий договор, либо соискатель сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц, то согласие на обработку его персональных данных не требуется.

Что делать, если сотрудник отказывается подписывать согласие?

Иногда встречаются ситуации, когда при приеме на работу некоторые люди отказываются подписывать соответствующие документы из-за своих личных убеждений. В большинстве своем, они вызваны опасениями, связанными с возможным использованием персональных данных в целях, которые могут нанести вред их владельцу. Эти опасения связаны в основном с незнанием законов, которые, наоборот, призваны защитить его персональные данные.

Закон в этом случае гласит о том, что предприятие не имеет права трудоустроить такого человека, так как тем самым оно нарушает закон, и может быть привлечено к ответственности. Получается, что избежать этой процедуры не удастся, так как, согласно делопроизводству, на предприятии должны храниться ксерокопию документа, удостоверяющего личность, оригинал трудовой книжки, копия диплома, и другие, в зависимости от профессии. Все это персональные данные, согласие на обработку которых получено не было.

Единственный случай, когда можно применять обработку персональных данных без согласия их владельца, только в том случае, когда нужно реализовать новые цели по условиям договора, заключенного ранее, и это действует только с принятыми в штат сотрудниками.

В любой момент человек давший согласие на обработку персональных данных может написать заявление об отзывы написанного ранее документа, однако, никакого реального эффекта данная мера не имеет, так как человек получившие на это право может им пользоваться в полной мере.

Заявление согласия на обработку персональных данных — образец и бланк 2023 года

Строгой формы согласия на обработку персональных данных законодательство не дает, каждый оператор вправе разработать этот документ и использовать его в работе. Но Законом № 152 определены обязательные реквизиты, которые должны присутствовать в этом документе:

• ФИО гражданина, а также полные реквизиты гражданского паспорта или иного удостоверения личности;
• в случае, когда в интересах гражданина выступает представитель, то в согласии указываются его ФИО, паспортные данные, а также реквизиты документа на право представлять интересы;
• наименование организации, осуществляющей функции оператора обработки личных данных, кому дается согласие;
• цели, для которых осуществляется обработка данных, а также какие данные конкретно подлежат обработке;
• общее описание тех вариантов обработки, которые возможно произвести со сведениями, способы обработки;
• с какого момента согласие действует и способ его отзыва;
• личная подпись гражданина, составившего документ.

Можно ли отменить или аннулировать соглашение

Со временем у гражданина может возникнуть ситуация, при которой он против, чтобы производилось использование ранее им переданных данных. При этом нужно обязательно выяснить, производил ли он подписание письменного соглашения на их обработку.

Если нет — то он должен обращаться в суд, поскольку был нарушен закон о неприкосновенности личной жизни. Если же согласие на обработку данных он давал, то нужно произвести его отзыв.

Внимание! Заявление на отзыв нужно составлять в двух копиях. Одна остается у оператора, у которого отзывается разрешение, а на второй нужно попросить поставить отметку о получении запроса. По закону, в течение оговоренного срока получатель заявления должен письменно ответить на него.

Если заявление на отзыв отправляется по почте, то делать это желательно заказным письмом как по фактическому, так и по юридическому адресам.

Производить отзыв рекомендуется в следующих случаях:

• После выплаты кредита банку;
• После пользования услугами организаций, в которых для их получения необходимо было сообщать сведения о себе;
• При переводе ребенка в другую школу;
• При смене места работы;
• При завершении лечения в медицинских центрах.

Что должны знать работодатели?

При оформлении согласия работника на обработку персональных данных работодатели должны руководствоваться нормами ст. 86 и 87 ТК РФ. Так, в соответствии с п. 3 ст. 86 ТК РФ, в случае, если ПД работника могут быть запрошены только у третьей стороны, то работника потребуется заранее уведомить о таком запросе, а также получить от него письменное согласие на получение соответствующих персональных данных. Работодатель сообщает работнику о целях, вероятных источниках и механизмах получения ПД, о характере таких данных, а также о последствиях отказа работника предоставить письменное согласие, о котором идет речь.

Предприятия обязаны самостоятельно составлять нормативные положения по обработке персональных сведений по работникам. Выбранный порядок необходимо закрепить в отдельном локальном акте.

Одна из обязанностей работодателя — защита персональных данных.

Этот элемент подразумевает реальный выбор и контроль для субъектов данных. GDPR предусматривает, что если субъект данных не имеет реального выбора, чувствует себя быть вынужденным согласиться или понести ущерб не согласившись, то такое Согласие считается незаконным. Если Согласие включено в условия обслуживания как неизменная его часть, то оно не считается данным добровольно. Соответственно, Согласие не считается добровольным, если субъект данных не может отказаться или отозвать его без неблагоприятных последствий для себя. Понятие дисбаланса между контролером и субъектом данных также учитывается в GDPR.

Оценивая, добровольно ли дано Согласие, следует также принимать во внимание конкретную ситуацию связи его с соглашениями о предоставлении услуг, как это описано в статье 7(4). Статья 7(4) сформулирована неточно словами “в частности”, что означает, что может существовать целый ряд ситуаций, которые подпадают под действие этой нормы. В общем случае, любой элемент давления или влияния на субъекта данных (который может проявляться различными способами), препятствующий субъекту данных осуществлять свою свободную волю, делает Согласие незаконным.

Пример 1
Мобильное приложение для редактирования фотографий просит своих пользователей активировать GPS-геолокацию для использования его услуг. Приложение также сообщает своим пользователям, что будет использовать собранные данные для поведенческой рекламы. Ни геолокация, ни поведенческая реклама в Интернете не являются необходимыми для редактирования фотографий и выходят за рамки основной услуги. Поскольку пользователи не могут использовать приложение без Согласия, оно не считается данным добровольно.

Кто такие операторы и что они делают

В статье 3 закона № 152-ФЗ сказано, что оператором является лицо, которое организует и осуществляет обработку персональных данных. Все работодатели, как юрлица, так и ИП, являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус, практически не ограничен.

Это любое лицо, которому человек доверил информацию о себе, подписав согласие на обработку персональных данных на сайте или в бумажном варианте. Отдельное внимание уделим понятию обработки личной информации. О ней везде говорят, но никто толком не знает, что это такое. Тогда как часть 3 все той же статьи 3 закона № 152-ФЗ регламентирует это понятие как любое действие (или их совокупность), совершаемое с личной информацией. Под действиями законодатели понимают:

• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление или уничтожение данных.

Все операции проходят или в бумажном ручном режиме, или с использованием средств автоматизации, в том числе в режиме онлайн. На все эти действия оператор обязан получить от владельца одобрение: например, заполненный бланк согласия на обработку персональных данных для родителей (в детском саду или школе).

Когда чаще всего требуется согласие

Учебные, медицинские, государственные и другие учреждения достаточно часто просят личную информацию с разрешением на ее обработку. Наиболее часто она запрашивается:

• при трудоустройстве;
• при оформлении ребенка в школьное или дошкольное учреждение;
• при составлении договора финансовой или страховой организацией.

Разрешение использовать информацию обязан получить каждый оператор. Но закон предусматривает исключения при определенных обстоятельствах:

• При сборе информации федеральными службами;
• Для оказания государственных услуг;
• Для судебных разбирательств;
• Для защиты прав гражданина, когда нет возможности получить его согласия;
• Для защиты прав третьих лиц;
• Журналистам разрешено использовать некоторые данные без согласия гражданина;
• Если на законном основании открытые данные стали доступны, их также можно использовать без разрешения.

Во многих других ситуациях разрешение − необходимое условие для использования информации. При этом каждый гражданин, подтверждая такой документ, должен иметь представление о том, в каких целях будет использоваться информация. Например, если после покупки магазин просит вашего разрешения, чтобы оповещать об акциях, это четко должно быть сформулировано.

Похожие записи:

• Как оплачивается больничный лист после увольнения – порядок и особенности
• Особенности оплаты труда при суммированном учете рабочего времени
• Как по СНИЛС узнать свои пенсионные накопления