Соглашение о персональных данных при передаче паспорта

Зачем нужно согласие на обработку персональных данных — Право на vc.ru

Соглашение о персональных данных при передаче паспорта

Хотите иметь дело с проверкой Роскомнадзором своего ИТ-продукта или сайта? А потом ещё платить штраф, нести ответственность?

Думаю, что нет. Поэтому, давайте, начнём разбирать что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов.

Немного теории

Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

1) нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

– Физическое лицо: предупреждение или штраф в размере 1 000 – 3 000 рублей;

– Должностное лицо: штраф в размере от 5 000 – 10 000 рублей;

– Юридическое лицо: штраф в размере 30 000 – 50 000 рублей;

2) Обработка персональных данных без согласия гражданина приведет:

– Физическое лицо: штраф в размере 3 000 – 5 000 рублей;

– Должностное лицо: штраф в размере от 10 000 – 20 000 рублей;

– Юридическое лицо: штраф в размере 15 000 – 75 000 рублей;

3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:

– Физическое лицо: штраф в размере 700 – 1 500 рублей;

– Должностное лицо: штраф в размере от 3 000 – 6 000 рублей;

– Индивидуальный предприниматель: штраф в размере от 5 000 – 10 000 рублей

– Юридическое лицо: штраф в размере 15 000 – 30 000 рублей;

Первоначально определимся с основными понятиями и поймём, что же они значат (неформальное объяснение по тексту будет обозначаться “Д”, это от слова description):

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Д: это любая совокупность информации, через которую можно определить определенного человека. К примеру, абстрактная электронная почта, допустим posledni_kaktus_naokne@bk.

ru – не относится к ПД, однако электронная почта с рабочим адресом допустим, ivan.ivanov@romashka.ru с подписью в письме “Главный инженер” – относятся к персональным данным, т.к.

мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации “Ромашка”.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Д: это вы, собирающий персональные данные. Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека – и вот вы уже владелец персональных данных в лице оператора.

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Д: это любые действия, которые вы совершаете как оператор.

Самый большой штраф как вы видите – это за сбор ПД гражданина без согласия, поэтому в статье будем говорить в основном об этом.

Определим сразу случаи, когда согласие на обработку ПД не надо собирать в соответствии с законодательством Российской Федерации:

1. Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.

Д: когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.

2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Д: когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные. Сюда подходит и оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент когда собираете ПД – наступает раньше.

3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.

Д: вы обезличиваете данные физического лица и “размываете” их в море других данных, соответственно определить кому что принадлежит – невозможно даже вам.

4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

Д: данный пункт не относится к интернет-проектам, но для понимания ситуации, пример, когда приезжает частная медицинская бригада и оказывает помощь.

5. Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.

Д: если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги – нет необходимости требовать согласия на обработку ПД.

6. Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

7. Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Д: не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством Российской Российской Федерации.

Во всех остальных случаях, при контакте и сборе ПД от физического лица – вы должны получать его согласие и иначе никак – закон есть закон!

Что делать

Теперь разберём как собирать ПД и получать согласие.

Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных.

Если у вас юридическое лицо или вы – индивидуальный предприниматель – вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии.

Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах – относится не только к работе с потребителями, но и с работниками.

Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.

Самое главное по теме.

Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.

При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!

Немного юридического обоснования чекбоксов, а как называет Роскомнадзор – “галочек”:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:

“4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью…”.

Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:

“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме.

Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.

Подать уведомление об обработке ПДн в Роскомнадзор.

В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД.

За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется:

– политика обработки персональных данных;

– приказ об утверждении вышеуказанной политики;

– согласие на обработку персональных данных;

– чекбокс с гиперссылкой на вышеуказанное согласие.

Всё это требуется опубликовать на сайте и / или в приложении.

И зачем всё это вообще?

Для чего же это вообще нужно? Зачем нужно беспокоиться о персональных данных и о получении согласия пользователя на их обработку?

Конечно, это прежде всего административная (штрафы, блокировка) и гражданская (причинение вреда) ответственность – такие вещи могут очень серьёзно повлиять на бизнес. Но есть ещё такая штука как частная жизнь граждан, как злоупотребление правом и недобросовестная реклама продавцов.

Я на 100% уверен, что каждый из нас не любит, когда на телефон приходит спам, реклама, а посередине ночи будит смс или звонок с просьбой “срочно перевести деньги, а то в тюрьму посадят”. А всё это происходит из-за ненадлежащего исполнения лицами, осуществляющими сбор персональных данных, своих обязательств.

И согласие на обработку ПД – всего лишь часть механизма, который должен обеспечивать нашу с вами защиту как граждан и повышать социальную ответственность.

К сожалению, такие полезные институты и механизмы могут превратиться в инструмент для давления… И мы как юристы должны эффективно использовать законы и максимально обезопасить бизнес от этого.

Так что, если вы выполнили все условия и шаги из настоящей статьи, то поздравляем – вы не только уменьшили вероятность быть оштрафованным и привлеченным к ответственности (работа с ПД физических лиц лишь небольшая часть правовой политики ИТ-продукта), но и сделали шаг к социально-ориентированному Интернет-пространству, уважающему личные данные пользователей!

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать

Источник: https://vc.ru/legal/46868-zachem-nuzhno-soglasie-na-obrabotku-personalnyh-dannyh

Обработка персональных данных в 2018: как избежать штрафа

Соглашение о персональных данных при передаче паспорта

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы 

ОснованиеРазмер штрафа
ФизлицаДолжностные лицаЮрлицаИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДнпредупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до 10 000 руб.предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб.от 10 000 до 20 000 руб.от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДнот 700 до 1500 руб.от 3000 до 6000 руб.от 15 000 до 30 000 руб. от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработкепредупреждение или штраф — от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 6000 руб.предупреждение или штраф — от 20 000 до 40 000 руб.предупреждение или штраф — от 10 000 до 15 000 руб. 
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)предупреждение или наложение штрафа в размере от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 10 000 руб.предупреждение или штраф — от 25 000 до 45 000 руб.  предупреждение или штраф — от 10 000 до 20 000 руб. 
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копированияот 700 до 2000 руб.от 4000 до 10 000 руб.от 25 000 до 50 000 руб.от 10 000 до 20 000 руб. 
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДнпредупреждение или наложение административного штрафа — от 3000 до 6000 руб. 

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:  

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?  

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан. 

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора  

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально.

 На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.         

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.

1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft.

 Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда.

 За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн. 

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;  
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

5 базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов 

Источник: https://kontur.ru/articles/4816

Соглашение о персональных данных при передаче паспорта

Соглашение о персональных данных при передаче паспорта

Совершать действия можно только тогда, когда он не выступает против. Существует перечень встречающихся фактов, когда такое согласие обязательно должно писаться от руки. Например, использование сведений о национальности, предпочтении в политических взглядах, какие-либо факты о том, насколько здоров субъект и о его закрытой жизни.

Также подобного соглашения никто не уполномочен размещать ПД (персональные данные) в известные всем каналы, например, в интернет.

Что такое объект ПД? Это прежде всего:

  1. информация о болезнях и лечении.
  2. данные, характеризующие конкретную личность;
  3. факты того, женат/замужем ли человек;
  4. факты, по которым можно опознать, а также сведения о предках и биографии;

Объекты персональной информации можно встретить в таких документах, как:

  1. паспорт гражданина либо какой-то другой ценный носитель удостоверения личности;

Соглашение о неразглашении персональных данных — образец

П.

На практике работник обычно подписывает соглашение, обязательство или иной документ, из содержания которого явствует, что требования законодательства и локальных актов организации, права и обязанности ему разъяснены, и он обязуется не разглашать ставшие ему известными персональные данные.

Как правило, в таком документе указываются: инициалы и должность работника (с его подписью и указанием даты и места составления документа); перечень

Соглашение о передаче персональных данных

Условия передачи персональных данных: Субъект ПД должен подтвердить свое согласие на обработку персональных данных, передаваемых через любые веб-формы на сайте Оператора ПД, либо путем заполнения специального поля перед отправкой персональных данных, либо самим фактом отправки данных, если специальное поле отсутствует.

Перед отправкой своих персональных данных Субъект ПД должен ознакомиться с содержанием Политики.

Оператор ПД размещает в веб-формах на своем сайте ссылку на текст Политики, для того чтобы Субъект ПД имел возможность ознакомиться с содержанием Политики перед отправкой своих персональных данных.

Субъект ПД дает согласие на обработку Оператором ПД своих персональных данных, не являющихся специальными или биометрическими, в том числе номера контактных телефонов, адрес проживания, адреса электронной почты, место работы и занимаемая должность, сведения

Рекомендуем прочесть:  Снилс 147 821 092 71

Согласие на обработку персональных данных

Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу.

Это:

    фамилия, имя, отчество; дата и место рождения; сведения из паспорта, трудовой книжки и прочих документов; а также некоторые характеристики его личности.

При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.

Владельцев сайтов могут оштрафовать на 75 000 ₽ за персональные данные

Процедура занимает много времени, штрафы маленькие, поэтому проверяют редко и не всех.С 1 июля выписывать протоколы будет Роскомнадзор — дело пойдет быстрее.Персональные данные — это любые данные о человеке, по которым его можно идентифицировать.

В законе нет перечня таких данных, поэтому приходится догадываться самим. Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте — можно.

Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:фамилию,имя,отчество,какой-то физический адрес,электронную почту,телефон,дату или место рождения,фотографию,ссылку на персональный сайт или соцсети,профессию,образование,уровень доходов,семейное

Меры по защите персональных даных сотрудников

Согласно этим законам, прежде чем вступить в контакт с прежним работодателем, новый наниматель должен получить согласие на это кандидата на рабочее место.

У нас в соответствии с ТК РФ под персональными данными подразумевается информация, необходимая работодателю в связи с установлением трудовых отношений и касающаяся конкретного работника (ст. 85).

При этом законодатель не устанавливает перечня таких сведений.

А это означает, что круг сведений и вид информации, которые составляют персональные данные работника, компаниям следует определять в локальном нормативном акте, но в пределах, установленных федеральным законодательством.

Другой документ, где дается характеристика персональным данным, – это ФЗ № 152 «О персональных данных». В нем указывается, что персональные данные – это любая информация, относящаяся к определенному или определяемому на ее основе физическому лицу (субъекту персональных данных).

Договор на обработку персональных данных — образец

Нередко организация, собирающая ПД, сама не осуществляет обработку, а заключает соглашение об этом с третьими лицами.

Скачать образец договора на обработку персональных данных можно по ссылке: . Договор на обработку ПД в соответствии с ч.

3 ст. 6 закона № 152-ФЗ:

  1. заключается между оператором и лицом, осуществляющим обработку ПД (при оформлении в качестве договора поручения — доверителем и поверенным);
  2. предполагает получение согласия лиц, чьи данные обрабатываются (в отдельных случаях, установленных законодательством, получение согласия не требуется).

Также согласно указанной норме закона № 152-ФЗ:

  1. в поручении об обработке ПД определяется цель обработки и перечисляются действия с ПД;
  2. закрепляется обязанность поверенного соблюдать конфиденциальность ПД, обеспечивать безопасность ПД и требования к защите ПД.

В связи с заключением

Передача персональных данных третьим лицам в 2019 году

Проверьте, соответствует ли ваша политика новым правилам. Компания должна утвердить Положение о защите персональных данных и другие локальные акты, но они не заменят Политику, выбрать один из документов не получится. Если у вас такого документа еще нет, срочно утвердите.

Это:

  1. Налоговые органы;
  2. Органы исполнительной власти, расследующие несчастные случаи в компании.
  3. Трудовая инспекция;
  4. Пенсионный фонд;
  5. Фонд соцстрахования;

Очевидно, что отказ служащего от посредничества нанимателя во взаимодействии с этими учреждениями невозможен.

Источник: http://pallada-sar.ru/soglashenie-o-personalnyh-dannyh-pri-peredache-pasporta-46046/

152-ФЗ: Согласие на обработку персональных данных и пресловутая Политика конфиденциальности

Соглашение о персональных данных при передаче паспорта

СМИ пишут об изменениях в законе о персональных данных, согласно которым с июля 2017 года требуется получать согласие на обработку персональных данных во всех случаях, когда пользователь интернета предоставляет какие-либо свои данные. Мол, даже под любой формой обратной связи на сайте должно быть согласие на обработку персональных данных.

Пишут, что и Роскомнадзор надо уведомить о том, что компания по указанной выше причине является оператором персональных данных.

Предупреждают, что нарушение правил обработки персональных данных приведет к наложению штрафа в размере 300.000 руб. Такого размера штрафа в ст. 13.11 КоАП нет, это сумма максимальных штрафов по всем перечисленным в статье нарушениям правил обработки персональных данных.

Разберемся в этой надуманной проблеме получения согласия на обработку персональных данных!

Рассмотрим:

  1. В каком случае не требуется получать согласие на обработку персональных данных.
  2. В каких случаях нужно уведомлять Роскомнадзор об обработке персональных данных.
  3. Что считать персональными данными.
  4. Когда нужны Политика конфиденциальности на сайте и Положение о персональных данных.
  5. Когда согласие на обработку персональных данных должно содержать полные паспортные данных.

C июля 2017 года изменения были внесены не в закон №152-ФЗ о персональных данных, а в ст. 13.11 Кодекса об административных правонарушениях. Иными словами, требования к обработке персональных данных остались прежними, изменили наказание за нарушение закона.

1. Согласие на обработку персональных данных не требуется, если данные нужны для исполнения договора или сделаны общедоступными по желанию субъекта

Вот оно то, что Роскомнадзор, многие юристы и следом предприниматели как будто в законе не замечают.

Ну правда, разве интернет-магазин заинтересован в персональных данных своих клиентов? Нет!

  • Имя нужно, чтобы как-то обращаться,
  • имейл, чтобы поддерживать связь, а теперь еще (тоже с июля 2017) и отправлять онлайн чек (в связи с этим очаровательным пакетом изменений, называемым “онлайн кассы”),
  • телефон, чтобы держать связь в целях доставки товаров,
  • адрес, чтобы доставить товар,
  • хотите возраст, социальное положение? зачем? Чтобы делать индивидуальные предложения, давать таргетированную рекламу? Так и укажите!
  • И так далее.

Вы можете собирать много данных, но все они нужны для совершения вами какого-то действия в отношении cyбъeктa персональных данных. То есть реально они вам нужны для исполнения договора с ним. Вот это и должно быть в вашем договоре.

Пункт 5.8 Правил ВКонтакте: “Поскольку Администрация Сайта осуществляет обработку персональных данных Пользователя в целях исполнения настоящих Правил, в силу положений законодательства о персональных данных согласие Пользователя на обработку его персональных данных не требуется”.

Это так просто! Никакой паники. Никаких штрафов. Никаких согласий на обработку персональных данных.

Закон 152-ФЗ о персональных данных

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия cyбъeктa персональных данных на обработку его персональных данных;

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных)…

Помните, однако, что ряд действий требует согласия (например, передача данных службе доставки), поэтому имеет значение, как данные предоставляются и как это юридически оформлено. Надежнее получить консультацию и заказать документы юристам.

2. Уведомление Роскомнадзора об обработке персональных данных

Штраф за неуведомление Роскомнадзора согласно ст. 19.7 КоАП составляет для юрлиц до 5.000 руб.

Большинству лиц не требуется уведомлять Роскомнадзор об обработке персональных данных!

Сейчас в реестре операторов, осуществляющих обработку персональных данных, около 388 тыс. лиц. В их числе нет, например, ВКонтакте.

Вы же не поверите в логику, что крупнейшей социальной сети не требуется “регистрироваться” в качестве оператора, а вашему интернет-магазину, интернет-сервису или вообще простому сайту-визитке с формой обратной связи вдруг необходимо?

Смотрим раздел 1 настоящей статьи – когда не требуется получать согласие на обработку персональных данных. В указанных же ситуациях не требуется уведомлять и Роскомнадзор об обработке персональных данных.

Не вносите вклад в дурную практику получения согласия на обработку персональных данных всегда и везде (как это рекомендуют делать юристы сомнительного уровня, например, Единого центра документов).

3. Что относится к персональным данным?

Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 федерального закона от 27.07.2006 №152-ФЗ “О персональных данных”).

Ни закон, ни подзаконные акты не содержат четкого указания на то, что относится к персональным данным.

Серьезные проблемы связаны с “определяемым” физическим лицом. Определяемым кем и как? По интернету любым лицом с проведением собственного поиска (насколько глубокого, насколько профессионального?)? В результате общения со знакомыми? Детективом? Полицией? ФСБ? Судом?

В ряде случаев полные ФИО и регион относили к персональным данным, в ряде – нет.

Можно написать целую статью, но к однозначному выводу о том, что всегда будет относиться к персональным данным, а что никогда не будет, на текущий момент невозможно.

Например, можно ли номер паспорта сам по себе считать персональными данными? Едва ли. А номер телефона? Тоже. Но при появлении других сведений, например: имени и фамилии (прямо относятся к субъекту персональных данных) или идентификация человека через обстоятельства, известные события и т.п. (косвенно относятся), – то в связке с другими сведениями они могут стать персональными данными.

Именные ящики в собственных доменных именах, вероятно, могут быть сами по себе отнесены к персональным данным, а с помощью имейла типа fantasticcreature@ya.ru напрямую лицо не установить, разве что косвенно – через поиск по соответствующему адресу в интернете.

4. Политика конфиденциальности, Положение о персональных данных

Вот на это действительно надо обратить внимание.

Закон называет оператором персональных данных любое лицо, которое осуществляет любые действия с персональными данными. Хочется верить, цель законодателя едва ли была настолько глупой, чтобы фактически любое лицо провозгласить оператором персональных данных.

Однако согласно федеральному закону от 27.07.2006 №152-ФЗ “О персональных данных” любой владелец сайта, через который собираются персональные данные (даже в целях исполнения заказов), должен иметь на сайте Политику конфиденциальности (штраф – до 30.000 руб.

), а каждому работодателю или даже индивидуальному предпринимателю без работников, но заключающему договоры с физлицами, желательно иметь Положение об обработке персональных данных, которое по запросу Роскомнадзора он сможет предоставить в качестве доказательства принятия мер по защите обрабатываемых персональных данных (один из самых простых способов).

К слову, Роскомнадзор нередко трактует положения закона так, что Положение об обработке персональных данных как локальный документ (для внутреннего использования) должен быть у любого оператора персональных данных.

Подробнее в статье Политика конфиденциальности для сайта и Положение о персональных данных.

Наши юристы помогут вам разобраться в том, относится ли получаемая вами информация к персональным данным, и помогут правильно составить юридические документы, избавив от необходимости получать согласие на обработку персональных данных, т.к. в большинстве случаев персональные данные обрабатываются для исполнения договора с субъектом персональных данных.

5. Когда согласие на обработку персональных данных должно содержать полные паспортные данные

Не правда ли, очаровательно: хотите получить согласие на обработку достаточно ограниченного объема персональных данных, но обязаны потребовать целиком ФИО, адрес, паспортные данные. В противном случае – платим штраф до 75.000 руб.

Но закон!

Статья 9 ФЗ №152 от 27.07.2006 “О персональных данных”. Согласие субъекта персональных данных на обработку его персональных данных

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.

Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом…

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Статья 13.11 КоАП. Нарушение законодательства Российской Федерации в области персональных данных

2.

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, –

влечет наложение административного штрафа на граждан в размере от 3.000 до 5.000 рублей; на должностных лиц – от 10.000 до 20.000 рублей; на юридических лиц – от 15.000 до 75.000 тысяч рублей.

Случаи, в которых согласие на обработку персональных данных должно быть обязательно в письменной форме (а соответственно, должно включать в себя полные паспортные данные лица):

  • персональные данные предоставляются для размещения в общедоступных источниках (к которым относятся и сайты в интернете, но у них есть свои особенности по сравнению, в частности, с приведенными в законе примерами – справочниками и адресными книгами);
  • данные касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, если они не сделаны субъектом персональных данных общедоступными;
  • биометрические персональные данные (отпечатки пальцев, рост, вес, фотографии лица и другие), если они используются оператором для установления личности субъекта персональных данных, при этом Роскомнадзор полагает, что идентификация стороны по договору по паспорту, в том числе копирование паспорта в этих целях, не относится к обработке биометрических персональных данных, т.к. цели иные, т.е. такие данные обрабатываются на общих основаниях;
  • при проведении автоматических розыгрышей и иные случаи, когда юридические последствия порождаются исключительно компьютером (например, розыгрыши скидок, призов среди клиентов);
  • другие случаи, предусмотренные законодательством.

Источник: http://www.kolosov.info/kommentarii/soglasie-na-obrabotku-personalnyh-dannyh-i-politika-konfidencialnosti

Юрист спасет
Добавить комментарий