Как получить согласие на обработку персональных данных

Содержание

Персональные данные: информация для владельцев интернет-магазинов

Нам поступает большое количество вопросов и обращений в связи с тем, что с 1 июля 2017 года повышается административная ответственность за нарушение порядка работы с персональными данными. Поэтому мы решили подробно рассказать вам о том:

какие данные считаются персональными;
относитесь ли вы к операторам персональных данных;
что меняется в законодательстве;
что делать интернет-магазину – оператору персональных данных, чтобы избежать проблем.

Государство не перестает подкидывать бизнесу задачи для нескучной жизни, что, конечно, не является новостью, а скорее правилами игры.

Тенденция на урегулирование и контроль со стороны государственных органов всего, что относится к информации о физических лицах, сохраняется.

В этом наша страна двигается параллельно европейскому законодательству, где давно работает защита персональных данных, что, в принципе, само по себе неплохо.

Самое главное, что нужно понять: даже если вы относитесь к операторам персональных данных, то с этим можно спокойно жить и продолжать работать в этом статусе при соблюдении нескольких условий:

соблюдать принципы обработки данных (не запрашивать излишнюю информацию и не в целях сбора данных);
получить согласие лица на обработку его персональных данных (технически реализовать несложно);
опубликовать политику владельца сайта в отношении обработки персональных данных (технически реализовать несложно);
предоставить доступ к персональным данным их владельцам (если поступит запрос от клиента);
уточнить, блокировать или уничтожить персональные данные по требованию владельца (если попросит об этом);
обеспечить безопасность персональных данных при их обработке (защита от неправомерного доступа третьих лиц, копирования и т.п.).
серверы должны находиться на территории РФ.

Ниже мы расскажем подробности и что нужно делать сайтам и интернет-магазинам, чтобы работать дальше в нормальном режиме, когда можно не уведомлять Роскомнадзор об обработке персональных данных и дадим конкретные варианты шагов и готовые шаблоны документов.

Советуем не нарушать законодательство, не увеличивать риски для вашего бизнеса и все-таки соблюсти все нужные процедуры для операторов персональных данных, если вы понимаете, что есть совпадение хотя бы по нескольким пунктам, относящим сведения о ваших клиентах к персональным данным.

Современный маркетинг и успешная работа в интернет-бизнесе невозможны без сбора сведений о клиенте, его поведении и предпочтениях. Без этого не стоит рассчитывать на долгосрочный прибыльный интернет-проект. Поэтому, чтобы сайтам и интернет-магазинам спокойно работать после 1 июля, необходимо сделать несколько шагов, о которых пойдет речь ниже.

Какие данные считаются персональными?

Итак, какие сведения относятся к персональным данным в терминах Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных»?

Это — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). То есть персональные данные – это любые сведения о человеке, по которым можно его идентифицировать.

Закон не содержит полного и исключительного перечня таких сведений, отнесение данных к персональным и определение своего статуса (оператор или не оператор персональных данных) отдано на откуп владельцам сайтов.

Никакой проверки того, что данные относятся к конкретному физическому лицу закон не предусматривает. Поэтому получается, что владелец сайта фактически не знает вымышленные или нет данные ввел клиент, но от обязанностей по обработке персональных данных это его не освобождает.

И еще, нельзя забывать, что за нарушение норм Закона о персональных данных Роскомнадзор может привлечь к ответственности.

Судебная практика по этому вопросу разная, но тенденция прослеживается и она совпадает с разъяснениями Роскомнадзора относительного того, что относится к персональным данным:

фамилия
имя
отчество
паспортные данные
год, месяц, дата рождения
место рождения
адрес
семейное положение
социальное положение
имущественное положение
образование
профессия
доходы

На практике возникает множество вопросов: сайты при регистрации просят указать имя, электронную почту, иногда телефон (некоторые из этих полей могут быть необязательными*). Происходит ли сбор персональных данных при получении такой информации от пользователей? Однозначного ответа на вопрос нет — мнения специалистов в этой области расходятся.

Часть высказывается за то, что адрес электронной почты и номер телефона относятся к персональным данным, потому что с их помощью можно определить лицо. Другие говорят, что эти данные являются персональными только когда позволяют безошибочно идентифицировать человека, а отдельно взятый номер телефона или адрес электронной почты не являются персональными данными.

Судебная и административная практика склоняются к отнесению номера телефона к персональным данным, так как именно обладатель номера имеет право на распоряжение информацией о нем (например, разрешать использовать номер для рассылки по нему какой-либо информации).

Пока без ясного ответа остается вопрос — относится ли к персональным данным адрес электронной почты, из которого видны имя, фамилия и место работы человека. Скорее да, чем нет.

Относитесь ли вы к операторам персональных данных или нет?

Вы являетесь оператором персональных данных, если:

вы собираете на сайте вышеуказанную информацию о клиентах-физических лицах;
у вас есть форма обратной связи, подписки, регистрации;
у вас есть личный кабинет;
клиент может заполнить анкету на сайте;
на сайте возможно размещение объявления;
на сайте размещена кнопка обратного звонка.

Определить ваш статус (являетесь ли оператором персональных данных или нет) вам нужно самостоятельно исходя из вашей конкретной ситуации, настроек сайта, интернет-магазина, программных и технических средств, которые у вас установлены.

Вы не являетесь оператором персональных данных, если никаким образом не получаете, не храните и не обрабатываете вышеуказанную информацию в любом ее сочетании.

Что делать интернет-магазину – оператору персональных данных чтобы избежать проблем?

Есть и хорошие новости: 1.

В соответствии с пунктом 5 части 1 статьи 6 Закона «О персональных данных» допускается обработка персональных данных без согласия субъекта персональных данных, если она необходима для исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

2. Также оператор вправе без уведомления Роскомнадзора осуществлять обработку ПДн, полученных в связи с заключением договора, стороной которого является субъект ПДн (пп.2 п.2 ст.22 №152-ФЗ от 27.07.2006г. «О персональных данных»).

Для того, чтобы это применить на практике, нужно, чтобы обработке ПДн предшествовало заключение договора с покупателем или начало его оформления.

В реальности при регистрации или оформлении заказа покупатель оставляет на сайте персональные данные (то, что Роскомнадзор относит адрес, ФИО, телефон и е-mail к персональным данным, ведомство давно обозначило).

Получается, что такие ПДн обрабатываются на стороне интернет-магазина до заключения договора.

Поэтому владельцу магазина для того, чтобы сослаться на положения закона, которые его освобождают от:

получения согласия субъекта персональных данных на их обработку;
уведомления Роскомнадзора об обработке ПДн для включения в специальных реестр операторов ПДн

желательно сделать следующее – разделить публичную оферту на 3 документа:

Пользовательское соглашение, где прописаны: общие условия использования сайта, ответственность владельца сервиса, как защищаются права на сайт и его контент, разрешение рассылок пользователям различных уведомлений, порядок разрешения споров. Пользовательское соглашение – это договор присоединения, который принимается пользователем без оговорок в полном объеме. Пользовательское соглашение позволяет заранее урегулировать возможные конфликтные ситуации, связанные с тем, какой объем услуг и в каком порядке будет получать пользователь. Кроме того, этот вариант подойдет, если физические лица размещают на сайте организации или предпринимателя какую-либо информацию от своего имени. Пользовательское соглашение позволит владельцу сайта модерировать такую информацию.
Публичная оферта на дистанционную продажу товаров, в которой изложены условия и порядок заключения договора купли-продажи товара через интернет-магазин – мы уверены, что этот документ у вас давно есть на сайте и с ним нет никаких проблем;
Политика конфиденциальности, которая описывает порядок обработки ПДн в связи с заключением а) договора на использование сайта по пользовательскому соглашению и б) договора купли-продажи по оферте. Утверждается приказом владельца сайта и размещается в офисе на видном месте, на сайте и в мобильном приложении в общем доступе. Проще всего это реализовать, вставив ссылку на документ в футер.

Политика конфиденциальности должна включать следующие положения:

перечень информации, которую собирает и обрабатывает сайт: персональные данные, иные сведения (например, информация, собираемая в автоматическом режиме: IP, cookie и др.);
цель сбора персональных данных и для чего они будут использоваться (например, для маркетингового исследования и др.);
требования к защите ПДн, включая случаи, когда персональные данные могут быть переданы третьим лицам;
изменения персональных данных (пользователь должен иметь возможность редактировать свои данные);
изменение Политики (как правило, владелец вносит изменения без предварительного уведомления и одновременно для всех пользователей, поэтому последним следует периодически просматривать Политику).

То есть все просто и логично: под каждое действие физлица свой договор и условия обработки его ПДн.

Если все-таки сбор ПДн происходит до заключения договора или у вас есть сомнения в какой момент происходи сбор ПДн (а эти нюансы важны в спорах с Роскомнадзором), то владельцу интернет-магазина и сайта нужно сделать следующее, чтобы не получить штраф:

Под каждой формой ввода данных на сайтах и в мобильных приложениях (форма регистрации, заявки, обратной связи и т.д.

) разместить текст «Нажимая на кнопку «УКАЗАТЬ НАЗВАНИЕ КНОПКИ», я даю свое согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на сам документ. Смысл в том, чтобы пользователь не мог отправить свои персональные данные без согласия на их обработку.

В согласие нужно включить условия, которые установила часть 4 статьи 9 Закона о персональных данных. Например, наименование и адрес оператора, который получает согласие; цель обработки персональных данных; их перечень.

Что еще рекомендуется сделать, чтобы быть спокойными, что требования Закона о персональных данных выполнены?

1. Сайт и хостинг должны находиться на территории РФ. На этот счет беспокоиться не нужно, серверы InSales находятся в нашей стране, это уже давно реализовано.

2. На сайте указать e-mail, по которому физическое лицо может написать — обратиться с требованием об изменении, удалении его ПДн и задать любые вопросы по его ПДн.

Желательно, чтобы это был не общий почтовый ящик типа info, pochta, pishitepisma и т.п.

, а выделенный специально для этого адрес, куда будут приходить письма только по тематике ПДн (так меньше вероятность того, что они потеряются в общей куче, не попадут в СПАМ и вы не отследите ответы по ним).

Чем мы можем помочь нашим клиентам, чтобы вы могли привести свои сайты в соответствие с новыми правилами?

По ссылкам ниже вы можете скачать образцы документов для сайта:

— пользовательское соглашение

— политика конфиденциальности

— договор-оферта

Источник: https://www.insales.ru/collection/doc-other/product/personalnye-dannye-informatsiya-dlya-vladeltsev-internet-magazinov

Согласие на обработку персональных данных и его отзыв

Как получить согласие на обработку персональных данных

В соответствии со статьей 3 Закона о персональных данных обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Таким образом, любое действие с вашими персональными данными является их обработкой, т.е.

во всех случаях, когда вы предоставляете сведения о себе (фамилия, имя, отчество, данные документа, удостоверяющего личность, данные СНИЛС, ИНН, номер телефона и другую информацию о себе) лицо, которое получает такие данные их обрабатывает, поэтому в силу Закона № 152-ФЗ обязан хотя бы собрать и предпринять меры к их сохранности, т.е. — обработать.

Чаще всего люди сталкиваются с такой ситуацией при трудоустройстве.

Когда и как нужно получать согласие работника на обработку его персональных данных

Согласно пункту 1 статьи 6 и статье 9 Закона о персональных данных обработка персональных данных осуществляется с согласия работника.

Поскольку в случае возникновения спора доказать получение согласия работника на обработку его персональных данных должен работодатель (часть 3 статьи 9 Закона о персональных данных), целесообразно оформить такое согласие письменно.

Согласие работника на обработку персональных данных должно включать (часть 4 статьи 9 Закона о персональных данных):

Фамилию, имя, отчество, адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе.
При получении согласия от представителя работника — его фамилию, имя, отчество, адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя.
Наименование или фамилию, имя, отчество и адрес работодателя.
Цель обработки персональных данных.
Перечень персональных данных, которые подлежат обработке.
Фамилию, имя, отчество и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации.
Перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки.
Срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия.
Подпись работника.

При этом согласно части 2 статьи 9 Закона о персональных данных работник в любое время вправе отозвать согласие на обработку персональных данных. В таком случае продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в подпунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных.

24.12.

2012 Роскомнадзор в своих Разъяснениях «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» пояснил, что получать согласие на обработку персональных данных нужно не только у работника, но и у соискателя. Однако если от имени соискателя действует кадровое агентство, с которым он заключил соответствующий договор, либо соискатель сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц, то согласие на обработку его персональных данных не требуется.

Согласие не требуется и в тех случаях, когда:

обработка необходима в целях исполнения заключенного с работником договора или возложенных на работодателя обязанностей, функций и полномочий (п. п. 2, 5 ч. 1 ст. 6 Закона о персональных данных). К таким случаям относятся запросы уполномоченных гос. органов, передача сведений в ФСС и ПФР и некоторых других;
это предусмотрено коллективным договором, соглашением, а также локальными нормативными актами работодателя, принятыми в установленном ст. 372 ТК РФ порядке;
обязанность по обработке предусмотрена законодательством, в том числе для опубликования и размещения персональных данных работников в Интернете. К примеру, медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием Интернета, о своих медицинских работниках, уровне их образования, квалификации;
обработка сведений о состоянии здоровья работника касается возможности выполнения им трудовой функции (п. 2.3 ч. 2 ст. 10 Закона о персональных данных). Такая обработка допускается, например, в отношении сведений о состоянии здоровья педагогических работников (абз. 6 ч. 2 ст. 331 ТК РФ);
обработка персональных данных специальных категорий проводится органами прокуратуры при условии, что такие данные были получены в установленных законодательством РФ случаях (п. 7.1 ч. 2 ст. 10 Закона о персональных данных);
проводится обработка персональных данных близких родственников работника в объеме, предусмотренном личной карточкой Т-2, а также при получении алиментов, оформлении социальных выплат, допуска к государственной тайне и др.;
обработка персональных данных связана с выполнением работником своих трудовых обязанностей;
обработка персональных данных проводится в целях организации работодателем пропускного режима на территорию его служебных зданий и помещений;
персональные данные работника передаются третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных федеральными законами (абз. 2 ст. 88 ТК РФ);
обработка персональных данных осуществляется в отношении уволенных работников, например, в рамках бухгалтерского и налогового учета (пп. 5 п. 3 ст. 24 НК РФ, ст. 29 Федерального закона от 06.12.2011 № 402-ФЗ);
если данные получены:
- из документов (сведений), предъявляемых при заключении трудового договора в соответствии со ст. 65, ч. 4 ст. 275 ТК РФ;
- от кадрового агентства, действующего от имени соискателя;
- из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.

Согласие работника на получение работодателем персональных данных

При получении согласия на обработку персональных данных необходимо иметь в виду, что:

все персональные данные работника следует получать у него самого (п. 3 ст. 86 ТК РФ);
решение работника (соискателя) о предоставлении своих персональных данных должно быть добровольным, какое-либо давление на него недопустимо (п. 1 ст. 9 Закона о персональных данных);
принимая решение о предоставлении своих данных, работник дает согласие на их обработку (п. 1 ст. 9 Закона о персональных данных);
согласие должно быть конкретным, информированным и сознательным (п. 1 ст. 9 Закона о персональных данных). Не требуется согласие на обработку персональных данных работника (соискателя).

Образец согласия на обработку его персональных данных

Руководителю ООО «Ромашка» ______________ (ФИО)

от ______________________________________ (ФИО)

зарегистрированного по адресу: _________________

паспорт серии 00 00 № 123456 выдан __.__._______

_________________________________ (кем выдан)

Согласие на обработку персональных данных

Я, _____________________________ (фамилия, имя, отчество полностью), в соответствии со статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в целях:

обеспечения соблюдения законов и иных нормативных правовых актов;
заключения и регулирования трудовых отношений и иных непосредственно связанных с ними отношений;
отражения информации в кадровых документах;
начисления заработной платы;
исчисления и уплаты предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование;
представления работодателем установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ, сведений о налоге на доходы физических лиц, в ФНС России, сведений в ФСС РФ;
предоставления сведений в банк для оформления банковской карты и перечисления на нее заработной платы;
предоставления сведений третьим лицам для оформления полиса ДМС;
предоставления налоговых вычетов;
обеспечения моей безопасности;
контроля количества и качества выполняемой мной работы;
обеспечения сохранности имущества работодателя,

даю согласие

Обществу с ограниченной ответственностью «Ромашка» (ООО «Ромашка»), расположенному по адресу: _______________________, на автоматизированную, а также без использования средств автоматизации обработку моих персональных данных, а именно совершение действий, предусмотренных пунктом 3 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Перечень моих персональных данных, на обработку которых я даю согласие:

фамилия, имя, отчество;
пол, возраст;
дата и место рождения;
паспортные данные;
адрес регистрации по месту жительства и адрес фактического проживания;
номер телефона (домашний, мобильный);
данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации;
семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления мне льгот, предусмотренных трудовым и налоговым законодательством;
отношение к воинской обязанности;
сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
СНИЛС;
ИНН;
информация о приеме, переводе, увольнении и иных событиях, относящихся к моей трудовой деятельности в ООО «Ромашка»;
сведения о доходах в ООО «Ромашка»;
сведения о деловых и иных личных качествах, носящих оценочный характер.

Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.

__.__.______

__________/___________________ (подпись, расшифровка подписи)

Приложение № 1 к письму ФНС России от 12.10.2017 № БС-4-21/20636@ Форма по КНД 1150059

Типовая (рекомендуемая) форма согласия налогоплательщика — физического лица на обработку и распространение персональных данных в связи с необходимостью запроса налоговой инспекции в орган, организацию, должностному лицу, у которых имеются сведения, подтверждающие право налогоплательщика на налоговую льготу

Сведения о лице, выражающем согласие на обработку персональных данных:

Фамилия: __________________________________________________________________

Имя: ______________________________________________________________________

Отчество (при наличии): ___________________________________________________

Адрес: ____________________________________________________________________

Сведения о документе, удостоверяющем личность:

Вид документа: ____________________________________________________________

Серия и номер документа: __________________________________________________

Дата выдачи документа: ____________________________________________________

Орган, выдавший документ: _________________________________________________

согласия на обработку персональных данных:

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» в связи с поданным мною в налоговый орган заявлением от «__»________ 20__ г.

о предоставлении налоговой льготы по транспортному налогу, земельному налогу, налогу на имущество физических лиц (далее — заявление), в котором указаны мои персональные данные, настоящим выражаю согласие на их обработку, использование и распространение налоговым органом в целях и в объеме, необходимых для направления запроса в орган, организацию, должностному лицу, у которых имеются сведения, подтверждающие мое право на указанную в заявлении налоговую льготу.

Перечень персональных данных, на обработку которых дается настоящее согласие, совпадает с полным содержанием моих персональных данных, указанных в заявлении.

Настоящее согласие дается с момента получения налоговым органом моего заявления на срок, необходимый для завершения рассмотрения заявления, и может быть отозвано способом и в форме, совпадающими со способом и формой представления мною заявления.

Подпись субъекта персональных данных: _________________/_________________________/

Образец отзыва согласия на обработку его персональных данных

Как известно, свое согласие на обработку персональных данных можно отозвать в любое время. Для этого необходимо написать заявление. Оно пишется в свободной форме, но должно содержать определенные законом сведения. Такой отзыв может выглядеть так:

Руководителю ООО «Ромашка» ______________ (ФИО)

от ______________________________________ (ФИО)

зарегистрированного по адресу: _________________

паспорт серии 00 00 № 123456 выдан __.__._______

_________________________________ (кем выдан)

Отзыв согласия на обработку его персональных данных

Я, ______________________________ (ФИО полностью), в соответствии с частью 2 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», отзываю у общества с ограниченной ответственностью «Ромашка» согласие на обработку моих персональных данных.

Прошу прекратить обработку моих персональных данных в течение трех рабочих дней с момента поступления настоящего отзыва.

__.__.______

__________/___________________ (подпись, расшифровка подписи)

Источник: https://yuridicheskaya-konsultaciya.ru/trudovoe_pravo/soglasie-na-obrabotku-personalnyh-dannyh.html

Согласие на обработку персональных данных

Как получить согласие на обработку персональных данных

Если говорить начистоту, то мы думали, что после пика активности летом 2017 года, тему защиты персональных данных (далее в статье — ПДн) мы уже никогда поднимать не будем.

Нам казалось, что тема себя исчерпала… что она уже никому и никогда не будет интересна, так как почти у всех уже появилось понимание, что персональные данные нужно оберегать, как собственное дитя от шального внешнего мира.

Но как бы мы ни хотели сесть на единорога и добраться на нем в страну фантазии по радуге, факт остается фактом, наши с Вами персональные данные все еще под угрозой.

Лакмусовой бумажкой для наc, а значит и для регуляторов в этой области, является согласие на обработку ПДн.

И, к сожалению, мы вынуждены признать, что большинство согласий, которые мы видим в обычной жизни либо составлены безграмотно, либо не составлены вовсе.

Поэтому на всякий случай повторим для тех, кто в танке все еще не разобрался в вопросе.

Что такое согласие на обработку персональных данных и зачем его давать?

Это задекларированный факт того, что субъект ПДн (как правило Ваш клиент) разрешает обрабатывать его ПДн, а в некоторых случаях использовать их в маркетинговых целях. Но на маркетинговых целях остановимся чуть позже.

Почему этот факт должен быть задекларирован?

Потому что с точки зрения п.3 ст.9 Федерального закона “О персональных данных” ФЗ-152 (далее ФЗ-152) обязанность предоставить доказательство получения согласия или доказательство наличия оснований,не собирать такое согласие, возлагается на ОПЕРАТОРА, то есть на Вас.

О! Есть случаи, когда согласие можно НЕ собирать? Это какие?

Да, конечно, такие случаи есть и они описаны в п.2-11 ч.1 ст.6, ч.2. ст.10 и ч.2 ст.11. Если кратко (на самом деле не кратко, но максимально простыми словами), то вот такие случаи:

обработка осуществляется для выполнения функций возложенных на оператора законодательно;
обработка осуществляется в связи с участием лица в судебном процессе или необходима для исполнения судебного акта;
обработка осуществляется в целях предоставления государственных и муниципальных услуг;
субъект является стороной договора, по которому он является выгодоприобретателем;
обработка осуществляется для защиты жизни и здоровья субъекта, если получить согласие при этом невозможно;
обработка необходима для профессиональной журналистской, научной, литературной или др. творческой деятельности, если не нарушаются законные права субъекта ПДн;
обработка осуществляется в статистических целях, при условии обезличивания ПДн;
осуществляется обработка ПДн, которые субъект ПДн сам сделал общедоступными;
осуществляется обработка ПДн, которые подлежат обязательному раскрытию в соответствии с законодательством РФ;
обработка осуществляется в связи с международными договорами о реадмиссии*

_____________________________

* Реадмиссия (англ. to readmit — принимать назад) — согласие государства на приём обратно на свою территорию своих граждан (а также, в некоторых случаях, иностранцев, прежде находившихся или проживавших в этом государстве), которые подлежат депортации из другого государства.

_____________________________

в соответствии с законом “О переписи населения”;
обработка ведется в соответствии с трудовым законодательством;
обработка осуществляется в медицинских или медико-профилактических целях лицом профессионально занимающимся медицинской деятельностью, на которое распространяется законодательство о врачебной тайне;
осуществляется обработка ПДн членов общественной или религиозной организации самой организацией в соответствии с законодательством и ПДн не передаются без согласия субъекта;
обработка осуществляется в соответствии с законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, о порядке въезда и выезда, о гражданстве РФ;
при обработке органами прокуратуры в связи с осуществлением прокурорского надзора;
обработка осуществляется в соответствии с законодательством об обязательных видах страхования;
обработка осуществляется в соответствии с законодательством РФ в целях устройства детей, оставшихся без попечения родителей.

Если Ваша деятельность подпадает под какой-то один из этих пунктов, то ВОЗМОЖНО Вам можно и не брать согласие на обработку ПДн со своих клиентов. Но… это не точно.

Если Вы увидели что-то похожее на свою деятельность, то обязательно обратитесь к ФЗ-152 и сами почитайте перечисленные пункты, а также подкрепите свои знания законодательством в области Вашей деятельности.

Потому что задача по доказательству того, что Вам не обязательно брать согласие, лежит на Ваших плечах.

Что обязательно должно быть в согласии?

А теперь к вопросу, как грамотно составить согласие на обработку ПДн. С точки зрения нашего любимого ФЗ-152 в согласии обязательно должно быть:

полное ФИО субъекта ПДн;
адрес субъекта ПДн
номер основного документа, удостоверяющего личность, а также дата выдачи и кем выдан;
вся эта же информация о представителе субъекта ПДн, а также реквизиты документа, подтверждающие основания представителя действовать от лица субъекта (например, если субъектом является ребенок, то основанием действия родителя будет свидетельство о рождении ребенка или паспорт родителя с отметкой о ребенке);
наименование или полное ФИО, а также адрес оператора ПДн;
цель обработки ПДн (четкая и понятная);
перечень ПДн, на обработку которых дается согласие;
наименование или ФИО, а также адрес оператора по поручению, если таковой имеется (т.е. если Вы передаете обработку ПДн своих клиентов другому юридическому лицу, то клиент с этим тоже должен согласиться и знать об этом);
перечень действий, на совершение которых дается согласие (их можно подглядеть в ст.3 ФЗ-152);
срок в течение которого действует согласие;
подпись субъекта персональных данных.

Хороший вопрос, в таком случае мы в согласие обычно пишем так: “ФИО, адрес и реквизиты документа удостоверяющего личность обрабатываются исключительно в бумажном виде в целях получения согласия на обработку персональных данных.”

Как подписывать согласие?

Мы сказали о том, что в согласии на обработку ПДн обязательно должна быть подпись субъекта ПДн, но не сказали в каком виде. На данный момент ФЗ-152 предполагает, что согласие получается в письменной форме с собственноручной подписью субъекта или в форме электронного документа, подписанного электронной подписью.

А что делать, если мы с моим клиентом (субъектом ПДн) никогда не увидимся лично и электронной подписи у него нет?

В той же 9 статье ФЗ-152 в п.1 есть замечательное предложение “Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

” Также мы сделали официальный запрос регулятору (Роскомнадзору), хоть он и не уполномочен трактовать законодательство. В этом запросе мы напрямую спросили, подходит ли использование чек-боксов (это когда нужно поставить галочку) для получения согласия на обработку.

Так вот, регулятор ответил нам однозначно — подходит. Так что если Вы никогда не встретитесь со своими субъектами ПДн лично и электронных подписей быть у них не может, то единственная ваша возможность получить согласие, это сделать чек-бокс на сайте.

Но это не отменяет того, что Вы обязаны рассказать субъекту о политике защиты его ПДн, а также предоставить текст согласия в электронном виде.

Ошибка №1. Согласия нет в принципе.

Без комментариев, мы уже ответили на вопрос, зачем оно нужно и в каких случаях нет необходимости в согласии.

Ошибка №2. Не все данные указываются.

Еще раз просим Вас внимательно ознакомиться с перечнем информации, которая должна быть в согласии.

Ошибка №3. ПДн передаются третьим лицам, но при этом в согласии не указываются конкретные наименования.

Бывают такие ситуации, когда компании по тем или иным причинам не хотят говорить, кому передаются ПДн.

Уважаемые субъекты, нам кажется, что это повод задуматься о том, насколько прозрачно ведет свои дела компания, предоставляющая Вам услуги.

Сказать, кому они могут передать Ваши персональные данные, — это их святая обязанность, прописанная в законодательстве. Так что хватит юлить, указываем напрямую, кому передаем ПДн своих субъектов.

Ошибка №4. С точки зрения ФЗ-152 компания вовсе не обязана брать согласие и вроде бы все правильно, не берет, но при этом например размещает на своем сайте информацию о сотрудниках или передает ПДн третьим лицам.

Это 100% нарушение законодательства “О ПДн”. Даже если Вы можете не брать согласие на обработку ПДн субъектов, то Вы обязательно должны брать согласие на передачу ПДн третьим лицам, если обратное не установлено условиями законодательства, а также брать согласие на размещение ПДн на общедоступных ресурсах, чем и является сайт организации, доска почета, телефонный справочник и т.д.

Ошибка №5. Согласие на обработку ПДн заполняет сотрудник организации, спрашивая у субъекта его ПДн.

Напрямую нигде не прописано, что так делать нельзя, но в таком случае вырисовывается интересная картина. У вас появляется дополнительный канал утечки информации, что несомненно усложнить Вашу жизнь с точки зрения защиты ПДн, так что просто не делайте так.

И на сладкое поговорим немного о маркетинге.

Многие… очень многие компании собирают номера телефонов и адреса электронной почты для рассылки “полезной” информации об акциях и прочих крутых штуках (статьях, рекламе и т.д.). Так вот в ст.

15 ФЗ-152 черным по белому написано, что Вы обязаны получить дополнительное согласие для рассылки маркетинговой информации или политических агитаций.

И незамедлительно прекратить рассылку по запросу субъекта!

Ну и в качестве бонуса всем, кто дочитал/долистал до конца статьи пример согласия на обработку ПДн.

Если у Вас остались вопросы, то можете задать их на нашу почту: secret@avitek.ru

Источник: https://avitek.ru/info/articles/soglasie-na-obrabotku-personalnykh-dannykh/

Согласие собственников на обработку персональных данных

Как получить согласие на обработку персональных данных

Считается, для того, чтобы работать с персональными данными собственников, необходимо с каждого из них собрать согласие на обработку персональных данных. Это и верно, и нет, — зависит от ситуации.

Сегодня мы расскажем, в каких случаях согласие на обработку персональных данных нужно получить и что делать, если собственник его не даёт.Роскомнадзор об обработке персональных данных

Персональные данные собственников

1 июля 2017 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Теперь есть 7 составов правонарушений, за которые управляющие компании могут привлечь к административной ответственности за нарушение законодательства о персональных данных.

Ужесточилась административная ответственность за нарушение требований ст. 13.11 КоАП РФ – суммарный размер штрафа может составить 275 000 рублей. Многие управляющие компании не знают, как правильно работать с ПД.

Для них 4 октября мы провели вебинар «7 ошибок при работе с персональными данными, за которые УО получит штраф». Мы рассказали об обязанностях оператора ПД, дали рекомендации по выполнению требований статьи 13.11 КоАП РФ и отдельно внимание уделили вопросу получения согласия на обработку ПД.

Когда нужно получить согласие на обработку ПД

Если вы управляющая компания и у вас нет согласия на обработку ПД от собственников, но вы их обрабатываете внутри организации и не отдаёте их в сторонние организации, в таком случае согласие на обработку персональных данных не требуется.

Если вы будете передавать персональные данные собственников третьим лица, согласие на обработку нужно обязательно получить. При этом лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать отдельное согласие субъекта ПД на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

В № 152-ФЗ перечислены случаи, когда согласие на обработку ПД для передачи третьим лицам не требуется:

Если это разрешает Федеральный закон. Так, например, для размещения информации в ГИС ЖКХ согласия на обработку ПД не нужно.
Если вы передаёте данные платёжному агенту и расчётным центрам (ч. 16 ст. 155 ЖК РФ).

Когда вы привлекаете представителя для расчётов с собственниками и нанимателями жилых помещений и взимания платы за жилое помещение и коммунальные услуги, согласие субъектов ПД на передачу персональных данных таким представителям не требуется.

Но в договоре между вами и представителем необходимо закрепить положение о конфиденциальности персональных данных (ч. 10 ст. 3, ч. 4 ст. 6, ч. 1 ст. 7 № 152-ФЗ).Правомерность обнародования списка должников ЖКУ

Каким должно быть согласие на обработку ПД

Субъект передаёт управляющей компании согласие на обработку персональных данных в любой форме, позволяющей подтвердить факт получения:

в договоре управления,
в договоре ресурсоснабжения,
в уставе товарищества собственников жилья.

Роскомнадзор советует оформлять его в письменной форме отдельным документом. Единственный минус такой позиции – управляющая компания может физически не собрать со всех субъектов персональных данных такое согласие.

Субъект ПД принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Полные требования согласию описаны в ч. 4 ст. 9 № 152-ФЗ.

Согласие должно быть:

конкретным,
информированным,
осознанным.

Независимо от того, как вы оформите согласие на обработку ПД, в нём обязательно должны быть:

ФИО, адрес субъекта персональных данных или его представителя, реквизиты документа, удостоверяющего его личность;
наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
цель обработки персональных данных;
перечень ПД, на обработку которых дают согласие;
наименование или ФИО и адрес лица, обрабатывающего ПД по поручению оператора;
перечень действий с ПДн, на совершение которых даётся согласие;
общее описание используемых оператором способов обработки ПД;
срок действия согласия субъекта ПД;
подпись субъекта ПД;
условия прекращения работы с персональными данными.

Появятся ли персональные данные собственников помещений в МКД в открытом доступе?

Согласие на обработку ПД в договоре управления МКД

Согласие на обработку персональных данных можно включить в приложение к договору управления МКд. Договор управления МКД собственники заключают с управляющей компанией в письменной форме. Составляется один документ и подписывается сторонами (ст. 162 ЖК РФ).

Решение ОСС в МКД, принятое по вопросам, отнесённым к компетенции такого собрания, обязательно для всех собственников помещений в МКД, в том числе для тех собственников, которые не участвовали в ании (ч. 5 ст. 46 ЖК РФ).

Условия договора управления МКД одинаковы для всех собственников помещений в МКД (ч. 4 ст. 162 ЖК РФ). Согласно пп. «б» п. 4 постановления Правительства РФ от 15.05.2013 № 416, УО собирает, обновляет и хранит информацию о собственниках и нанимателях помещений в МКД.

Эта позиция не единственно правильная, судебной практики по этому вопросу нет.

Согласие обработку ПД в договоре о предоставлении КУ

Согласие на обработку персональных данных можно прописать в договоре о предоставлении коммунальных услуг.

Договор, содержащий положения о предоставлении КУ (договор управления МКД в том числе), можно заключить с исполнителем (п. 6 и пп. «а» п. 9 Правил № 354):

в письменной форме;
путём совершения потребителем действий, свидетельствующих о его намерении потреблять КУ или о фактическом потреблении таких услуг (конклюдентные действия).

Договор считается заключённым с момента, когда потребитель начал пользоваться коммунальными услугами и оплачивать их. Это значит, что потребитель согласен со всеми условиями договора, в том числе на обработку персональных данных.Я к вам пишу – чего же боле: Минкомсвязи разъяснило вопрос раскрытия информации, содержащей персональные данные

Если собственник не даёт согласия на обработку ПД

Заставить собственника дать согласие на обработку персональных данных нельзя. Но можно пытаться убедить. Здесь всё зависит от красноречия представителей управляющей компании.

Но перед этим советуем прочитать определение Конституционного Суда РФ от 28.01.2016 № 100-О. Конституционный Суд сделал ряд заключений, которые в будущем могут повлиять на работу управляющих компаний в целом.

Например, для исполнения договора управления управляющая организация обязана заручиться согласием собственников на обработку персональных данных. Согласие может быть включено в качестве условия в договор управления.

Но всё равно, бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных. Это значит, что если субъект заявляет, что не давал вам согласие, вы должны доказать, что в какой-то форме его получили, например, это условие было было включено в качестве условия в договор управления МКД.

Возможность предоставления оператором персональных данных третьему лицу согласия субъекта ПД, нельзя рассматривать как нарушение конституционного права на получение юридической помощи.

Источник: https://roskvartal.ru/deyatelnost-uk/8236/soglasie-sobstvennikov-na-obrabotku-personalnyh-dannyh

Разрешение на обработку персональных данных: бланк, принципы и особенности его оформления

Как получить согласие на обработку персональных данных

Бизнес юрист > Бухгалтерский учет > Первичные документы > Разрешение на обработку персональных данных: бланк и важные нюансы его оформления

В практике юриспруденции России подписывать разрешение на обработку персональных данных приходится участникам самых разных правоотношений. Чаще всего этот документ встречается при заключении трудовых соглашений между будущим сотрудником предприятия и его непосредственным работодателем.

Если рассматривать разрешение на обработку персональных данных с точки зрения предназначения, то его подписание одним лицом позволяет другому лицу использовать сведения о первом в рамках действующих законодательных норм. Но обо всем по порядку…

Пару слов о термине «персональные данные»

В соответствии с Конституцией РФ и рядом законодательных актов, персональные данные любого участника правоотношений – это предмет защиты.

При необходимости их использования со стороны сторонних лиц владелец должен дать им соответствующее разрешение.

Непосредственно пользователи персональных сведений могут использовать их лишь в законодательно установленных рамках, иначе будут соответствующим образом наказаны.

Сущность явления персональных данных и принципы их использования изложены во многих нормативно-правовых документах РФ. Основным источником сведений об этом термине является ФЗ от 27 июля 2006 года под номером 152-ФЗ. Согласно его положениям и нормам конституционного права, можно констатировать следующее:

Персональные данные

Персональные данные – это любая информация, которая относится к конкретному лицу и может его соответствующим образом идентифицировать (ФИО, дата и место рождения, характеристики личности, конфиденциальные данные из личных документов и т.п.).
Любой участник правоотношений на территории РФ вправе рассчитывать на законную защиту этих сведений вне зависимости от контекста их использования или распространения.
Осуществление сбора, систематизации, накопления, обновления, хранения и иного применения персональных данных может осуществляться не со стороны владельца таковых, лишь с его разрешения. За исключением случаев, определенных законодательством РФ исключением из этого правила. Например, ситуации с работой госструктур, обрабатывающих массивы персональных сведений о гражданах России.

В принципе, ничего удивительного или даже странного в рассмотренных законодательных трактовках нет. Закон в нашей стране построен грамотно в соответствии со всеми общепринятыми нормами юриспруденции и правами, интересами участников правоотношений.

Что собой представляет и когда требуется разрешение

Согласие или разрешение на обработку персональных данных – это документ, который подтверждает возможность одного лица использовать эти сведения относительно другого.

Проще говоря, подписание подобной бумаги позволит заинтересованному участнику конкретных правоотношений на законных основаниях получать, собирать, хранить и по-иному использовать персональную информацию своего оппонента.

Отличительными чертами рассматриваемого разрешения можно считать его специфичную юридическую силу, выражаемую в:

Персональные данные

возможности одного участника правоотношений использовать персональные данные другого
гарантиях владельца этих сведений того, что они будут использоваться исключительно в определенных целях и в рамках законодательных норм РФ
полноценной защите и самого документа, и персональных сведений заинтересованной стороны законодателем

Важно понимать, что подписание разрешения – дело сугубо добровольное. В соответствии с любым законодательным актом РФ, принуждение к оформлению этого документа невозможно и является незаконным.

Примечание! В ФЗ 152-ФЗ четко сказано, что получившая право использования подобных сведений сторона должна известить об этом Роскомнадзор.

Если соответствующего извещения об обработке и последующем использовании персональных данных госструктура не получит, получается – получивший их в свое пользование участник правоотношений нарушил закон и должен быть наказан.

Проверить добропорядочность, например, работодателя, получившего рассматриваемое сегодня разрешение, можно посредством личного посещения отделения Роскомнадзора или же его официального сайта.

Заинтересованное лицо имеет полное право получить сведения о том, используются ли его персональные данные кем-либо, и делается ли это на законных основаниях.

Когда оформляется согласие

Трудоустройство на работу

Разрешение на обработку персональных данных может потребоваться во многих жизненных ситуациях.

Сегодня бюрократические нюансы настолько глубоко вошли в обыденные процессы, что рассматриваемое сегодня согласие нередко оформляется даже при необходимости использования общедоступных сведений о личности, например – фамилии, имени и отчества гражданина. Что уж говорить о конфиденциальных и скрытых от широких масс данных?

В качестве примеров ситуаций, когда необходимо оформление разрешения, представим:

Проще говоря, согласие на обработку персональной информации следует оформлять при любых правоотношениях или в момент их возникновения, когда одна сторона таковых предоставляет другой стороне свою личную документацию или документы, представляемого ею лица.

Скачать типовой бланк разрешения можно здесь:

Скачать бланк согласия [33.00 KB]

Что грозит за незаконное использование персональной информации

Как можно было понять из вышеизложенного материала, использовать персональные данные лица без его разрешения незаконно, даже когда речь идет о доступной всем информации по типу фамилии и имени гражданина или наименования организации. Подобное нарушение закона, равно как и несоблюдение отраженных в разрешении положений, наказывается в рамках Кодекса об Административных Правонарушениях и Уголовного Кодекса (УК РФ).

Точная мера ответственности определяется для правонарушителя с учетом тяжести совершенного деяния и его правового статуса. Так, наказание для граждан заметно мягче, нежели наказание для ИП, юридических и должностных лиц. Правонарушители нередко наказываются:

административным предупреждением или аналогичным штрафом от 1 до 75 тысяч рублей
штрафом до 300 тысяч рублей, необходимостью возмещения материального или морального вреда пострадавшим и судимостью
лишением права занимать некоторые должности
принудительными работами, арестом и даже лишением свободы сроком до 5 лет

Естественно, отмеченные виды ответственности зачастую комбинируются при наложении на правонарушителей. Подробней о них следует читать в уже отмеченных КоАП и УК РФ.

На этом важная информация по теме сегодняшней статьи подошла к концу. Надеемся, представленный материал помог разобраться с сущностью разрешения на обработку персональных сведений всем читателям нашего ресурса и дал базовые понятия о рассмотренном сегодня явлении.