Подробные требования к содержанию согласия
Согласие должно включать в себя следующую информацию:
1) Фамилия, имя, отчество (при наличии) субъекта персональных данных.
2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)
3) Сведения об операторе персональных данных
Если оператором является юридическое лицо, то указывается: наименование, ИНН, ОГРН, а также адрес, указанный в ЕГРЮЛ
Если оператором является физическое лицо, то указывается: фамилия, имя, отчество (при наличии), место жительства или место пребывания.
Если оператором является индивидуальный предприниматель, то указывается: фамилия, имя, отчество (при наличии), ИНН, ОГРНИП. Адрес указывать не надо, как это следует из приказа, что странно. Я рекомендую указывать и адрес ИП.
4) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных
5) Цель (цели) обработки персональных данных
Формулировки цели или целей обработки персональных данных должны соответствовать положениям законодательства Российской Федерации, устанавливающим функции, полномочия и обязанности оператора, и (или) документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных.
6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных
Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу:
- общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
- специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
- биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).
Указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку персональных данных, согласия на обработку персональных данных в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов
Указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных.
Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению персональных данных неограниченному или определенному кругу лиц соответственно.
Дополнительно в Согласии могут быть указаны условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.
8) Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников
9) Срок действия согласия
Должен быть отражен конкретный срок его действия: определенный период времени или дата окончания срока действия.
Не допускается указание на автоматическую пролонгацию срока действия Согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.
Для чего нужно письменное согласие работника на обработку его данных
- определение круга сведений, являющихся персональными;
- установление условий обработки, хранения и уничтожения данных их получателем;
- описание ситуаций, как требующих, так и не требующих согласия лица на обработку сведений о нем;
- перечисление прав носителя персональных данных на ознакомление с результатами их обработки;
- определение ответственности лиц, разгласивших персональную информацию.
Наиболее частым случаем получения и обработки персональной информации о человеке является сбор и анализ работодателем сведений о своем работнике (уже работающем или вновь принимаемом на работу).
Помимо общедоступных сведений, к которым закон № 152-ФЗ относит данные о Ф. И. О., принадлежности к определенному полу, дате рождения, работодателю оказывается нужна и иная информация, содержащаяся в документах, предъявляемых при трудоустройстве (ст. 65 ТК РФ):
- в удостоверении личности (паспорте);
- трудовой книжке;
- свидетельстве ПФР;
- документах об обучении;
- документах воинского учета;
- дополнительных справках (в частности, об отсутствии судимости) или документах, наличие которых является условием приема на определенную работу.
Сбор и обработка таких данных требуют от работодателя получения предварительного письменного согласия работника на эти действия (п. 1 ст. 9 закона № 152-ФЗ). Согласие является добровольным и может быть отозвано работником.
Требования к хранению и защите персональных данных подробно изложены в Путеводителе по персональным данным работников системы КонсультантПлюс. Получите бесплатный пробный доступ.
О том, что еще понадобится сделать при заключении трудового договора, читайте в статье «Порядок заключения трудового договора (нюансы)».
Об ответственности за разглашение персональных данных читайте здесь.
Ответственность за разглашение
Федеральный закон не предусматривает единых требований по хранению персональных данных, однако, организация обязана обеспечить их сохранность. Как и за любые противоправные деяния, за разглашение персональных данных предусмотрена ответственность в соответствии с российским законодательством.
Для нарушителей, возглавивший персональную информацию предусмотрено четыре вида наказания:
- Дисциплинарное. Дисциплинарное взыскание, неполное служебное соответствие с занесением всего этого в трудовую книжку.
- Административное. Виновное лицо может понести ответственность в виде назначения штрафа в размере 300-500 рублей для физических лиц, 500-1000 для должностных, 5000- 10000 для ЮЛ.
- Материальное. Если человеку было нанесен материальный ущерб, виновное лицо может выплатить ущерб, назначенный время судебного заседания.
- Уголовное. Если распространение персональных данных подпадает под уголовную ответственность, то виновному может грозить реальный тюремный срок.
Некоторые организации могут запрашивать персональную информацию неправомерно. Бывают случаи, когда на должность, например, торгового представителя в обязательном порядке требуется предоставить справку о наличии или отсутствии судимости. Такие неправомерные требования также подпадают под ответственность перед законом.
Согласно нормам российского законодательства, уполномоченные лица в организации обязаны сообщать Роскомнадзору о данных, которые поступают в распоряжение предприятия (статья 22 закона № 152-ФЗ). Проверить исполняет ли организация эту норму можно на сайте этой госструктуры.
Персональные данные являются информацией особой важности, защищаются при этом законодательством Российской Федерации. Соответственно требует к себе полного соблюдения требований, находящихся в соответствующем Федеральном законе
Что нужно знать о сборе персональных данных, чтобы не нарушить закон?
Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:
- компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
- объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
- форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).
До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки. С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г
№ 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения». Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно
С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения». Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.
Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется. Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах
Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных
Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.
Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (), специальных категорий персональных данных () и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.
По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы:
Конклюдентное согласие | Согласие в письменной форме | Иные формы согласия | |
+ | Легко получить (за исключением случаев, когда нужно согласие в письменной форме) | При разработке и получении формы согласия по требованиям законодательства РФ регулятору не требуются дополнительные доказательства | Как правило, допускается Роскомнадзором, что подтверждается проверками ведомства (за исключением случаев, когда необходимо согласие в письменной форме) |
– | Не предусматривает каких-либо подтверждений получения. Ввиду отсутствия подтверждений может рассматриваться Роскомнадзором как нарушение требований Закона № 152-ФЗ | Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ Для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ «цель» указана в единственном числе | Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ |
Образец заполнения согласия на обработку персональных данных
В связи с тем, что для данного документа не закреплена какая-либо стандартная форма, его можно составить произвольно. Однако к его оформлению желательно подойти со всей ответственностью, чтобы показать организации серьезность своих намерений.
Заполнять согласие нужно начинать с верхней части листа слева. Там нужно написать название компании, куда отправляется документ, название должности руководителя и его Ф.И.О.
После этого надо немного отступить вниз, после чего записать название бланка – «Согласие на обработку моих персональных данных».
Гражданин заполняет согласие от своего имени, указывая полные Ф.И.О., домашний адрес, сведения о документе, при помощи которого он может подтвердить свою личность — обычно это паспорт. Необходимо указать серию и номер документа, его дату и место оформления.
Дальше необходимо сделать ссылку на статьи закона по защите персональных данных, для соблюдения которого оформляется это разрешение. После чего работник письменно дает свое согласие на использование данных о себе.
Чтобы указать, кому именно выдается это разрешение, записывается полное название хозяйственного субъекта, а также его юридические или фактический адрес.
Следующим шагом закон требует, чтобы в документе было конкретно указано для каких целей будет производиться разглашение данных, а также какие именно сведения могут передаваться третьим лицам. Все это лучше оформлять в виде единого списка.
Так, работник может давать согласие организации на передачу его Ф.И.О., даты рождения, сведений об удостоверяющем документе, адреса проживания или регистрации, телефона для связи, семейного положения, сведений о членах семьи, сведений о размере зарплаты, данных о стаже, полученных наградах и т. д.
Следом нужно указать, какими именно способами будет выполняться обработка, хранение и передача получаемой информации.
Если ожидается, что данные о сотруднике будут передаваться нескольким органам, организациям или лицам, то желательно получать отдельное согласие по каждому из них.
Дальше нужно обязательно указать период, в течение которого данное разрешение будет действительно.
В согласие должно быть включено уведомление о том, что выданное разрешение может быть отозвано, и указать порядок этой процедуры.
Также желательно в документ включать строку, путем которой работник сообщал бы о том, что проинформирован о своих правах, возникающих при передаче, обработке и защите личных сведений.
Составление согласия завершается проставлением работником своей должности, подписи и личных данных, а также даты его оформления.
Можно ли провести отмену или аннулирование соглашения
С течение времени жизненная ситуация может поменяться, и гражданин будет против того, чтобы его данные каким-либо образом обрабатывались и хранились. Первоначально необходимо определить, оформлял ли этот человек разрешение на их сбор и обработку.
В случае, когда он не давал свое письменное согласие — необходимо обращаться в суд, поскольку произошло нарушение закона о неприкосновенности личной жизни. Если же согласие подавалось, то можно произвести его отзыв.
Заявление об отзыве разрешения нужно оформить в двух штуках. Одна передается оператору, а на второй необходимо, чтобы ответственное лицо проставило отметку о получении бланка. Закон устанавливает, что в течение определенного срока получатель должен ответить на него.
В случае, когда отзыв производиться почтовым отправлением, то высылать заявление можно как по юридическому, так и фактическому адресам.
Рекомендуется производить процедуру отзыва разрешения в следующих случаях:
- После того, как был выплачен банковский кредит;
- После использования услуг компании, который по условиям нужно было сообщить информацию о себе;
- При переводе ребенка из одной школы в другую;
- Когда происходит смена места работы;
- После завершения лечения в оздоровительных учреждениях.
Важно: после того, как получено заявление на отзыв, оператор обязан прекратить использование персональных данных и при наличии возможности выполнить их уничтожение
Когда требуется согласие на обработку персональных данных?
В большинстве случаев действия, касающихся использования личных сведений граждан, требуют соответствующего согласия. Но закон 152 допускает моменты, когда этот документ не требуется. При этом обязательно соблюдение законодательства и в рамках него не допускать превышения допустимого объема обработки. Также обязательно соответствие действий достижения целей, ради которых информация используется.
Потребуется согласие гражданина и в случае, когда его контактные данные, такие как номер мобильного телефона и адрес электронной почты, могут использоваться для иных целей.
Статья 86 Трудового кодекса гласит, что персональные данные оператор должен получать непосредственно от самого работника. При этом допускаются случаи, когда их можно получить только у третьей стороны. В такой ситуации следует учитывать, что предварительно работник должен быть осведомлен об этом и дать соответствующее согласие.
Перечислим случаи, когда от работника не требуется согласие на обработку его личных данных, если они получены:
- из документов, которые он представил для оформления трудового контракта;
- в результате обязательного медосмотра, пройденного гражданином перед поступлением на работу;
- из данных, содержащихся в личной карточке работника, а также в случаях, предусмотренных законодательством в рамках п.2 Разъяснений Роскомнадзора;
- из опубликованного на открытых ресурсах сети Интернет резюме;
- когда от имени соискателя на должность, вакантную в организации, выступает кадровое агентство и представляет персональные данные потенциального работника.
Кто такие операторы ПД и что они делают
В статье 3 закона № 152-ФЗ сказано, что оператором ПД является лицо, которое организует и осуществляет обработку персональных данных. Все работодатели, как юрлица, так и ИП, являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус, практически не ограничен. Это любое лицо, которому человек сделал заявление и согласие на ОПД, то есть доверил личную информацию о себе оператору и разрешил ее использовать для определенных целей.
Отдельное внимание следует уделить понятию обработки личной информации. О ней везде говорят, но никто толком не знает, что это такое. Тогда как часть 3 все той же статьи 3 закона № 152-ФЗ регламентирует это понятие как любое действие (или их совокупность), совершаемое с личной информацией
Под действиями законодатели понимают:
Тогда как часть 3 все той же статьи 3 закона № 152-ФЗ регламентирует это понятие как любое действие (или их совокупность), совершаемое с личной информацией. Под действиями законодатели понимают:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление или уничтожение данных.
Все операции проходят или в бумажном ручном режиме, или с использованием средств автоматизации, в том числе в режиме онлайн. На все эти действия оператор обязан получить от владельца одобрение: например, заполненный бланк согласия.
Деятельность работодателей в качестве операторов регулирует статья 86 Трудового кодекса РФ.
Когда не нужно получать согласие на обработку персональных данных
Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях, когда обработка ПД:
- осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПД и круг субъектов, данные которых подлежат обработке, а также определяющего полномочия оператора;
- осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД;
- осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПД;
- необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия невозможно;
- необходима для доставки почтовых отправлений, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги, а также для рассмотрения претензий пользователей услугами связи;
- осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
- осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, ПД кандидатов на выборные государственные или муниципальные должности.
О чем всегда забывают при подготовке документации?
Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных. Дело в том, что для полного соответствия требованиям Закона № 152-ФЗ и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться. Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:
- отсутствует большая часть необходимой документации;
- документация не актуализируется на постоянной основе (например, при изменениях процессов обработки персональных данных);
- не заполняются типовые формы документов (перечни, журналы и др.) в соответствии с внутренней документацией организации.
Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики. При ее разработке полезно изучить рекомендации Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 г.
Среди документов второго уровня в иерархии можно выделить следующие:
- Положение об обработке персональных данных. Его можно разработать как отдельно для работников и остальных субъектов данных, так и в виде единого документа. Я рекомендую выбирать второй вариант и не забывать, что с документом нужно ознакомить каждого работника под подпись;
- Регламент обработки обращений от субъектов персональных данных / Роскомнадзора;
- Регламент проведения внутренних проверок в части соблюдения требований Закона № 152-ФЗ и подзаконных актов в области обработки персональных данных;
- Методика оценки вреда субъектам персональных данных. По моей практике, компании крайне редко разрабатывают этот документ, хотя он необходим для успешного прохождения проверки Роскомнадзора;
- Иные документы.
Для наглядности иерархическая структура необходимых документов представлена на схеме:
Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных
Список внушительный, не говоря о том, что в этой колонке я не рассматриваю документы по защите персональных данных по требованиям ФСТЭК и ФСБ России
Но и это еще не все: организациям, в которых планируется проверка Роскомнадзора, также следует обратить внимание на подготовку справок по различным вопросам. Например, это может быть информация по обработке данных уволенных работников, справка об обработке биометрических данных и не только. Например, в моей практике был случай, когда компании пришлось подготовить суммарно порядка 200 справок по разным вопросам обработки персональных данных
Так что этот вопрос лучше продумать заранее
Например, в моей практике был случай, когда компании пришлось подготовить суммарно порядка 200 справок по разным вопросам обработки персональных данных. Так что этот вопрос лучше продумать заранее.
Похожие документы
- Выписка из решения профсоюзного комитета о мнении профсоюза в связи с предлагаемым увольнением работника
- Пример приказа об изменении структуры штатного расписания
- Пример уведомления профкома о проведении мероприятий по сокращению штата работников организации
- Пример уведомления работника об увольнении по сокращению штата работников организации
- Пример уведомления службы занятости о сокращении штата работников организации
- Примерная форма предупреждения работника об увольнении в связи с сокращением численности или штата работников
- Уведомление о предстоящем увольнении в связи с сокращением численности или штата работников
- Акт ввода оборудования в эксплуатацию
- Акт о браке по результатам обследования объекта
- Акт о возврате бракованного товара
- Акт о недостаче и(или) пересортице товара
- Акт об установлении расхождений в количестве при приемке товара
- Акт приема — передачи оборудования. Акт ввода в эксплуатацию оборудования
- Акт приёмки продукции по качеству (Акт о браке)
- Ведомость начисления и выдачи зарплаты
- Макет коллективного договора
- Ответ работодателя на предложение о начале коллективных переговоров
- Предложение профсоюзной организации о начале коллективных переговоров
- Предложение работников о начале коллективных переговоров
- Приказ о проведении коллективных переговоров по подготовке и заключению коллективного договора
Бланк согласия на обработку персональных данных
Роскомнадзор предоставил для использования специальный конструктор, с помощью которого можно сформировать шаблон согласия. Данный документ только рекомендован, однако он соответствует предъявляемым к нему требованиям и учитывает особенности конкретного оператора.
Для создания шаблона нужно заполнить необходимые графы, после чего он рассматривается экспертами Роскомнадзора. Если необходимо, оператору выдаются рекомендации, как доработать документ. Результаты проведенной проверки пересылаются на адрес электронной почты, который указывается в форме.
После этого оператор может применять проверенную форму документа.
В шаблоне учитываются все обязательные данные, которые нужно отражать в согласии на основании Приказа от 24.02.2021 г. № 18.
Кроме того, в шаблоне указываются и такие персональные данные:
Внимание! С 27 марта 2021 года значительно повысились штрафные санкции за нарушения при работе с персональными данными (Закон от 24.02.2021 г. № 19-ФЗ).
54 новые формы от Росстата: финансы, условия труда и строительная деятельность Электронный кадровый документооборот в 2021 году: ответы на частые вопросы
54 новые формы от Росстата: финансы, условия труда и строительная деятельность Электронный кадровый документооборот в 2021 году: ответы на частые вопросы
Что является личной информацией граждан?
Понятие информации о гражданине, относящейся к персональной, дано в ст.3 Закона 152. Это любые сведения, связанные с субъектом (физическим лицом) прямо или косвенно:
- ФИО, пол, возраст;
- семейное положение, а также родственные связи и наличие детей;
- сведения об образовании и наличии квалификационных навыков;
- адрес места жительства и прописки;
- любые фото- и видеоматериалы, используемые оператором и позволяющие точно установить личность гражданина;
- биографические данные, включая наличие судимости, прохождения службы в армии, предыдущих мест работы и т.д.);
- сведения о заработке и финансовом положении;
- иные сведения, позволяющие идентифицировать физическое лицо.
Стоит перечислить и документы, в которых эти сведения содержатся:
- гражданский паспорт, свидетельства о браке, рождении детей;
- документы об образовании, повышении квалификации и т.д.;
- трудовая книжка;
- военный билет.
Остальные документы, содержащие сведения о гражданах, хранятся у работодателя и необходимы для кадрового учета. Это, например, характеристики, личные карточки, анкеты и т.д.
В ряде ситуаций требуется предоставление справки о доходах, полученных в определенный временной период. Гражданину следует знать, что без его согласия эти сведения не подлежат обработке.
Что такое согласие на обработку персональных данных
Уже достаточно давно личная информация является собственностью человека. Любые действия с ней без согласия являются нарушением закона. Сегодня активную деятельность ведет Государственная служба, занимающаяся контролем сохранности информации. Если оператор специально или случайно разгласит полученные данные, ему грозит дисциплинарная или административная ответственность. В зависимости от обстоятельств, ответственность может быть и уголовной.
Такую информацию «просят» предоставить в различных учреждениях, с которыми людям приходится сталкиваться на протяжении своей жизни. Если человек не против использования своих данных в каких-то определенных целях, он дает разрешение в письменном виде.
Однако ставить свою подпись следует далеко не на каждом документе. Сначала необходимо тщательно ознакомиться с его текстом. Если с правильным анализом документов возникают сложности, рекомендуется обратиться за помощью к квалифицированному юристу. С его помощью вы определите, не превышает ли организация, требующая данные, свои полномочия. Также специалист подскажет, можно ли давать разрешение на использование запрашиваемых данных. К примеру, если у гражданина имеется судимость, а он хочет устроиться, например, продавцом, эту информацию он может не предоставлять. Данная информация указывается только в том случае, если на желаемую должность можно устроиться только при отсутствии судимости.
Размещение документов на Blogger
Если у вас есть текст документов, то вам также нужно создать новую страницу и разместить текст соглашения на ней. Опубликуйте страницу и скопируйте ссылку. Теперь перейдите в редактор HTML темы и найдите копирайт. Здесь вставьте ссылку на страницу с соглашением. В новых темах Blogger найдите секцию Footer и вставьте в нее скрипт согласия (или ссылку на страницу с ним), а именно вставьте код после строчки кода:
Если в вашей теме возможно добавление гаджетов в футере, то добавить скрипт согласия обработки ПД еще проще – во вкладке “Дизайн”, добавьте новый гаджет HTML/JavaScript в секции Footer. В гаджет HTML / Javascript вставьте сгенерированный скрипт или ссыдку на страницу политики конфиденциальности. Как добавить ссылку на политику конфиденциальности под каждой формой отправки комментария. Настройки -> Сообщения, комментарии и настройки доступа -> Сообщение формы создания комментариев -> в форму впишите фразу, что оставляя комментарий на сайте, вы соглашаетесь с политикой конфиденциальности. На странице Контакты – отредактируйте страницу и добавьте ссылку на соглашение или отредактируйте форму обратной связи в конструкторе. Если у вас есть рассылка, анкеты и другие формы сбора информации о пользователях, то под каждой формой должно стоять уведомление со ссылкой на вашу политику конфиденциальности.
Что делать владельцу сайта, чтобы избежать штрафов
Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПД, то под каждую из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.
Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и договор, политика конфиденциальности, часть оферты — название не столь принципиально.
Например, на сайте Microsoft этот документ называется заявление о конфиденциальности
Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании. Минимизируйте риски: убедитесь, что персональные данные защищены в соответствии с ФЗ-152
Минимизируйте риски: убедитесь, что персональные данные защищены в соответствии с ФЗ-152
Шаг 3. Подготовьте текст документа с условиями обработки ПД. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):
- ФИО, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
- цель обработки ПД;
- перечень ПД, на обработку которых субъект дает согласие;
- наименование или ФИО и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
- срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва (если иное не установлено законом);
- подпись субъекта ПД.
Если вы составляете пользовательское соглашение на основе чьего-то готового документа, корректируйте цели обработки данных и перечень данных под себя, свой бизнес.
Шаг 4. Подготовьте Политику в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите ее на сайте в свободном доступе.
Политика обработки персональных данных: как составить документ
Шаг 5. Подайте уведомление об обработке ПД в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПД. Но лучше поздно, чем никогда.
За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.
Случаи, когда уведомление Роскомнадзора не требуется
Уведомлять Роскомнадзор не нужно, если ПД:
относятся к субъектам, которых связывают с оператором трудовые отношения;
Персональные данные сотрудника: как с ними работать
- получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
- являются общедоступными;
- включают только ФИО субъектов ПД;
- нужны для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
- включены в федеральные автоматизированные информационные системы ПД, государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.
Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.