Правовое регулирование согласия на обработку персональных данных
Согласию на обработку персональных данных (далее — ПД) посвящена ст. 9 закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — закон № 152-ФЗ). Также вопросы дачи согласия на обработку затронуты в Трудовом кодексе РФ (далее — ТК РФ) и иных нормативных актах.
С 01.07.2017 увеличились размеры штрафов за нарушения в области обработки сведений о гражданах. При этом если до указанной даты максимальный размер штрафа для организаций составлял 10 000 руб., то после вступления в силу изменений в Кодекс РФ об административных правонарушениях (далее — КоАП РФ) ранее единый состав нарушения разделен на 7, а ответственность за обработку данных без согласия граждан на эти действия установлена:
Помимо привлечения к ответственности операторам выдаются предписания, которые могут касаться, в частности, уточнения формы согласия на обработку ПД (например, дополнения формы указанием цели обработки, постановление ФАС СКО от 27.04.2011 по делу № А32-12882/2010).
При оформлении согласия на обработку ПД важно следующее:
Образец формы согласия на обработку персональных данных можно скачать по ссылке: Согласие на обработку персональных данных - образец .
Заявление о согласии на обработку персональных данных оформляется с учетом особенностей, установленных соответствующей отраслью права. Так, в трудовых отношениях оно оформляется в качестве отдельного документа или включается в текст трудового договора (в том числе в виде приложения).
При этом согласно п. 3 ч. 1 ст. 86 Трудового кодекса РФ (далее — ТК РФ):
Также законодательством установлены особенности получения согласия на обработку ПД для представителей отдельных профессий (например, для спортсменов такие особенности определены в ст. 348.2 ТК РФ).
Итак, в настоящей статье был представлен для скачивания образец согласия на обработку персональных данных, а также отмечены некоторые существенные законодательные положения о получении такого согласия, в частности о необходимости указания в согласии всех установленных законом № 152-ФЗ элементов.
Согласие на обработку персональных данных — относительное нововведение законодательства, обеспечивающее защиту личной информации о человеке от неправомерного использования. Согласие на обработку персональных данных требуется при трудоустройстве, открытии банковского счета и во многих других жизненных ситуациях. Основания и последствия дачи такого согласия, отказа от его предоставления или отзыва изложены в настоящей статье.
Понятие персональных данных дается в ст. 3 одноименного закона № 152-ФЗ от 27.07.2006. Это все сведения, относящиеся к человеку, то есть к физическому лицу. Иными словами, персональными данными можно считать абсолютно любую информацию — от имени до содержания трудовой книжки.
Однако, несмотря на то, что на обработку (то есть изучение, хранение, передачу и т. д.) таких сведений необходимо согласие их носителя, далеко не все из них требуют соблюдения конфиденциальности.
Закон «О персональных данных» делит их на 3 категории:
огласие на обработку персональныхданных требуется от их носителя только при использовании второй и третьей категорий, то есть специальных и биометрических. Общедоступная информация может использоваться свободно в рамках закона, а также в соответствии с общепринятыми канонами морали и этики.
Исключение — обработка информации в рамках уголовного дела, в ходе оперативно-розыскной деятельности, в целях установления личности при отсутствии документов (в основном касается биометрических данных) и в прочих подобных ситуациях.
В таких ситуациях согласия на обработку персональных данных не требуется.
Принимая сотрудника на работу, работодатель, в соответствии со ст. 65 Трудового кодекса РФ, требует от него ряд документов, а именно:
Если должность, на которую претендует соискатель, не предполагает ее замещения гражданином, имеющим судимость, может потребоваться еще и соответствующая справка.
Все эти документы содержат персональные данные о будущем или настоящем сотруднике. Поэтому, как только они оказываются в руках работодателя, в действие вступают положения гл. 14 ТК РФ, обеспечивающие конфиденциальность личной информации.
В частности, ст. 86 ТК РФ дает руководителям согласие на обработку персональных данных работника только в служебных целях, которыми могут являться:
Не знаете свои права?
Согласно п. 8 ст. 65 ТК РФ работодатель должен под роспись довести до работника, каким образом и в каком порядке будут храниться, обрабатываться и использоваться предоставленные им сведения. Согласие на обработку персональных данных при приеме документов от работника нужно обязательно, при этом работник предупреждается о возможности отказаться либо в дальнейшем представить отзыв согласия на обработку персональных данных, а также о последствиях этого.
Сам по себе отказ от согласия на обработку персональных данных юридических последствий не несет — в силу ч. 1 ст. 9 закона № 152-ФЗ согласие должно быть выражено добровольно и свободно.
Однако ч. 5 ст. 6 этого же закона допускает отсутствие согласия на обработку персональных данных, если это необходимо в целях исполнения договора, в том числе и трудового. Иными словами, работодатель, исполняя свои обязанности, возложенные на него законом, может в интересах работника — субъекта персональных данных обработать эти сведения без его согласия (при условии использования данных исключительно в служебных целях).
Положение ч. 5 ст. 6 закона № 152-ФЗ распространяется на уже действующих сотрудников, то есть принять соискателя на работу без его согласия на обработку персональных данных работодатель не сможет — трудового договора еще нет, соответственно, и обязанности его исполнять у руководителя тоже нет.
Кроме того, в ряде случаев отказ от согласия на обработку персональных данных всё же может привести к нежелательному результату. Например, если в организации действует пропускной режим, то выписать (заменить) сотруднику пропуск при таких обстоятельствах работодатель не сможет — это действие выходит за рамки служебных целей. Таким образом, отсутствие согласия здесь означает невозможность исполнения трудовых функций.
В силу ст. 90 ТК РФ ответственность работодателя за разглашение персональных данных варьируется от дисциплинарной до уголовной. То есть любое нарушение конфиденциальности личной информации о работнике, будь то передача сведений или неправомерное их использование, обойдется для виновного весьма суровым наказанием.
Например, в соответствии со ст. 137 Уголовного кодекса РФ, подобные действия могут стоить руководителю должности или даже свободы на срок до 2 лет.
Таким образом, законодательство содержит все необходимые инструменты для того, чтобы работники могли не опасаться за разглашение информации о себе.
Однако, прежде чем ставить подпись в форме согласия на обработку персональных данных, имеет смысл выяснить, не выходят ли запрашиваемые сведения за рамки необходимых для трудоустройства или кадровых перестановок.
Например, сведения о наличии или отсутствии судимости требуются только в тех случаях, когда это нужно для соответствия занимаемой должности. То есть, устраиваясь на работу менеджером по продажам, такие данные предоставлять не нужно. Соответственно, и согласие на обработку персональных данных такого характера тоже предоставлять не следует.
Ст. 22 закона № 152-ФЗ обязывает работодателя вначале направить уведомление об обработке персональных данных в специализированный орган, которым является Роскомнадзор. Уточнить, выполнил ли руководитель это условие, можно на официальном интернет-портале службы.
Кроме того, перед тем как дать согласие на обработку персональных данных, будет нелишним удостовериться в том, что работодатель имеет на это право, то есть является оператором. В этом тоже поможет сайт Роскомнадзора.
Отзывать согласие на обработку персональных данных имеет смысл в 2 случаях:
Отзыв составляется в свободной форме, но при его оформлении стоит сослаться на 2 нормы закона № 152-ФЗ: п. 1 ст. 9, устанавливающий добровольность дачи согласия на обработку персональных данных, и п. 5 ст. 22, регламентирующий обязанность оператора (в данном случае — работодателя) прекратить обработку и уничтожить всю имеющуюся у него информацию о сотруднике.
Работодатель должен уничтожить все сведения в течение 30 дней с того момента, как работник отозвал свое согласие на обработку персональных данных.
Работа с базой личных данных сотрудников начинается с получения работодателем от его наемного работника согласие на обработку персональных данных. Понятие обработки персональных данных включает в себя весь спектр действий с данной информацией с момента ее получении и до уничтожения.
Понятие «персональные данные» появилось в 1997 году в Указе Президента от 06 марта. А выражение «обработка персональных данных» вошло в обиход в связи с принятием в 2001 году Трудового Кодекса Российской Федерации.
До этого времени любые сведения о гражданах были в свободном доступе. Их можно было передать, запросить и даже купить. Это сильно ущемляло законные права и интересы наших соотечественников, иногда наносило моральный и материальный вред.
С момента вступления в законную силу указанных выше правовых документов началось медленное, но верное исправление сложившейся ситуации. В настоящее время личные сведения граждан надежно защищены законом.
Процесс обработки персональных данных регулируется действующим российским законодательством. Все принципы обработки данных, условия, порядок отражены в Гражданском Кодексе Российской Федерации и Федеральном Законе №152-ФЗ от 27 июля 2006 г. «О персональных данных». Принятые законы направлены на защиту конституционного права гражданина «на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени» (ст. 23, гл. 2 Конституции РФ).
Целью обработки персональных данных является соблюдение законов, достижение эффективного сотрудничества в рамках , помощь в достижении высокого профессионального уровня работника, обеспечение его безопасности и сохранности имущества.
Принципы работы с базой персональных данных:
Форма согласия на обработку персональных данных
Для того чтобы обрабатывать индивидуальные сведения работника, их вначале необходимо получить. Для этого существует форма согласия на обработку персональных данных. Получать персональную информацию руководитель предприятия может только у самого сотрудника. Если же имеющийся объем сведений недостаточен для достижения поставленной цели, либо работодатель желает подтвердить данные, то возможно запросить информацию у третьих лиц. Чтобы выполнить данное действие, не нарушая закон, руководитель предприятия должен заручиться письменным согласием наемного работника.
То же самое относится и к предоставлению информации третьим лицам. Без письменного заявления с согласием на данную операцию сведения передавать запрещено. Если же разрешение работника получено, то при передаче интересующей информации уполномоченный сотрудник обязан предупредить принимающую сторону, что данная информация должна использоваться только в тех целях, ради которых она предоставлялась.
Также запрещено получать из каких-либо источников сведения, не относящиеся к работе и затрагивающие частную жизнь гражданина : вероисповедание, принадлежность к политическим партиям, сексуальная ориентация, семейная жизнь, родственные связи, пристрастия и привычки, хобби и увлечения, и т.п.
Вся необходимая индивидуальная информация о сотруднике хранится у работодателя. Собирая и обрабатывая персональные данные работников, работодатель обязан позаботиться о ее защите.
Порядок сбора информации, обязанности по ее обработке, хранению, защите, ответственные лица – все это должно быть отражено в Положении об обработке персональных данных на каждом предприятии. Данное Положение предоставляется работнику для ознакомления, после чего он подтверждает свою осведомленность подписью. Документ содержит следующие сведения:
Согласие работника на обработку персональных данных
Собранная и обработанная информация хранится на предприятии в несгораемом шкафу, ключ от которого находится у ответственного лица. Доступ к данной базе могут иметь только уполномоченные на то специалисты.
Обработка персональных данных сотрудников - дело хлопотное и ответственное. С момента поступления конфиденциальной информации о сотруднике в базу данных предприятия ответственность за ее сохранность ложится на предприятие. Разглашение сведений, незаконная передача третьим лицам, злоупотребление имеющейся информацией строго караются законом. За данные нарушения предусмотрена административная, материальная и даже .
В век информации и интернет-пространства данные передаются и распространяются с невиданной доселе быстротой. Социальные сети подливают масла в огонь, делая личные данные пользователей практически общедоступными. Но всегда ли сам владелец согласен с тем, что сведения о нём собирают, изучают, хранят и передают?
Сведения о лице столь важны и значимы, что законодатель решил, наконец, юридически урегулировать эту сферу и определил персональные данные как информацию о лице, которая его идентифицирует.
Сюда относятся:
Отдельный правовой режим установлен для сведений, представляющих риск для прав и свобод субъекта персональных данных и включающих сведения о:
К персональным относятся паспортные и другие регистрационные сведения, данные о семейном или имущественном положении (за исключением государственных служащих) и многие другие, так как их перечень законодателем не ограничен.
Законом установлена и форма согласия на обработку персональных данных. Такое разрешение оформляется письменно, дабы быть уверенным в безусловном согласии владельца информации.
Каждый гражданин может знакомиться со сведениями о другом лице как по роду работы, так и в процессе неофициального общения, читая газеты или просматривая интернет-страницы. Такое ознакомление не означает обработку персональных данных: прочёл, услышал, узнал - и, возможно, забыл. Или просто взял на заметку.
Если же информация о лице собирается для последующей систематизации, использования, передачи или хранения - это уже обработка личных данных. Такой процедурой занимаются, например, поликлиники или школы: полученные данные регистрируются, заносятся в базы и каталоги, классифицируются для последующего использования в своих уставных целях.
Журналист, писатель или частное лицо может обрабатывать личную информацию исключительно в творческих целях без соблюдения юридических норм.
Сбор и обработка персональных данных допускаются исключительно для выполнения уставных задач и достижения установленной цели. Например, поликлиника может использовать полученную от пациентов личную информацию только для оказания медицинской помощи указанным лицам.
Целые массивы с личной информацией обрабатывают страховые компании, турагентства, транспортные предприятия, коммунальные службы и другие подобные юридические лица. Указанные организации могут пользоваться такой информацией только для выполнения своих задач перед потребителем и не имеют права собирать сведений больше, чем это необходимо для конкретной ситуации.
Нельзя собирать данные, представляющие риск для прав и свобод лица, если такие сведения не предоставлены самим лицом, например, член политической партии представил сведения о себе непосредственно партийной организации.
Проводить какие-либо действия с персональными данными может исключительно тот, кому владелец данных дал согласие.
Бывают и исключения из правил, например, следственные органы могут обрабатывать информацию об обвиняемом без его согласия. Такое право следователя вызвано необходимостью защиты общественных интересов и выполнением им своих должностных обязанностей.
Налоговые, пенсионные органы также производят различные операции с личной информацией не только для выполнения своих обязанностей, но и для обеспечения прав граждан.
Мобильные операторы обладают немалым объёмом личных сведений об абонентах. Разумеется, такую информацию они могут использовать только для предоставления качественной мобильной связи пользователю.
Чаще всего личную информацию предоставляют при трудоустройстве. Законом установлен перечень обязательных сведений о работнике, без которых приём на работу невозможен:
С получением указанных данных закон связывает определённые правовые последствия по оплате труда, предоставлению отпусков, льгот и многим другим вопросам.
Разумеется, каждый гражданин может отказаться от разглашения сведений о себе, но в этом случае работодатель получает право отказать ему в приёме на работу - такова правовая взаимосвязь. Чаще всего проблем при оформлении не возникает, так как работник добровольно предоставляет нужную информацию.
Впрочем, следует помнить, что работодатель не имеет права на операции с данными работника о национальной или партийной принадлежности, религиозных взглядах и некоторых других.
Разрешение владельца персональных данных на их обработку обычно оформляется в письменной форме, в том числе и при трудоустройстве.
Наученные горьким опытом или просто осторожные компании просят потребителей подписать соответствующие заявления при оформлении дисконтных карт и участии в акциях; поликлиники, школы, вузы и другие учреждения также разработали типовое согласие на обработку персональных данных.
Образец перед подписанием следует внимательно изучить и убедиться, что запрашиваемая информация действительно необходима конкретному лицу. Письменная форма согласия на обработку персональных данных позволяет подтвердить добрую волю владельца.
Оговорки о персональных данных вносятся практически во все договоры: хозяйственные, трудовые, потребительские, ведь в деле соблюдения закона лучше немного перестараться, чем недоглядеть.
Ниже приведена письменная форма согласия работника на обработку персональных данных.
Директору завода «Сельхозмаш»
Иванову И. И.
тракториста цеха механизации
Аристова Олега Аркадьевича.
Место составления.
Данным заявлением даю письменное разрешение на сбор, обработку, использование и хранение моих персональных данных, в пределах, необходимых для обеспечения моих трудовых и социальных прав, оплаты установленных налогов, сборов и других обязательных платежей, внесения обязательных взносов в государственные фонды, а также для иных целей, вытекающих из трудовых и смежных с ними правоотношений между мной и работодателем и в пределах, предусмотренных действующим законодательством.
Работодатель имеет право передавать мои персональные данные третьим лицам только в случаях, прямо установленных законом.
Согласие на сбор и обработку персональных данных работник обычно подписывает при оформлении на работу и предоставлении всех необходимых документов. Имеет смысл затребовать от него такое заявление до подписания приказа о приёме на работу.
Одним из нестандартных вариантов в сфере обработки личных данных становится выдача родителями согласия образовательному учреждению на операции с личными данными их несовершеннолетнего ребенка. Разумеется, школа вынуждена использовать сведения о детях и их родителях для предоставления образовательных услуг. Выдать такое разрешение имеют право родители как законные представители несовершеннолетних детей.
Совет юриста: о согласиях на обработку персональных данных ребенка следует спрашивать обоих родителей, независимо от того, состоят ли они в официальном, гражданском браке или находятся в разводе. Исключение составляет лишение родительских прав по решению суда.
Ниже приведён примерный образец согласия, составленного обоими родителями.
Директору средней школы № 30
г. Москва
Ивановой И. И.
родителей ученика 4-В класса
Петрова Петра Петровича, 2005 г. р.,
проживающего: Харьковское шоссе, 356, кв. 2,
Матери Петровой Ирины Леонидовны,
проживающей: Харьковское шоссе, 356, кв. 2,
Отца Петрова Игоря Ивановича,
проживающегоя: Харьковское шоссе, 356, кв. 2,
Согласие на обработку персональных данных ребёнка
Настоящим заявлением мы даём разрешение администрации школы на сбор, обработку, использование и хранение персональных данных нашего ребёнка исключительно в пределах, необходимых для обеспечения образовательного процесса и смежных с ним правоотношений, связанных с социальными правами нашего ребёнка.
Передачу третьим лицам персональных данных нашего ребёнка разрешаем исключительно в случаях, предусмотренных действующим законодательством, о чём администрация должна уведомить нас в установленном порядке.
Петрова И. Л., дата.
Петров И. И., дата.
По желанию родители могут составить отдельные листы согласия на обработку персональных данных, каждый от своего имени.
По общему правилу обработка личной информации без добровольного согласия владельца незаконна. Исключение составляют случаи, когда информация обрабатывается без согласия владельца для защиты его жизненно важных интересов.
В некоторых случаях можно обрабатывать личную информацию без письменного согласия её владельца:
Информация о лице защищена законом в силу её особой важности, а значит, необходимо выполнять все требования закона о защите персональных данных.
Хотите иметь дело с проверкой Роскомнадзором своего ИТ-продукта или сайта? А потом ещё платить штраф, нести ответственность?
В закладки
Думаю, что нет. Поэтому, давайте, начнём разбирать что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов.
Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:
1) нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:
Физическое лицо: предупреждение или штраф в размере 1 000 - 3 000 рублей;
Должностное лицо: штраф в размере от 5 000 - 10 000 рублей;
Юридическое лицо: штраф в размере 30 000 - 50 000 рублей;
2) Обработка персональных данных без согласия гражданина приведет:
Физическое лицо: штраф в размере 3 000 - 5 000 рублей;
Должностное лицо: штраф в размере от 10 000 - 20 000 рублей;
Юридическое лицо: штраф в размере 15 000 - 75 000 рублей;
3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:
Физическое лицо: штраф в размере 700 - 1 500 рублей;
Должностное лицо: штраф в размере от 3 000 - 6 000 рублей;
Индивидуальный предприниматель: штраф в размере от 5 000 - 10 000 рублей
Юридическое лицо: штраф в размере 15 000 - 30 000 рублей;
Первоначально определимся с основными понятиями и поймём, что же они значат (неформальное объяснение по тексту будет обозначаться “Д”, это от слова description):
Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Д: это любая совокупность информации, через которую можно определить определенного человека. К примеру, абстрактная электронная почта, допустим [email protected] - не относится к ПД, однако электронная почта с рабочим адресом допустим, [email protected] с подписью в письме “Главный инженер” - относятся к персональным данным, т.к. мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации “Ромашка”.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Д: это вы, собирающий персональные данные. Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека - и вот вы уже владелец персональных данных в лице оператора.
Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Д: это любые действия, которые вы совершаете как оператор.
Самый большой штраф как вы видите - это за сбор ПД гражданина без согласия, поэтому в статье будем говорить в основном об этом.
Определим сразу случаи, когда согласие на обработку ПД не надо собирать в соответствии с законодательством Российской Федерации:
1. Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.
Д: когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.
2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
Д: когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные. Сюда подходит и оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент когда собираете ПД - наступает раньше.
3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.
Д: вы обезличиваете данные физического лица и “размываете” их в море других данных, соответственно определить кому что принадлежит - невозможно даже вам.
4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
Д: данный пункт не относится к интернет-проектам, но для понимания ситуации, пример, когда приезжает частная медицинская бригада и оказывает помощь.
5. Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.
Д: если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги - нет необходимости требовать согласия на обработку ПД.
6. Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
7. Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Д: не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством Российской Российской Федерации.
Во всех остальных случаях, при контакте и сборе ПД от физического лица - вы должны получать его согласие и иначе никак - закон есть закон!
Теперь разберём как собирать ПД и получать согласие.
Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных. Если у вас юридическое лицо или вы - индивидуальный предприниматель - вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии. Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах - относится не только к работе с потребителями, но и с работниками.
Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.
Самое главное по теме. Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.
При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!
Немного юридического обоснования чекбоксов, а как называет Роскомнадзор - “галочек”:
Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:
“4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью...”.
Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:
“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.
Вариативно, ещё шаг 4.
Подать уведомление об обработке ПДн в Роскомнадзор.
В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.
Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).
Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется:
- политика обработки персональных данных;
- приказ об утверждении вышеуказанной политики;
- согласие на обработку персональных данных;
Для чего же это вообще нужно? Зачем нужно беспокоиться о персональных данных и о получении согласия пользователя на их обработку?
Конечно, это прежде всего административная (штрафы, блокировка) и гражданская (причинение вреда) ответственность - такие вещи могут очень серьёзно повлиять на бизнес. Но есть ещё такая штука как частная жизнь граждан, как злоупотребление правом и недобросовестная реклама продавцов. Я на 100% уверен, что каждый из нас не любит, когда на телефон приходит спам, реклама, а посередине ночи будит смс или звонок с просьбой “срочно перевести деньги, а то в тюрьму посадят”. А всё это происходит из-за ненадлежащего исполнения лицами, осуществляющими сбор персональных данных, своих обязательств. И согласие на обработку ПД - всего лишь часть механизма, который должен обеспечивать нашу с вами защиту как граждан и повышать социальную ответственность. К сожалению, такие полезные институты и механизмы могут превратиться в инструмент для давления… И мы как юристы должны эффективно использовать законы и максимально обезопасить бизнес от этого.
Так что, если вы выполнили все условия и шаги из настоящей статьи, то поздравляем - вы не только уменьшили вероятность быть оштрафованным и привлеченным к ответственности (работа с ПД физических лиц лишь небольшая часть правовой политики ИТ-продукта), но и сделали шаг к социально-ориентированному Интернет-пространству, уважающему личные данные пользователей!
Спасибо за внимание!
