Сбор и обработка персональных данных

Как лучше оформить согласия на обработку персональных данных?

В силу ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О защите персональных данных» (далее — Закон N 152-ФЗ) под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы. На основании п. 1 ст. 6 вышеуказанного Закона обработка персональных данных может осуществляться только с согласия их субъекта.

Данное согласие должно быть оформлено в письменной форме и содержать в себе следующую информацию:

  • фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;

  • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;

  • цель обработки персональных данных;

  • перечень персональных данных, на обработку которых дается согласие;

  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;

  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;

  • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;

  • подпись сотрудника.

Данное согласие должно быть оформлено отдельным документом на каждого работника.

Образец согласия приведен ниже, в подборке материалов Системы.

В части трудовых договоров :

В трудовые договоры работников, имеющих доступ к персональным данным работников (кадры, бухгалтерия, учебная часть и тп.) нужно внести условие о неразглашении таких данных работников.

В трудовые договоры других работников можно внести согласие на обработку их персональных данных, но простого письменного информированного согласия на обработку таких данных также достаточно.

Подробнее в материалах Системы:

  1. Форма: Согласие сотрудника на обработку персональных данных

Директору «Альфа»

А.В. Львову

от А.С. Кондратьева

паспорт серия 45 01 № 255123

выдан «12» февраля 2000 г. ОВД «Хамовники» г. Москвы

зарегистрированной(го) по адресу: 119021, г. Москва,

ул. Хамовнический вал, д. 8, кв. 64

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Настоящим я, Кондратьев Александр Сергеевич, представляю Работодателю (оператору) «Альфа» (ОГРН 1234567890123, ИНН 7708123456), зарегистрированному по адресу: 125008, г. Москва, ул. Михалковская, д. 20, свои персональные данные в целях обеспечения соблюдения трудового законодательства и иных нормативно-правовых актов при содействии в трудоустройстве, обучении и продвижении по работе, обеспечения личной моей безопасности, текущей трудовой деятельности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Моими персональными данными является любая информация, относящаяся ко мне как к физическому лицу (субъекту персональных данных), указанная в трудовом договоре, личной карточке работника (унифицированная форма Т-2), трудовой книжке и полученная в течение срока действия настоящего трудового договора, в том числе: мои фамилия, имя, отчество, год, месяц, дата и место рождения, гражданство, документы, удостоверяющие личность, идентификационный номер налогоплательщика, номер страхового свидетельства государственного пенсионного страхования, адреса фактического места проживания и регистрации по местожительству, почтовые и электронные адреса, номера телефонов,

фотографии, сведения об образовании, профессии, специальности и квалификации, семейном положении и составе семьи, сведения об имущественном положении, доходах, задолженности, занимаемых ранее должностях и стаже работы, воинской обязанности; сведения о трудовом договоре и его исполнении (занимаемые должности, существенные условия труда, сведения об

аттестации, повышении квалификации и профессиональной переподготовке, поощрениях и

наказаниях, видах и периодах отпуска, временной нетрудоспособности, социальных льготах,
командировании, рабочем времени и пр.), а также о других договорах (индивидуальной,
коллективной материальной ответственности, ученических, оказания услуг и т. п.), заключаемых
при исполнении трудового договора.

Своей волей и в своих интересах выражаю согласие на осуществление Работодателем
(оператором) любых действий в отношении моих персональных данных, которые необходимы
или желаемы для достижения указанных целей, в том числе выражаю согласие на обработку без
ограничения моих персональных данных, включая сбор, систематизацию, накопление, хранение,
уточнение (обновление, изменение), использование, распространение (в т. ч. передачу),
обезличивание, блокирование, уничтожение персональных данных при автоматизированной и
без использования средств автоматизации обработке; запись на электронные носители и их
хранение; передачу Работодателем (оператором) по своему усмотрению данных и
соответствующих документов, содержащих персональные данные, третьим лицам, включая
банки, налоговые органы, в отделения пенсионного фонда, фонда социального страхования,
фонда обязательного медицинского страхования, уполномоченным агентам и организациям;
хранение моих персональных данных в течение 75 лет, содержащихся в документах,
образующихся в деятельности Работодателя (оператора), согласно части 1 статьи 17 Закона от
22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации», а также при
осуществлении любых иных действий с моими персональными данными, указанными в
трудовом договоре и полученными в течение срока действия трудового договора, в соответствии
с требованиями действующего законодательства РФ и Закона от 27 июля 2006 г. № 152-ФЗ «О
персональных данных».

Настоящее согласие на обработку персональных данных действует с момента представления
бессрочно и может быть отозвано мной при представлении Работодателю (оператору) заявления
в простой письменной форме в соответствии с требованиями законодательства Российской
Федерации.

Также прочитайте о том, уведомлении об обработке персональных данных в Роскомнадзор, более подробно.

Обязуюсь сообщать в трехдневный срок об изменении местожительства, контактных
телефонов, паспортных, документных и иных персональных данных. Об ответственности за
достоверность представленных персональных сведений предупрежден(а).

Кондратьев

А.С. Кондратьев

«20» сентября 2013г.

  1. Ответ: Как организовать обработку персональных данных сотрудников

Персональные данные сотрудников

В организации содержатся в их и (если они ведутся). Все персональные данные сотрудника можно получить только от него самого. Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение. Такой порядок предусмотрен в части 1 статьи 86 Трудового кодекса РФ.

Организация не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника (например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п.). Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в части 1 статьи 86 Трудового кодекса РФ и Закона от 27 июля 2006 г. № 152-ФЗ.

Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия на то сотрудника ().

Согласие сотрудника на обработку персональных данных

По ходу деятельности у работодателя возникает необходимость в . Обработка таких данных осуществляется только с сотрудников. При этом согласие должно включать в себя следующую информацию:

  • фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;

  • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;

  • цель обработки персональных данных;

  • перечень персональных данных, на обработку которых дается согласие;

  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;

  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;

  • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;

  • подпись сотрудника.

Такие требования установлены в статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель (родитель, опекун) ().

Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в . В такой ситуации организация вправе продолжить с учетом ограничений, указанных в части 1 статьи 6, статьи 10 и статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя ().

С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем ().

Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей. Об этом сказано в разъяснений Роскомнадзора от 14 декабря 2012 г.

Случаи обработки данных без согласия сотрудника

В отдельных случаях обработка персональных данных возможна и без согласия сотрудника. Например, если обработка персональных данных необходима в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления и выполнения возложенных законодательством России на оператора функций, полномочий и обязанностей, – она может осуществляться без согласия сотрудника – субъекта персональных данных. Об этом сказано в Закона от 27 июля 2006 г. № 152-ФЗ.

К таким случаям относится передача сведений в:

  • Пенсионный фонд РФ ();

  • налоговые органы ();

  • ФФОМС, ФСС России ();

  • военные комиссариаты ();

  • иные органы, когда обязанность передачи им сведений, относящихся к персональным данным сотрудника, закреплена за работодателем законом либо необходима для достижения установленных законом целей (например, суды, прокуратуру и т. п.).

Кроме того, согласие не требуется в следующих случаях:

  • обязанность по обработке предусмотрена законодательством, в том числе опубликование и размещение персональных данных сотрудников в сети Интернет (например, , и рядом иных актов);

  • проводится обработка персональных данных близких родственников сотрудника в объеме, предусмотренном личной карточкой (по унифицированной или ), а также в случаях получения алиментов, оформления социальных выплат и допуска к государственной тайне;

  • обработка сведений о состоянии здоровья сотрудника относится к вопросу о возможности выполнения им трудовой функции;

  • обработка данных связана с выполнением сотрудником должностных обязанностей, в том числе при его командировании;

  • обработка персональных данных проводится при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя при условии, что организация пропускного режима осуществляется работодателем самостоятельно.

Об этом говорится в разъяснений Роскомнадзора от 14 декабря 2012 г.

Также работодателю следует помнить, что не требуется получать согласие уволенного сотрудника на обработку его персональных данных для целей налогового и бухгалтерского учета. Не распространяется законодательство о персональных данных и на материалы, переданные в архивную организацию для архивного хранения, поэтому такое хранение не требует получения согласия сотрудника на обработку его персональных данных. Это следует из положений пункта 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в части 1 статьи 6, статьи 10 и статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ.

Уведомление Роскомнадзора

До начала работодателю необходимо уведомить территориальный орган Роскомнадзора о намерении осуществить обработку. Исключение составляют случаи обработки персональных данных:

  • обрабатываемых в соответствии с трудовым законодательством;

  • сделанных сотрудниками общедоступными;

  • полученных организацией в связи с заключением договора, стороной которого является сотрудник (при условии, что персональные данные не распространяются, а также не предоставляются третьим лицам без согласия сотрудника и используются работодателем исключительно для исполнения указанного договора и заключения иных договоров с сотрудником);

  • относящихся к членам (участникам) общественного объединения или религиозной организации;

  • включающих в себя только фамилии, имена и отчества сотрудников;

  • необходимых в целях однократного пропуска сотрудника на территорию работодателя и в иных аналогичных целях;

  • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

  • обрабатываемых без использования средств автоматизации в соответствии с законодательными актами, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

  • обрабатываемых в случаях, предусмотренных законодательством России о транспортной безопасности.

Об этом говорится в частях и статьи 22 Закона от 27 июля 2006 г. № 152-ФЗ.

о намерении осуществлять обработку персональных данных, а также по ее заполнению утверждены . Кроме того, подробный перечень сведений, которые должны быть указаны в уведомлении, приведен в статьи 22 Закона от 27 июля 2006 г. № 152-ФЗ. Работодатель может направить уведомление в бумажном виде в адрес территориального органа Роскомнадзора или в электронном виде через ().

В случае прекращения обработки персональных данных работодатель также обязан уведомить об этом уполномоченный орган. Сделать это нужно в течение десяти рабочих дней с момента прекращения обработки данных. Типовой бланк уведомления о прекращении обработки данных не утвержден, поэтому работодатель может составить его в ().

Защита персональных данных

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в (, ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации (). Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в Закона от 27 июля 2006 г. № 152-ФЗ и , утвержденных . На их основе организация может выработать свою собственную систему защиты персональных данных.

Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

  • уничтожение;

  • изменение;

  • блокирование;

  • копирование;

  • предоставление;

  • распространение;

  • иные неправомерные действия с персональными данными.

Такие правила установлены Требований, утвержденных .

Следует отметить, что выбор конкретных средств защиты информации для информационной системы обработки персональных данных осуществляется работодателем в соответствии с нормативно-правовыми актами ФСБ России и ФСТЭК России. Определение типа угроз безопасности персональных данных, актуальных для системы обработки и защиты персональных данных, производится с учетом оценки возможного вреда и в соответствии с нормативными актами упомянутых органов (п. , Требований, утвержденных ).

При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные Требований, утвержденных . Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т. п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены , утвержденными .

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации ( Требований, утвержденных ).

Проверки соблюдения требований к обработке персональных данных

Проверки работодателя по вопросам обработки им персональных данных проводит Роскомнадзор. утвержден исполнения данной службой функций по осуществлению государственного контроля (надзора).

Предметом контроля деятельности работодателя по обработке персональных данных являются:

  • документы, характер информации в которых предполагает или допускает включение в них персональных данных;

  • информационные системы персональных данных;

  • деятельность по их обработке.

Такие правила установлены Административного регламента, утвержденного .

Роскомнадзор осуществляет как плановые, так и внеплановые проверки в форме документарных или выездных ( Закона от 26 декабря 2008 г. № 294-ФЗ). Права и обязанности должностных лиц Роскомнадзора при проведении проверок определен, соответственно, пунктами и Административного регламента, утвержденного .

Сроки проверки деятельности работодателя по обработке персональных данных при проведении как плановой, так и внеплановой проверки не могут превышать 20 рабочих дней. При этом для общий срок выездных плановых проверок не может превышать в год:

  • 50 часов – для малого предприятия;

  • 15 часов – для микропредприятия.

В исключительных случаях срок проведения выездной плановой проверки может быть продлен, но не более чем на 20 рабочих дней, а для малых и микропредприятий – не более чем на 15 часов. Это возможно, если в ходе осуществления проверки возникнет необходимость в проведении:

  • сложных и длительных исследований, испытаний;

  • специальных экспертиз и расследований.

Такие правила установлены Закона от 26 декабря 2008 г. № 294-ФЗ.

Руководитель или иное уполномоченное лицо проверяемой организации (индивидуального предпринимателя) обязаны предоставить должностным лицам Роскомнадзора возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, если таковой не предшествовала документарная. Кроме этого, необходимо обеспечить доступ проверяющих должностных лиц на территорию организации, в используемые при осуществлении обработки персональных данных здания, строения, сооружения, помещения, а также обеспечить их доступ к используемому оборудованию. Такой порядок установлен пунктами , Административного регламента, утвержденного .

По результатам проверки соблюдения законодательства об обработке персональных данных составляется акт, которого утверждена . При выявлении нарушений дополнительно составляется предписание об их устранении. Такие правила установлены пунктами , , Административного регламента, утвержденного .

Если организация не согласна с выводами должностных лиц Роскомнадзора, а также с их действиями в ходе проверки, то она может обжаловать данные выводы или действия ().

Ответственность за нарушения в работе с персональными данными

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (, ).

К дисциплинарной ответственности могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их (). Материальная ответственность может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб ().

За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и ее должностных лиц могут оштрафовать. Размер штрафа составляет:

  • для должностных лиц (например, руководителя организации) от 500 до 1000 руб.;

  • для организации от 5000 до 10 000 руб.

Штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 руб.

Такие меры ответственности предусмотрены статьями

Источник: https://www.kdelo.ru/qa/114221-kak-luchshe-oformit-soglasiya-na-obrabotku-personalnyh-dannyh

Паспортные данные, адрес, дата рождения и даже фамилия имя и отчество каждого гражданина являются личными данными, которые особо охраняет законодательство. Все лица, которые по тем или иным причинам получают, обрабатывают, передают или хранят такие сведения, являются операторами и обязательно должны получить согласие на любые действия с полученной информацией.

Образец соглашения на обработку персональных данных а также требования к его оформлению вы сможете найти в специальном материале PPT.ru.

Понятие персональных данных и обращение с ними регулирует Федеральный закон от 27.07.2006 N 152-ФЗ в редакции от 22.02.2017 г. В соответствии с этим документом, под личными данными граждан, охраняемыми законодательством, следует понимать любую информацию, которая прямо или косвенно относится непосредственно к их субъекту (то есть физическому лицу). Такая информация позволяет однозначно определить, о каком именно человеке идет речь.

Что именно является личной информацией граждан

Конкретные указания на то, какая именно информация о человеке является его индивидуальными и охраняемыми данными в законодательстве отсутствует. По сложившейся практике под ней обычно скрывается:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес проживания (место регистрации);
  • семейное, социальное и имущественное положение;
  • образование, профессия;
  • доходы, имущество и обязательства.

Обычно такие сведения человек сообщает о себе сам во многих государственных органах, медицинских и образовательных учреждениях, кредитных организациях и даже в коммерческих структурах, например при трудоустройстве. Кроме вышеперечисленных сведений, которые являются общими, есть еще специальные личные данные, например национальность, вероисповедание, политические взгляды, состояние здоровья и прочая информация подобного рода.

Где можно найти персональные данные гражданина

Существует целый ряд документов, которые по своей сути являются источниками и, одновременно, хранилищами личной информации. К ним, в частности, относятся:

  • паспорт гражданина (внутренний и заграничный)
  • другие документы, удостоверяющие личность;
  • трудовая книжка;
  • военный билет;
  • свидетельство о рождении;
  • документы об образовании,
  • документы о составе семьи;
  • справки о доходах;
  • анкеты, заполняемые при трудоустройстве;
  • автобиография;
  • характеристики;
  • личные карточки работников (форма Т-2);
  • другие документы.

Очевидно, что большинство этих документов в подлинниках или копиях хранят работодатели граждан. Именно они, а также все остальные лица, к которым попадает такая информация, являются операторами персональных данных.

Операторы персональных данных и действия с ними

В статье 3 Закона № 152-ФЗ сказано, что оператором является лицо, которое организует и осуществляет обработку персональных данных. Все работодатели как юрлица, так и ИП являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус практически не ограничен. Это может быть любое лицо, которому человек доверил информацию о себе.

Отдельное внимание нужно уделить понятию обработки личной информации. О ней везде говорят, но никто толком не знает, что это такое. Тогда, как часть 3 все той же статьи 3 Закона № 152-ФЗ регламентирует это понятие, как любое действие (или их совокупность), совершаемое с личной информацией. Под действиями законодатели понимают:

  • сбор,
  • запись,
  • систематизацию,
  • накопление,
  • хранение,
  • уточнение (обновление, изменение),
  • извлечение,
  • использование,
  • передачу (распространение, предоставление, доступ),
  • обезличивание,
  • блокирование,
  • удаление или уничтожение данных.

Все операции могут проходить как в бумажном ручном режиме, так и с использованием средств автоматизации, в том числе в режиме онлайн. Именно на все эти действия оператор должен получить от владельца бланк согласия на обработку персональных данных 2017. При этом, для работодателей это является отдельным случаем, так как цели их обработки, в том числе, регулирует статья 86 Трудового кодекса РФ.

Заявление о согласии на обработку персональных данных и требования к оформлению документов

Как уже было сказано выше, операторы обязаны получить от граждан согласие на обработку персональных данных на сайте или в бумажном варианте. Однако образец формы согласия на обработку персональных данных для организаций и учреждений немного отличается от того заявления, которое должен взять с каждого нового работника его работодатель. Для начала определимся с общими требованиями к оформлению этих документов.

Нормами статьи 87 ТК РФ установлено, что все организации самостоятельно определяют порядок хранения и использования сведений, полученных от работников. Аналогичный принцип применим и ко всем остальным операторам. Главное: не нарушать требования, установленные федеральными законами и кодексами. Поэтому, прежде чем приступать к обработке и думать, какой образец соглашения на обработку персональных данных лучше использовать, необходимо утвердить локальный акт по организации «Положение о персональных данных». Именно в этом документе должны содержаться все основные требования к правилам оформления документации. Положение должен утвердить руководитель с согласия профсоюзного органа (при его наличии).

Когда речь идет о работодателях, важно учесть, что по нормам п. 8 части 1 статьи 86 ТК РФ всех работников и их представителей следует ознакомить с утвержденным Положением под роспись. Для этих целей можно даже завести специальный журнал. Если Положения в организации-операторе не будет, это является грубым нарушением за которое нормами статьи 13.11 КоАП РФ предусмотрен штраф.

Образец заполнения согласия на обработку персональных данных

Требования к согласию, который должен дать владелец личной информации для ее обработки оператором, определен в части 1 статьи 9 Закона N 152-ФЗ. Главное требование — такое согласие должно быть конкретным, информированным и сознательным. А также обязательно оформленным в письменной форме. Также допускается электронная форма, если взаимодействие владельца и оператора происходит через интернет. В любом случае у оператора должна быть возможность в любой момент подтвердить факт его получения.

При этом, хотя в самом законе о письменной форме этого документа речи не идет, по нормам статьи 13.11 КоАП РФ наказание последует в том случае, если оператор начал обработку:

без согласия в письменной форме субъекта персональных данных на обработку его данных в случаях, когда такое согласие должно быть получено по законодательству РФ, если эти действия не содержат уголовно наказуемого деяния.

Поэтому, лучше всего сразу оформить заявление о согласии на все манипуляции с персональными данными, и больше не переживать по этому поводу. Универсального бланка такого документа не существует. Поэтому каждый оператор может самостоятельно его разработать или использовать предложенные образцы, подготовленные специалистами Консультант Плюс.

Образец соглашения на обработку персональных данных работника с работодателем, например, может выглядеть так:

Произвольная форма согласия или заявления не исключает целого ряда требований, установленных в статье 9 Закона N 152-ФЗ к его содержанию. В нем обязательно должны быть указаны:

  1. Фамилия имя и отчество лица, его адрес, а также полные реквизиты документа, удостоверяющего его личность (аналогичные требования к представителям гражданина);
  2. Наименование или Ф.И.О. и адрес оператора;
  3. Цель получения личной информации;
  4. Перечень данных, которые подлежат обработке.
  5. Данные организации или ИП, которым оператор перепоручил любые манипуляции с данными;
  6. Перечень действий с информацией о человеке, на совершение которых он дал свое согласие, общее описание способов ее хранения и использования;.
  7. Срок, в течение которого действует согласие и способ его отзыва;
  8. Личная подпись гражданина.

Бланк согласия (форму для заполнения) можно .

Источник: http://guardinfo.online/2017/06/30/polezno-znat-soglasie-na-obrabotku-personalnyx-dannyx-oformlyaem-pravilno/

Согласие на обработку персональных данных (бланк 2019)

Планируя подачу документов на визу в Визовый центр, не забудьте подготовить форму согласия на обработку данных. Так как Визовые центры осуществляют автоматизированный сбор и обработку личных данных заявителей, в соответствии с ФЗ №152 «О Персональных данных» они в обязательном порядке должны получать соответствующее согласие. Без подписанной формы согласия Визовый центр не имеет права обрабатывать Ваши документы.

О сроке действия Согласия, а также порядке уничтожения Ваших персональных данных из базы данных Оператора, как правило, указано в самом тексте Согласия. Вы можете его отозвать в любой момент посредством подачи письменного обращения к Оператору, получившему ранее от Вас этот документ.

Форма Согласия на обработку персональных данных предоставляется бесплатно. Вы можете найти и скачать ее на официальном сайте того Визового центра, в котором планируете подачу, а также получить, заполнить и подписать в самом Визовом центре при подаче документов. Бланк Вам обязаны предоставить. Рекомендуем заполнять Согласие заранее — так Вы сможете сэкономить время.

Заполнять Согласие требуется только для подачи в Визовом центре. Если Вы планируете оформление визы напрямую через Консульский отдел той или иной страны, то заполнять и приносить Согласие не требуется.

Согласие на сбор и обработку личных данных заполняется на русском языке. Необходимо указать данные российского паспорта. Дать такое согласие может только совершеннолетний гражданин. Для несовершеннолетних заявителей заполняются как данные самого заявителя (свидетельство о рождении или гражданский паспорт) — СУБЪЕКТ, так и данные его законного представителя (родитель / опекун) — ПРЕДСТАВИТЕЛЬ СУБЪЕКТА. Согласие для несовершеннолетнего ребенка подписывает законный представитель.

Заполнение Согласия для совершеннолетнего заявителя
  • Укажите город подачи документов.
  • Укажите дату подачи документов.

Заполните только верхнюю часть Согласия в поле «Субъект персональных данных»:

  • Укажите полностью ФИО.
  • Укажите данные Вашего гражданского паспорта (номер, дата выдачи, кем выдан).
  • Укажите адрес проживания (либо по прописке, либо адрес фактического проживания).

Внизу формы еще раз укажите полностью ФИО и поставьте подпись.

Больше ничего заполнять не нужно.

Не забудьте приложить копию российского паспорта (основная страница + страница с регистрацией).

Заполнение Согласия для несовершеннолетнего заявителя
  • Укажите город подачи документов.
  • Укажите дату подачи документов.

В верхней части «Субъект персональных данных» указываются данные несовершеннолетнего заявителя:

  • Укажите полностью ФИО.
  • Укажите данные св-ва о рождении или гражданского паспорта, если имеется (номер, дата выдачи, кем выдан).
  • Укажите адрес проживания (либо по прописке, либо адрес фактического проживания).

В следующей части «В лице представителя субъекта персональных данных» указываются данные законного представителя несовершеннолетнего заявителя (родителя / опекуна).

  • Укажите полностью ФИО.
  • Укажите данные Вашего ражданского паспорта (номер, дата выдачи, кем выдан).
  • Укажите адрес проживания (либо по прописке, либо адрес фактического проживания).
  • Укажите, на основании чего Вы представляете несовершеннолетнего заявителя. Это может быть св-во о рождении, где Вы указаны, как родитель, либо иной официальный документ, подтверждающий официальное опекунство.

Графу «Наименование и адрес лица, осуществляющего обработку персональных данных» заполнять не нужно.

Внизу формы еще раз укажите полностью ФИО родителя / опекуна. Подписывает форму законный представитель (родитель / опекун).

Не забудьте приложить копию российского паспорта родителя / опекуна (основная страница + страница с регистрацией) + копию св-ва о рождении (или паспорта, если есть) несовершеннолетнего заявителя.

Скачать: Согласие на обработку персональных данных бланк 2019 — для заполнения:

Не забудьте, Ваша поездка должна быть застрахована.

Оформите страховой полис по лучшим тарифам прямо сейчас.

Источник: http://ProVisy.ru/useful/personal-data-form-how-to-fill.html

>Персональные данные – 2018: как избежать штрафов

Что изменилось с 1 июля 2017 года

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы

Основание Размер штрафа
Физлица Должностные лица Юрлица ИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн предупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до
10 000 руб.
предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб. от 10 000 до 20 000 руб. от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДн от 700 до 1500 руб. от 3000 до 6000 руб. от 15 000 до 30 000 руб. от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработке предупреждение или штраф — от 1000 до 2000 руб. предупреждение или штраф — от 4000 до 6000 руб. предупреждение или штраф — от 20 000 до 40 000 руб. предупреждение или штраф — от 10 000 до 15 000 руб.
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки) предупреждение или наложение штрафа в размере от 1000 до 2000 руб. предупреждение или штраф — от 4000 до
10 000 руб.
предупреждение или штраф — от 25 000 до 45 000 руб. предупреждение или штраф — от 10 000 до 20 000 руб.
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования от 700 до 2000 руб. от 4000 до
10 000 руб.
от 25 000 до 50 000 руб. от 10 000 до 20 000 руб.
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн предупреждение или наложение административного штрафа — от 3000 до 6000 руб.

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан.

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально. На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft. Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн.

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

5 базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов

Источник: https://kontur.ru/articles/4816