Обработка персональных данных в 2023 году

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу.

Обработка персональных данных – это действие или совокупность действий, которые совершают с персональными данными сотрудника. Например, когда вы собираете и записываете персданные соискателя, чтобы заполнить трудовой договор при трудоустройстве.

Также, если вы владелец интернет-сайта и собираете данные ваших посетителей через специальную форму, то вы тоже занимаетесь обработкой персональных данных.

Напомним, что еще до 1 марта 2023 года работодатели обязаны передавать РКН специальные уведомления об обработке персональных данных. Подробнее см. «Уведомление РКН об обработке персональных данных». 

С 1 марта 2023 года требований к обработке персональных данных становится еще больше. Кроме того, в 2023 году РКН усилит проверки за персональными данным. В частности, начнет проводить “дистанционные” проверки операторов персональных данных.

Уведомление об изменении персональных данных: новый срок

С 1 марта будет больше времени, чтобы известить Роскомнадзор об изменении персональных данных.

Если сведения, которые указали в уведомлении, изменились, об этом нужно сообщить в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения.

До 1 марта такое уведомление направлялось в течение 10 рабочих дней с момента изменений. Уведомление подается по форме из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180.

Уничтожение персональных данных: новые правила

С 1 марта нужно фиксировать факт уничтожения персональных данных актом по новой форме. Раньше оформить акт об уничтожении можно было в свободной форме, а теперь необходимо включить в него 10 обязательных видов данных. Основание: Приказ Роскомнадзора от 28.10.2022 N 179.

С 1 марта 2023 года работодатель должен будет фиксировать факт того, что уничтожил персданные, двумя документами:

• актом об уничтожении персональных данных;
• выгрузкой из журнала регистрации событий в информационной системе персональных данных.

К сведению

Если компания обрабатывает данные вручную для подтверждения будет достаточно акта.

• Обязательные реквизиты акта об уничтожении персональных данных
• 
• Обязательные реквизиты выгрузки
• 

СКАЧАТЬ ОБРАЗЕЦ АКТА ОБ УНИЧТОЖЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ С 01.03.2023

СКАЧАТЬ ОБРАЗЕЦ ВЫГРУЗКИ ИЗ ЖУРНАЛА С 01.03.2023

Оценка степени вреда: новый порядок

С 1 марта 2023 года потребуется оценивать степень вреда, который может возникнуть, если будет нарушен закон о персональных данных. РКН утвердил специальные правила, по которым работодатели должны оценивать вред, который может возникнуть, если будут нарушены правила обработки персданных (приказ Роскомнадзора от 27.10.2022 № 178).

Степени вреда всего 3 (три):

1. высокая;
2. средняя;
3. низкая.

Таблица. Какие персданные к какой степени вреда относятся

Заметим, что отнесения вреда к какой-либо категории, вам потребуется составить специальный акт. Предлагаем ознакомиться с образцом.

СКАЧАТЬ ОБРАЗЕЦ АКТА ОЦЕНКИ ВРЕДА С 01.03.2023

Передача персональных данных за границу

С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.

Заметим, что новшество напрямую касается онлайн-продавцов. Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных.

А вот если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, скорее всего, дадут.

Конвенцию, к примеру, ратифицировали Армения, Азербайджан, Сербия, Турция.

Обратите внимание

https://www.youtube.com/watch?v=QAZuiUg4qrQ\u0026pp=ygVf0JvQuNGG0LXQvdC30LjRjyDQndCwINCe0LHRgNCw0LHQvtGC0LrRgyDQn9C10YDRgdC-0L3QsNC70YzQvdGL0YUg0JTQsNC90L3Ri9GFINCSIDIwMjMg0JPQvtC00YM%3D

Уведомление о намерении осуществлять трансграничную передачу можно будет оформить на бумаге или в электронном виде. Подавать его нужно будет отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку персональных данных.

Для подачи сведений на сайте РКН сделали специальный раздел по адресу https://pd.rkn.gov.ru/cross-border-transmission/form/

Ркн ужесточает проверки

Также см. «К кому придут с проверкой в 2023 году».

За нарушение работы с персональными данными в 2023 году Роскомнадзор будет привлекать к ответственности чаще. Причем для этого не всегда потребуется проводить выездные проверки (письмо Роскомнадзора от 31.01.2023 № 09-6488).

Внеплановых проверок будет больше. Правительство расширило список оснований для внеплановых проверок по персональным данным (постановление от 04.02.2023 № 161).

Так, например, по решению главы или замглавы Роскомнадзора в компанию, в том числе аккредитованную IT-организацию, могут прийти с внеплановой проверкой, если выявят факт распространения в интернете баз с персданными.

Наказать могут и без выезда в компанию. В некоторых ситуациях зафиксировать правонарушение в сфере персданных и привлечь к ответственности могут даже без выездных контрольных мероприятий (письмо Роскомнадзора от 31.01.

2023 № 09-6488). Речь идет о нарушениях, которые оговорены в частях 1–2.1 и 4 статьи 13.11 КоАП. Например, к особым нарушениям причислена обработка данных без письменного согласия, а также обработка, не совместимая с целями сбора данных.

РКН уточняет в своих разъяснениях, что по таким нарушениям контролеры могут действовать «бесконтактно» (без взаимодействия с нарушителем). Например, если нарушение обнаружил сам сотрудник Роскомнадзора и у него есть полномочия составлять протокол либо поступило указание от прокуратуры.

Поводом для возбуждения дела могут послужить жалоба, сообщения в СМИ, например, об утечке данных (п. 1–3 ч. 1 ст. 28.1 КоАП).

Образцы документов, которые нельзя игнорировать в 2023 году

Далее приведем образцы некоторых документов по персональным данным, которые могут потребоваться в 2023 году:

Название документа	Ссылка на скачивание
Положение о работе с персональными данными работников	СКАЧАТЬ
Положение о порядке уничтожения персональных данных	СКАЧАТЬ
Приказ о создании комиссии по уничтожению документов с персональными данными	СКАЧАТЬ
Общая форма согласия на передачу и обработку персональных данных	СКАЧАТЬ
Согласие на обработку персональных данных на сайте	СКАЧАТЬ
Обязательство о неразглашении персональных данных	СКАЧАТЬ

Видео по теме

Лицензия на обработку персональных данных

Подборка наиболее важных документов по запросу Лицензия на обработку персональных данных (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).

Судебная практика

Зарегистрируйтесь и получите пробный доступ к системе КонсультантПлюс бесплатно на 2 дня

Определение Восьмого кассационного суда общей юрисдикции от 11.11.2021 N 88-17894/2021Категория спора: Причинение морального вреда, защита чести, достоинства и деловой репутации.Требования потерпевшего: О взыскании компенсации морального вреда.Обстоятельства: Судами верно определено, что доказательств, подтверждающих, что ответчик допустил распространение персональных данных путем доставки платежных извещений в почтовые ящики, размещенные в подъезде дома, в связи с чем персональные данные истца стали доступны неограниченному кругу лиц, истцом в рамках состязательного процесса не представлено.

Решение: Отказано.

Доводы кассационной жалобы о том, что ООО «УК «Легион» с ДД.ММ.

ГГГГ в связи с прекращением лицензии не имело право на обработку персональных данных истца, были в полной мере исследованы судами, обоснованно отклонены, поскольку судами установлено, что решением Рубцовского городского суда Алтайского края от ДД.ММ.

ГГГГ признан незаконным отказ ООО «УК «Легион» от исполнения договора управления многоквартирным домом в период с ДД.ММ.ГГГГ по ДД.ММ.ГГГГ Доказательств, подтверждающих, что при обработке ответчиком персональных данных истца, персональные данные истца стали доступны другим лицам, не представлено.

Статьи, комментарии, ответы на вопросы

Зарегистрируйтесь и получите пробный доступ к системе КонсультантПлюс бесплатно на 2 дня

Статья: Административно-правовая защита персональных данных в Китае: проблемы и пути решения(Шаосюе Ц.)

(«Административное право и процесс», 2020, N 12)

Дяо Шэнсянь и Цинь Цинь справедливо отметили, что с усложнением функций государственного управления и увеличением числа служащих возрастает вероятность нарушений ими правовых норм. Поэтому государству нужно уделять должное внимание контролю и надзору в различных сферах осуществления его власти .

Конечно, это утверждение полностью подходит для системы раскрытия административной информации, которая нуждается в корректировке. Сбор и обработка персональных данных органами власти не должны находиться лишь в сфере их исключительной дискреции.

Гарантией от управленческого произвола в этом случае может стать обязанность властных субъектов сообщать гражданам о действиях в отношении их персональных данных, а процедура обработки таких данных должна быть прозрачной. В связи с этим сбор и хранение личной информации могли бы быть централизованы, как и контроль ее использования.

Целесообразно создать специальный информационный орган на региональном или же на высшем правительственном уровне, в функции которого входила бы первичная обработка правительственной информации, а также сбор, классификация и хранение персональных данных, обрабатываемых всеми государственными органами.

Такая структура могла бы выдавать лицензии на обработку персональных данных, что позволит минимизировать возможность нарушения прав и законных интересов граждан.

Такой информационный орган должен не только контролировать все иные государственные органы, а также всесторонне защищать целостность процедуры обработки персональных данных субъектами, которые имеют право на их обработку. Если преобразования будут проведены, то административные процедуры сбора, хранения, обработки, раскрытия персональных данных окажутся более стройными, нормативно обоснованными, предсказуемыми для граждан.

Нормативные акты

Федеральный закон от 29.12.2022 N 572-ФЗ»Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации»1) действуют без переоформления или повторной выдачи все разрешения, лицензии, сертификаты, иные разрешительные документы, связанные с функционированием информационной системы и ранее выданные уполномоченными федеральными органами исполнительной власти, включая федеральный орган исполнительной власти в области обеспечения безопасности, федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, а также соглашения, заключенные в отношении государственной информационной системы «Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица»;

Новые правила для операторов персональных данных: обзор изменений с 1 марта 2023 г

С 1 марта 2023 года произошли изменения законодательства в области персональных данных. Расскажем про новые требования к компаниям

С начала марта 2023 года вступили в силу нововведения в части обработки персональных данных актуальные для любого бизнеса: 

• о порядке уничтожения персональных данных, 

Расскажем в статье о новых требованиях и дадим рекомендации к их соблюдению.     

Доказательства уничтожения на 3 года

Вступили в силу Требования к подтверждению уничтожения персональных данных (действуют до 1 марта 2029 года). Ранее порядок фиксации факта уничтожения персональных данных определялся операторами самостоятельно. 

С 1 марта операторы персональных данных должны при уничтожении персональных данных составлять специальный документ — Акт об уничтожении персональных данных.

Ранее компании уже могли применять подобный документ в своей практике, в том числе по рекомендации Роскомнадзора, но теперь его составление стало обязательным, и к нему предъявляются определенные требования. Такой Акт составляется как в случае уничтожения материальных (бумажных) носителей, содержащих персональные данные (обработка без использования средств автоматизации), так и в случае уничтожения персональных данных, содержащихся в информационных системах персональных данных (обработка с использованием средств автоматизации). Акт об уничтожении, помимо прочего, должен содержать перечень категорий уничтоженных персональных данных, наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации); наименование информационной системы персональных данных, из которой были уничтожены персональные данные (в случае обработки персональных данных с использованием средств автоматизации); способ и причину уничтожения персональных данных.

При обработке данных с использованием средств автоматизации подтверждением уничтожения персональных данных также является выгрузка из журнала регистрации событий в информационной системе персональных данных (наряду с актом). При этом если в выгрузке невозможно указать какие-либо сведения, их можно отразить в акте. В этой ситуации подтверждением будут оба способа, независимо от способа обработки персональных данных.

Минимальный срок хранения актов об уничтожении персональных данных и выгрузок из журнала регистрации событий составляет 3 года.

Напомним, что уничтожение персональных данных – это действия, в результате которых становится невозможным восстановить содержание персональных данных (например, шредирование или иная утилизация документов, содержащих персональные данные).  Уничтожение персональных данных осуществляется оператором персональных данных, в том числе:

• по достижении целей обработки соответствующих персональных данных или в случае утраты необходимости в достижении этих целей 

• в случае, когда обработка персональных данных является по каким-либо причинам неправомерной (например, когда Роскомнадзор принял решение об отказе в трансграничной передаче персональных данных иностранным лицам)

• в случае получения требования от субъекта персональных данных об уничтожении его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки

• в случае отзыва субъектом персональных данных согласия на обработку персональных данных

Таким образом, правильное составление актов и выписок обезопасит оператора персональных данных от претензий со стороны Роскомнадзора и субъектов персональных данных в спорных случаях, так как подтвердит, что определенные персональные данные им больше не обрабатываются.

Если персональные данные не будут уничтожены по требованию субъекта персональных данных или Роскомнадзора, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, на организацию может быть наложен штраф до 90 000 рублей (ч.5 ст. 13.11 КоАП РФ). Акт об уничтожении как раз и будет служить доказательством выполнения такой обязанности.

• «Несмотря на избыточность требований к фиксации факта уничтожения персональных данных (большое количество информации в актах, длительность хранения документов), рекомендуем компаниям утвердить внутренний документ (регламент), который будет регулировать вопросы уничтожения персональных данных, а также утвердить форму (шаблон) акта об уничтожении»
• Дарья Петрова, юрисконсульт
• Оставьте свои контакты, и мы направим Вам Форму Акта об уничтожении персональных данных:

Заявка отправлена!

Уведомление об изменениях в срок

В соответствии с новыми требованиями оператор персональных данных обязан уведомить Роскомнадзор об изменениях ранее предоставленных им сведений об обработке персональных данных, которые произошли в течение месяца, в срок не позднее 15 числа следующего месяца. Уведомление подается в отношении всех изменений.

Уведомлять нужно об изменении сведений, которые содержались в уведомлении об обработке (начале обработки) персональных данных, которое является основанием для включения в реестр операторов персональных данных.

Ранее уведомление об изменениях (в виде информационного письма) подавалось не позднее 10 рабочих дней с момента такого изменения. Рекомендуем компаниям регулярно производить анализ процессов обработки персональных данных с целью их актуализации, в том числе в реестре операторов персональных данных. Это важно в связи с тем, что Роскомнадзор при проведении проверки сравнивает данные, содержащиеся в реестре операторов персональных данных (данные в уведомлении и информационных письмах об изменениях), с содержанием внутренних документов оператора. Обычно подача информационных писем об изменении сведений об обработке персональных данных внутри компании возлагается на лицо, ответственное за организацию обработки персональных данных (руководитель или иной сотрудник).

За непредоставление уведомления об изменениях на организацию может быть наложен штраф до 5 000 рублей (ст.19.7 КоАП РФ).

Начали действовать Требования к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» (действуют до 1 марта 2029 года).  В соответствии с данным документом, оценка вероятного вреда осуществляется лицом, ответственным за организацию обработки персональных данных, или специальной комиссией, созданной оператором. 

Ответственное лицо или комиссия для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения Закона о персональных данных: высокую, среднюю или низкую.

Для определения степени вреда учитываются различные факторы, в частности:

• обработка биометрических персональных данных или специальных категорий персональных данных (о расовой, национальной принадлежности, религиозных убеждениях и др.)
• обработка персональных данных несовершеннолетних
• обезличивание персональных данных, в том числе для оказания специализированных услуг (скоринг, прогнозирование поведения потребителей)
• поручение обработки персональных данных иностранным лицам или сбор данных с использованием баз, находящихся за рубежом
• распространение персональных данных на веб-сайте
• продвижение товаров и услуг путем прямых контактов с потребителями с использованием собственных баз персональных данных
• получение согласия на обработку персональных данных посредством реализации на официальном сайте функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных и другие факторы.

В случае если по итогам проведенной оценки вреда установлено, что субъекту персональных данных могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.

Результаты оценки должны фиксироваться Актом оценки вреда. 

Рекомендуем компаниям утвердить внутренний документ (регламент), который будет регулировать вопросы оценки возможного вреда внутри компании, периодичность её проведения и круг ответственных лиц, а также утвердить форму (шаблон) акта оценки вреда. 

Ответственность конкретно за непроведение оценки вреда законодательством не установлена, но в случае выявления нарушения при проверке Роскомнадзора его необходимо будет устранить, о чем организации может быть выдано соответствующее предписание.

Правильное сообщение об утечке

Вступил в силу Порядок взаимодействия Роскомнадзора и операторов персональных данных в рамках ведения реестра учета инцидентов в области персональных данных.

Операторы должны уведомлять Роскомнадзор о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.

Предусмотрено 2 вида уведомлений – первичное и дополнительное. Первичное уведомление (предоставляется в течение 24 ч) должно содержать информацию о произошедшем инциденте, его предполагаемых причинах, возможном вреде субъекту персональных данных и мерах по его устранению, а дополнительное (предоставляется в течение 72 ч) — о результатах внутреннего расследования инцидента с указанием виновных лиц (если они выявлены). Если Роскомнадзор посчитает, что данные, предоставленные оператором в уведомлении некорректны или недостаточны, то он вправе запросить дополнительные сведения. Оператор предоставляет их в течение 3-х рабочих дней. В случае если Роскомнадзор самостоятельно выявляет утечку базы данных, принадлежащих конкретному оператору, то он направляет требование о предоставлении уведомления. При этом оператор может в уведомлениях (первичном и дополнительном), которые предоставляются по требованию Роскомнадзора, указать о том, что он не выявил факта утечки с приложением доказательств (в том числе результатов внутреннего расследования, оформленного актом). Рекомендуем компаниям утвердить внутренний документ (регламент), который будет регулировать вопросы выявления инцидентов утечки персональных данных, их профилактику и круг ответственных лиц, а также утвердить форму (шаблон) акта проведения внутреннего расследования. Это позволит, в частности, соблюсти достаточно короткие сроки для сообщения Роскомнадзору о фактах утечки.

За непредоставление уведомлений об утечке на организацию может быть наложен штраф до 5 000 рублей (ст.19.7 КоАП РФ).

Для исключения нарушений законодательства о персональных данных и экономии времени рекомендуем доверить процесс профессионалам. Наши юристы в сфере персональных данных отслеживают все изменения закона и имеют богатый опыт сопровождения бизнеса по вопросам охраны персональных данных. Мы проконсультируем вас и составим все необходимые документы, учитывающие требования закона и рекомендации Роскомнадзора.

Подпишитесь на новостную рассылку CPO Group:

Обработка персональных данных: правила и нюансы оформления

1. Главная →
2. Журнал →
3. Бизнес →
4. Риски

26 сентября 2022 22 480 9

Согласие на обработку персональных данных — письменный или цифровой документ, который подтверждает добровольное решение гражданина передать оператору свою личную информацию для определенных целей. По Закону № 152-ФЗ оператор должен его получать в большинстве случаев. Разбираемся, когда требуется разрешение на обработку ПД, и какие к нему есть требования в 2022 году.

Согласие на обработку персональных данных в 2022 году должно быть конкретным, предметным, информированным, сознательным и однозначным (ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ). Это означает, что в нем есть:

• конкретная цель обработки — например, для оформления трудовых отношений;
• перечень ПД — например, ФИО, дата рождения, сведения об образовании, месте работы, адресе;
• список действий с персональными данными — к примеру, сбор, хранение;
• место и способы обработки ПД — адрес оператора, автоматизированная или неавтоматизированная обработка;
• срок действия согласия;
• наименование, ФИО, адрес лица, которое обрабатывает ПД, если оператор поручает это другому лицу;
• ясно выраженное согласие гражданина — подпись, галочка или другая отметка.

По умолчанию любые действия с личной информацией без согласия субъекта или законных оснований не допускаются (ст. 6, 9 152-ФЗ). При этом на распространение ПД документ оформляют отдельно (ст. 10.1 152-ФЗ).

Согласие получают конкретно для каждой цели. То есть у оператора будет несколько документов. Это следует из части 4 ст. 9 152-ФЗ, где цель указана в единственном числе, а также из требования не хранить в одной базе данных сведения для несовместимых целей (ч. 3 ст. 5 152-ФЗ).

Работать с персональными данными можно только на законных основаниях (ст. 5 152-ФЗ). Обработка без разрешения субъекта допускается в случаях, предусмотренных международными договорами или нормативными правовыми актами (ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 152-ФЗ). Например:

• личная информация обрабатывается при участии физлица в судебном процессе;
• гражданин регистрируется на портале Госуслуг;
• сведения нужны для исполнения условий договора с субъектом ПД;
• специальные персональные данные, например, о состоянии здоровья обрабатываются в соответствии с трудовым, социальным или пенсионным законодательством.

Гражданин имеет право отозвать выданное согласие на обработку ПД в любой момент. В этом случае действия с его личной информацией можно продолжать только при наличии указанных выше правовых оснований. Обязанность доказать законность обработки: предоставить согласие гражданина или отдельную норму права, возложена на оператора (ч. 2 ст. 9 152-ФЗ).

Работодателям стоит помнить, что обработка биометрических персональных данных работников в рамках трудовых отношений возможна только с письменного согласия сотрудника (ст. 11 152-ФЗ). Для специальных и общедоступных ПД оно не нужно. Это значит, что ФИО, сведения об образовании обрабатываются свободно. А вот видеонаблюдение за работником возможно только с его письменного разрешения.

Закон разрешает получить согласие физического лица на обработку его ПД в любом виде. Главное подтвердить, что оно есть и дано именно субъектом персональных данных либо его представителем (ч. 1 ст. 9 152-ФЗ). То есть теоретически согласие можно оформить даже в виде записи на диктофон, если по ней точно идентифицируется личность гражданина.

Если по Закону согласие должно быть оформлено именно в письменном виде — например, на обработку биометрических данных, то электронный документ с электронной подписью (ЭП) признается равнозначным бумажному оригиналу с личной подписью субъекта (ч. 4 ст. 9 152-ФЗ). Главное, чтобы ЭП соответствовала требованиям (Приказ ФСБ России от 27.12.2011 № 796).

Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!

Попробовать

Утвержденного бланка согласия на обработку ПД нет. Общие требования к его содержанию приведены в статье 9 152-ФЗ. 

В интернете доступно много образцов согласия, например, на сайте Управления Роскомнадзора Сибирского ФО. Пользоваться ими нужно аккуратно, с учетом изменений в Законе 152-ФЗ:

• одна цель обработки — одно согласие;
• разрешение на распространение ПД оформляется отдельно.

Лицо, которое обрабатывает ПД по поручению оператора, согласие субъекта не получает (ч. 4 ст. 6 152-ФЗ).

В некоторых случаях оператор раскрывает персональные данные неопределенному кругу лиц. Например, публикует на сайте отзыв клиента, содержащий ФИО, email и другую личную информацию. Или помогает заказчику получить кредит и отправляет от его имени заявку в разные банки и МФО.

Это называется распространением персональных данных, на которое нужно получать отдельное согласие субъекта ПД (ч. 1 ст. 10.1 152-ФЗ). Требования к содержанию такого разрешения определены Роскомнадзором (Приказ от 24.02.2021 № 18).

Сдать всю отчетность через интернет — с подсказками и проверкой на ошибки

Попробовать

 

Согласие на распространение может быть оформлено двумя способами (ч. 6 ст. 10.1 152-ФЗ):

• передано субъектом непосредственно оператору;
• заполнено с использованием информационной системы Роскомнадзора.

В первом случае оператор может получить шаблон документа на сайте Роскомнадзора. Для подготовки разрешения, адаптированного под конкретную деятельность, понадобится подтвержденная учетная запись на портале Госуслуг организации, ИП или физического лица.

На портале Роскомнадзора через ЕСИА формируется запрос. В результате оператор получает доступ к форме согласия на распространение ПД, которую он заполняет с учетом своей специфики. Готовый шаблон можно отправить на проверку в Роскомнадзор и получить его рекомендации.

Форму согласия на распространение ПД можно подготовить с использованием информационного ресурса Роскомнадзора.

Если оператор решит разработать свой бланк, то он должен указать в нем обязательные пункты по Приказу от 24.02.2021 № 18. По каждой категории и перечню ПД у субъекта должна быть возможность выбора одной из трех категорий:

• разрешено;
• запрещено;
• разрешено с условиями — указать условия.

Молчание или бездействие гражданина ни при каких обстоятельствах не считаются согласием на обработку ПД, разрешенных для распространения (ч. 8 ст. 10.1 152-ФЗ).

Оператор обязан в течение трех рабочих дней с даты получения разрешения на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц (ч. 10 ст. 10.1 152-ФЗ). Например, разместить ее на своем сайте.

Эта мера нужна для защиты права субъекта ПД на конфиденциальность. Лица, получающие доступ к его личной информации, должны соблюдать условия и запреты, перечисленные в согласии на распространение.

Согласие на обработку персональных данных. Образец и бланк 2023 года

Относительно недавно в России был введен в оборот новый документ под названием «Согласие на обработку персональных данных». Очень быстро он получил повсеместное распространение и на данный момент широко используется в самых разных организациях, начиная от государственных бюджетных учреждений и до коммерческих компаний.

ФАЙЛЫ
Скачать пустой бланк согласия на обработку персональных данных .docСкачать образец согласия на обработку персональных данных .doc

Что собой представляет согласие

Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.

Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.

Когда чаще всего требуется согласие

Сейчас согласие необходимо писать почти повсеместно:

• при подаче документов на ребенка в садик или школу;
• при трудоустройстве;
• при заключении договора с банком, страховой компанией и т.д.

Иными словами, везде, где гражданин предоставляет свои личные документы или документы лица, представителем которого он является, заполняет различного рода тесты и анкеты, он подписывается такое согласие.

Что вкладывается в термин «персональные данные»

Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:

• фамилия, имя, отчество;
• дата и место рождения;
• сведения из паспорта, трудовой книжки и прочих документов;
• а также некоторые характеристики его личности.

При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.

В частности их условно можно поделить на три основных вида:

1. общедоступные данные (ФИО, пол, дата, место рождения, гражданство и т.п.)
2. биометрические (физиологические особенности индивида, его внешние параметры)
3. специальные (народность, религия, здоровье и т.д.). Сюда же в некоторой степени относится и информация о месте работы человека, его отношениях с законодательством, привычках и т.п.

По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.

Для чего формируется согласие на обработку при трудоустройстве

Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д.

Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).

В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.

Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.

Если сотрудник отказывается подписывать согласие

Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.

Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.

В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.

Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.

Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.

Что грозит за разглашение персональных данных

• Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.
• Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.
• Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.
• В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).

Как уведомить

Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.

Можно ли отозвать согласие

Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает.

Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия.

Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.

Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).

Это требование должно быть выполнено не позже чем через месяц после написания отзыва.

Образец согласия

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:

• наименование компании-работодателя;
• место и дата составления документа;
• фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.

Далее в основной части подробно указывается:

• каких именно персональных данных касается документ;
• в каких целях и что именно допустимо с ними делать;
• срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).

Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.

СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

г. Иваново

03.08.2018 г.

Я, Ковтун Инна Олеговна, паспорт 2495 564738, выдан Ленинским РОВД г. Иваново, адрес регистрации: г. Иваново, ул. Мельничная д.73, кв. 8, даю свое согласие ОАО «КомЖилФонд» на обработку моих персональных данных.

Согласие касается фамилии, имени, отчества, данных о поле, дате рождении, гражданстве, типе документа, удостоверяющем личность (его серии, номере, дате и месте выдачи), а также сведений из трудовой книжки: опыте работы, месте работы и должности.

Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях.

Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч.

передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.

До моего сведения доведено, что ОАО «КомЖилФонд» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.

Подтверждаю, что давая согласие я действую без принуждения, по собственной воле и в своих интересах.

Ковтун И.О. (подпись)