Когда согласие субъекта персональных данных не требуется

Содержание
  1. 152-ФЗ: как совладать с персональными данными
  2. Что такое персональные данные
  3. Что должен сделать оператор персональных данных
  4. Когда уведомление Роскомнадзора не требуется
  5. Когда не нужна конфиденциальность персональных данных
  6. Что отразить в политике конфиденциальности
  7. Как составить согласие на обработку персональных данных
  8. Когда не нужно согласие
  9. Что будет, если нарушать
  10. Согласие собственников на обработку персональных данных
  11. Персональные данные собственников
  12. Когда нужно получить согласие на обработку ПД
  13. Каким должно быть согласие на обработку ПД
  14. Согласие на обработку ПД в договоре управления МКД
  15. Согласие обработку ПД в договоре о предоставлении КУ
  16. Если собственник не даёт согласия на обработку ПД
  17. Закон 152-ФЗ о персональных данных: как обезопасить бизнес от новых штрафов с 1 июля 2020
  18. Особенности составления документа
  19. Как осуществляется обработка персональных данных
  20. Когда нужно получать согласие работника на обработку его персональных данных
  21. Когда согласие работника на обработку персональных данных не требуется
  22. Что должно содержать письменное согласие 2019-2020
  23. Заполненный образец документа
  24. Обработка персональных данных без согласия субъекта
  25. Когда разрешается обработка ПДн без согласия субъекта
  26. Сколько стоит информация?
  27. Как происходит обработка персональных данных без ведома их владельца?
  28. Как получить согласие на обработку персональных данных
  29. Работа с персональными данными: как не нарушать федеральный закон о ПДн?
  30. Обработка персональных данных в 2018: как избежать штрафа
  31. Персональные данные: штрафы 
  32. Как понять, являетесь ли вы оператором персональных данных?
  33. Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора  
  34. Случаи, когда уведомление Роскомнадзора не требуется
  35. В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?
  36. Когда для обработки персональных данных не нужно согласие субъекта персональных данных?
  37. Портал персональных данных — что это такое?

152-ФЗ: как совладать с персональными данными

Когда согласие субъекта персональных данных не требуется

В детстве нас учили не говорить незнакомым людям, как нас зовут и где мы живем. А сейчас мы не задумываясь регистрируемся на непонятных сайтах и пишем данные паспорта в странных бланках. Чтобы вашими персональными данными не завладели те самые незнакомые люди, нужно внимательно отнестись к оператору, которому вы их передаете.

Что такое персональные данные

В законе есть три ключевых понятия: персональные данные, оператор и обработка персональных данных.

Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор — тот, кто организует и обрабатывает персональные данные. 

Обработка персональных данных — любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, обновление, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Важно еще понять, что относится к самим персональным данным. В законе нет прямой формулировки, но к ним относят:

  • ФИО (в любых комбинациях);
  • дату рождения;
  • адрес;
  • телефон;
  • e-mail;
  • фотографии;
  • ссылку на персональный сайт;
  • ссылку на профиль в социальных сетях.

Другими словами, персданные — это та информация, по которой можно идентифицировать человека. Если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных.

Что должен сделать оператор персональных данных

Все просто — нужно зарегистрироваться в Роскомнадзоре. Для этого необходимо подать уведомление об обработке персональных данных. 

Оператор заполняет электронную форму на Портале персональных данных Роскомнадзора. После того, как уведомление отправлено в систему, нужно распечатать его бумажную копию. Она заверяется подписью и печатью организации, после чего отправляется в территориальный орган Роскомнадзора по месту регистрации компании-оператора.

К операторам относятся физлица, ИП, юрлица, муниципальные органы, государственные органы. Эти категории влияют на размер штрафов. 

Когда уведомление Роскомнадзора не требуется

Список ситуаций, когда не нужно отправлять уведомление, прописан в ст. 22 152-ФЗ. Оператор не должен регистрироваться, если персональные данные:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • используются оператором исключительно для исполнения договора;
  • являются общедоступными данными;
  • включают только ФИО субъектов;
  • нужны для однократного пропуска субъекта на территорию, на которой находится оператор;
  • включены в федеральные автоматизированные информационные системы и государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;  
  • обрабатываются без использования средств автоматизации.

Логично, что персональные данные должны быть надежно защищены. Для этого создаются регламенты и настраивается система безопасности. Но не все данные нужно охранять одинаково.

Когда не нужна конфиденциальность персональных данных

В той же статье закона прописаны правила, когда обеспечение конфиденциальности персональных данных не требуется:

  • если данные обезличены — по ним невозможно определить принадлежность информации к конкретному лицу;
  • если данные общедоступны;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • если нужно оформить пропуск на территорию, на которой находится оператор;
  • если данные получены оператором в связи с заключением договора;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Для всех остальных случаев нужно составить политику конфиденциальности.

Что отразить в политике конфиденциальности

Утвержденной законом формы этого документа нет, но есть перечень сведений, которые обязательно должны в нем быть:

  • основание и цель сбора персональных данных;
  • наименование, контактные данные и адрес;
  • информация о том, кто обрабатывает данные. Если этим занимается другая компания, то вписывается информация о третьих лицах, у которых есть доступ к данным;.
  • виды данных для обработки и источники их получения;
  • сроки обработки и хранения персональных данных;
  • способ соблюдения прав субъекта, предусмотренных законом «О персональных данных»;
  • информация о передаче данных за пределы России.

Всю эту информацию можно изложить в свободной форме. Требование одно — субъект должен понимать, куда отправляются его персональные данные, как их используют и охраняют. 

Как составить согласие на обработку персональных данных

В больницах, школах, визовых центрах, при трудоустройстве приходится заполнять согласие на обработку персональных данных.Это письменное разрешение, которое дает разрешение на получение, сбор, хранение и использование персональных сведений о себе.

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. В бланке обязательно должны быть следующие данные:

  • наименование оператора персональных данных;
  • место и дата составления документа;
  • фамилия, имя, отчество субъекта, его паспортные данные и сведения о месте жительства.

Далее идет информационная часть согласия. В ней прописывается:

  • каких именно персональных данных касается документ;
  • в каких целях и что именно допустимо с ними делать;
  • срок действия согласия и возможность его отзыва.

Если вам нужен бланк, то скачайте его и измените под ваши нужды.

Когда не нужно согласие

Есть случаи, когда  согласие субъекта персональных данных не требуется. Такое возможно, когда обработка персональных данных:

  • необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
  • осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
  • осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  • необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных;
  • необходима для доставки почтовых отправлений и расчетов с организациями почтовой связи;
  • осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности;
  • осуществляется в отношении данных, подлежащих опубликованию — например, данные лиц занимающих государственные должности.

Что будет, если нарушать

Штраф. С 1 июля 2017 года действуют поправки в ст. 13.11 КоАП. 

Помимо штрафов, оператор будет внесен в «Реестр нарушителей прав субъектов персональных данных». А еще придется подготовиться к проверке. 

***

Отнеситесь к персональным данным с ответственностью, чтобы не стать жертвой мошенников.

Читайте нас на astral.ru

Источник: https://zen.yandex.ru/media/gk_astral/152fz-kak-sovladat-s-personalnymi-dannymi-5dcbde120d78616983a86453

Согласие собственников на обработку персональных данных

Когда согласие субъекта персональных данных не требуется

Считается, для того, чтобы работать с персональными данными собственников, необходимо с каждого из них собрать согласие на обработку персональных данных. Это и верно, и нет, – зависит от ситуации.

Сегодня мы расскажем, в каких случаях согласие на обработку персональных данных нужно получить и что делать, если собственник его не даёт.Роскомнадзор об обработке персональных данных

Персональные данные собственников

1 июля 2017 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Теперь есть 7 составов правонарушений, за которые управляющие компании могут привлечь к административной ответственности за нарушение законодательства о персональных данных.

Ужесточилась административная ответственность за нарушение требований ст. 13.11 КоАП РФ – суммарный размер штрафа может составить 275 000 рублей. Многие управляющие компании не знают, как правильно работать с ПД.

Для них 4 октября мы провели вебинар «7 ошибок при работе с персональными данными, за которые УО получит штраф». Мы рассказали об обязанностях оператора ПД, дали рекомендации по выполнению требований статьи 13.11 КоАП РФ и отдельно внимание уделили вопросу получения согласия на обработку ПД.

Когда нужно получить согласие на обработку ПД

Если вы управляющая компания и у вас нет согласия на обработку ПД от собственников, но вы их обрабатываете внутри организации и не отдаёте их в сторонние организации, в таком случае согласие на обработку персональных данных не требуется.

Если вы будете передавать персональные данные собственников третьим лица, согласие на обработку нужно обязательно получить. При этом лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать отдельное согласие субъекта ПД на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

В № 152-ФЗ перечислены случаи, когда согласие на обработку ПД для передачи третьим лицам не требуется:

  1. Если это разрешает Федеральный закон. Так, например, для размещения информации в ГИС ЖКХ согласия на обработку ПД не нужно.
  2. Если вы передаёте данные платёжному агенту и расчётным центрам (ч. 16 ст. 155 ЖК РФ).

Когда вы привлекаете представителя для расчётов с собственниками и нанимателями жилых помещений и взимания платы за жилое помещение и коммунальные услуги, согласие субъектов ПД на передачу персональных данных таким представителям не требуется.

Но в договоре между вами и представителем необходимо закрепить положение о конфиденциальности персональных данных (ч. 10 ст. 3, ч. 4 ст. 6, ч. 1 ст. 7 № 152-ФЗ).Правомерность обнародования списка должников ЖКУ

Каким должно быть согласие на обработку ПД

Субъект передаёт управляющей компании согласие на обработку персональных данных в любой форме, позволяющей подтвердить факт получения:

  • в договоре управления,
  • в договоре ресурсоснабжения,
  • в уставе товарищества собственников жилья.

Роскомнадзор советует оформлять его в письменной форме отдельным документом. Единственный минус такой позиции – управляющая компания может физически не собрать со всех субъектов персональных данных такое согласие.

Субъект ПД принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Полные требования согласию описаны в ч. 4 ст. 9 № 152-ФЗ.

Согласие должно быть:

  • конкретным,
  • информированным,
  • осознанным.

Независимо от того, как вы оформите согласие на обработку ПД, в нём обязательно должны быть:

  • ФИО, адрес субъекта персональных данных или его представителя, реквизиты документа, удостоверяющего его личность;
  • наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
  • цель обработки персональных данных;
  • перечень ПД, на обработку которых дают согласие;
  • наименование или ФИО и адрес лица, обрабатывающего ПД по поручению оператора;
  • перечень действий с ПДн, на совершение которых даётся согласие;
  • общее описание используемых оператором способов обработки ПД;
  • срок действия согласия субъекта ПД;
  • подпись субъекта ПД;
  • условия прекращения работы с персональными данными.

Появятся ли персональные данные собственников помещений в МКД в открытом доступе?

Согласие на обработку ПД в договоре управления МКД

Согласие на обработку персональных данных можно включить в приложение к договору управления МКд. Договор управления МКД собственники заключают с управляющей компанией в письменной форме. Составляется один документ и подписывается сторонами (ст. 162 ЖК РФ).

Решение ОСС в МКД, принятое по вопросам, отнесённым к компетенции такого собрания, обязательно для всех собственников помещений в МКД, в том числе для тех собственников, которые не участвовали в ании (ч. 5 ст. 46 ЖК РФ).

Условия договора управления МКД одинаковы для всех собственников помещений в МКД (ч. 4 ст. 162 ЖК РФ). Согласно пп. «б» п. 4 постановления Правительства РФ от 15.05.2013 № 416, УО собирает, обновляет и хранит информацию о собственниках и нанимателях помещений в МКД.

Эта позиция не единственно правильная, судебной практики по этому вопросу нет.

Согласие обработку ПД в договоре о предоставлении КУ

Согласие на обработку персональных данных можно прописать в договоре о предоставлении коммунальных услуг.

Договор, содержащий положения о предоставлении КУ (договор управления МКД в том числе), можно заключить с исполнителем (п. 6 и пп. «а» п. 9 Правил № 354):

  • в письменной форме;
  • путём совершения потребителем действий, свидетельствующих о его намерении потреблять КУ или о фактическом потреблении таких услуг (конклюдентные действия).

Договор считается заключённым с момента, когда потребитель начал пользоваться коммунальными услугами и оплачивать их. Это значит, что потребитель согласен со всеми условиями договора, в том числе на обработку персональных данных.Я к вам пишу – чего же боле: Минкомсвязи разъяснило вопрос раскрытия информации, содержащей персональные данные

Если собственник не даёт согласия на обработку ПД

Заставить собственника дать согласие на обработку персональных данных нельзя. Но можно пытаться убедить. Здесь всё зависит от красноречия представителей управляющей компании.

Но перед этим советуем прочитать определение Конституционного Суда РФ от 28.01.2016 № 100-О. Конституционный Суд сделал ряд заключений, которые в будущем могут повлиять на работу управляющих компаний в целом.

Например, для исполнения договора управления управляющая организация обязана заручиться согласием собственников на обработку персональных данных. Согласие может быть включено в качестве условия в договор управления.

Но всё равно, бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных. Это значит, что если субъект заявляет, что не давал вам согласие, вы должны доказать, что в какой-то форме его получили, например, это условие было было включено в качестве условия в договор управления МКД.

Возможность предоставления оператором персональных данных третьему лицу согласия субъекта ПД, нельзя рассматривать как нарушение конституционного права на получение юридической помощи.

Источник: https://roskvartal.ru/deyatelnost-uk/8236/soglasie-sobstvennikov-na-obrabotku-personalnyh-dannyh

Закон 152-ФЗ о персональных данных: как обезопасить бизнес от новых штрафов с 1 июля 2020

Когда согласие субъекта персональных данных не требуется

Персональные данные – это информация, которая прямо или косвенно относится к конкретному человеку. Развитие компьютерных технологий позволило эти данные собирать и систематизировать.

Если эта информация не защищена, ее легко можно выкрасть и использовать в преступных целях. Для защиты этих сведений в 2006 году был принят Федеральный закон от 27 июля 2006 г.

№ 152-ФЗ «О персональных данных», который определяет принципы и условия их обработки.

Особенности составления документа

  1. Заполненный образец согласия
  2. Как осуществляется обработка персональных данных
  3. Когда нужно получать согласие работника на обработку его персональных данных
  4. Когда согласие работника на обработку персональных данных не требуется

Как осуществляется обработка персональных данных

Статья 3 Закона «О персональных данных» определяет обработку персональных данных как любые действия, которые совершаются с ними, а именно: сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача третьим лицам, обезличивание, блокирование, удаление, уничтожение. Согласно ст.ст. , Закона 152-ФЗ, при обработке персональных данных необходимо соблюдать следующие принципы:

  1. Обработка осуществляется только на основе закона.
  2. Цель обработки должна быть заранее определена.
  3. Не разрешается объединять базы данных, созданных с разными целями.
  4. Обрабатывать можно только те данные, которые отвечают определенной цели.
  5. и объем данных должны соответствовать цели, не быть избыточными.
  6. При обработке необходимо обеспечить точность, достаточность и актуальность сведений.
  7. Данные подлежат уничтожению после того, как достигнута цель их обработки.

Согласие на обработку персональных данных требуется практически во всех случаях, когда гражданин предоставляет юридическому лицу такую информацию о себе как паспортные данные (ФИО, дата рождения, адрес регистрации, семейное положение и др.), сведения об образовании, месте работы и т.п. В первую очередь такое согласие необходимо получить работодателю при приеме гражданина на работу.

Когда нужно получать согласие работника на обработку его персональных данных

Чтобы работодатель смог доказать получение согласия сотрудника на обработку его персональных данных, оно оформляется письменно, хотя напрямую законом предусмотрено письменное получение согласия только в отдельных случаях.

Важно! На основании ст. 9 152-ФЗ, согласие может быть дано в любой форме, которая позволяет подтвердить факт его получения: в форме электронного документа или письменно.

Частью 4 ст. 9 152-ФЗ определено, что в предусмотренных законодательством случаях необходимо письменное согласие работника, а именно:

  • если персональные данные работника получают у третьей стороны;
  • если персональные данные работника передают третьим лицам, за исключением случаев, когда необходимо предупредить угрозу жизни и здоровью;
  • при обработке таких видов персональных данных работника как национальность, религиозные убеждения, политические взгляды, состояние здоровья.

С согласия сотрудника работодатель может поручить обработку его персональных данных другому лицу, причем ответственность перед работником за действия этого лица несет работодатель.

Согласие сотрудника на обработку его персональных данных должно содержать следующие сведения:

  1. фамилию, имя отчество, паспортные данные;
  2. наименование и адрес работодателя;
  3. цель обработки;
  4. список персональных данных, подлежащих обработке;
  5. наименование организации или фамилия, имя, отчество и адрес, если обработка поручена другому лицу или организации;
  6. список действий и описание способов обработки, на которые дано письменное согласие;
  7. срок действия согласия и способ его отзыва;
  8. подпись работника.

Важно! Работник имеет право отозвать согласие на обработку его персональных данных в любое время на основании ч. 2 ст.9 152-ФЗ.

Когда согласие работника на обработку персональных данных не требуется

В то же время, в ряде случаев согласие сотрудника на обработку персональных данных не требуется, а именно:

  • если опубликование и размещение персональных данных работников и Интернете закреплено законодательно. Например, медицинские и образовательные организации обязаны информировать в доступной форме об уровне образования и квалификации своих работников;
  • в разрешенных законодательством случаях при обработке персональных данных близких родственников. Например, при получении алиментов, оформлении социальных выплат;
  • при обработке сведений о состоянии здоровья работника, относящихся к вопросу возможности выполнения им трудовой функции;
  • при передаче персональных данных третьим лицам случаев, когда необходимо предупредить угрозу жизни и здоровью, либо в случаях, предусмотренных законодательством. Например, передача данных в военные комиссариаты, правоохранительные органы, прокуратуру, органы безопасности при получении от них запросов, в Фонд социального страхования и Пенсионный фонд.

Что должно содержать письменное согласие 2019-2020

Согласие работника на обработку персональных данных должно включать (ч. 4 ст. 9 Закона о персональных данных):

  1. фамилию, имя, отчество, адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе;
  2. при получении согласия от представителя работника — его фамилию, имя, отчество, адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя;
  3. наименование или фамилию, имя, отчество и адрес работодателя;
  4. цель обработки персональных данных;
  5. перечень персональных данных, которые подлежат обработке;
  6. фамилию, имя, отчество и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации;
  7. перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки;
  8. срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия;
  9. подпись работника.

Заполненный образец документа

Документ полностью Ёфицирован. Что это значит?

Руководителю _____________________ _________________________________

От ______________________________ (Ф.И.О.) _________________________________ (должность, подразделение)

_________________________________ __________________________________ (дата рождения)

Проживающего ___________________

по адресу:_________________________

_________________________________

паспорт:__________________________

Источник: https://aburist.ru/uk/soglasie-na-ispolzovanie-personalnyh-dannyh.html

Обработка персональных данных без согласия субъекта

Когда согласие субъекта персональных данных не требуется

Можно ли использовать личные данные человека без его согласия? Без законного на то основания обработка личной информации запрещена и влечет за собой ответственность – уголовную, административную или гражданскую. Но существуют установленные законодательством случаи, когда передача третьим лицам персональных данных (ПДн) разрешена.

Когда разрешается обработка ПДн без согласия субъекта

Законодательство предусматривает следующие случаи передачи данных без необходимости получения на это согласия субъекта:

  • Если требуемые данные заносятся в базы государственных реестров Российской Федерации.
  • Если сведения будут использованы третьими лицами для семейных нужд (но только в случае, если это не нарушает права субъекта этих сведений).
  • Засекречивание данных о субъекте (государственная тайна).
  • Если ПДн требуются государству для соблюдения условий законов либо договоров международного уровня.
  • Если субъект вовлечен в судебный процесс, при необходимости данных для исполнения актов суда.
  • В случае получения субъектом государственных услуг.
  • Требуется заключение или исполнение договора, к которому причастен субъект, либо он получает выгоду от этого.
  • Присутствует угроза жизни или здоровью субъекта, и невозможно получить согласие.
  • Если информация нужна для совершения общественно важных дел.
  • Персональные данные лица необходимы для журналистских расследований либо средствам массовой информации в случае, если при этом не нарушаются права субъекта.
  • Использование для статистических, демографических целей (только если данные обезличены).
  • В случае законодательного требования в обязательном порядке раскрыть эти данные.
  • Организации почтовой связи, мобильной связи также могут использовать персональную информацию о человеке без его разрешения (для совершения расчетов за пользование почтовыми или коммуникационными услугами). Также, если гражданин признает свои данные общедоступными, их можно использовать без его разрешения.

В случаях, которые не подпадают под условия, описанные выше, обработка данных возможна только при подписании согласия этим человеком.

Сколько стоит информация?

Необходимо знать о штрафных санкциях, которые будут применены государством к объекту, использовавшему информацию о другом лице без его согласия. Так, согласно Статьям 13.11 и 13.

14 Кодекса Российской Федерации об административных правонарушениях, должностное лицо заплатит штраф от 3 000 до 20 000 рублей.

Частный предприниматель будет оштрафован на сумму от 5 000 до 20 000 рублей, а фирма или организация – до 75 000 рублей.

Как происходит обработка персональных данных без ведома их владельца?

Существует установленный законодательством порядок, согласно которому такая информация может быть получена и использована. Выглядит процесс следующим образом:

  1. При наличии веских законных оснований человек (организация, уполномоченное лицо) получает необходимую информацию о субъекте. При этом сообщать субъекту об использовании его сведений не нужно.
  2. С полученными данными осуществляются необходимые операции, но важное условие – проводятся они только в рамках заявленной цели их использования.
  3. Когда сведения обработаны и больше не нужны, они должны быть удалены либо обезличены.

Если до владельца ПДн доходит информация об использовании его данных, он может оспорить это в судебном порядке. При таком обстоятельстве конфликт можно разрешить, предоставив доказательства необходимости получения ПДн, и даже вопреки несогласию субъекта, если законом предусмотрено данное действие, конфликт будет решен в пользу получения нужных ПДн.

Как получить согласие на обработку персональных данных

В первую очередь составляется текст, описывающий политику обработки личной информации, и само согласие. Если вы являетесь ИП или владеете фирмой – тогда в обязательном порядке заверяете политику обработки специальным актом. В этом документе указывается человек (работник), который назначается ответственным за работу с ПДн на вашем предприятии. 

Если у вашего предприятия есть сайт или аккаунт, данная политика обязательно должна быть там опубликована и в открытом доступе. Также, если предусмотрено заполнение анкет (форм) пользователями, куда они будут вписывать свои данные, под каждым таким элементом должен стоять чекбокс, куда пользователь ставит галочку по типу «Даю разрешение на использование информации обо мне».

Важно не забыть предоставить пользователю активную ссылку на страницу или документ, содержащий политику обработки ПДн, чтобы он без затруднения мог прочесть ее.

Работа с персональными данными: как не нарушать федеральный закон о ПДн?

Ниже приведено несколько обязательных правил, соблюдение которых позволит избежать проблем с законом и при этом без препятствий собирать нужные вам сведения.

  1. В первую очередь нужно пройти регистрацию в Роскомнадзоре.
  2. Вся информация (политика использования конфиденциальной информации, пользовательское соглашение) должна быть предоставлена в открытом доступе посетителям сайта, если он есть у вашей организации.
  3. Собирать нужные данные требуется в рамках конкретной цели. Не нужно просить лишнюю информацию (например, адрес прописки гражданина для рассылки видеоматериалов по e-mail).
  4. Если собранная информация предназначена для публикации в общедоступных ресурсах, обязательно требуется запрашивать письменное согласие владельца на использование этих сведений. Если же информация нужна всего лишь для внутренней работы организации, предоставлять пользователям возможность ограничить передаваемые данные.
  5. Сведения о пользователях надо применять только для осуществления тех задач, которые указаны в политике конфиденциальности.
  6. По требованию субъекта всегда нужно предоставлять ему в полном объеме сведения об имеющихся данных о нем: какие они, где и как хранятся, как обеспечивается их защита, кому предоставлен доступ к этим ПДн.
  7. По просьбе субъекта оператор обязан удалять из базы личную информацию о нем.
  8. Все персональные данные клиентов, пользователей и работников должны храниться в базе данных надежно – оператор должен обеспечить максимальную степень защиты БД (это правило указано в федеральном законе). 
  9. Работодатель должен выбрать человека на должность ответственного за обеспечение сохранности ПД.
  10. Провести инструктаж со всеми работниками о том, как работать с конфиденциальными данными.

В первом пункте сказано про регистрацию в системе Роскомнадзора. Эту процедуру необходимо проходить всем операторам (оператор в данном контексте – это лицо, осуществляющее сбор и обработку ПДн). Сведения об операторе вносятся Роскомнадзором в специальный Реестр операторов. 

Можно не регистрироваться в Роскомнадзоре в случае, если на предприятии:

  • обрабатываются только ПДн сотрудников;
  • необходимы для обработки лишь фамилия и инициалы субъекта ПДн;
  • конфиденциальные сведения открыты и опубликованы по просьбе их владельца.

Несоблюдение закона о защите ПДн – это не только огромная административная и гражданская ответственность со всеми вытекающими большими суммами штрафов и ограничений. Это еще и вторжение в личную жизнь людей. 

Спам, надоедающие рассылки, рекламные сообщения с неизвестных номеров – все это происходит из-за недобросовестного использования операторами персональных сведений о людях. 

Действуя в рамках законодательства и соблюдая все вышеописанные правила, компания обезопасит себя от привлечения к ответственности за некорректное использование ПДн.

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/obrabotka-personalnyh-dannyh/soglasie-na-obrabotku-personalnykh-dannykh/obrabotka-personalnykh-dannykh-bez-soglasiya-subekta/

Обработка персональных данных в 2018: как избежать штрафа

Когда согласие субъекта персональных данных не требуется

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы 

ОснованиеРазмер штрафа
ФизлицаДолжностные лицаЮрлицаИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДнпредупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до
10 000 руб.
предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб.от 10 000 до 20 000 руб.от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДнот 700 до 1500 руб.от 3000 до 6000 руб.от 15 000 до 30 000 руб. от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработкепредупреждение или штраф — от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 6000 руб.предупреждение или штраф — от 20 000 до 40 000 руб.предупреждение или штраф — от 10 000 до 15 000 руб. 
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)предупреждение или наложение штрафа в размере от 1000 до 2000 руб.предупреждение или штраф — от 4000 до
10 000 руб.
предупреждение или штраф — от 25 000 до 45 000 руб.  предупреждение или штраф — от 10 000 до 20 000 руб. 
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копированияот 700 до 2000 руб.от 4000 до
10 000 руб.
от 25 000 до 50 000 руб.от 10 000 до 20 000 руб. 
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДнпредупреждение или наложение административного штрафа — от 3000 до 6000 руб. 

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:  

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?  

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан. 

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора  

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально.

 На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.         

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.

1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft.

 Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда.

 За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн. 

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;  
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

5 базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов 

Источник: https://kontur.ru/articles/4816

Вопросы адвокату
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: