Уведомление о согласии на обработку персональных данных. Согласие на обработку персональных данных

13 Октября 2016, 17:17 , вопрос №1406929 Артем , г. Москва

Клиент оставил отзыв о сервисе

Поменьше копирования статей из кодексов и т.п.
Больше инф собственными словами

14 Октября 2016 19:43 показать
    согласие на обработку персональных данных

550 стоимость
вопроса

вопрос решён

Свернуть

Ответы юристов (4 )

получен
гонорар 33%

Здравствуйте. Согласно 152-ФЗ «О пресональных данных»

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.
4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.
6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

Указанный Вами в вопросе текст соответствует описанной выше норме, и поэтому считаю допустимым использовать его при получении согласия на обработку персональных данных.

получен
гонорар 33%

Здравствуйте. Да. В целом все хорошо. Но я бы уточнил вот какую деталь: «Для отзыва согласия на обработку персональных данных необходимо подать соответствующее заявление в письменной форме по месту нахождения Компании, либо направить заказным письмом с уведомлением на указанный адрес , не менее чем за 30 дней до момента отзыва соответствующего согласия.»

получен
гонорар 33%

Общаться в чате

Наумова Анастасия

Юрист, г. Томск

Бесплатная оценка вашей ситуации

    4022 ответа

    Как составить согласие на обработку персональных данных, смотрите в нашем видео:

    Для чего нужно письменное согласие работника на обработку его данных

    Получение письменного согласия человека на обработку его персональных данных становится необходимо юридическому или физлицу, которое получает доступ к этим данным. Основные вопросы, связанные с персональными сведениями о человеке, регулируются законом «О персональных данных» от 27.07.2006 № 152-ФЗ. В их число входит:

    • определение круга сведений, являющихся персональными;
    • установление условий обработки, хранения и уничтожения данных их получателем;
    • описание ситуаций, как требующих, так и не требующих согласия лица на обработку сведений о нем;
    • перечисление прав носителя персональных данных на ознакомление с результатами их обработки;
    • определение ответственности лиц, разгласивших персональную информацию.

    Наиболее частым случаем получения и обработки персональной информации о человеке является сбор и анализ работодателем сведений о своем работнике (уже работающем или вновь принимаемом на работу).

    Помимо общедоступных сведений, к которым закон № 152-ФЗ относит данные о Ф. И. О., принадлежности к определенному полу, дате рождения, работодателю оказывается нужна и иная информация, содержащаяся в документах, предъявляемых при трудоустройстве (ст. 65 ТК РФ):

    • в удостоверении личности (паспорте);
    • трудовой книжке;
    • свидетельстве ПФР;
    • документах об обучении;
    • документах воинского учета;
    • дополнительных справках (в частности, об отсутствии судимости) или документах, наличие которых является условием приема на определенную работу.

    Сбор и обработка таких данных требуют от работодателя получения предварительного письменного согласия работника на эти действия (п. 1 ст. 9 закона № 152-ФЗ). Согласие является добровольным и может быть отозвано работником.

    О том, что еще понадобится сделать при заключении трудового договора, читайте в статье «Порядок заключения трудового договора (нюансы)» .

    Об ответственности за разглашение персональных данных читайте .

    Что входит в содержание заявления о согласии

    Перечень основных моментов, которые должны быть отражены в документе, закрепляющем согласие на обработку персональных данных, содержится в п. 4 ст. 9 закона № 152-ФЗ. Это:

    • информация о лице, разрешающем обработку данных (Ф. И. О., данные паспорта), или его представителе (для него дополнительно понадобится документ, удостоверяющий его полномочия);
    • данные о получателе персональной информации (наименование или Ф. И. О., адрес);
    • определение цели, с которой предоставляются данные;
    • перечень сведений, которые подлежат обработке;
    • способы обработки данных, в т. ч. указание на иное лицо, которое будет выполнять обработку, если есть намерение привлечь его к этому;
    • срок действия согласия или способ его отзыва;
    • собственноручная подпись лица, дающего разрешение.

    ВНИМАНИЕ! В заявлении о согласии на обработку персональных данных желательно указывать 1 цель, для которой собираются сведения. Сейчас нет прямого запрета включать в одно согласие несколько целей обработки персональных данных. Вместе с тем есть риск, что Роскомнадзор и затем суд сочтут это нарушением (постановление 9 арбитражного апелляционного суда от 16.08.2016 №09АП-30182/2016-АК). Но Минкомсвязь подготовил проект , согласно которому, в одно заявление можно будет включать несколько целей.

    Об основных принципах оформления документа, удостоверяющего полномочия представителя, читайте в статье «Доверенность на получение заработной платы - образец» .

    Документ о согласии 2020 года: форма и образец

    Бланк согласия на обработку персональных данных не имеет законодательно утвержденной формы. При его оформлении нужно только соблюсти обязательность включения в него сведений, предусмотренных п. 4 ст. 9 закона № 152-ФЗ. Каждый получатель персональной информации может разработать форму согласия самостоятельно, отразив в ней необходимый ему перечень сведений и особенности их обработки.

    С 1 из образцов согласия на обработку персональных данных можно ознакомиться на нашем сайте.

    Итоги

    Согласно действующему законодательству обработка большей части персональных данных о человеке должна осуществляться с его письменного согласия. Определенной формы у документа, содержащего такое согласие, не имеется, однако установлен перечень обязательной информации, которая должна быть включена в него. Итоговый перечень необходимых персональных данных разрабатывает получатель этих сведений.

    В нашем образовательном учреждении отсутствуют согласия работников на обработку персональных данных. Некоторые сотрудники работают по несколько лет. Как лучше оформить согласия на обработку персональных данных: 1. Отдельным документом на каждого работника? 2. Одним документом, но с листом ознакомления для всех работников? 3. Дополнительным соглашением к трудовому договору?

    Ответ

    В силу ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О защите персональных данных" (далее - Закон N 152-ФЗ) под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы. На основании п. 1 ст. 6 вышеуказанного Закона обработка персональных данных может осуществляться только с согласия их субъекта.

    Данное согласие должно быть оформлено в письменной форме и содержать в себе следующую информацию:

      подпись сотрудника.

    Данное согласие должно быть оформлено отдельным документом на каждого работника.

    Образец согласия приведен ниже, в подборке материалов Системы.

    В части трудовых договоров:

    В трудовые договоры работников, имеющих доступ к персональным данным работников (кадры, бухгалтерия, учебная часть и тп.) нужно внести условие о неразглашении таких данных работников.

    В трудовые договоры других работников можно внести согласие на обработку их персональных данных, но простого письменного информированного согласия на обработку таких данных также достаточно.

    Подробнее в материалах Системы:

      Форма: Согласие сотрудника на обработку персональных данных

    СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Настоящим я, Кондратьев Александр Сергеевич, представляю Работодателю (оператору) «Альфа» (ОГРН 1234567890123, ИНН 7708123456), зарегистрированному по адресу: 125008, г. Москва, ул. Михалковская, д. 20, свои персональные данные в целях обеспечения соблюдения трудового законодательства и иных нормативно-правовых актов при содействии в трудоустройстве, обучении и продвижении по работе, обеспечения личной моей безопасности, текущей трудовой деятельности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

    Моими персональными данными является любая информация, относящаяся ко мне как к физическому лицу (субъекту персональных данных), указанная в трудовом договоре, личной карточке работника (унифицированная форма Т-2), трудовой книжке и полученная в течение срока действия настоящего трудового договора, в том числе: мои фамилия, имя, отчество, год, месяц, дата и место рождения, гражданство, документы, удостоверяющие личность, идентификационный номер налогоплательщика, номер страхового свидетельства государственного пенсионного страхования, адреса фактического места проживания и регистрации по местожительству, почтовые и электронные адреса, номера телефонов,

    фотографии, сведения об образовании, профессии, специальности и квалификации, семейном положении и составе семьи, сведения об имущественном положении, доходах, задолженности, занимаемых ранее должностях и стаже работы, воинской обязанности; сведения о трудовом договоре и его исполнении (занимаемые должности, существенные условия труда, сведения об

    аттестации, повышении квалификации и профессиональной переподготовке, поощрениях и

    наказаниях, видах и периодах отпуска, временной нетрудоспособности, социальных льготах,
    командировании, рабочем времени и пр.), а также о других договорах (индивидуальной,
    коллективной материальной ответственности, ученических, оказания услуг и т. п.), заключаемых
    при исполнении трудового договора.

    Своей волей и в своих интересах выражаю согласие на осуществление Работодателем
    (оператором) любых действий в отношении моих персональных данных, которые необходимы
    или желаемы для достижения указанных целей, в том числе выражаю согласие на обработку без
    ограничения моих персональных данных, включая сбор, систематизацию, накопление, хранение,
    уточнение (обновление, изменение), использование, распространение (в т. ч. передачу),
    обезличивание, блокирование, уничтожение персональных данных при автоматизированной и
    без использования средств автоматизации обработке; запись на электронные носители и их
    хранение; передачу Работодателем (оператором) по своему усмотрению данных и
    соответствующих документов, содержащих персональные данные, третьим лицам, включая
    банки, налоговые органы, в отделения пенсионного фонда, фонда социального страхования,
    фонда обязательного медицинского страхования, уполномоченным агентам и организациям;
    хранение моих персональных данных в течение 75 лет, содержащихся в документах,
    образующихся в деятельности Работодателя (оператора), согласно части 1 статьи 17 Закона от
    22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации», а также при
    осуществлении любых иных действий с моими персональными данными, указанными в
    трудовом договоре и полученными в течение срока действия трудового договора, в соответствии
    с требованиями действующего законодательства РФ и Закона от 27 июля 2006 г. № 152-ФЗ «О
    персональных данных».

    Настоящее согласие на обработку персональных данных действует с момента представления
    бессрочно и может быть отозвано мной при представлении Работодателю (оператору) заявления
    в простой письменной форме в соответствии с требованиями законодательства Российской
    Федерации.

    Организация не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника (например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п.). Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в части 1 статьи 86 Трудового кодекса РФ и Закона от 27 июля 2006 г. № 152-ФЗ.

    Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия на то сотрудника ().

    Согласие сотрудника на обработку персональных данных

    По ходу деятельности у работодателя возникает необходимость в . Обработка таких данных осуществляется только с сотрудников. При этом согласие должно включать в себя следующую информацию:

      фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;

      наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;

      цель обработки персональных данных;

      перечень персональных данных, на обработку которых дается согласие;

      наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;

      перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;

      срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;

      подпись сотрудника.

    При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель (родитель, опекун) ().

    Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в . В такой ситуации организация вправе продолжить с учетом ограничений, указанных в части 1 статьи 6, статьи 10 и статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

    Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя ().

    С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем ().

    Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей. Об этом сказано в разъяснений Роскомнадзора от 14 декабря 2012 г.

    Случаи обработки данных без согласия сотрудника

    В отдельных случаях обработка персональных данных возможна и без согласия сотрудника. Например, если обработка персональных данных необходима в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления и выполнения возложенных законодательством России на оператора функций, полномочий и обязанностей, - она может осуществляться без согласия сотрудника - субъекта персональных данных. Об этом сказано в Закона от 27 июля 2006 г. № 152-ФЗ.

    К таким случаям относится передача сведений в:

      иные органы, когда обязанность передачи им сведений, относящихся к персональным данным сотрудника, закреплена за работодателем законом либо необходима для достижения установленных законом целей (например, суды, прокуратуру и т. п.).

    Кроме того, согласие не требуется в следующих случаях:

      обязанность по обработке предусмотрена законодательством, в том числе опубликование и размещение персональных данных сотрудников в сети Интернет (например, и рядом иных актов);

      проводится обработка персональных данных близких родственников сотрудника в объеме, предусмотренном личной карточкой (по унифицированной или ), а также в случаях получения алиментов, оформления социальных выплат и допуска к государственной тайне;

      обработка сведений о состоянии здоровья сотрудника относится к вопросу о возможности выполнения им трудовой функции;

      обработка данных связана с выполнением сотрудником должностных обязанностей, в том числе при его командировании;

      обработка персональных данных проводится при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя при условии, что организация пропускного режима осуществляется работодателем самостоятельно.

    Также работодателю следует помнить, что не требуется получать согласие уволенного сотрудника на обработку его персональных данных для целей налогового и бухгалтерского учета. Не распространяется законодательство о персональных данных и на материалы, переданные в архивную организацию для архивного хранения, поэтому такое хранение не требует получения согласия сотрудника на обработку его персональных данных. Это следует из положений пункта 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

    Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в части 1 статьи 6, статьи 10 и статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ.

    В случае прекращения обработки персональных данных работодатель также обязан уведомить об этом уполномоченный орган. Сделать это нужно в течение десяти рабочих дней с момента прекращения обработки данных. Типовой бланк уведомления о прекращении обработки данных не утвержден, поэтому работодатель может составить его в ().

    Защита персональных данных

    Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в ( , ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации (). Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в Закона от 27 июля 2006 г. № 152-ФЗ и , утвержденных . На их основе организация может выработать свою собственную систему защиты персональных данных.

    Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

      уничтожение;

      изменение;

      блокирование;

      копирование;

      предоставление;

      распространение;

      иные неправомерные действия с персональными данными.

    Следует отметить, что выбор конкретных средств защиты информации для информационной системы обработки персональных данных осуществляется работодателем в соответствии с нормативно-правовыми актами ФСБ России и ФСТЭК России. Определение типа угроз безопасности персональных данных, актуальных для системы обработки и защиты персональных данных, производится с учетом оценки возможного вреда и в соответствии с нормативными актами упомянутых органов (п. , Требований, утвержденных ).

    При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные Требований, утвержденных . Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т. п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены , утвержденными .

    Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (

    Александр Бальчунас , 18.04.2017

    Законы Поддержка

    Шаблоны соглашений на обработку персональных данных для ваших сайтов

    Недавно в Тинькофф-журнале , которая доступно и подробно объясняет какими штрафами грозит неисполнение формальностей нового закона и как этих штрафов избежать.

    Самая главная работа, которую нужно проделать на своих сайтах – добавить обязательное поле-галочку, отмечая которое, посетители соглашаются с вашими правилами обработки их данных. Соответственно, необходимо эти правила разместить.

    Обязательно прочитайте то, что будете копировать на свой сайт – можете удалить строчки про цели использования и перечень персональных данных, если какие-то из них вас не касаются.

    Если у вас уже есть соглашение на сайте, добавьте в него блок про обработку данных и сделайте ссылку на это соглашение.

    Для корпоративного сайта

    Предоставляя свои персональные данные Пользователь даёт согласие на обработку, хранение и использование своих персональных данных на основании ФЗ № 152-ФЗ «О персональных данных» от 27.07.2006 г. в следующих целях:

    Под персональными данными подразумевается любая информация личного характера, позволяющая установить личность Пользователя/Покупателя такая как:

    • Фамилия, Имя, Отчество
    • Дата рождения
    • Контактный телефон
    • Адрес электронной почты
    • Почтовый адрес

    Персональные данные Пользователей хранятся исключительно на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства.

    Компания обязуется не передавать полученные персональные данные третьим лицам, за исключением следующих случаев:

    • Стратегическим партнерам, которые работают с Компанией для предоставления продуктов и услуг, или тем из них, которые помогают Компании реализовывать продукты и услуги потребителям. Мы предоставляем третьим лицам минимальный объем персональных данных, необходимый только для оказания требуемой услуги или проведения необходимой транзакции.

    Компания оставляет за собой право вносить изменения в одностороннем порядке в настоящие правила, при условии, что изменения не противоречат действующему законодательству РФ. Изменения условий настоящих правил вступают в силу после их публикации на Сайте.

    Для интернет-магазинов

    Предоставляя свои персональные данные Покупатель даёт согласие на обработку, хранение и использование своих персональных данных на основании ФЗ № 152-ФЗ «О персональных данных» от 27.07.2006 г. в следующих целях:

    • Регистрации Пользователя на сайте
    • Осуществление клиентской поддержки
    • Получения Пользователем информации о маркетинговых событиях
    • Выполнение Продавцом обязательств перед Покупателем
    • Проведения аудита и прочих внутренних исследований с целью повышения качества предоставляемых услуг.

    Под персональными данными подразумевается любая информация личного характера, позволяющая установить личность Покупателя такая как:

    • Фамилия, Имя, Отчество
    • Дата рождения
    • Контактный телефон
    • Адрес электронной почты
    • Почтовый адрес

    Персональные данные Покупателей хранятся исключительно на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства.

    Продавец обязуется не передавать полученные персональные данные третьим лицам, за исключением следующих случаев:

    • По запросам уполномоченных органов государственной власти РФ только по основаниям и в порядке, установленным законодательством РФ
    • Стратегическим партнерам, которые работают с Продавцом для предоставления продуктов и услуг, или тем из них, которые помогают Продавцу реализовывать продукты и услуги потребителям. Мы предоставляем третьим лицам минимальный объем персональных данных, необходимый только для оказания требуемой услуги или проведения необходимой транзакции.

    Продавец оставляет за собой право вносить изменения в одностороннем порядке в настоящие правила, при условии, что изменения не противоречат действующему законодательству РФ. Изменения условий настоящих правил вступают в силу после их публикации на Сайте.

    Если говорить начистоту, то мы думали, что после пика активности летом 2017 года, тему защиты персональных данных (далее в статье - ПДн) мы уже никогда поднимать не будем. Нам казалось, что тема себя исчерпала… что она уже никому и никогда не будет интересна, так как почти у всех уже появилось понимание, что персональные данные нужно оберегать, как собственное дитя от шального внешнего мира.

    Но как бы мы ни хотели сесть на единорога и добраться на нем в страну фантазии по радуге, факт остается фактом, наши с Вами персональные данные все еще под угрозой. Лакмусовой бумажкой для наc, а значит и для регуляторов в этой области, является согласие на обработку ПДн . И, к сожалению, мы вынуждены признать, что большинство согласий, которые мы видим в обычной жизни либо составлены безграмотно, либо не составлены вовсе.

    Поэтому на всякий случай повторим для тех, кто в танке все еще не разобрался в вопросе.

    Что такое согласие на обработку персональных данных и зачем его давать?

    Это задекларированный факт того, что субъект ПДн (как правило Ваш клиент) разрешает обрабатывать его ПДн, а в некоторых случаях использовать их в маркетинговых целях. Но на маркетинговых целях остановимся чуть позже.

    Почему этот факт должен быть задекларирован?

    Потому что с точки зрения п.3 ст.9 Федерального закона “О персональных данных” ФЗ-152 (далее ФЗ-152) обязанность предоставить доказательство получения согласия или доказательство наличия оснований,не собирать такое согласие, возлагается на ОПЕРАТОРА , то есть на Вас.

    О! Есть случаи, когда согласие можно НЕ собирать? Это какие?

    Да, конечно, такие случаи есть и они описаны в п.2-11 ч.1 ст.6, ч.2. ст.10 и ч.2 ст.11. Если кратко (на самом деле не кратко, но максимально простыми словами), то вот такие случаи:

    • обработка осуществляется для выполнения функций возложенных на оператора законодательно;
    • обработка осуществляется в связи с участием лица в судебном процессе или необходима для исполнения судебного акта;
    • обработка осуществляется в целях предоставления государственных и муниципальных услуг;
    • субъект является стороной договора, по которому он является выгодоприобретателем;
    • обработка осуществляется для защиты жизни и здоровья субъекта, если получить согласие при этом невозможно;
    • обработка необходима для профессиональной журналистской, научной, литературной или др. творческой деятельности, если не нарушаются законные права субъекта ПДн;
    • обработка осуществляется в статистических целях, при условии обезличивания ПДн;
    • осуществляется обработка ПДн, которые субъект ПДн сам сделал общедоступными;
    • осуществляется обработка ПДн, которые подлежат обязательному раскрытию в соответствии с законодательством РФ;
    • обработка осуществляется в связи с международными договорами о реадмиссии*

    _____________________________

    * Реадмиссия (англ. to readmit - принимать назад) - согласие государства на приём обратно на свою территорию своих граждан (а также, в некоторых случаях, иностранцев, прежде находившихся или проживавших в этом государстве), которые подлежат депортации из другого государства.

    _____________________________

    • в соответствии с законом “О переписи населения”;
    • обработка ведется в соответствии с трудовым законодательством;
    • обработка осуществляется в медицинских или медико-профилактических целях лицом профессионально занимающимся медицинской деятельностью, на которое распространяется законодательство о врачебной тайне;
    • осуществляется обработка ПДн членов общественной или религиозной организации самой организацией в соответствии с законодательством и ПДн не передаются без согласия субъекта;
    • обработка осуществляется в соответствии с законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, о порядке въезда и выезда, о гражданстве РФ;
    • при обработке органами прокуратуры в связи с осуществлением прокурорского надзора;
    • обработка осуществляется в соответствии с законодательством об обязательных видах страхования;
    • обработка осуществляется в соответствии с законодательством РФ в целях устройства детей, оставшихся без попечения родителей.

    Если Ваша деятельность подпадает под какой-то один из этих пунктов, то ВОЗМОЖНО Вам можно и не брать согласие на обработку ПДн со своих клиентов. Но… это не точно. Если Вы увидели что-то похожее на свою деятельность, то обязательно обратитесь к ФЗ-152 и сами почитайте перечисленные пункты, а также подкрепите свои знания законодательством в области Вашей деятельности. Потому что задача по доказательству того, что Вам не обязательно брать согласие, лежит на Ваших плечах.

    Что обязательно должно быть в согласии?

    А теперь к вопросу, как грамотно составить согласие на обработку ПДн. С точки зрения нашего любимого ФЗ-152 в согласии обязательно должно быть:

    • полное ФИО субъекта ПДн;
    • адрес субъекта ПДн
    • номер основного документа, удостоверяющего личность, а также дата выдачи и кем выдан;
    • вся эта же информация о представителе субъекта ПДн, а также реквизиты документа, подтверждающие основания представителя действовать от лица субъекта (например, если субъектом является ребенок, то основанием действия родителя будет свидетельство о рождении ребенка или паспорт родителя с отметкой о ребенке);
    • наименование или полное ФИО, а также адрес оператора ПДн;
    • цель обработки ПДн (четкая и понятная);
    • перечень ПДн, на обработку которых дается согласие;
    • наименование или ФИО, а также адрес оператора по поручению, если таковой имеется (т.е. если Вы передаете обработку ПДн своих клиентов другому юридическому лицу, то клиент с этим тоже должен согласиться и знать об этом);
    • перечень действий, на совершение которых дается согласие (их можно подглядеть в ст.3 ФЗ-152);
    • срок в течение которого действует согласие;
    • подпись субъекта персональных данных.

    Вы написали, что субъект должен предоставить свои ФИО, адрес, а также реквизиты документа, удостоверяющего личность. Но что если, я обрабатываю только ФИО, почту и номер телефона?! Зачем мне знать его паспортные данные?

    Хороший вопрос, в таком случае мы в согласие обычно пишем так: “ФИО, адрес и реквизиты документа удостоверяющего личность обрабатываются исключительно в бумажном виде в целях получения согласия на обработку персональных данных.”

    Как подписывать согласие?

    Мы сказали о том, что в согласии на обработку ПДн обязательно должна быть подпись субъекта ПДн, но не сказали в каком виде. На данный момент ФЗ-152 предполагает, что согласие получается в письменной форме с собственноручной подписью субъекта или в форме электронного документа, подписанного электронной подписью.

    А что делать, если мы с моим клиентом (субъектом ПДн) никогда не увидимся лично и электронной подписи у него нет?

    В той же 9 статье ФЗ-152 в п.1 есть замечательное предложение “Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.” Также мы сделали официальный запрос регулятору (Роскомнадзору), хоть он и не уполномочен трактовать законодательство. В этом запросе мы напрямую спросили, подходит ли использование чек-боксов (это когда нужно поставить галочку) для получения согласия на обработку. Так вот, регулятор ответил нам однозначно - подходит. Так что если Вы никогда не встретитесь со своими субъектами ПДн лично и электронных подписей быть у них не может, то единственная ваша возможность получить согласие, это сделать чек-бокс на сайте. Но это не отменяет того, что Вы обязаны рассказать субъекту о политике защиты его ПДн, а также предоставить текст согласия в электронном виде.

    С основными моментами вроде разобрались. Теперь давайте поговорим об основным ошибках (случайных или преднамеренных), которые мы видим в согласиях.

    Ошибка №1. Согласия нет в принципе.

    Без комментариев, мы уже ответили на вопрос, зачем оно нужно и в каких случаях нет необходимости в согласии.

    Ошибка №2. Не все данные указываются.

    Еще раз просим Вас внимательно ознакомиться с перечнем информации, которая должна быть в согласии.

    Ошибка №3. ПДн передаются третьим лицам, но при этом в согласии не указываются конкретные наименования.

    Бывают такие ситуации, когда компании по тем или иным причинам не хотят говорить, кому передаются ПДн. Уважаемые субъекты, нам кажется, что это повод задуматься о том, насколько прозрачно ведет свои дела компания, предоставляющая Вам услуги. Сказать, кому они могут передать Ваши персональные данные, - это их святая обязанность, прописанная в законодательстве. Так что хватит юлить, указываем напрямую, кому передаем ПДн своих субъектов.

    Ошибка №4. С точки зрения ФЗ-152 компания вовсе не обязана брать согласие и вроде бы все правильно, не берет, но при этом например размещает на своем сайте информацию о сотрудниках или передает ПДн третьим лицам.

    Это 100% нарушение законодательства “О ПДн”. Даже если Вы можете не брать согласие на обработку ПДн субъектов, то Вы обязательно должны брать согласие на передачу ПДн третьим лицам, если обратное не установлено условиями законодательства, а также брать согласие на размещение ПДн на общедоступных ресурсах, чем и является сайт организации, доска почета, телефонный справочник и т.д.

    Ошибка №5. Согласие на обработку ПДн заполняет сотрудник организации, спрашивая у субъекта его ПДн.

    Напрямую нигде не прописано, что так делать нельзя, но в таком случае вырисовывается интересная картина. У вас появляется дополнительный канал утечки информации, что несомненно усложнить Вашу жизнь с точки зрения защиты ПДн, так что просто не делайте так.

    И на сладкое поговорим немного о маркетинге.

    Многие... очень многие компании собирают номера телефонов и адреса электронной почты для рассылки “полезной” информации об акциях и прочих крутых штуках (статьях, рекламе и т.д.). Так вот в ст.15 ФЗ-152 черным по белому написано, что Вы обязаны получить дополнительное согласие для рассылки маркетинговой информации или политических агитаций. И незамедлительно прекратить рассылку по запросу субъекта!


    Ну и в качестве бонуса всем, кто дочитал/долистал до конца статьи пример согласия на обработку ПДн .

    Если у Вас остались вопросы, то можете задать их на нашу почту: