Действие согласия на обработку персональных данных

Вся информация на в статье на тему: "Действие согласия на обработку персональных данных". Полное описание собранное из разных авторитетных источников. Если возникнут вопросы, вы всегда можете обратиться к дежурному консультанту.

Какие оптимальные сроки хранения и обработки персональных данных? Сколько действует согласие субъекта?

В Российской Федерации функционирует понятие персональных данных, оно закреплено на законодательном уровне и сопряжено с рядом норматив.

Утвержден порядок хранения ПДн физических лиц и период, в который хранение должно быть прекращено.

Условия завершения обработки персональной информации или конкретные временные рамки операций определяют операторы в соответствии с профильными законодательными актами правительства. Актуальные сведения о сроках при работе с конфиденциальными данными в нашей стране, порядке из фиксации в документах вы найдете в нашем материале.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (800) 350-22-67 . Это быстро и бесплатно !

Временные рамки, связанные с ПДн

Положение 7 статьи 5 Федерального закона «О персональных данных» предусматривает среди принципов обработки и следующий – хранение ПДн должно осуществлять не дольше, чем того требуют цели операции с информацией.

Кроме этого, период хранения ПДн в некоторых случаях закрепляется федеральным законом, договором, субъектом которого является владелец персональных данных. Оператор устанавливает конкретные временные рамки или вписывает условие для прекращения обработки.

Что выбрать: время хранения или условия прекращения?

Закон позволяет выбрать либо конкретный период хранения данных, либо ограничить обработку наступлением определенного условия. Однако на оператора налагаются обязанности обязательно ограничить обработку данных по времени.

Юристы советуют использовать конкретный период прекращения обработки только в том случае – если сведения необходимы оператору для ограниченной цели.

Например, на сайте интернет-магазина проводится анкетирование, субъекту ПДн предлагается указать область проживания, покупки за последний год, возраст, ФИО и так далее. Магазин планирует использовать сведения для статистического анализа своей успешности за последний год. После завершения анализа, сведения ему больше не понадобятся и будут ликвидированы.

При составлении такого договора учитывается то, что на проведение анализа понадобится шесть месяцев. После этого интернет-магазин прекращает обработку данных, выполнив цель, с которой они были собраны. Для похожих прецедентов есть и другой вариант – установить условие завершения обработки, например, указать, что после проведения аналитических работ сведения прекратят обрабатывать.

Комбинированный вариант «условие + дата» используется довольно часто. Возьмем адвокатскую контору, планирующую хранить сведения о клиентах два года с момента последнего обращения. Тут присутствует сразу два критерия – два года (конкретный период) и определенное условие – отсутствие обращения в адвокатскую организацию.

Медицинские учреждения в нашем государстве, как правило, не ограничивают себя четкими сроками, поскольку законодательство обязывает их хранить сведения, касающиеся сферы здравоохранения, довольно долго. Закон дает возможность операторам выбирать, как именно устанавливать период – определяя временной отрезок обработки или событие, наступление которого будет означать прекращение обработки конфиденциальных сведений.

Оговариваемые периоды

Сколько действует согласие работника, клиента, пациента?

Независимо от сферы деятельности оператора, он обязан взять у субъекта персональных данных разрешение и указать период его действия.

Оператору предоставляется также два способа обозначить период действия разрешения субъекта – вписав четкую дату или воспользовавшись стандартной в юридической практике фразой: «Настоящее согласие действует с момента подписания и до дня отзыва». Желательно продумать и способ подачи отзыва, например, только в письменной форме.

Сколько должны храниться ПДн?

Подразумевается, что хранение оператор организует на период, необходимый для обработки ПДн.

Также важно, что в некоторых случаях фирма не работает со сведениями постоянно, и хранение сопряжено с задачей обеспечить доступ к персональным материалам в любое удобное время и в форме, делающей возможной их обработку.

В документации оператор обозначает сроки хранения, а также операцию, которая будет проведена после выполнения цели – обезличивание информации либо ее уничтожение. Отметим, что под обезличиванием сведений подразумевается перевод материалов в форму, не позволяющую распознать к кому она точно относится.

Какой период отводится на обработку?

Обработка данных непосредственно связана с хранением ПДн, ведь именно хранение обеспечивает доступ к данным с целью их обработки. В законе «О персональных данных» сказано, что оператор должен установить единый период для обеих операций. Если обработка прекращается с наступлением некоторого события, то оператор берет на себя обязанности в дальнейшем не хранить сведения.

Оператор не может указывать разные сроки или условия для прекращения хранения и обработки. Если хранение, например, прекращается после двух лет, то и обработка не может больше проводиться – по техническим причинам. Точно так же и период обработки связан с хранением.

Предположим, предприятие взяло на себя обязанности обрабатывать сведения на протяжении одного года, если после наступления этого срока он продолжит хранить информацию – значит нарушит условия соглашения с физическим лицом.

Возможно ли продление действия соглашения?

Оператор имеет право продлевать любой из периодов, указанных выше, но для этого компании следует выполнить несколько требований. Условия и нюансы продления срока прописываются в «Политике в отношении обработки персональных данных». Субъект ПДн, согласно действующему законодательству, имеет право в любой момент ознакомиться с этим документом.

Еще одна особенность заключается в том, что продление периода обработки или хранения сопряжено с появлением иных целей, но не выходящих за рамки закона.

Другими словами, оператору разрешается менять сроки, имея на то основания и продолжая использовать конфиденциальную информацию только в рамках актуальных законодательных актов.

Компания, собирающая персональные данные, вправе выбрать как автоматическое продление, например, данного субъектом разрешения, так и ручное (с дополнительным уведомлением). При этом, физическое лицо, владеющее информацией, не лишается возможности в любой момент отозвать согласие.

Как видите, профильный закон в Российской Федерации устанавливает четкие требования относительно указания периодов и дат хранения и обработки ПДн. Вместе с тем, на операторов налагается обязанность уведомить субъекта о времени действия его собственного соглашения на обработку информации.

Читайте так же:  Постановление суда о разделе имущества

Сама продолжительность хранения – законом не регламентируется, к ней предъявляется только одно требование: хранить не дольше, чем требуется для достижения целей обработки.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (800) 350-22-67 Это быстро и бесплатно !

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/i-ih-sroki.html

Каков срок действия согласия на обработку персональных данных?

Здравствуйте, подскажите пожалуйста если делается запрос о несудимости на сотрудников учреждения, в июле, а согласие на обработку персональных данных написано сотрудниками в феврале, правильно ли это?

Вопрос относится к городу Санкт-Петербург

Ответы:

Согласно ч.4 ст.9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности, срок, в течение которого действует согласие , а также способ его отзыва. Вспоминайте, какой срок был указано в согласии.

Источник: http://ppt.ru/question/?id=76188

Согласие на обработку персональных данных

СОДЕРЖАНИЕ

Обработка персональных данных субъекта, по общему правилу, должна осуществляться с его согласия (ч. 1 ст. 6 закона о персональных данных). В тех случаях, когда это прямо предусмотрено законом, согласие должно быть письменным. Утвержденной формы такого документа нет, но в нем как минимум следует указать:

  • ФИО, адрес субъекта персональных данных и его паспортные данные;
  • ФИО, адрес и паспортные данные его представителя, реквизиты доверенности или иного документа, подтверждающего его полномочия (если согласие дает представитель субъекта);
  • наименование (или ФИО) и адрес оператора, а также лица, которому оператор поручил обработку данных (если обработка поручена третьему лицу);
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта;
  • перечень действий с персональными данными, на совершение которых дается согласие;
  • срок, в течение которого действует согласие субъекта, а также способ его отзыва;
  • подпись субъекта персональных данных (ч. 4 ст. 9 закона о персональных данных).

БЛАНКИ

Согласие субъекта на обработку персональных данных
Отзыв согласия на обработку персональных данных
Другие бланки

Равнозначным согласию в письменной форме признается согласие в электронной форме, скрепленное электронной подписью субъекта.

Стоит также отметить, что лицо вправе в любой момент отозвать свое согласие на обработку его персональных данных (ч. 2 ст. 9 закона о персональных данных).

Источник: http://www.garant.ru/actual/persona/soglasie/

Срок действия согласия на обработку персональных данных не обязательно должен быть определен конкретной датой

JanPietruszka / Depositphotos.com

Арбитражные суды трех инстанций признали незаконным предписание Роскомнадзора указать срок действия письменного согласия на обработку персональных данных.

Разработанную экспертами компании «Гарант» форму согласия субъекта на обработку персональных данных можно найти в интернет-версии системы ГАРАНТ. Получите полный доступ на 3 дня бесплатно!

Напомним, что согласно ч. 4 ст. 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Такое согласие должно включать в себя в том числе срок, в течение которого оно действует, а также способ его отзыва, если иное не установлено федеральным законом.

В рассматриваемом случае в согласии было указано, что оно вступает в силу со дня его подписания и действует в течение неопределенного срока и может быть отозвано на основании письменного заявления в произвольной форме. Суды сочли это надлежащим исполнением вышеприведенного требования закона, поскольку данная норма не предусматривает указания в согласии конкретного срока, в течение которого оно действует. Предельный срок действия такого согласия также не установлен законодателем. В рассматриваемом случае срок действия согласия определен началом его действия (со дня подписания) и заканчивается моментом востребования — письменным отзывом в произвольной форме. Таким образом, срок действия согласий субъектов персональных данных на их обработку в любом случае ограничен действием самого субъекта персональных данных по представлению письменного отзыва ранее данного им согласия, в связи с чем указанный срок можно квалифицировать сроком, определяющим момент востребования.

Верховный Суд Российской Федерации оснований для пересмотра соответствующих судебных актов арбитражных судов не усмотрел (определение ВС РФ от 5 марта 2018 г. № 307-КГ18-101).

Источник: http://www.garant.ru/news/1198515/

Срок действия согласия на обработку персональных данных

Защита персональных данных
с помощью DLP-системы

С убъектам хозяйствования, независимо от формы собственности, необходимо собирать, обрабатывать, хранить персональные данные (ПДн) работников, партнеров по бизнесу и других лиц. Получать согласия на обработку персональных данных нужно с соблюдением требований законодательства. Оператору также нужно знать, сколько может действовать такое согласие, чтобы при выполнении любых действий с ПДн не нарушать требования законодательных актов.

Срок действия согласия

Хранить и обрабатывать личные данные оператор может на протяжении некоторого срока. Для этого нужно получить у субъекта ПДн одобрение на их использование, в котором указывается период его действия. Но в законе о персональных данных № 152 не указываются эти граничные сроки (гл. 2 з-на). Соответственно, нужно установить этот срок, опираясь на взаимно подписанное соглашение.

Предусматривается три варианта фиксации срока такого разрешения:

1. Можно установить ограниченное время на использование и хранение ПДн, прописав конкретную дату, до которой разрешение будет юридически законным. В таком случае нужно учитывать, что по окончании этого срока может понадобиться применить личные сведения гражданина. Но до оформления нового разрешения воспользоваться ими не разрешается, поэтому можно потерять много времени на документальные проволочки, что иногда тянет за собой проблемы. Нужно постоянно контролировать граничные сроки действия разрешения и до окончания указанной в нем даты оформить новое одобрение.

2. Следующий способ: вписать в разрешение срок действия данного документа – до реализации условий, при которых обработка ПДн будет прекращена. В согласии гражданина на обработку его ПДн нужно указать какое-либо событие вместо конкретного числа. Это может быть дата увольнения сотрудника, выполнение какой-либо услуги. Такой формат срока действия разрешения более приемлем в плане уменьшения затрат времени на бумажную фиксацию этого разрешения. Пока сотрудник не уволился, не нужно контролировать его сведения, чтобы отслеживать срок действия полученного от него согласия. Также не требуется подписывать новое разрешение, если срок старого истек.

3. Можно воспользоваться комбинированным вариантом определения срока действия согласия, при котором устанавливается дата окончания и наступления конкретного события. Примером такого способа может служить оформление займа в банке. Кредитор рассчитывает использовать сведения о заемщике на протяжении трех лет после закрытия кредита. Соответственно, в соглашении указывается срок – на протяжении трех лет с даты окончания действия договора кредитования.

Читайте так же:  Постановление судьи районного суда

Содержание согласия

В законе о ПДн № 152-ФЗ прописан ряд обязательных требований в отношении оформления согласия на пользование личными сведениями, которые нельзя игнорировать. Во время формирования согласия важно тщательно проработать и внести следующую информацию:

Нужно знать, что законодательство требует хранить документацию, касающуюся сотрудника, на протяжении 75 лет. Это касается и личной информации.

Продление сроков

Если необходимо продлить срок действия согласия на какой-либо период после окончания указанной в нем даты, выполнить это можно следующим образом:

  • заключить дополнительное соглашение;
  • сделать новое разрешение;
  • внести в его текст возможность автоматического продления на конкретный период.

Чтобы избежать конфликтов, недоразумений между сторонами, лицо, уполномоченное на обработку ПДн, должно владеть знаниями о требованиях актуального законодательства и обеспечить их выполнение.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/obrabotka-personalnyh-dannyh/soglasie-na-obrabotku-personalnykh-dannykh/srok-dejstviya-soglasiya-na-obrabotku-personalnykh-dannykh/

Обработка персональных данных юридического лица

Защита персональных данных
с помощью DLP-системы

И ногда при анализе норм, регламентирующих правила обработки персональных данных, возникает вопрос о персональных данных юридического лица. Вопрос наличия согласия на их обработку может стать принципиальным при заключении различных гражданско-правовых договоров.

Имеет ли юридическое лицо персональные данные

Законодательство очень конкретно подводит под понятие «персональные данные» только ту информацию, которая прямо или косвенно относится к конкретному гражданину, физическому лицу, и позволяет прямо его идентифицировать. Такое понимание содержится в Федеральном законе «О персональных данных». К ПД может быть отнесена абсолютно любая информация – от паспортных данных до адреса электронной почты.

Применительно к юридическому лицу перечень идентифицирующих его сведений является исчерпывающим, практически все они, кроме места жительства и паспортных данных руководителя, учредителя и доверенного лица, осуществляющего юридически значимые действия по регистрации, содержатся в ЕГРЮЛ.

Таким образом, в рамках выполнения своей функции по регистрации юридического лица налоговая инспекция получает персональные данные физического, при этом гражданин не подписывает согласия на обработку и понимает, что в определенных ситуациях эти сведения могут быть предоставлены третьим лицам. Фактически они не являются ПД именно юридического лица, но в отношении них режим конфиденциальности определяется нормами закона «О регистрации», такие сведения могут быть предоставлены только в установленных им случаях.

Вся остальная информация юридического лица, не являющаяся общедоступной, имеет иной статус конфиденциальности, она может охраняться нормами законодательства, регулирующими коммерческую тайну.

Передача персональных данных юридическим лицом на обработку другим лицам

Концепция персональных данных выросла из американской модели «прайвеси», или права на приватность, и Декларации прав человека, на базе его информационных прав. К ним относятся:

  • право на получение нужных ему данных, например, от государственных органов;
  • право на защиту сведений своей частной жизни от других лиц.

Соответственно, ключевым является определение «частной жизни», которой не может быть у юридического лица.

Но, трактуя термин «персональные данные юридического лица» шире, к ним можно отнести те сведения о гражданах, которые компания получает в ходе своей деятельности и так или иначе обрабатывает. В ряде случаев такие данные передаются для обработки иным юридическим лицам. Примером может быть осуществление онлайн-платежей, когда данные плательщика получают платежная система, банк и оператор – интернет-магазин или другое лицо.

Аналогичная ситуация возникает при передаче банком данных страховой компании при оформлении кредитного договора. Иной случай связан с передачей сведений фирме, оказывающей услуги по аутсорсингу бухгалтерии или кадрового документооборота. Во всех случаях гражданин дает свое согласие на обработку персональных данных одному юридическому лицу, а осуществляется она вторым или третьим, о чем гражданин не информируется.

Третьим случаем будет хранение сведений на облачных ресурсах. Фактически информация находится в распоряжении третьих лиц, при этом ситуация не всегда регламентируется в договорных взаимоотношениях между сторонами, заказывающими и предоставляющими услуги. Это актуально особенно в тех случаях, когда владелец облака технически не оборудовал свою информационную систему необходимыми средствами защиты персональных данных в соответствии с законодательством.

Таким образом, юридическое лицо, исходя из норм закона не имеющее собственных персональных данных, осуществляет некоторые правомочия в отношении данных граждан. В ряде случаев оно распоряжается ими неосмотрительно, должным образом не производя их защиту при передаче и даже не включая информацию о такой возможности в согласие на обработку.

Персональные данные юридического лица в договорах на их обработку

Следует учитывать, что если сведения, переданные гражданином фирме, будут распространены ее контрагентами, наибольшую ответственность понесет именно то лицо, в пользу которого было подписано согласие. Ответственность может быть:

  • гражданско-правовой , в виде взыскания убытков или морального вреда. Сейчас часты иски с такими требованиями при передаче банками информации о гражданах коллекторским агентствам;
  • административной , в виде штрафа, например, за нарушение оговоренных в уведомлении, подаваемом оператором в Роскомнадзор, целей обработки. Штрафы в России пока невысоки. В Европе за нарушение норм нового Регламента защиты данных на компанию может быть наложен штраф в размере до 20 миллионов евро или до 4 % от годового мирового оборота компании за предыдущий финансовый год;
  • уголовной , наступающей, когда неправомерный сбор или распространение данных причинили существенный ущерб.

Во избежание этих рисков в договоры с контрагентами обязательно нужно вносить нормы об ответственности за ненадлежащую обработку персональных данных. Следовательно, система защиты должна выглядеть следующим образом:

1. изучение системы технической защиты информации контрагента в случае, если передаваемые данные имеют существенный объем или повышенную ценность (медицинская информация, финансовые сведения). При необходимости заключение с провайдером облачных услуг соглашения об усилении степени защиты;

Видео (кликните для воспроизведения).

2. включение в согласие на обработку персональных данных всех контрагентов, которым предполагается передавать сведения. Об этой необходимости говорит судебная практика;

3. внедрение в компании режима защиты коммерческой тайны. Отнесение к ней персональных данных, имеющихся в распоряжении фирмы, как сотрудников, так и клиентов;

4. включение в договоры с контрагентами нормы о сохранности коммерческой тайны и штрафов за любое неправомерное ее использование.

Юридическое лицо не имеет собственных персональных данных, но оно пользуется информацией, доверенной ему гражданами. Контроль за переданными оператору персональных данных сведениями должен осуществляться и на уровне построения систем информационной безопасности, и на уровне выстраивания взаимоотношений с лицами, которым сведения предоставляются в целях обработки.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/obrabotka-personalnyh-dannyh/yuridicheskogo-litsa/

Все о персональных данных

goldyg / Shutterstock.com

СОДЕРЖАНИЕ

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Такое широкое толкование позволяет относить к персональным данным практически любую информацию о человеке: сведения о его ФИО, поле и возрасте, образовании, месте жительства, семейном положении и др. Помимо этого к персональным данным относится и изображение человека, с помощью которого можно установить его личность – например, фотография, видеозапись или портрет (разъяснения Роскомнадзора от 30 августа 2013 г. «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»).

Читайте так же:  Кассационные формы обжалования

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, их состав, а также совершаемые с ними действия (п. 2 ст. 3 закона о персональных данных).

Обработка персональных данных – любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 закона о персональных данных).

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 3 закона о персональных данных).

С 1 июля 2017 года ужесточилась административная ответственность за нарушения, допущенные при обработке персональных данных. Рассмотрим подробнее, какие правила необходимо соблюдать при работе с ними и какая ответственность теперь грозит нарушителям.

Последняя актуализация: 30 августа 2017 г.

Документы по теме:

Читайте также:

Персональные данные: успеть обеспечить защиту!
Предпринимателей могут обязать хранить персональные данные граждан РФ на российских серверах не с 1 сентября 2016 года, как планировалось ранее, а уже с 1 сентября 2015 года.

Кибербезопасность и цифровой суверенитет: стимул или препятствие для развития IT-рынка?
Разберемся, как от киберугроз планируется защищать персональные данные, чего ждать от Доктрины информационной безопасности и каковы перспективы развития законопроекта о критической инфраструктуре.

Источник: http://www.garant.ru/actual/persona/

Согласие на обработку персональных данных: оформляем правильно

Понятие персональных данных и обращение с ними регулирует Федеральный закон от 27.07.2006 № 152-ФЗ в редакции от 22.02.2017. В соответствии с этим документом, под личными данными граждан, охраняемыми законодательством, следует понимать любую информацию, которая прямо или косвенно относится непосредственно к их субъекту (то есть физическому лицу). Такая информация позволяет однозначно определить, о каком человеке идет речь. Но человек — полновластный хозяин своих данных, и если форма согласия на обработку персональных данных им не заполнена и не предоставлена, ни одна организация не вправе ими распоряжаться.

Что является личной информацией граждан

Конкретные указания на то, какая информация о человеке является его индивидуальными и охраняемыми данными, в законодательстве отсутствуют. По сложившейся практике, под ней обычно скрывается:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес проживания (место регистрации);
  • семейное, социальное и имущественное положение;
  • образование, профессия;
  • доходы, имущество и обязательства.

Обычно такие сведения человек сообщает о себе сам во многих государственных органах, медицинских и образовательных учреждениях, кредитных организациях и даже в коммерческих структурах (при трудоустройстве). Кроме вышеперечисленных сведений, которые являются общими, есть еще специальные личные данные, такие как национальность, вероисповедание, политические взгляды, состояние здоровья и прочая информация подобного рода.

В каких документах содержится

Существует целый ряд документов, которые по своей сути являются источниками и одновременно хранилищами личной информации. К ним, в частности, относятся:

  • паспорт гражданина (внутренний и заграничный);
  • другие документы, удостоверяющие личность;
  • трудовая книжка;
  • военный билет;
  • свидетельство о рождении;
  • документы об образовании;
  • документы о составе семьи;
  • справки о доходах;
  • анкеты, заполняемые при трудоустройстве;
  • автобиография;
  • характеристики;
  • личные карточки работников (форма Т-2);
  • другие документы.

Очевидно, что большинство этих документов в подлинниках или копиях хранят работодатели граждан. Они и все остальные лица, к которым попадает такая информация, являются операторами персональных данных.

Кто такие операторы и что они делают

В статье 3 закона № 152-ФЗ сказано, что оператором является лицо, которое организует и осуществляет обработку персональных данных. Все работодатели, как юрлица, так и ИП, являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус, практически не ограничен. Это любое лицо, которому человек доверил информацию о себе, подписав согласие на обработку персональных данных на сайте или в бумажном варианте. Отдельное внимание уделим понятию обработки личной информации. О ней везде говорят, но никто толком не знает, что это такое. Тогда как часть 3 все той же статьи 3 закона № 152-ФЗ регламентирует это понятие как любое действие (или их совокупность), совершаемое с личной информацией. Под действиями законодатели понимают:

  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передачу (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление или уничтожение данных.

Все операции проходят или в бумажном ручном режиме, или с использованием средств автоматизации, в том числе в режиме онлайн. На все эти действия оператор обязан получить от владельца одобрение: например, заполненный бланк согласия на обработку персональных данных для родителей (в детском саду или школе).

Деятельность работодателей в качестве операторов регулирует статья 86 Трудового кодекса РФ.

Требования к оформлению документов

Определимся с общими требованиями к оформлению бумаг, которые подтверждают одобрение гражданина на действия с его личными данными. Необходимо учитывать, что форма для организаций и учреждений немного отличается от того, как выглядит заявление о согласии на обработку персональных данных (его берет с каждого нового сотрудника работодатель).

Нормами статьи 87 ТК РФ установлено, что все организации самостоятельно определяют порядок хранения и использования сведений, полученных от работников. Аналогичный принцип применим и ко всем остальным операторам. Главное — не нарушать требования, установленные федеральными законами и кодексами. Прежде чем приступать к действиям с информацией, необходимо утвердить локальный акт по организации «Положение о персональных данных». В этом документе должны содержаться все основные требования к правилам оформления документации. Положение утверждает руководитель с одобрения профсоюзного органа (при его наличии).

Когда речь идет о работодателях, важно учесть, что по нормам п. 8 части 1 статьи 86 ТК РФ, всех работников и их представителей следует ознакомить с утвержденным положением под подпись. Для этих целей даже заводят специальный журнал. Если положение в организации-операторе отсутствует, это является грубым нарушением, за которое нормами статьи 13.11 КоАП РФ предусмотрен штраф.

Читайте так же:  Жалоба на восстановление пропущенного срока обжалования

Как заполнить заявление

Требования к согласию, которое дает владелец личной информации, определены в части 1 статьи 9 закона № 152-ФЗ. Главное требование — конкретика, информативность и обязательное оформление в письменной форме. Также допускается электронная форма, если взаимодействие владельца и оператора происходит через интернет. В любом случае у оператора должна иметься возможность в любой момент подтвердить факт получения.

И хотя в самом законе о письменной форме этого документа речи не идет, по нормам статьи 13.11 КоАП РФ, наказание положено, если оператор начал обработку без письменного согласия субъекта персональных данных. Такое согласие следует получить по законодательству РФ, если эти действия не содержат уголовно наказуемого деяния.

По этой причине рекомендуется сразу оформить заявление о согласии на все манипуляции с персональными данными и больше не переживать по этому поводу. Универсальный бланк согласия на обработку персональных данных 2020 года не предусмотрен: каждый оператор разрабатывает его самостоятельно. Для удобства рекомендуем воспользоваться образцами в конце статьи.

Рассмотрим на примере, как заполняется согласие на обработку персональных данных: бланк для работников коммерческого учреждения.

Произвольная форма согласия или заявления не исключает целого ряда требований, установленных в статье 9 закона № 152-ФЗ к его содержанию. В нем обязательно указываются:

  1. Фамилия, имя и отчество лица, его адрес, полные реквизиты документа, удостоверяющего его личность (аналогичные требования к представителям гражданина).
  2. Наименование или Ф.И.О. и адрес оператора.
  3. Цель получения личной информации.
  4. Перечень данных, которые подлежат обработке.
  5. Данные организации или ИП, которым оператор перепоручил любые манипуляции с данными.
  6. Перечень действий с информацией о человеке, на совершение которых он дал свое согласие, общее описание способов ее хранения и использования.
  7. Срок, в течение которого действует согласие, и способ его отзыва.
  8. Личная подпись гражданина.

Источник: http://ppt.ru/forms/personal-data/soglasie

О сроке действия согласия клиента на обработку его персональных данных и о разрешении на использование его фотографии

  • Храмцовская Наталья | к.и.н., ведущий эксперт по управлению документацией компании «ЭОС», эксперт ИСО, член Международного совета архивов

Хотя закон «О персональных данных» 1 у нас существует уже давно, до сих пор многие организации не разобрались в особенностях его применения и регулярно получают предписания от Роскомнадзора по устранению недостатков в своей работе.

Так произошло и с ГОУП «Учебно-спортивный центр» Комитета по физической культуре и спорту Мурманской области, который собирал от своих клиентов согласия на обработку их персональных данных (ПД). Но сотрудники Роскомнадзора нашли в них недочеты:

  • не указан срок, в течение которого действует согласие субъекта персональных данных (нарушение п. 8 ч. 4 ст. 9 Закона № 152-ФЗ);
  • нет разрешения клиента на использование его биометрических данных, хотя на пропуска в бассейн наклеиваются фотографии (нарушение ч. 1 ст. 11 Закона № 152-ФЗ).

«Учебно-спортивному центру» было выдано предписание на устранение этих нарушений, но он посчитал это незаконным и обратился в арбитражный суд. Дело рассматривало несколько инстанций. И вот что получилось.

Сначала разберемся со сроком действия согласия клиента на обработку его ПД:

  • оно вступало в силу со дня подписания и действовало в течение неопределенного срока,
  • при этом могло быть отозвано клиентом письменным заявлением в произвольной форме.

Роскомнадзору не понравилось отсутствие конкретного срока действия согласия, это сочли нарушением п. 8 ч. 4 ст. 9 Закона № 152-ФЗ. Но Арбитражный суд Мурманской области (рассмотрел дело № А42-342/2017 в апреле 2017 года) посчитал иначе:

  • данная норма Закона не предусматривает указания в согласии конкретного срока, в течение которого оно действует, и предельный срок действия такого согласия также не установлен законодателем;
  • в рассматриваемом случае срок действия согласия определен началом его действия (со дня подписания) и заканчивается моментом письменного отзыва в произвольной форме – этого вполне достаточно.

Тринадцатый арбитражный апелляционный суд в июле 2017 года к этому добавил:

  • указание точного срока действия согласия субъекта ПД на их обработку в привязке к конкретному временному периоду или календарной дате в данном случае невозможно, поскольку «Учебно-спортивный центр» не в состоянии заранее с достоверностью определить, до какой календарной даты конкретный человек пожелает посещать плавательный бассейн и будет это делать.

А вот относительно использования фотографий клиентов и получения на это их согласия суды были не столь единодушны.

Арбитражный суд Мурманской области расценил так:

  • в соответствии с Положением о порядке посещения плавательного бассейна для различных категорий населения в рамках Государственной программы Мурманской области «Развитие физической культуры и спорта» на 2014–2020 годы, утвержденным председателем Комитета по физической культуре и спорту Мурманской области, граждане предоставляют «фотографию на пропуск», которая размещается на документе «Пропуск» для установления личности посещающих бассейн;
  • фотографические изображения, содержащиеся на пропусках, являются биометрическими персональными данными, т.к. рядом указываются фамилия, имя, отчество клиента, позволяющие его идентифицировать;
  • таким образом, для использования фотографического изображения на пропуске с указанием фамилии, имени и отчества требуется письменное согласие субъекта биометрических ПД;
  • однако на копиях пропусков, приложенных к Справке Роскомнадзора о результатах осуществления государственного контроля и надзора, отсутствовали фотографии клиентов. На этом основании суд первой инстанции признал претензии Управления Роскомнадзора по Мурманской области необоснованными.

Потом Тринадцатый арбитражный апелляционный суд посчитал несостоятельным вывод суда первой инстанции о недоказанности факта обработки фотографий клиентов «Учебно-спортивным центром». Ведь тот не отрицал исполнение Правил посещения бассейна, а настаивал в суде на необязательности получения письменного согласия посетителей на использование их фотографий на бумажных пропусках. В результате вторая и последующие судебные инстанции 2 согласились с требованием Роскомнадзора к «Учебно-спортивному центру» о том, что в согласии каждого клиента должно быть отражено его разрешение на использование фотографии на пропуске в бассейн. Верховный Суд РФ определением от 05.03.2018 № 307-КГ18-101 по делу № А42-342/2017 отказал «Учебно-спортивному центру» в передаче кассационной жалобы для рассмотрения ВС РФ.

Какие выводы стоит сделать из этой истории? Во-первых, на использование фотографий клиентов, конечно же, надо брать их согласие. Во-вторых, в данном деле суды вставали на сторону организации, которая оставила «открытым» период обработки персональных данных клиентов. Изложенную при рассмотрении дела в суде аргументацию вы можете взять себе на вооружение, если захотите поступать аналогично, т.к. сбор и грамотная обработка информации о своих клиентах часто становится залогом процветания бизнеса.

Читайте так же:  Исковое заявление в суд арбитраж

Сноски

Имеется в виду Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ). Вернуться назад

Арбитражный суд Северо-Западного округа в ноябре 2017 года и Верховный Суд Российской Федерации в марте 2018 года. Вернуться назад

Источник: http://www.delo-press.ru/news.php?n=29161

Неприкосновенность личной жизни: с какого года брать согласие на обработку персональных данных обязательно?

Конституция РФ гарантирует своим гражданам неприкосновенность частной жизни, свободу вероисповедания и религиозных убеждений, тайну личной и семейной жизни. Никто не имеет права осуществлять сбор, хранение и передачу сведений, относящихся к личности человека. Организации и учреждения должны получить согласие субъекта персональных данных в случае их необходимости. Для чего это нужно, когда и с кого берется согласие — рассказано в нашей статье

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — просто позвоните, это быстро и бесплатно !

Цели документа

Документ гарантирует человеку, что информация о нем будет использована только в установленных законом целях и защищена от неправомерных действий со стороны третьих лиц.

С какого числа и года подписывать документ обязательно?

Правовые основы обращения с персональными сведениями введены ФЗ №152 от 27.07.2006г. «О персональных данных». С его вступлением в силу 30 января 2007 года возникла обязанность по получению согласия.

В законе определены условия и принципы получения данных. Устанавливается общий запрет на обработку сведений без согласия субъекта. Только с момента предоставления согласия на их обработку, заинтересованные лица получают к ним доступ.

Обязан ли гражданин давать разрешение?

Согласие на обработку персональных – это волеизъявление, которое является четким и информативным, позволяющим определенно установить намерение лица на передачу данных о себе. Это решение является добровольным, субъект принимает его лично.

Принуждение или дискриминация не допускается. От субъекта зависит, подписывать документ или нет. Он же определяет, какой объем информации готов предоставить о себе. Согласие выражается как в устной форме, так и в письменном виде.

Данные разделяются на следующие категории:

  • общедоступные, которые включают в себя анкетные сведения (фамилия, имя, отчество, год, рождения, адрес и т.д.);
  • биометрические – сведения, которые содержат физиологические и биологические признаки человека, по которым можно установить его личность;
  • специальные – включают в себя информацию о национальной, расовой принадлежности, политические взгляды, религиозные убеждения, сведения о состоянии здоровья, интимной жизни.

Зачем оно требуется?

Носителем персональных данных является гражданин, с которым у организации могут быть заключены:

  1. трудовой договор;
  2. гражданско-правовой договор.

Обработка персональных данных физических лиц, с которыми у организации заключен договор, может проводится без их согласия, при условии:

  • если они не будут передаваться третьим лицам;
  • будут использоваться только в целях исполнения заключенного договора.

На это указывают нормы ст. 6 Закона «О персональных данных». В случае, если с физическим лицом договор не заключен, или предусматривается передача личной информации о нем третьим лицам, получение согласия на их обработку обязательно.

Когда оформляется?

При трудоустройстве гражданин предоставляет работодателю перечень документов, предусмотренных трудовым законодательством. Некоторые из них, такие как паспорт, СНИЛС, ИНН содержат общедоступные сведения. Другие, такие как, справка о состоянии здоровья и справка о наличии (отсутствии) судимости содержат специальные и биометрические данные.

При приеме на работу предоставление согласия на обработку персональных данных обязательно по следующим причинам:

  1. трудовой договор еще не заключен;
  2. соискателем предоставляются сведения, согласие на предоставление которых в силу закона оформляется в письменном виде.

При приеме на работу, до заключения трудового договора, человек помимо заявления о приеме на работу подает согласие на обработку персональных данных.

Также работодатель не имеет права обрабатывать контактную информацию работника: номер телефона или адрес электронной почты. Такие данные не нужны для исполнения договора.

Подробнее об оформлении согласия сотрудников на обработку персональных данных читайте тут, а о важных особенностях и порядке действия этой процедуры, узнайте в этом материале.

Когда в нем нет необходимости?

Действующим законодательством предусмотрены случаи, когда предоставление согласия не нужно:

  • Обработка осуществляется в целях исполнения договора, заключенного с физическим лицом, или возложенных на работодателя обязанностей и полномочий. К ним относятся: запросы государственных органов, передача сведений в органы ПФР и ФСС, налоговую службу, военный комиссариат.
  • Это установлено коллективным договором или иным локальным нормативным актом работодателя.
  • Осуществляется в соответствии с законом о переписи населения.
  • Субъект персональных данных сам разместил информацию о себе и сделал ее общедоступной.
  • В целях защиты жизни и здоровья самого субъекта или третьих лиц, если получение согласия от него невозможно.
  • Обработка проводится органами прокуратуры в связи с осуществлением прокурорского надзора.
  • Обработка данных осуществляется в отношении уволенных работников, в целях ведения бухгалтерского и налогового учета.

Последствия отказа

В любое время работник или лицо, давшее согласие на обработку данных имеет право отозвать его обратно или предоставить отказ от подписи такого документа. В этом случае предприятие или организация, уже обладающая ими обязана уничтожить всю имеющуюся информацию о работнике и прекратить передачу и сбор сведений о нем.

Если гражданин предоставляет отказ от предоставления сведений до заключения с ним договора, то это станет препятствием для приема на работу. Так как работодателю для оформления контракта и кадровых документов необходимо заполнить информацию о работнике.

В случае если работник предоставляет отказ после заключения договора, работодатель не вправе использовать сведения, не касающиеся непосредственно исполнения договора. При отказе невозможно будет хранить копии документов, использовать контактные данные сотрудника.

Формальная фраза бланка о праве отозвать согласие на обработку персональных данных ничего не решает, поскольку оператор к моменту отзыва уже имеет возможность использовать свои полномочия в полном объеме.

Сведения о человеке, которые относятся к нему лично, охраняются законом. Для получения, использования и передачи их третьим лицам требуется получить согласие гражданина на обработку персональных данных. Действующим законодательством определены случаи, когда оно должно быть в обязательном порядке. Последствия отказа от дачи согласия могут наступить как для самого субъекта, так и для организации, получившей отказ.

Видео (кликните для воспроизведения).

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/soglasie/nuzhno-li-obyazatelno-ili-net.html

Действие согласия на обработку персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here