Для чего нужны персональные данные. Персональные данные: а вы готовы к проверке? Правила и порядок работы

В век информации и интернет-пространства данные передаются и распространяются с невиданной доселе быстротой. Социальные сети подливают масла в огонь, делая личные данные пользователей практически общедоступными. Но всегда ли сам владелец согласен с тем, что сведения о нём собирают, изучают, хранят и передают?

Персональные данные: что к ним относится?

Сведения о лице столь важны и значимы, что законодатель решил, наконец, юридически урегулировать эту сферу и определил персональные данные как информацию о лице, которая его идентифицирует.

Сюда относятся:

• имя, отчество, фамилия;
• место проживания;
• дата и место рождения.

Отдельный правовой режим установлен для сведений, представляющих риск для прав и свобод субъекта персональных данных и включающих сведения о:

• расовом или этническом происхождении;
• национальности;
• религиозных и мировоззренческих взглядах;
• членстве в политических партиях и профсоюзах;
• привлечении к уголовной ответственности;
• здоровье, половой жизни, биометрических и генетических данных.

К персональным относятся паспортные и другие регистрационные сведения, данные о семейном или имущественном положении (за исключением государственных служащих) и многие другие, так как их перечень законодателем не ограничен.

Законом установлена и форма согласия на обработку персональных данных. Такое разрешение оформляется письменно, дабы быть уверенным в безусловном согласии владельца информации.

В чём заключается обработка персональных данных?

Каждый гражданин может знакомиться со сведениями о другом лице как по роду работы, так и в процессе неофициального общения, читая газеты или просматривая интернет-страницы. Такое ознакомление не означает обработку персональных данных: прочёл, услышал, узнал - и, возможно, забыл. Или просто взял на заметку.

Если же информация о лице собирается для последующей систематизации, использования, передачи или хранения - это уже обработка личных данных. Такой процедурой занимаются, например, поликлиники или школы: полученные данные регистрируются, заносятся в базы и каталоги, классифицируются для последующего использования в своих уставных целях.

Журналист, писатель или частное лицо может обрабатывать личную информацию исключительно в творческих целях без соблюдения юридических норм.

Ограничения на обработку личной информации

Сбор и обработка персональных данных допускаются исключительно для выполнения уставных задач и достижения установленной цели. Например, поликлиника может использовать полученную от пациентов личную информацию только для оказания медицинской помощи указанным лицам.

Целые массивы с личной информацией обрабатывают страховые компании, турагентства, транспортные предприятия, коммунальные службы и другие подобные юридические лица. Указанные организации могут пользоваться такой информацией только для выполнения своих задач перед потребителем и не имеют права собирать сведений больше, чем это необходимо для конкретной ситуации.

Нельзя собирать данные, представляющие риск для прав и свобод лица, если такие сведения не предоставлены самим лицом, например, член политической партии представил сведения о себе непосредственно партийной организации.

Кто имеет право обрабатывать сведения о лице?

Проводить какие-либо действия с персональными данными может исключительно тот, кому владелец данных дал согласие.

Бывают и исключения из правил, например, следственные органы могут обрабатывать информацию об обвиняемом без его согласия. Такое право следователя вызвано необходимостью защиты общественных интересов и выполнением им своих должностных обязанностей.

Налоговые, пенсионные органы также производят различные операции с личной информацией не только для выполнения своих обязанностей, но и для обеспечения прав граждан.

Мобильные операторы обладают немалым объёмом личных сведений об абонентах. Разумеется, такую информацию они могут использовать только для предоставления качественной мобильной связи пользователю.

Персональные данные на работе

Чаще всего личную информацию предоставляют при трудоустройстве. Законом установлен перечень обязательных сведений о работнике, без которых приём на работу невозможен:

• имя, отчество, фамилия;
• дата рождения;
• место жительства;
• серия, номер, дата выдачи паспорта;
• регистрационные налоговые и страховые номера;
• семейное положение;
• состояние здоровья и некоторые другие сведения.

С получением указанных данных закон связывает определённые правовые последствия по оплате труда, предоставлению отпусков, льгот и многим другим вопросам.

Разумеется, каждый гражданин может отказаться от разглашения сведений о себе, но в этом случае работодатель получает право отказать ему в приёме на работу - такова правовая взаимосвязь. Чаще всего проблем при оформлении не возникает, так как работник добровольно предоставляет нужную информацию.

Впрочем, следует помнить, что работодатель не имеет права на операции с данными работника о национальной или партийной принадлежности, религиозных взглядах и некоторых других.

Что такое согласие на обработку персональных данных?

Разрешение владельца персональных данных на их обработку обычно оформляется в письменной форме, в том числе и при трудоустройстве.

Наученные горьким опытом или просто осторожные компании просят потребителей подписать соответствующие заявления при оформлении дисконтных карт и участии в акциях; поликлиники, школы, вузы и другие учреждения также разработали типовое согласие на обработку персональных данных.

Образец перед подписанием следует внимательно изучить и убедиться, что запрашиваемая информация действительно необходима конкретному лицу. Письменная форма согласия на обработку персональных данных позволяет подтвердить добрую волю владельца.

Оговорки о персональных данных вносятся практически во все договоры: хозяйственные, трудовые, потребительские, ведь в деле соблюдения закона лучше немного перестараться, чем недоглядеть.

Письменное оформление

Ниже приведена письменная форма согласия работника на обработку персональных данных.

Директору завода «Сельхозмаш»

Иванову И. И.

тракториста цеха механизации

Аристова Олега Аркадьевича.

Место составления.

Данным заявлением даю письменное разрешение на сбор, обработку, использование и хранение моих персональных данных, в пределах, необходимых для обеспечения моих трудовых и социальных прав, оплаты установленных налогов, сборов и других обязательных платежей, внесения обязательных взносов в государственные фонды, а также для иных целей, вытекающих из трудовых и смежных с ними правоотношений между мной и работодателем и в пределах, предусмотренных действующим законодательством.

Работодатель имеет право передавать мои персональные данные третьим лицам только в случаях, прямо установленных законом.

Согласие на сбор и обработку персональных данных работник обычно подписывает при оформлении на работу и предоставлении всех необходимых документов. Имеет смысл затребовать от него такое заявление до подписания приказа о приёме на работу.

Согласие на обработку персональных данных: образец

Одним из нестандартных вариантов в сфере обработки личных данных становится выдача родителями согласия образовательному учреждению на операции с личными данными их несовершеннолетнего ребенка. Разумеется, школа вынуждена использовать сведения о детях и их родителях для предоставления образовательных услуг. Выдать такое разрешение имеют право родители как законные представители несовершеннолетних детей.

Совет юриста: о согласиях на обработку персональных данных ребенка следует спрашивать обоих родителей, независимо от того, состоят ли они в официальном, гражданском браке или находятся в разводе. Исключение составляет лишение родительских прав по решению суда.

Ниже приведён примерный образец согласия, составленного обоими родителями.

Директору средней школы № 30

г. Москва

Ивановой И. И.

родителей ученика 4-В класса

Петрова Петра Петровича, 2005 г. р.,

проживающего: Харьковское шоссе, 356, кв. 2,

Матери Петровой Ирины Леонидовны,

проживающей: Харьковское шоссе, 356, кв. 2,

Отца Петрова Игоря Ивановича,

проживающегоя: Харьковское шоссе, 356, кв. 2,

Согласие на обработку персональных данных ребёнка

Настоящим заявлением мы даём разрешение администрации школы на сбор, обработку, использование и хранение персональных данных нашего ребёнка исключительно в пределах, необходимых для обеспечения образовательного процесса и смежных с ним правоотношений, связанных с социальными правами нашего ребёнка.

Передачу третьим лицам персональных данных нашего ребёнка разрешаем исключительно в случаях, предусмотренных действующим законодательством, о чём администрация должна уведомить нас в установленном порядке.

Петрова И. Л., дата.

Петров И. И., дата.

По желанию родители могут составить отдельные листы согласия на обработку персональных данных, каждый от своего имени.

Можно ли обрабатывать сведения о лице без согласия владельца?

По общему правилу обработка личной информации без добровольного согласия владельца незаконна. Исключение составляют случаи, когда информация обрабатывается без согласия владельца для защиты его жизненно важных интересов.

В некоторых случаях можно обрабатывать личную информацию без письменного согласия её владельца:

• при выдаче владельцу базы данных разрешения;
• при заключении сделки в интересах гражданина и по некоторым иным основаниям.

Какие санкции предусмотрены за нарушение порядка обращения с личной информацией?

• Дисциплинарная. Применяется к работникам, в нарушение должностных обязанностей не обеспечившим защиту персональных данных.
• Административная. Ответственность в виде штрафов довольно серьёзна и налагается на виновное лицо (на граждан - в размере от 300 до 500 руб.; на должностных лиц - от 500 до 1000 руб.; на юридических лиц - от 5000 до 10 000 руб. - в зависимости от совершённого правонарушения и правового статуса нарушителя).
• Материальная. Может наступить по решению суда, если нарушением прав лица на сохранность персональных данных ему причинен материальный или моральный ущерб.

Информация о лице защищена законом в силу её особой важности, а значит, необходимо выполнять все требования закона о защите персональных данных.

В последние десятилетия информационные технологии развиваются очень стремительно. В связи с этим личные данные человека нуждаются в серьезной защите от возможного посягательства со стороны мошенников. Для этого в России разработан и сегодня действует Закон «О персональных данных», имеющий своей целью законодательно регламентировать взаимоотношения в сфере передачи и использования личной информации о физических лицах.

Что такое персональные данные

Указанный термин подразумевает абсолютно любую информацию, имеющую отношение к конкретному физическому лицу. Законодательная защита личной информации - это самое важное условие полноценной реализации такого конституционных прав человека и гражданина в сфере частной жизни.

Дорогой читатель! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь в форму онлайн-консультанта справа или звоните по телефону.

На уровне закона охраняются все сведения , имеющие отношение к физическому лицу прямо или опосредованно. К этим сведениям относятся: фамилия, имя и отчество человека, адрес места проживания, день рождения, место рождения, контактный телефонный номер, адрес электронной почты, любые сведения относительно принадлежащих ему документов (серия и номер паспорта, данные страхового свидетельства и медицинского полиса, идентификационный номер налогоплательщика). Сюда же можно отнести любую информацию о состоянии его здоровья, семейном положении, расовой и этнической принадлежности, политических взглядов и религии, иные сведения.

Основные принципы обработки

Основополагающим правилом обработки личных данных человека является ее осуществление в четком соответствии с законодательными нормами. К иным не менее важным принципам можно отнести следующие:

• Целевой характер применения используемых личных данных. Неконтролируемая и нецелевая переработка информации личного характера незаконна. Запрещено соединение нескольких баз, содержащих данные различной целевой направленности. Работа с личными данными должна производиться ровно в том размере и объеме, какие необходимы для достижения соответствующей цели.
• Точность, достаточность передаваемой информации. Субъект, производящий обработку соответствующих сведений, обязано обеспечить их точность и актуальность, а в случае обнаружения любого несоответствия действительности, уточнить их либо удалить неверную информацию.
• Ограниченный определенными временными рамками срок хранения информации. Такой срок устанавливается законодательством либо оговаривается сторонами в договоре между ними. Если же срок хранения не регламентирован, он не может превышать разумную длительность для соответствующей цели. Когда установленный срок истекает, дальнейшее хранение данных не может осуществляться и они подлежат удалению.

Кто такой оператор

Данный термин объединяет в себе широкий перечень лиц, обладающих любым видом доступа к объекту обработки. Эти лица производят их передачу, хранение, определяют цель и объем их использования. То есть абсолютно каждое лицо, которому по той или иной причине стали известны персональные данные можно назвать оператором. И все они обязаны соблюдать законодательные требования и принципы в данной области. Операторами могут быть органы государственной власти, физические лица, организации любой формы собственности.

Каждый оператор прежде чем приступить к обрабатыванию личностных данных обязан уведомить о своем желании осуществлять такую деятельность Роскомнадзор.

Территориальные подразделения Роскомнадзора ведут специальные реестры для обобщения информации.

Для чего нужна обработка личных данных

В современном мире персональные данные имеют особенно значимую ценность по многим причинам. Именно поэтому порядок работы с личными данными человека должен быть регламентирован на уровне закона. Лица, имеющие доступ к персональным данным, обязаны использовать их в четком соответствии с требованиями законов РФ. Несоблюдение этого важного правила может повлечь привлечение виновного лица к ответственности (административной, дисциплинарной или уголовной).

Согласие на передачу личных данных

Все мы сталкивались хоть раз с предложением подписания согласия на обработку персональных данных, заключая договоры, устраиваясь на работу, делая покупки в интернете и во многих других ситуациях. Такое согласие должно четко содержать намерение лица передать информацию личного характера оператору и согласие на ее переработку. Человек, давший такое согласие, вправе впоследствии его отменить.

В некоторых случаях согласие на обработку персональных данных может быть выражено только в письменном виде и закреплено личной подписью. К письменному согласию приравнивается по юридической силе согласие в электронной форме за цифровой подписью субъекта персональных данных.

Требования к содержанию такого документа:

• сведения о правообладателе данных или его законном представителе, позволяющие надлежащим образом их идентифицировать;
• основная информация об операторе;
• перечисление точных сведений, входящих в состав персональных данных, цель обработки, конкретные действия и шаги, которые при этом будет реализовывать оператор;
• данные третьего лица, производящего обработку персональных данных по требованию оператора;
• длительность обработки;
• способы отмены данного ранее согласия;
• подпись человека, сообщающего данные о себе.

Условия для обработки данных

Использование личной информации, производимое в соответствии с законными принципами и в надлежащем порядке, допускается в определенных случаях:

• при наличии согласия человека, к которому данные относятся;
• во исполнение законодательства РФ и международных правовых актов, также исполнительного производства, во исполнение вступивших в силу судебных или иных подлежащих исполнению по закону актов уполномоченных органов власти;
• для выполнения условий договора или соглашения;
• с целью незамедлительных действий для защиты жизни, здоровья и личных интересов физического лица, реализации общественно значимых интересов;
• в статистических, научных и иных исследовательских целях, а также для реализации профессиональной деятельности работников СМИ;
• если осуществляется обработка общедоступной информации либо сведений, подлежащих раскрытию и опубликованию в соответствии с законодательством.

Ответственность перед физическим лицом, сведения о котором публикуются третьими лицами, несет сам оператор.

Условия передачи и хранения

Понятие использования личных данных физических лиц включает в себя широкий спектр любых манипуляций с персональными данными, в том числе их хранение, аккумуляцию и дальнейшую передачу и любые другие виды использования. Оператору необходимо всевозможными способами обеспечить защиту порученной ему информации от утери и ее незаконного использования сторонними лицами.

В данной деятельности используют как бумажные носители, так и электронные средства учета . В каждой организации, выступающей в качестве оператора, должен быть разработан внутренний документ о хранении и обработке персональных данных, обычно он называется положением или правилами. В нем указываются конкретные методы, используемые в данной организации, а также круг лиц, допущенных к обработке персональных данных, права и обязанности этих людей.

Права работников в вопросах обработки персональных данных

Операторы, осуществляющие любые виды деятельности с данными личного характера, должны руководствоваться в своей деятельности в том числе и трудовым законодательством. Прежде всего, каждый работник организации вправе знать какие именно характеризующие его данные стали известны работодателю, а также иметь свободный и беспрепятственный доступ в любое время к этим данным.

Работник может затребовать от своего руководства корректировки неточностей и ошибок в персональных данных , их уточнения при необходимости, в том числе если функция обработки данных передана оператором третьим лицам. Сотрудник, кроме того, может назначить представителя для осуществления действий по защите своих личных данных в порядке, установленном в законе.

Если имело место нарушение или ущемление в любой форме прав работника, он вправе обратиться для защиты своих интересов в правоохранительные органы.

Таким образом, обработка, передача и хранение персональных данных физических лиц должна осуществляться в четком соответствии с нормами законодательства, нарушение которых может повлечь привлечение виновных лиц к ответственности, в том числе уголовной.

Есть заблуждение, что с персональными данными работают только мобильные операторы и банки. На самом деле это не так. Любая компания обрабатывает персональные данные как минимум своих работников, а еще контрагентов, клиентов, посетителей офисов и т.д. В статье мы рассказали, что такое персональные данные и как их правильно обрабатывать. Читайте и не нарушайте закон - с 1 июля штрафы для компаний вырастут в семь раз.

С персональными данными работает каждая компания, но не каждый юрист знает, что такое персональные данные и как их правильно обрабатывать. Если до 1 июля 2017 года это было еще не так страшно - штрафы за нарушения были невелики, то теперь ситуация изменилась. С этой даты вступают в силу поправки в КоАП РФ, которые увеличивают штрафы для компаний за нарушения при обработке персональных данных и вводят 7 новых составов правонарушений (Федеральный закон от 07.02.17 № 13-ФЗ). Штрафы будут платить не только компании, но и работники, которые нарушили закон - включая юристов. Мы решили помочь вам не нарушать закон и рассказали про азы обработки персональных данных, которые касаются каждой компании.

Какая информация относится к персональным данным

Персональные данные - это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (п. 1 ст. 3 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»; далее - Закон № 152-ФЗ). Более конкретно перечень такой информации определен в Указе Президента РФ от 06.03.97 № 188 «Об утверждении Перечня сведений конфиденциального характера»: это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, которые позволяют идентифицировать его личность, за исключением сведений, подлежащих распространению в СМИ в случаях, установленных законом.

В работе юридических и кадровых служб компаний обрабатываемые персональные данные обычно включает в себя следующие сведения о лице:

• фамилия, имя, отчество;
• год, месяц, дата и место рождения;
• адрес;
• семейное, социальное, имущественное положение;
• образование, профессия, должность, доходы;
• биометрические персональные данные.

Судебная практика расширяет перечень персональных данных. Например, суды признавали персональными данными:

• сведения о смерти гражданина (постановление АС Поволжского округа от 25.09.14 по делу № А49-2005/2014);
• номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.13 по делу №33-9241/2015);
• фотографии гражданина (апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33-5232/2015).

В последнее время есть явная тенденция - перечень сведений, которые составляют персональные данные, становится все шире. Так, Европейский суд справедливости в Решении от 19.10.16 по делу № 582/14 (Патрик Брейр против Германии) признал, что при определенных условиях даже IP-адрес интернет-пользователя может признаваться персональными данными.

Что такое обработка персональных данных

Обработка персональных данных - это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 Закона № 152-ФЗ).

Например, компания обрабатывает персональные данные, если собирает анкеты клиентов (в бумажном виде или через сайт), ведет и хранит клиентскую базу, передает контакты клиентов в call-центр, фиксирует паспортные данные посетителей офиса на контрольно-пропускном пункте и т.д. Фактически персональные данные обрабатывает любая компания.

Nota bene!
Дополнительные условия для обработки персональных данных соискателей и работников установлены гл. 14 ТК РФ и разъяснениями Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

Когда нужно уведомлять Роскомнадзор

Если компания обрабатывает персональные данные, она является оператором (п. 2 ст. 3 Закона № 152-ФЗ). Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении (п. 1 ст. 22 Закона № 152-ФЗ).

Направлять уведомление не требуется (п. 2 ст. 22 Закона № 152-ФЗ), если компания-оператор обрабатывает персональные данные, в частности:

• только своих работников;
• для целей заключения и исполнения договоров (например, персональные данные контрагентов);
• для однократного пропуска лица на территорию компании;
• без использования средств автоматизации (персональные данные используют, уточняют, распространяют и уничтожают при непосредственном участии человека - см. Постановление Правительства РФ от 15.09.08 № 687).

Проверьте, подпадает ли компания под исключения, которые указаны в Законе № 152-ФЗ. Если нет - составьте уведомление по официальной форме (Приложение № 2 к административному регламенту, утв. Приказом Минкомсвязи России от 21.12.11 № 346). Затем направьте его в территориальный орган Роскомнадзора по месту регистрации компании. Отправить уведомление можно как на бумажном носителе, так и в форме электронного документа через портал «Госуслуги» (gosuslugi.ru) или официальный сайт Роскомнадзора (pd.rkn.gov.ru/).

Роскомнадзор внесет сведения о компании в реестр операторов в течение 30 дней с даты поступления уведомления. Проверить, включена ли компания в реестр, можно на официальном сайте ведомства (pd.rkn.gov.ru/).

Как правильно собирать персональные данные

По общему правилу, чтобы собирать персональные данные, нужно получить согласие их владельца - субъекта персональных данных (пп. 1 п. 1 ст. 6 Закона № 152-ФЗ). Согласие должно быть конкретным, информированным и сознательным (п. 1 ст. 9 Закон № 152-ФЗ). Это значит, что перечень оснований для обработки персональных данных должен быть указан как можно более конкретно, а также содержать срок обработки и порядок отзыва согласия (постановление АС Уральского округа от 29.09.14 по делу № А60-31459/2013, постановление Пятого ААС от 13.08.14 по делу № А59-48/2014).

Закон не устанавливает форму согласия на обработку персональных данных, за исключением особых сведений. Субъект может дать согласие в любой форме, которая позволит подтвердить факт его получения (п. 1 ст. 9 Закона № 152-ФЗ). В частности, согласие может быть выражено в электронной форме путем заполнения анкеты на сайте (постановление ФАС Северо-Западного округа от 13.12.10 по делу № А56-73636/2009, апелляционное определение Омского областного суда от 07.08.13 по делу № 33-5139/2013).

СНОСКА
Письменное согласие субъекта нужно для обработки специальных категорий персональных данных - например, о национальной принадлежности и состоянии здоровья лица (ст. 10 Закона № 152-ФЗ). Согласие можно получить на бумажном носителе или в электронной форме с усиленной квалифицированной электронной подписью.

Получать согласие на обработку в типовой форме договора рискованно, если пункт о согласии просто включен в текст. Суд может признать такой способ ненадлежащим, если потребитель не может изменить это условие - например, сделать отметку о своем согласии или отказе (постановление АС Северо-Западного округа от 18.07.16 по делу № А44-9647/2015, постановление АС Уральского округа от 22.12.16 по делу № А76-5164/2016).

В случае проверки или судебного спора именно оператор обязан доказать, что получит согласие на обработку персональных данных (п. 3 ст. 9 Закона № 152-ФЗ). Поэтому заранее определите, какой тип персональных данных обрабатывает ваша компания. В зависимости от этого разработайте форму получения согласия на обработку. Важный момент - субъект вправе в любое время отозвать свое согласие (п. 2 ст. 9 Закона № 152-ФЗ). Если в компанию поступило такое обращение - она обязана прекратить обработку персональных данных.

Nota bene!
Согласие на обработку персональных данных не нужно, если субъект сам сделал их общедоступными. Например, при регистрации на форуме или в социальной сети. Если субъект потом отзовет согласие на обработку - его можно не учитывать (пп. 10 п. 1 ст. 6, пп. 2 п. 2 ст. 10 Закона).

Как получить согласие у работников

Работников надо ознакомить под роспись с документами компании, которые устанавливают порядок обработки персональных данных, а также их права и обязанности в этой сфере (п. 8 ст. 86 ТК РФ). Такой порядок можно прописать в самом трудовом договоре, приложениях к нему, правилах внутреннего трудового распорядка или других локальных актах - например, политике компании об обработке персональных данных. Факт ознакомления работников с этими документами нужно отдельно фиксировать - например, в специальном журнале.

СНОСКА
За нарушения при обработке персональных данных работников компанию могут привлечь к ответственности по ст. 5.27 КоАП РФ (до 80 тыс рублей штрафа).

Согласие работника на обработку персональных данных не нужно в следующих случаях (см. разъяснения Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей…»):

• обработка персональных данных близких родственников работника в объеме, предусмотренном личной карточкой по форме Т-2;
• получение мотивированных запросов от прокуратуры, правоохранительных органов, органов безопасности, государственных инспекторов труда;
• обработка нужна для исполнения заключенного с работником договора или возложенных на работодателя обязанностей;
• обработка связана с выполнением работником его трудовых обязанностей, в том числе, при отправлении его в командировки.

Как обеспечить безопасность персональных данных

Персональные данные относятся к конфиденциальным сведениям (ст. 7 Закона № 152-ФЗ). Операторы и иные лица, получившие к ним доступ, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта. Оператор обязан обеспечить безопасность персональных данных. Меры зависят от способа обработки данных - с использованием средств автоматизации или вручную.

Если компания ведет автоматизированную обработку персональных данных, на нее распространяются Требования к защите персональных данных при их обработке в информационных системах, утв. постановлением Правительства РФ от 01.11.12 № 1119 и Приказ ФСТЭК России от 18.02.13 № 21. Чтобы выполнить эти требования, нужно привлекать IT-специалистов.

Для защиты персональных данных без автоматизации предусмотрены рекомендательные меры (ст. 19 Закона № 152-ФЗ и п. 13-15 Положения, утв. постановлением Правительства РФ от 15.09.08 № 687). Одна из таких мер - определить во внутренних документах компании перечень лиц, которые обрабатывают персональные данные или имеют к ним доступ. Можно обеспечить безопасность данных, если раздельно хранить носители персональных данных, которые обрабатываются в различных целях (например, раздельно хранить данные работников, посетителей офисов и клиентов).

Что и кому грозит за нарушения в сфере персональных данных

За нарушения при обработке персональных данных компанию могут привлечь к гражданско-правовой и административной ответственности по ст. 13.11 КоАП РФ. До 1 июля 2017 года максимальным наказанием для должностного лица был штраф в 1 тысячу рублей, а для компании - до 10 тысяч рублей.

С 1 июля 2017 года вступают в силу поправки, которые усиливают административную ответственность (Федеральный закон от 07.02.17 № 13-ФЗ). Поправки вводят дополнительные составы правонарушений в ст. 13.11 КоАП РФ и увеличивают штрафы. В частности, закон вводит ответственность юридических лиц за следующие нарушения:

• обработку персональных данных в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ) - штраф от 30 тыс до 50 тыс рублей;
• обработку персональных данных без согласия в письменной форме, когда закон требует получить такое согласие (ч. 2 ст. 13.11 КоАП РФ) - штраф от 15 до 70 тыс рублей;
• неопубликование оператором политики в отношении обработки персональных данных, когда такая обязанность предусмотрена законом (ч. 3 ст. 13.11 КоАП РФ) - штраф от 15 до 30 тысяч рублей.

Работника могут привлечь к административной ответственности, но не только. Дополнительно он несет материальную (п. 7 ст. 243 ТК РФ) дисциплинарную (пп. «в» п. 6 ч. 1 ст. 81 ТК РФ) и даже уголовную ответственность (ч. 2 ст. 137 УК РФ).

К ответственности привлекут как работника-нарушителя (например, скопировавшего базу клиентов на свою флешку и передавшего ее конкуренту), так и работника, который несет ответственность за обработку персональных данных в компании.

В последнее время нам все чаще предлагают поставить свою подпись под фразой «О согласии на использование и обработку персональных данных»: в любых социальных и финансовых учреждениях, коммунальных службах, при приеме на работу. Требуют наши «добровольные согласия» сегодня в ВУЗах, школах, детских садах, поликлиниках и даже библиотеках! Не отстают магазины, гостиничные и ресторанные комплексы - для получения дисконтной карты вы обязаны заполнить и подписать анкету, где внизу мелким шрифтом обозначено ваше согласие на обработку персональных данных. Для чего это нужно: с целью безобидного учета или для превращения человека в бесправное приложение к мировой электронной системе? Давайте разбираться.

Что представляют собой персональные данные человека и кому они нужны?

Итак, понятие «персональные данные человека» включает в себя не только его имя, отчество, фамилию и адрес регистрации, как мы привыкли понимать. Это полностью вся информация, которая прямо или косвенно касается конкретного физического лица: биометрические данные, сведения о состоянии здоровья и физиологические особенности, национальность, вероисповедание, состав семьи, наличие судимости, информация о сфере занятости, финансовые доходы и прочее.

В 2005 году Россия утвердила Конвенцию Совета Европы «О защите физических лиц при автоматической обработке персональных данных». После чего был принят Федеральный закон (ФЗ-№152) «О персональных данных», основные положения которого повторяет вышеуказанный международный акт. Большая часть людей думает, что закон предусматривает защиту личных данных человека. Но так ли это на самом деле?

Особенно настораживает в документе такое понятие как «автоматическая обработка данных», которое предусматривает как накопление и хранение данных личности, так и передачу их третьим лицам и использование в различных целях. Право выполнять эти действия принадлежит так называемому оператору, выступать в роли которого могут юридические или физические лица, государственные структуры, коммерческие организации.

Но главным нашим оператором является коммерческая структура ОАО «Универсальная электронная карта». Именно она обладает правом определять состав персональных данных, цели их обработки и совершать над ними любые действия.

Что скрывается за понятиями «использование» и «обработка» персональных данных?

Казалось бы, зачем больницам, учебным заведениям, ЖЭКам, работодателям стало необходимо предоставлять такую полную информацию о себе, своей семье, материальном положении, если совсем недавно еще не было этой надобности? Такой жестких сбор всех личных данных начался с принятием Федерального закона № 210 «Об организации предоставления государственных и муниципальных услуг», после чего во всю и заработали ранее принятый закон «О персональных данных».

Кому это нужно? Безусловно, не социальным и коммерческим структурам - они только инструмент для сбора информации. Все данные будут фиксироваться непосредственно у главного оператора - ОАО «УЭК», который планирует в скором времени обеспечить всех граждан электронными документами и запустить активную тщательную обработку каждого человека.

А что подразумевается под словом «обработка» и «использование»? Граждане понимает под этим понятием банальный сбор и хранение информации. А на что на самом деле соглашается человек?

В п. 3 ч. 1 ст. 3 ФЗ № 152 это обозначено следующим образом:

«Обработка» включает в себя любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), ОБЕЗЛИЧИВАНИЕ, БЛОКИРОВАНИЕ, УДАЛЕНИЕ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.»

Таким образом, люди добровольно передают в чужие руки разрешение распоряжаться своей личной жизнью. Теперь главный оператор, в будущем обеспечив вас электронным биометрическим документом, будет обладать всей полной информацией, касающейся вашего здоровья, наличия родственников, социальных выплат, совершенных сделок, налогах, хозяйственных покупок и даже передвижения! И, если вы, как обладатель универсальной электронной карты, будете не согласны с некоторыми действиями оператора, тогда все ваши данные он может просто заблокировать или вовсе уничтожить, как полноправный хозяин вашей персональной информации. Вы ведь заранее согласились на возможность применения к себе подобных мер!

Как это работает уже сегодня?

Активный процесс по обработке персональных данных только начинает внедряться в нашу повседневную жизнь, но некоторые граждане уже успели почувствовать на себе последствия таких законных действий.

Так, обязательное согласие на обработку персональных данных требуют некоторые образовательные учреждения страны.Согласно комментариям студентов, в случае отказа давать свое согласие, их просто не допустят к экзаменам и не выдадут дипломы.

Также обстоят дела и с частью государственных лечебных заведений, где гражданин обязан предоставить больнице не только информацию о здоровье и номер медицинского полиса, но и страховой номер индивидуального лицевого счета в Пенсионном фонде (СНИЛС) - основной ключ доступа к информационным базам ОАО «УЭК». В бланке «Согласие пациента на обработку персональных данных» существует пометка, что в случае отказа в согласии, клиника вправе отказать в медицинских услугах пациенту.

То же касается любых других государственных и коммерческих учреждений, требующих от своих клиентов обязательное согласие на обработку и использование персональной информации, аргументируя это необходимостью бухгалтерского, кадрового или воинского учета. Как себя вести в таких ситуациях — читайте далее.

Как быть, если работодатель настаивает на подписании разрешить использовать вашу личную информацию и имеет ли он на это право?

Согласно закону, любые действия, касающиеся персональной информации сотрудника, могут осуществляться только с его согласия в письменном виде. Работодатель обязан довести под роспись будущему сотруднику, с какой целью и в каком порядке будут храниться и использоваться предоставленные им сведения, а также о возможности отказаться либо в будущем написать отзыв своего согласия на обработку персональных данных.

Согласно ст. 5.27 и ст. 5.39 КоАП России предусматривается административная ответственность за нарушение норм хранения и обработки личных данных работников. В случае нарушения законодательства руководство компании обязано возместить материальный ущерб сотруднику за незаконное использование его персональной информации.

Если вы по незнанию когда-то подписали разрешение на использование ваших личных данных, то теперь знайте, что имеете право его отозвать. Отзыв может быть составлен в свободной форме, но с обязательной ссылкой на действующие законы. Предлагаем образец такого заявления:

Генеральному директору ООО ___________
От ________________
Зарегистрированного по адресу:
___________________________
Паспортные данные: ________

Отзыв согласия
на обработку персональных данных

Я, ФИО, в соответствии с ч. 1 ст. 9 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных» отзываю у Общества с ограниченной ответственностью «_________» согласие на обработку моих персональных данных.
Прошу прекратить обработку моих персональных данных в течении тридцати рабочих дней с момента поступления настоящего отзыва.

Дата. Подпись.

Некоторые юристы считают, что отзыв на обработку персональных данных ничего не решает, ведь к моменту его написания все информация о человеке уже занесена в нужные электронные базы для дальнейшего использования. Но, по крайней мере, вы выполните свой долг с позиции православного христианина, и, возможно, притормозите процесс дальнейшего обновления ваших личных данных.

Как законно отказаться от сбора персональных данных в детских садах и школах?

В последнее время большую тревогу забили родители, ведь администрация дошкольных и общеобразовательных учреждений фактически принуждает их подписывать согласие на обработку и использование персональной информации о ребенке и членах его семьи. Это получается, что вы должны добровольно отказаться от права на неприкосновенность вашей частной и семейной жизни? Ведь автоматическая обработка персональных данных предусматривает передачу собранной информации третьим лицам без ограничений.

Помните, что давать или не давать свое согласие - это ваше право, а не обязанность. Ниже мы приводим пример заявления об отказе предоставления личных сведений о ребенке для дальнейшей их обработки:

В администрацию школы/детского сада №
от__________________________________

ЗАЯВЛЕНИЕ

Я, ____________________________________, являясь законным представителем своего ребенка _________________________________ , заявляю о своем категорическом отказе предоставлять те или иные сведения о частной жизни моего ребенка или моей семьи в соответствии с пунктом 1 статьи 23 Конституции РФ («Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени»).
Также я запрещаю использовать в отношении моего ребенка любые психологические тесты и опросы, запрещаю принуждать моего ребенка к участию в этих тестах и опросах, запрещаю любой сбор информации о разнообразных сторонах жизни моего ребенка и моей семьи. Считаю необходимым известить вас, что нарушение вами моего запрета подпадает под пункт 2 статьи 137 Уголовного Кодекса РФ («Нарушение неприкосновенности частной жизни с использованием своего служебного положения») с учетом статьи 63 УК РФ («Обстоятельства, отягчающие наказание»).
Пользуясь случаем, считаю своим долгом заявить о своем убеждении, что все действия по сбору информации о детях, родителях и их семьях, в конечном итоге, направлены на разрушение института семьи в нашей стране, что является антигосударственным деянием.

«____» «_______________________» 20___г. _____________________
(Личная подпись)

Безусловно, следует понимать, что школе необходимо иметь базовую персональную информацию о каждом учащемся с целью организации воспитательно-образовательного процесса. По закону, в момент нахождения детей в школе, за них несет ответственность администрация этого учебного учреждения. Поэтому, если уж возникла необходимость передать конкретные сведения о ребенке, то оформите этот процесс грамотно, используя приведенный пример заявления:

Образец согласия на обработку персональных данных школой, который не создает опасности нарушения прав семьи.

СОГЛАСИЕ ЗАКОННОГО ПРЕДСТАВИТЕЛЯ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ НЕСОВЕРШЕННОЛЕТНЕГО

Я, ______________________________________________________________(ФИО),
проживающий по адресу ____________________________________________________________, Паспорт № _________________________ выдан (кем и когда) _____________________________
______________________________________________________________________________
являюсь законным представителем несовершеннолетнего ____________________________________ (ФИО) на основании ст. 64 п. 1 Семейного кодекса РФ.
Настоящим даю свое согласие на обработку в ГОУ СОШ № ________ персональных данных моего несовершеннолетнего ребенка _____________________________, относящихся исключительно к перечисленным ниже категориям персональных данных:

• данные свидетельства о рождении;
• данные медицинской карты;
• адрес проживания ребенка;
• оценки успеваемости ребенка;
• учебные работы ребенка.

Я даю согласие на использование персональных данных моего ребенка исключительно в следующих целях:

• обеспечение организации учебного процесса для ребенка;
• ведение статистики.

Настоящее согласие предоставляется на осуществление сотрудниками ГОУ СОШ № ____ следующих действий в отношении персональных данных ребенка: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование (только в указанных выше целях), обезличивание, блокирование (не включает возможность ограничения моего доступа к персональным данным ребенка), уничтожение. Я не даю согласия на какое-либо распространение персональных данных ребенка, в том числе на передачу персональных данных ребенка каким-либо третьим лицам, включая физические и юридические лица, учреждения, в том числе внешние организации и лица, привлекаемые ГОУ СОШ № ______ для осуществления обработки персональных данных, государственные органы и органы местного самоуправления. Я даю согласие на обработку персональных данных ребенка только неавтоматизированным способом и не даю согласия на их обработку автоматизированным способом.
Обработку персональных данных ребенка для любых иных целей и любым иным способом, включая распространение и передачу каким-либо третьим лицам, я запрещаю. Она может быть возможна только с моего особого письменного согласия в каждом отдельном случае.
Данное Согласие действует до достижения целей обработки персональных данных в ГОУ СОШ № ______ или до отзыва данного Согласия. Данное Согласие может быть отозвано в любой момент по моему письменному заявлению.
Я подтверждаю, что, давая настоящее согласие, я действую по своей воле и в интересах ребенка, законным представителем которого являюсь.

Дата: __.__._____ г.
Подпись: ________________________ (______________________)

Как правильно написать отказ на обработку персональных данных?

Как мы уже выяснили, целью автоматизированного учета личной информации граждан является не гарантия прав людей, а исключительная власть над ними. Так происходит очередной этап построения системы управления человеком.

В феврале 2014 года на сайте Московской Патриархии была опубликована информация об обращении Патриарха Московского и всея Руси Кирилла к Президенту Российской Федерации Владимиру Путину с просьбой принять законодательные меры, которые обеспечивали бы право человека на использование традиционных удостоверений личности и способы их учета на бумажных носителях, а также предоставить правовые гарантии существования, технического оснащения и финансирования традиционной системы учета.

Администрация Президента Российской Федерации направила ответ на обращение Патриарха следующего содержания:

«...Разделяя Вашу озабоченность по вопросу нежелания некоторой части российских граждан получать другой вид паспорта - документ нового поколения, содержащий электронные носители информации, полагаю возможным отметить, что любые формы принуждения людей к использованию электронных идентификаторов личности, автоматизированных средств сбора, обработки и учета персональных данных, личной конфиденциальной информации недопустимы...».

Еще давно православные Старцы и священнослужители предупреждали о том, что людей будут обольщать с помощью «многохитростной лжи и чудовищного обмана».

Если вы желаете самостоятельно распоряжаться своей жизнью, а не давать это право чужим лицам, то вместо подписания согласия на обработку своих персональных данных советуем оформить заявление, образец которого представлен ниже:

ЗАЯВЛЕНИЕ

об отказе подписать «Согласие на обработку персональных данных»
(на основании ст. Конституции РФ 2, 3, 15, 18, 23, 24, статьи 12 ГК РФ)

................................................................... мне было предложено подписать бланк «Согласие на обработку
(дата)
персональных данных» для..................................................................................................................................................................
(указать для чего получается «Согласие»)
Я не даю согласие на обработку моих персональных данных по следующим основаниям:
1. Обязательное получение согласия на обработку персональных данных при........................

(указать: предоставлении медицинской помощи, выплате пособия, оформлении сделки и др.)
...................................................................................................................................................
противоречит Конституции РФ,гарантирующей гражданам данное право без каких-либо условий. В соответствии со статьями 2, 15, 18 права и свободы человека - высшая ценность, Конституция РФ имеет высшую юридическую силу и прямое действие.
2. Согласие на обработку моих персональных данных (персональных данных моих детей
..........................................................................................................................................................................
(указать, если такие имеются)
..........................................................................................................................................................................
противоречит моим интересам и интересам моей семьи.
В соответствии со статьей 9 Федерального закона №152-ФЗ «О персональных данных» субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.
В соответствии с законом №152-ФЗ персональные данные - это любая информация, относящаяся к физическомулицу. Понятие «обработка» включает в себя любые действия оператора с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ, в том числе передачу третьим лицам и трансграничную передачу), обезличивание, блокирование, удаление, уничтожение персональных данных.
В 2009 году в №152-ФЗ «О персональных данных» были внесены изменения, отменившие обязанность операторов по криптографической (шифровальной) защите персональных данных.
При использовании персональных данных оператор обладает правом принятия решений или совершения иных действий, порождающих юридические последствия в отношении меня или других лиц как субъектов персональных данных.
Получая согласие человека на обработку персональных данных - любой информации обо мне и моей семье - оператор становится их полным хозяином.
Формальная фраза бланка о праве отозвать согласие на обработку персональных данных ничего не решает, поскольку оператор к моменту отзыва «Согласия» уже имеет возможность использовать свои полномочия в полном объеме.
Согласие на обработку персональных данных делает человека потенциальным объектом любых криминальных манипуляций, так как никто не несет ответственности за нравственное состояние операторов.
3. Получение согласия «на обработку персональных данных - любой информации о человеке» нарушает положения статей 23, 24 Конституции РФ, гарантирующей гражданам право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
4. Предложенный мне бланк «Согласия» нарушает принципы статьи 5 «Принципы обработки персональных данных» №152-ФЗ «О персональных данных»: о недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; об обработке только тех персональных данных, которые отвечают целям их обработки; о соответствии содержания и объема обрабатываемых персональных данных заявленным целям обработки; о недопустимости избыточности обрабатываемых персональных данных по отношению к заявленным целям их обработки.
На основании изложенных доводов, я отказываюсь от дачи согласия на такую обработку моих персональных данных (персональных данных моих детей) и прошу обеспечить соблюдение моих конституционных прав и свобод. Мои персональные данные, необходимые для внутреннего использования в Вашем распоряжении уже имеются.
Я был(а) предупрежден(а), что в случае отказа подписать «Согласие» мне будет...............................................................................................................................................................
(последствия отказа подписать «Согласие»)
В случае реализации данной угрозы, прошу дать мне аргументированный письменный ответ, который мне будет необходим для обжалования неправомерных действий должностного лица (служащего) и возмещения материального и морального ущерба.

С уважением,
"____" _____________ 20___ года

Хотите иметь дело с проверкой Роскомнадзором своего ИТ-продукта или сайта? А потом ещё платить штраф, нести ответственность?

В закладки

Думаю, что нет. Поэтому, давайте, начнём разбирать что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов.

Немного теории

Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

1) нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

Физическое лицо: предупреждение или штраф в размере 1 000 - 3 000 рублей;

Должностное лицо: штраф в размере от 5 000 - 10 000 рублей;

Юридическое лицо: штраф в размере 30 000 - 50 000 рублей;

2) Обработка персональных данных без согласия гражданина приведет:

Физическое лицо: штраф в размере 3 000 - 5 000 рублей;

Должностное лицо: штраф в размере от 10 000 - 20 000 рублей;

Юридическое лицо: штраф в размере 15 000 - 75 000 рублей;

3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:

Физическое лицо: штраф в размере 700 - 1 500 рублей;

Должностное лицо: штраф в размере от 3 000 - 6 000 рублей;

Индивидуальный предприниматель: штраф в размере от 5 000 - 10 000 рублей

Юридическое лицо: штраф в размере 15 000 - 30 000 рублей;

Первоначально определимся с основными понятиями и поймём, что же они значат (неформальное объяснение по тексту будет обозначаться “Д”, это от слова description):

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Д: это любая совокупность информации, через которую можно определить определенного человека. К примеру, абстрактная электронная почта, допустим [email protected] - не относится к ПД, однако электронная почта с рабочим адресом допустим, [email protected] с подписью в письме “Главный инженер” - относятся к персональным данным, т.к. мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации “Ромашка”.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Д: это вы, собирающий персональные данные. Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека - и вот вы уже владелец персональных данных в лице оператора.

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Д: это любые действия, которые вы совершаете как оператор.

Самый большой штраф как вы видите - это за сбор ПД гражданина без согласия, поэтому в статье будем говорить в основном об этом.

Определим сразу случаи, когда согласие на обработку ПД не надо собирать в соответствии с законодательством Российской Федерации:

1. Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.

Д: когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.

2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Д: когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные. Сюда подходит и оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент когда собираете ПД - наступает раньше.

3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.

Д: вы обезличиваете данные физического лица и “размываете” их в море других данных, соответственно определить кому что принадлежит - невозможно даже вам.

4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

Д: данный пункт не относится к интернет-проектам, но для понимания ситуации, пример, когда приезжает частная медицинская бригада и оказывает помощь.

5. Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.

Д: если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги - нет необходимости требовать согласия на обработку ПД.

6. Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

7. Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Д: не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством Российской Российской Федерации.

Во всех остальных случаях, при контакте и сборе ПД от физического лица - вы должны получать его согласие и иначе никак - закон есть закон!

Что делать

Теперь разберём как собирать ПД и получать согласие.

Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных. Если у вас юридическое лицо или вы - индивидуальный предприниматель - вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии. Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах - относится не только к работе с потребителями, но и с работниками.

Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.

Самое главное по теме. Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.

При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!

Немного юридического обоснования чекбоксов, а как называет Роскомнадзор - “галочек”:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:

“4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью...”.

Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:

“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.

Вариативно, ещё шаг 4.

Подать уведомление об обработке ПДн в Роскомнадзор.

В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется:

- политика обработки персональных данных;

- приказ об утверждении вышеуказанной политики;

- согласие на обработку персональных данных;

И зачем всё это вообще?

Для чего же это вообще нужно? Зачем нужно беспокоиться о персональных данных и о получении согласия пользователя на их обработку?

Конечно, это прежде всего административная (штрафы, блокировка) и гражданская (причинение вреда) ответственность - такие вещи могут очень серьёзно повлиять на бизнес. Но есть ещё такая штука как частная жизнь граждан, как злоупотребление правом и недобросовестная реклама продавцов. Я на 100% уверен, что каждый из нас не любит, когда на телефон приходит спам, реклама, а посередине ночи будит смс или звонок с просьбой “срочно перевести деньги, а то в тюрьму посадят”. А всё это происходит из-за ненадлежащего исполнения лицами, осуществляющими сбор персональных данных, своих обязательств. И согласие на обработку ПД - всего лишь часть механизма, который должен обеспечивать нашу с вами защиту как граждан и повышать социальную ответственность. К сожалению, такие полезные институты и механизмы могут превратиться в инструмент для давления… И мы как юристы должны эффективно использовать законы и максимально обезопасить бизнес от этого.

Так что, если вы выполнили все условия и шаги из настоящей статьи, то поздравляем - вы не только уменьшили вероятность быть оштрафованным и привлеченным к ответственности (работа с ПД физических лиц лишь небольшая часть правовой политики ИТ-продукта), но и сделали шаг к социально-ориентированному Интернет-пространству, уважающему личные данные пользователей!

Спасибо за внимание!