Bancrotstvo.ru

Бизнес Журнал "Банкротство"
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Памятка: как действовать, если вас просят подписать согласие на обработку персональных данных

Памятка: как действовать, если вас просят подписать согласие на обработку персональных данных

Прежде чем разбирать сам алгоритм действий, хотелось бы оговорить один важный момент. Школа или любое другое учреждение в котором с вас могут попросить подписать согласие на обработку персональных данных (далее — ПД) скорее всего действует не по своей воле. И наверняка не желает вреда нашим детям. Директор школы может вообще не понимать, чем чревато предоставление персональных данных вашего ребёнка широкому кругу «третьих лиц». Надо постараться с самых первых минут наладить сотрудничество с образовательным учреждением и его руководителем с тем, чтобы решить вопрос к обоюдному удовлетворению.

Только если руководство учреждения заняло позицию «так или никак» (позиция учреждения дополнительного образования может ещё быть выражена словами «не нравится — не ешьте»), приходится пререходить на официальный уровень общения и требовать положенного по закону.

В этом случае общение ведётся в форме переписки, причём каждое ваше обращение или заявление должно быть оформлено в двух экземплярах, один из которых вы отдаёте учреждению, а второй, с отметкой о том, когда этот документ был принят учреждением, оставляете себе. Отметка учреждения должна представлять собой штамп или подпись от руки, в котором должно быть написано, когда и кем была принята копия документа (в случае, если на документ ставится официальная печать учреждения, запись о том, кто принял документ, необязательна). Если в организации отказываются ставить отметку о принятии необходимо направить документ почтой заказным письмом (с описью вложения, если документ имеет существенное значение).

Алгоритм действий в этом случае следующий:
1. Необходимо официально запросить ответы на все свои вопросы, в том числе .запросить ссылку на закон, обязывающий вас предоставить персональные данные в запрошенном объёме и обоснование того, что для достижения цели обработки данных нужны именно эти данные.
2. Если вы не согласны с целями обработки данных, набором данных, способами обработки или перечнем лиц, допущенных к обработке данных, требуйте внесения изменений в согласие или напишите свой вариант, который вас устраивает. Чтобы организация, в которую вы обращаетесь за услугами и пр., не отказала в обслуживании, предоставьте согласие на данные, которые реально необходимы (в т.ч. возможно вычёркивание из типовых заявлений лишнего). . сфотографируйте или скоприруйте то заявление, которое вы подписывали или подавали (как правило такие заявления в одном экземпляре дают для заполнения и гражданин не может после объяснить, что подписывал).
3. Если вас не устраивает ответ на ваш запрос, вы видите там какие-то нарушения законодательства, обращайтесь в орган, контролирующий соблюдение законодательства — Роскомнадзор. В обращении в свободной форме изложите, в чём, по вашему мнению состоит нарушение закона и приложите переписку с учреждением. Можно также обратиться в прокуратуру с просьбой проверить соблюдение закона о ПД в конкретном учреждении (не исключено, что в соответствии с п. 3.5. Инструкции о порядке рассмотрения обращений и приема граждан в органах прокуратуры Российской Федерации, утверждённой приказом Генерального прокурора РФ № 45 от 30.01.2013 жалоба будет перенаправлена в специализированный контрольный орган, но может быть рассмотрена прокуратурой и по существу).

(Образцы обращений и запросов будут размещены в конце статьи).

Отмечу, что последний шаг — мера достаточно сильная. Как правило, всё решается на предыдущих этапах.

Теперь немного подробнее о правовых основаниях действий по защите ПД. Действуем мы, опираясь, в основном на закон № 152-ФЗ «О персональных данных», от 27 июля 2006 года.

В статье 5 закона написано:
«п. 1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
п. 2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных».
— то есть, если данные собираются для обеспечения учебного процесса, то, например, сведения о доходе родителей — явно избыточны.

Ст. 5. п. 5: «Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки».
— Например, если в качестве цели заявлено «обеспечение учебного процесса», а требуют, скажем, данные о доходах родителей — налицо вопиющее несоответствие между целями и собираемыми данными.

В статье 9:
«п. 1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором».
— Именно согласно этой статье закона мы и запрашиваем всю информацию, которая необходима нам для принятия решения. Без полноты сведений наше решение нельзя будет назвать «информированным и сознательным».

Ст. 14:
«п. 7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
«1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами».
— На случай, если Вы уже дали согласие на обработку ПД, а теперь засомневались, как будут использоваться ваши персональные данные, пошлите запрос с вот этим списком вопросов. Можно совместить такой запрос с отзывом согласия. Статья 18 обязывает оператора предоставлять эту информацию:

Читайте так же:
Список документов для регистрации дома в мфц

«1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона».

Таким образом, действующее законодательство предоставляет немало возможностей для обеспечения собственной информационной безопасности. Осталось только ими воспользоваться.

Рекомендации по заполнению уведомления об обработке персональных данных

ПО ЗАПОЛНЕНИЮ УВЕДОМЛЕНИЯ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.

Уведомление оформляется на бланке оператора, осуществляющего обработку персональных данных, и направляется в адрес Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Белгородской области (ул. Гагарина д.6 «а», г. Белгород, 308007).

Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

В случае, если юридическое лицо имеет филиалы (подразделения) в которых осуществляется обработка персональных данных при заполнении поля «Полное и сокращённое наименование, адрес оператора, ИНН, контактная информация» дополнительно указываются юридический и фактический адреса (как юридического лица, так и его филиалов и представительств, с указанием кода субъекта Российской Федерации на территории которого находятся филиалы). При этом необходимо уточнить – обработка персональных данных осуществляется только юридическим лицом (формирование центральной информационной системы) и (или) филиалами (представительствами). Рекомендации по заполнению полей уведомления приведены в таблице 1.

При указании наименования юридического лица, его адреса, а также направления деятельности рекомендуется использовать ссылки на коды классификаторов ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС.

Наименование заполняемого поля уведомления

Пример заполнения поля уведомления

Полное и сокращённое наименование, адрес оператора, ИНН, контактная информация.

Для индивидуальных предпринимателей указывается фамилия, имя, отчество, место жительства, ИНН, контактная информация.

Для физических лиц указывается местонахождение, ФИО, ИНН, контактная информация.

Открытое акционерное общество «Планета плюс»,

ОАО «Планета плюс», адрес: 309189, г.Губкин, Белгородская область, ул.Мира, д.4, тел. (47241) 4-64-56, ИНН 3123456789.

ОКВЭД – 78.18, ОКПО — 73768214, ОКОГУ — 13239, ОКОП — 93, ОКФС – 15, ОГРН-1234567891234

Муниципальное унитарное предприятие «Сервис», МУП «Сервис», адрес: 309995, г.Валуйки, Белгородская область, ул.М.Горького, д.15, тел.(47236)9-46-65, ИНН 3126003625.

ОКВЭД – 73.15, ОКПО — 75839156, ОКОГУ — 14692, ОКОП — 87, ОКФС – 23, ОГРН-1234567891234

Государственное учреждение Управление Федеральной службы по надзору в сфере связи по Белгородской области, Управление Россвязьнадзора по Белгородской области, адрес:308000, г.Белгород, пл.Революции д.3, тел. (4722) 62-15-76, ИНН 3126836534.

ОКВЭД – 77.14, ОКПО — 75823497, ОКОГУ — 76251, ОКОП — 35, ОКФС – 12, ОГРН-1234567891234

Индивидуальный предприниматель Солкин Сергей Иванович; ИП Солкин С.И.;308007 г. Белгород, ул.Шершнёва, д.6, кв.119. тел.(4722)71-49-04; ИНН 312237855383, 14-07 32-43-52 выдан отделением УВД ОПВС №2 г. Белгорода, 18 марта 2003 года.

Бойко Иван Петрович; 308009, г. Белгород, ул. Красина д.23; кв.235, тел.(4722) 81-54-45, ИНН 3121236578, , 14-07 32-43-52 выдан отделением УВД ОПВС №2 г. Белгорода

Указывается наименование с организационно- правовой формой , а также место (адрес) нахождения, ИНН юридического лица в соответствии с учредительными документами и свидетельством о постановке юридического лица на учёт в налоговом органе.

Указывается местонахождение физического лица в соответствии со свидетельством о постановке на учет физического лица в налоговом органе, почтовый адрес, контактная информация, данные документа, удостоверяющего личность, дата его выдачи, наименование органа выдавшего документ, ИНН.

Правовое основание обработки персональных данных.

В соответствии с Федеральным законом «О персональных данных»; ст.ст.85-90 Трудового кодекса РФ, ст.85.1 Воздушного кодекса РФ, ст.12 ФЗ «Об актах гражданского состояния»; Устава (положения) организации от 03.04.2004; с п.6. Лицензии №1234 от 12.06.2007 на осуществление деятельности, связанной с трудоустройством граждан Российской Федерации за пределами Российской Федерации и др.

Указываются не только соответствующие статьи ФЗ «О персональных данных», но и статьи иного нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных. При наличии лицензии в которой есть условия запрета на передачу персональных данных третьим лицам без письменного согласия субъекта, необходимо указать № и наименование лицензии, дату выдачи.

Цель обработки персональных данных.

Ведения кадровой документации; учёта студентов и сотрудников; осуществления образовательной деятельности по образовательным программам; оказания услуг здравоохранения; осуществления расчётов с пользователями услуг ; обеспечения конституционных прав граждан на получение бесплатной медицинской помощи; обеспечения соблюдения законов и иных нормативно-правовых актов; контроля количества и качества выполняемой работы и обеспечения сохранности имущества, заключения договоров; учёт граждан, оказание информационно-справочных услуг, ведение базы данных квартиросъёмщиков и т.д.

Под «целью обработки персональных данных» понимаются, как цели, указанные в учредительных документах оператора, так и цели фактически осуществляемой оператором деятельности по обработке персональных данных.

Категории персональных данных.

1. Непосредственно персональные данные: фамилия, имя, отчество, год, месяц, дата рождения, место рождение, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другие категории персональных данных, обрабатываемые оператором, не указанные в настоящем пункте относящаяся к определённому или определяемому на основе такой информации физическому лицу..

Читайте так же:
Благодарственное письмо сотруднику с уходом на заслуженный отдых женщине

2.Специальная категория персональных данных: расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни. 3.Биометрические персональные данные: сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность.

Указывается одна или несколько категорий персональных данных подлежащих обработке.

субъектов, персональные данные которых обрабатываются.

Работники, состоящие в трудовых отношениях с юридическим лицом.

Физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик, студент и др.).
Субъекты, состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом и др.

Указывается категории субъектов (физических лиц) и виды отношений с субъектами (физическими лицами), персональные данные которых обрабатываются.

Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных.

Действия и способ обработки персональных данных указывать обязательно .

Действия с персональными данными :

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе и трансграничная передача) обезличивание, блокирование, уничтожение и т.д .

1. Осуществляется трансграничная передача данных.

2. Не осуществляется трансграничная передача данных.

Способ обработки персональных данных:

1.Неавтоматизированная обработка персональных данных.

2.Исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети Интернет (либо внутренней, корпоративной ) или без передачи информации.

3.Смешанная обработка персональных данных .

Указываются действия, совершаемые оператором с персональными данными, а также описание используемых оператором способов обработки персональных данных. При автоматизированной обработке персональных данных либо смешанной обработке, необходимо обязательно указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети юридического лица(информация доступна лишь для строго определенных сотрудников юридического лица) либо информация передается с использованием сети общего пользования Интернет либо без передачи полученной информации. Под трансграничной передачей данных понимается передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке.

Безопасность персональных данных обеспечивается путем программных средств: пароль при загрузке компьютера и при входе в программу, разграничение прав доступа к информации.

Организационные мероприятия: допуск лиц в помещение и к управлению сервером строго ограничен. Осуществляется резервное копирование баз данных и т.д.

Информация на бумажных носителях хранится в сейфе, шкафу, в архиве и т.д.

В случае использования оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств указываются следующие сведения: а) наименование, регистрационные номера и производителей используемых криптографических средств; б) уровень криптографической защиты персональных данных; в) уровень специальной защиты от утечки по каналам побочных излучений и наводок; г) уровень защиты от несанкционированного доступа. Под криптографической защитой понимается аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении

Указывается: класс информационной системы персональных данных оператора (по результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов согласно пункта 14 приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. №55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

Указать организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.

Предоставление данной информации осуществляется в соответствии с Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных руководством 8 Центра Федеральной службы безопасности Российской Федерации 21 февраля 2008 г. № 149/5-144.

с 1 марта 2007г.

Указывается конкретная дата начала совершения действий с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение, обезличивание, блокирование, уничтожение персональных данных.

Срок или условие.

до 25 июля 2010г.; до 05.10.2012; до 11.03.16.
или при прекращении деятельности организации, ликвидации, банкротстве и т.д.

Указывается конкретная дата или основание (условие), наступление которого повлечёт прекращение обработки персональных данных.

Как оформить согласие на обработку персональных данных субъекта

Личную информацию человека можно использовать только после его разрешения. JCat.Работа поможет разобраться, как получить и оформить согласие сотрудников на обработку их персональных данных.

Чтобы понять, как работать с документом, важно знать, какие данные считаются персональными и, соответственно, требуют особого внимания к ним.

На законодательном уровне есть несколько определений этого понятия, но конкретного списка нет ни в одном документе. Это одновременно оставляет пространство для объяснения термина и становится причиной разногласий главного кандидата на должность и специалистов кадровой службы.

Какие данные относятся к персональным?

Все правила обращения с личной информацией регулирует Федеральный закон №152-ФЗ «О персональных данных». Согласно статье 3 этого закона, персональными данными можно назвать любую информацию, которая касается непосредственно физического лица — субъекта этих данных. К информации личного характера следует отнести все паспортные данные: Ф. И. О., дату и место рождения, возраст, место проживания, семейный статус.

В этом же законе есть статья 10, которая вносит в список персональной информации подробности о расе, национальности, моральных убеждениях человека, личной жизни, а также сведения о его здоровье.

В статье 11 понятие «персональные данные» расширяется: под термином понимают любые сведения, фото- или видеоматериалы, по которым можно определить личность человека.

Чтобы предупредить неправомерные действия, личная информация каждого человека должна надежно сохраняться. Многие люди бережно относятся к сведениям о себе, и это оправдано. Поэтому, согласно действующим законам РФ, нельзя обрабатывать личную информацию без согласия субъекта (в некоторых случаях — письменного).

Читайте так же:
Прописка в муниципальную квартиру родственника

Как происходит обработка персональных данных?

Понятие «обработка» подразумевает все действия, которые происходят с данными, начиная с момента их сбора. Передача, запись, распределение, хранение, применение, удаление — эти и многие другие действия входят в понятие «обработка персональных данных».

Все в том же законе №152-ФЗ указано, что обработка персональной информации должна происходить с соблюдением основных принципов:

  • соблюдение требований актуального законодательства;
  • цель обработки необходимо определить и озвучить субъекту заранее;
  • собирать и обрабатывать можно только информацию, которая соответствуют указанной цели;
  • оператор обязан обеспечить точность данных, предупредить их искажение, а ответственные лица должны периодически следить за актуальностью информации;
  • после достижения финальной цели данные нужно уничтожить.

Когда необходимо подписать согласие на обработку данных работника?

Получение согласия на обработку персональных данных необходимо в любом случае, когда заинтересованная сторона планирует собирать личную информацию о будущем сотруднике. Субъект должен подтвердить, что он не против, чтобы с этой информацией проводили определенные манипуляции и использовали ее в конкретных целях. Чаще всего в рамках организации речь идет о трудоустройстве на работу. Письменное согласие заявителя на обработку персональных данных — обязательный атрибут комплекта документов будущего сотрудника.

Что делать, если работник отказывается подписывать документ?

Предоставление согласия на обработку персональных данных должно быть абсолютно добровольным. Это означает, что у работодателя нет права заставить человека подписать документ. В практике сотрудников кадровой службы могут встретиться люди, которые будут настороженно относиться к документу или даже откажутся его подписывать. Но отказ будущего работника подписывать соглашение в большинстве случаев связан с непониманием цели обработки его данных.

В таком случае важно объяснить человеку, что его личную информацию, согласно закону, будут использовать исключительно в служебных целях. Кроме того, этот документ создан для того, чтобы защищать права субъекта персональных данных. Это тоже важно донести до потенциального работника. Если на момент подписания согласия трудовой договор между работодателем и будущим работником еще не подписан, это может повлечь за собой потерю рабочего места.

В каких случаях не нужно оформлять согласие?

Сотрудник может не подписывать документ только в том случае, если он уже работает в компании. Тогда обработка его данных возможна, но только в целях выполнения условий трудового договора.

В некоторых случаях прибегают к обработке, в частности, к передаче данных без согласия субъекта. Например, если эти действия нужны для предотвращения угрозы здоровью или жизни сотрудника, или их передают по требованию уполномоченных органов, в его разрешении нет необходимости.

Как уведомить Роскомнадзор?

О намерении произвести обработку персональных данных нужно уведомить Роскомнадзор. Этот уполномоченный орган защищает права их владельцев.

Чтобы подать уведомление в Федеральную службу, специальную электронную форму необходимо заполнить и отправить любым удобным способом из указанных на портале Роскомнадзора.

После отправки документа в информационную систему службы его нужно напечатать на фирменном бланке организации, затем внимательно заполнить и направить в Управление Роскомнадзора по Центральному федеральному округу. В течение 15 дней после этого сотрудники органа озвучат решение о включении оператора в соответствующий реестр.

Ответственность за несоблюдение условий соглашения

В тексте согласия точно указывается цель обработки личных данных. «Отклоняться» от нее запрещено. В случае, если работодатель превысит свои полномочия, его может ожидать дисциплинарная, административная и даже уголовная ответственность.

Чтобы защитить свои интересы, будущий сотрудник может воспользоваться услугами юриста, прежде чем подписать форму соглашения. Специалист поможет проанализировать правомерность действий работодателя, правильность составления согласия и объем данных, которые нужно предоставить сотруднику при поступлении на работу. Например, информация о состоянии здоровья и пребывании в местах лишения свободы нужна только для определенного ряда специальностей.

Образец заполнения бланка

Согласие на обработку персональных данных — это документ свободной формы, поэтому в каждой организации разрабатывают подходящий вариант шаблона. Но условия согласия на обработку персональных данных говорят о том, что в документе обязательно должна быть такая информация:

  • наименование компании;
  • место и дата оформления документа;
  • Ф. И. О., паспортные данные субъекта;
  • Ф. И. О. человека, который представляет интересы компании;
  • Ф. И. О. и должность сотрудника, который будет производить обработку данных;
  • объяснение цели работы с предоставленными данными;
  • перечисление конкретных сведений о работнике, которые будут обрабатывать;
  • срок, в течение которого документ считается актуальным;
  • способ отказа от согласия;
  • подпись сотрудника.

В документе обязательно должно быть указано, что он подписан добровольно. Это подтверждает подпись будущего сотрудника.

Работодатель может найти на просторах интернета готовый бланк согласия и адаптировать его под свою организацию (рис. 1).

Рисунок 1. Заявление согласие на обработку персональных данных (образец).

Согласие на обработку персональных данных — это важный документ, который защищает сотрудника и его права на неприкосновенность личной информации. Ее применение возможно только в корпоративных целях для выполнения условий трудового договора. Сотрудникам отдела кадров важно объяснять это человеку во время его оформления на работу, а не просто «подкладывать» документ для подписи. При внимательном отношении и понятном объяснении целей подписания бумаг у будущего работника не появится мыслей об отказе.

Распространение персональных данных: что должен знать кадровик

Изменения, внесенные в Федеральный закон № 152-ФЗ «О персональных данных», вызвали у кадровиков шквал вопросов. И это не удивительно: толкуют закон по-разному, информация на профессиональных интернет-сайтах противоречивая, а официальных разъяснений пока нет.

Что можно считать распространением персональных данных в кадровой работе? Когда следует получать у работников согласие о распространении их данных? Какова форма этого согласия?

Читайте так же:
Талон уведомление из полиции проверить онлайн

Ответы на эти и многие другие вопросы вы найдете в нашей статье.

КОГДА ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ЯВЛЯЕТСЯ РАСПРОСТРАНЕНИЕМ

Изменения в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 30.12.2020; далее — Федеральный закон № 152-ФЗ) были направлены на защиту тех персональных данных (далее — ПД), которые раньше назывались общедоступными. Именно об этом написано в пояснительной записке к Федеральному закону № 519-ФЗ[1]. Законодатель отметил, что общедоступные ПД также нуждаются в охране, поскольку третьи лица бесконтрольно используют данные с сайтов.

Чтобы понять, что закон подразумевает под термином «распространение» ПД, надо обратиться к ст. 3 Федерального закона № 152-ФЗ, где даны определения основным понятиям:

обработка персональных данныхлюбое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Можно сделать следующие выводы:

1. Передача ПД может осуществляться путем их распространения, предоставления или открытием доступа к ним.

2. Распространение ПД — это один из видов передачи данных, при котором ПД раскрываются неопределенному кругу лиц.

3. Термины «распространение», «предоставление» не являются синонимами, поскольку имеют разное определение в законе.

Эти выводы очень важны, поскольку позволяют четко разделить, когда происходит распространение (данные видит неограниченный круг лиц), а когда предоставление (данные получают строго определенные лица).

Например, является ли предоставление ПД работника в банк для оформления зарплатной карты или передача данных работника для покупки билета на самолет распространением его ПД? Нет, не является, потому что эти данные предоставляются строго ограниченному кругу лиц. Их не сможет увидеть больше никто, кроме работников банка или специалистов по оформлению билетов.

Если все так очевидно, то почему мнения юристов и консультантов так противоречивы?

Полагаем, что законодатели сами несколько запутали ситуацию, применяя в п. 12 ст. 10.1 Федерального закона № 152-ФЗ все термины, характеризующие передачу ПД:

Извлечение из Федерального закона № 152-ФЗ

12. Передача (распространение, предоставление, доступ)[2] персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных.

Из этого некоторые специалисты делают некорректные выводы:

• все виды передачи ПД (в т. ч. их представление в ПФР, соцстрах, налоговую инспекцию) с 01.03.2021 обязательно должны сопровождаться получением от работника согласия на распространение его ПД;

• все данные о работнике, которые использует работодатель, должны быть включены в согласие, а работник сам отметит, к каким ПД он разрешает доступ, какие можно предоставлять, а какие — распространять.

Славинская мнение автора

ОБ ИЗМЕНЕНИИ ТЕКСТА СОГЛАСИЯ НА ОБРАБОТКУ ПД

В связи со всеми нововведениями возникает вопрос: надо ли что-либо изменять в тексте «старых» согласий на обработку ПД работников? Думаем, что текст согласия пересмотреть все же следует, обратив внимание на следующие моменты:

Корректируем текст согласия

Согласие на обработку ПД работников необходимо получать, только если работодатель собирает, обрабатывает и хранит данные, которые не связаны с исполнением трудового договора (фотография, адрес личной электронной почты и т. п.) То есть такие ПД, которые Трудовой кодекс РФ требовать у работника не обязывает.

Вопрос в тему

Соответственно, если работодатель обрабатывает только обязательную информацию, установленную в ст. 65 ТК РФ и в разделах личной карточки формы № Т-2, согласие на обработку ПД работников может отсутствовать. Именно такие разъяснения ранее давал Роскомнадзор[3].

РАСПРОСТРАНЯЕТ ЛИ РАБОТОДАТЕЛЬ ПД СВОИХ РАБОТНИКОВ?

Перефразируем вопрос: раскрывает ли работодатель ПД работников неопределенному кругу лиц? Многие скажут: «Нет, не раскрывает». Но спешить с ответом не стоит.

Что такое раскрытие «неопределенному кругу лиц»? Это значит, что любой человек может свободно увидеть какие-либо ПД, они специально не скрыты. А к ПД закон относит практически любую информацию о работнике: Ф. И. О., должность, телефон, адрес, размер зарплаты, дату рождения, адрес личной электронной почты, личный телефонный номер, фото- и видеоизображение и пр.).

Извлечение из Федерального закона № 152-ФЗ

1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)[4];

В настоящее время практически каждая компания каким-либо образом представлена в Интернете:

• у нее есть свой сайт или страничка в социальной сети;

• она включена в каталоги предприятий или организаций города;

• зарегистрирована на торговых площадках или сайтах-агрегаторах. И на каждом ресурсе есть какие-либо сведения о работниках: контакты с указанием должностей, видеоролики и фото с участием работников.

В офисах на досках объявлений размещают поздравления с днем рождения, фотографии лучших работников или фотоотчеты о мероприятиях, графики дежурств или какие-либо списки. И конечно, почти в каждом офисе на кабинетах есть таблички с указанием должностей и фамилий начальников или специалистов.

Откройте страницу 3 нашего журнала. Справа указаны фамилия и инициалы шеф-редактора, его заместителя, научного редактора, должности и фамилии авторов статей. Любой человек может видеть эти ПД.

Если ПД работников может увидеть любой человек, который откроет журнал, зайдет в помещение организации или на ее сайт в Интернете, то распространение ПД имеет место.

Вопрос в тему 2

В соответствии с изменениями в законодательстве у каждого работника, чьи ПД находятся на всеобщем обозрении, следует взять согласие на распространение его персональных данных. Однако из этого правила есть исключение: получать согласие не требуется, если обязанность размещать ПД работников в сети Интернет предусмотрена законодательством РФ [5] .

Читайте так же:
Если купил дачу с домом и оформил участок в собственность

[1] Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон "О персональных данных"».

[2] В извлечении выделено автором.

[3] Разъяснения Роскомнадзора от 14.12.2012 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» (https://clck.ru/UCN2Q; далее — Разъяснения от 14.12.2012).

[4] Пункт 1 ч. 1 ст. 3 Федерального закона № 152-ФЗ.

[5] Разъяснения от 14.12.2012, п. 15 ст. 10.1 Федерального закона № 152-ФЗ.

А. Н. Славинская,
специалист по кадрам

Материал публикуется частично. Полностью его можно прочитать в журнале «Кадровые решения» № 5, 2021.

Уведомление об обработке персональных данных

Чаще всего уведомление об обработке персональных данных передавать не нужно. Однако если ситуация не входит в перечень, предусмотренный Законом о персональных данных, то оператор данных — любое лицо, которое осуществляет сбор, хранение, передачу и иные действия с персональными данными другого человека, — уведомление в Роскомнадзор обязательно. Поэтому мы разместим рекомендации и образец уведомления. А также перечень случаев, когда оператор его не составляет.

Пример уведомления

Уведомление об обработке персональных данных

Общество с ограниченной ответственностью»Сделка», ИНН 78441545, ОГРН 3546854613, Московская область, г.Климовск, ул. Ядерная, 38,

руководствуясь ч. 1 ст. 15 Закона «О персональных данных», п. 18 Правил продажи товаров дистанционным способом, утвержденных постановлением Правительства РФ от 27.09.2007 № 612,

с целью осуществления деятельности по продвижению товаров на рынке,

осуществляет обработку общих персональных данных — фамилия, имя, отчество, пол, адрес местожительства, семейное положение, профессия,

принадлежащих физическим лицам — потенциальным покупателям интернет-ресурса «gfjhegi.ку»

Обработка вышеуказанных персональных данных будет осуществляться путем: сбора, записи, систематизации, накопления, хранения, уточнения (обновление, изменение), извлечения, использования, передачи (распространение, предоставление, доступ), обезличивания, блокирования, удаления, в смешанной форме.

Для обеспечения безопасности персональных данных принимаются следующие меры: назначено ответственное лицо, утверждена должностная инструкция, положение о персональных данных, ограничен доступ к персональным данным, учет машинных носителей персональных данных.

Сведения о наличии или об отсутствии трансграничной передачи данных: отсутствует.

За обработку персональных данных ответственное лицо — генеральный директор Авдющенко Павел Петрович, 368561646356

Дата начала обработки данных: 28 июля 2022 г.

Срок или условие прекращения обработки данных: получение отзыва согласия на обработку персональных данных

Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ: Московская область, г.Климовск, ул. Ядерная, 38,

Сведения об обеспечении безопасности персональных данных: организован режим обеспечения безопасности помещений, в которых размещена информационная система. Возможность неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения отсутствует. Носители информации хранятся в сейфе. Издан Приказ перечне лиц, имеющих доступ к персональным данным (26.07.2022 г. № 49)

Когда уведомлять не нужно

Закон о защите персональных данных регламентирует случаи, когда не требуется получать согласие на обработку персональных данных у его субъекта. И даже если оно было получено, а затем субъект данных написал отзыв согласия на обработку персональных данных, оператор в таких случаях может продолжить их обработку. Этот перечень иной, чем основания не подавать уведомление об обработке персональных данных в Роскомнадзор.

Итак, оператор не подает уведомление, если:

  • работодатель осуществляет обработку персональных данных работника
  • субъект данных сам сделал их общедоступными (разместил на своей социальной странице, опубликовал в Интернете, хотя есть и иная судебная практика)
  • сведения получены в рамках любого договора, если они используются для целей исполнения такого соглашения и не передаются третьим лицам
  • речь идет об обработке только фамилии, имени и отчестве гражданина
  • данные используют для оформления однократного пропуска на территорию
  • обработка данных осуществляется в целях обеспечения безопасности — государственной, транспортной, общественной.

Перечень исключений является закрытым и установлен частью 2 ст. 22 Закона (№ 152-ФЗ от 27.07.2006 г.). Во всех остальных случаях оператор направляет уведомление.

Как составить и подать уведомление об обработке персональных данных

Получатель уведомления — Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций). Он ведет реестр уведомлений, из которого можно даже получить выписку. На сайте Роскомнадзора есть Портал персональных данных (http://rkn.gov.ru/). На нем размещается и рекомендованная форма уведомления, и заявления о предоставлении выписки из Реестра. Мы рекомендации Роскомнадзора учли, поэтому за образец Вы можете использовать наш пример.

Итак, уведомление содержит ряд обязательных граф:

  • наименование оператора персональных данных. Для физических лиц это Ф.И.О., адрес, паспортные данные, ИНН (при наличии). Для юридических — полное наименование, сокращенное наименование, юридический адрес, ИНН и ОГРН
  • цель обработки данных
  • категории субъектов, чьи данные обрабатываются. Здесь рекомендуем указать виды отношений с субъектами (например, заемщик), юридические или физические лица и т.п.
  • правовое основание — почему оператор имеет право собирать и обрабатывать с такой целью информацию
  • действия по обработке — автоматизированная, неавтоматизированная, смешанная
  • меры ст. 18.1 и 19 Закона — организационные и технические меры защиты данных, в т.ч. сведения о наличии шифровальных средств
  • сведения (ф.и.о., наименование юр.лица), ответственных за обработку данных, контактные телефоны и адреса электронной почты
  • дата начала обработки данных (любой операции)
  • срок прекращения обработки (или условие-основание)
  • место нахождения базы данных (адрес)
  • обеспечение безопасности в соответствии с постановлением правительства РФ от 01.11.2012 г. № 119

Заявление оператор направляет в бумажном формате или через сайт Портал персональных данных. В случае изменения каких-то сведений, он направляет информационное письмо об этом.

Кроме уведомления об обработке персональных данных оператор может направить уведомление о прекращении обработки.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector