Как не получить штраф за согласие на обработку персональных данных?

Автор admin Рубрика: Ответы юриста

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как не получить штраф за согласие на обработку персональных данных?». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

Закон разрешает собирать информацию о пользователях только на территории России. Это значит, что компании не могут пользоваться услугами зарубежных хостинг-провайдеров, если работают с персональными данными. Чтобы не нарушать требование закона, перенесите сайт на российских хостинг.

Некоторые международные хостинг-провайдеры имеют серверы в России. В таких случаях переносить сайт на новый хостинг не придётся: просто договоритесь, чтобы его разместили на российских серверах.

Будьте осторожны с конструкторами сайтов. Обычно они используют собственные зарубежные хостинги, даже если работают с полной поддержкой русского языка. В таких случаях лучше заранее уточнять, где находятся серверы. Если Роскомнадзор обнаружит, что сервер с вашим сайтом расположен за рубежом, сайт заблокируют, а вам могут выписать штраф (о размерах мы рассказали в последнем разделе).

Как работодателю не налететь на штраф из-за защиты персональных данных

Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.

Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:

  • ФИО;
  • контактные данные;
  • перечень персональных данных, обработку которых нужно прекратить.

Указанные ПД могут обрабатываться только оператором, которому оно направлено.

С 1 июля максимальный штраф для организации — 75 тыс. рублей, а для должностного лица — 20 тыс. рублей. Чаще всего Роскомнадзор штрафует компании за четыре нарушения:

  1. В уведомлении об обработке персональных данных есть неполные или недостоверные сведения.
  2. У организации нет мест для хранения данных и перечня лиц, которые обрабатывают данные или имеют к ним доступ.
  3. Компания обрабатывает персональные данные в случаях, которые не предусмотрены законом.
  4. Письменное согласие субъекта персональных данных не соответствует закону.
  • Предлагаем образец заявления отказа от заочного обучения
  • Не мытьём, так катаньем? Как наших детей загоняют на «дистанционку». Хроника
  • Обращение против принятия законопроекта «О едином федеральном информационном регистре»
  • Феминизм — вирус, убивающий любовь

Ответственность за не обезличивание персональных данных теперь несут не только государственные и муниципальные органы власти, но и все операторы.

По второму изменению в новом КоАП дело касается обезличивания ПДн. Проще говоря, если персональным данным (паспортным, медицинским, контактным данным и т.п) будет присвоен идентификационный номер, то это обезличивает персональные данные, т.к. по одному номеру нельзя определить человека.

В новом КоАП предполагается распространить ответственность за не обезличивание персональных данных с государственных и муниципальных органов власти на всех операторов. Все операторы будут обязаны обезличивать ПДн, которые обрабатывают.

Невыполнение подобных требований влечет предупреждение или наложение административного штрафа для всех операторов ПДн в размере от 3 до 6 тысяч рублей. Штрафы небольшие, но можно предположить, что это только начало.

Новый КоАП еще не принят, но вектор внимания уже определен. Для того чтобы нововведения не стали для вас сюрпризом, необходимо в 2024 году провести оценку соответствия процессов обработки и защиты персональных данных требованиям законодательства.

Проводить ее необходимо не реже, чем раз в три года. Это установлено законом.

  • Изучить все источники поступления ПДн в организацию, цели поступления и состав данных. К примеру, нужно понимать, что источники ПДн клиентов и сотрудников разные, и состав ПДн тоже разный.
  • Проанализировать, где и как организация получает ПДн — наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность получения персональных данных, их состав и цели обработки. Получение всех ПДн, которые попадают в организацию, без исключения должны подтверждаться подобными документами: корректно составленное соглашение по обработке ПДн на сайте, с которого компания получает ПДн клиентов, Соглашение по обработке ПДн с сотрудниками.
  • Изучить, какие и чьи ПДн в организации обрабатываются (в разрезе категорий физических лиц). Ориентируясь на ПДн клиентов и сотрудников, видно, что процесс их обработки и хранения разный. Доступ к ПДн сотрудников имеют отдел кадров, бухгалтерия, а к клиентским данным — та же бухгалтерия и коммерческий отдел.
  • Проверить наличие утвержденных локальных нормативных актов, определяющих порядок доступа сотрудников к персональным данным. Документы, в которых прописано, кто и за что отвечает.
  • Проанализировать соответствие процесса обработки локальным нормативным актам. Зачастую на практике бывает несоответствие.
  • Изучить ваших получателей персональных данных: кому, для каких целей и в каком составе передаются персональные данные. Опять же, практика показывает, что в некоторых организациях к ПДн допускаются сотрудники, не имеющие к ним отношения.
  • Проанализировать, на каких условиях передаются ПДн третьим лицам — обязательно наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность передачи персональных данных. Если зачисление зарплаты сотрудникам компании происходит через зарплатный проект банка, то компания обязана с каждым сотрудником, участвующем в зарплатном проекте, подписать соглашение о передаче его ПДн в этот банк.
  • Определить, какие персональные данные стоит обезличивать. К примеру, это данные, чей срок хранения официально вышел, но при этом характеристики клиента имеют ценность без необходимости идентификации физического лица.
  • Определить, какие согласия уже не имеют силы и которые надо скорректировать. Отсутствие отлаженной системы работы с ПДн в прошлом означает, что, возможно, часть документов уже не актуальна.
  • Изучить, как защищаются персональные данные в компании и от кого они реально защищены — только от внешних злоумышленников или от внутренних тоже? Очень часто данные клиентов утекают вместе с увольняющимися сотрудниками коммерческих отделов.
  • Составить годовой план и реализовать его. Необходимо разработать поэтапный план по реализации этих пунктов с учетом объема работы и времени на их выполнения.

Утечка ПДн может обернуться для компании не только финансовыми убытками, но и потерей репутации на рынке и разрывом отношений с партнерами. Поэтому важно изучить законодательство и вовремя принять меры. И здесь есть два пути:

  • делать все самостоятельно (силами организации);
  • доверить выполнение требований закона компаниям, которые могут провести независимый аудит по обработке ПДн и решить выявленные проблемы.

Как ужесточились требования к работе с персональными данными в 2024 году

За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.

Административная ответственность: штрафы

Работу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.

Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.

Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.

Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.

Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.

Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:

🔐 Персональные данные работника обрабатывают только с его письменного согласия.

🔐 Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.

🔐 Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ.

О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.

🔐 Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.

🔐 Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.

🔐 Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.

🔐 Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.

🔐 В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона.

Например, когда компания указывает, что собирает персональные данные для функционирования сайта, а на самом деле использует их в маркетинговых целях: для отправления рассылок и т.д.

ОТВЕТСТВЕННОСТЬ

Предупреждение или штраф для граждан от 1000 до 3000 рублей, для должностных лиц от 5000 до 10 000 рублей, для компаний – от 30 000 до 50 000 рублей.

Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Примеры:

  • работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
  • работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
  • продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
  • покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.

Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.

Оператор ПД – любой человек, ИП, компания, органы и учреждения государственной и муниципальной власти, которые осуществляют действия с ПД.

Примеры:

  • работодатель, обрабатывающий ПД своих работников;
  • продавец, обрабатывающий ПД клиентов-граждан;
  • госорганы, обрабатывающие ПД граждан при предоставлении государственных услуг;
  • владельцы сайтов, собирающие ПД пользователей сайта.

Согласие на обработку ПД – это добровольно принятое вами решение о предоставлении своих данных оператору для обработки в тех целях, которые им определены.

Согласие на обработку ПД должно быть оформлено:

  • письменно, если того требует закон (см. выше);
  • в остальных случаях закон допускает оформление согласия в любой иной форме, позволяющей подтвердить факт его получения оператором, например проставление галочки напротив текста о предоставлении согласия на сайте при регистрации (☑).

Пункты, которые обязательно должно содержать письменное согласие:

  • Ф.И.О., адрес, реквизиты паспорта или иного документа, удостоверяющего личность;
  • название организации или Ф.И.О. и адрес оператора;
  • цель обработки ПД – вы должны понимать, для чего вы даете согласие на обработку данных; если оператор станет обрабатывать ПД в иных целях, это будет считаться нарушением закона;
  • перечень ПД, которые будет обрабатывать оператор;
  • информация о лице, которое будет обрабатывать ваши ПД по поручению оператора. Например, работодатель передает ваши данные сторонней организации, которая оказывает бухгалтерские или кадровые услуги, – для этого вы должны предоставить свое согласие;
  • перечень действий, которые будет осуществлять оператор, т.е. что конкретно он может делать с ПД: собирать и хранить или собирать, хранить и передавать и т.д.;
  • срок, на который выдано согласие;
  • способ отзыва согласия;
  • подпись.

Персональные данные в 2021: как компаниям с ними работать и не получать штрафы

Можно. Предоставление согласия – дело добровольное. Исключением являются те случаи, когда оператор может обрабатывать ПД без вашего согласия (см. выше).

Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?

На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.

  • Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
  • Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.

    • С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.

  • Вас могут не пустить в здание, особенно если это режимный объект. Если на территории организации установлен особый пропускной режим, то отказ в пропуске может считаться законным, в том числе если вы не желаете дать согласие на обработку ПД.

    Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:

    • считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
    • считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.

Однако оба довода являются спорными.

Причин может быть несколько:

  • оператор хочет получить возможность обрабатывать ПД в целях, не связанных с выполнением договора; самый распространенный случай – нужно согласие на рассылку рекламных материалов;
  • оператор не понимает или не знает о случаях, в которых не требуется получение согласия;
  • оператор хочет перестраховаться.

Обработка персональных данных соискателей на период принятия решения работодателем о приеме на работу или об отказе должна осуществляться в соответствии с Законом о ПД.

Исключение будут составлять резюме, размещенные в открытом доступе в сети «Интернет», доступное неограниченному кругу лиц, а также присланные из кадрового агентства, так как в данном случае оператором будет выступать кадровое агентство.

В том случае, если типовая анкета для соискателей размещена на сайте работодателя, заполняя ее, соискатель должен поставить отметку в соответствующем поле, которая подтвердит согласие соискателя на обработку ПД.

Следует учитывать, что при направлении соискателем резюме по электронной форме, по которой не возможно определить лицо, его направившее, данное резюме подлежит уничтожению в день поступления.

При получении резюме непосредственно от соискателя на бумажном носителе, необходимо получить согласие на обработку ПД, при отказе дать согласие разъяснить последствия такого отказа согласно Закону о ПД.

Видимо автор вопроса подразумевает отказ клиента от обработки ПД в интернет-магазине.

Согласно Закону о ПД, обработка ПД возможна только с письменного согласия носителя ПД. В том случае, если на странице интернет-магазина не установлено окно с предложением — согласием на обработку ПД, то оператор нарушает действие Закона о ПД.

Если же на сайте есть указанное окно, то при отказе проставить «галочку» или не согласиться с обработкой ПД, заказ просто не будет оформлен и отправлен клиенту. Так как дистанционный способ продажи возможен при получении данных клиента (ФИО, адрес, эл.почта), которые попадают под действие Закона о ПД, при отсутствии идентифицировать покупателя, не будет возможности отправить товар.

Или же рассмотрим пример при возврате денежных средств за товар в соответствии с Законом о защите прав потребителей. Покупателю предложено для возврата денег из кассы предоставить согласие на обработку ПД. В данном случае, согласие необходимо, так как могут обрабатываться данные — ФИО, документ, удостоверяющий личность, телефон, электронная почта, те персональные данные, которые отвечают целям их обработки (ч. 4 ст. 5 Закона № 152-ФЗ).

Поэтому в случае возврата денежных средств по заявлению необходимо заручиться согласием на обработку ПД. В противном случае продавец будет нести ответственность согласно КоАП.

Указанная позиция подтверждена выводами постановления Верховного Суда РФ от 15.06.2015 № 25-АД15-3. В магазине потребителю, изъявившему желание вернуть товар продавцу, при наличии чека было предложено заполнить в обязательном порядке заявление, в котором требуется указать персональные данные гражданина для возврата денежных средств. Однако, по мнению покупателя, в соответствии с частью 5 ст. 5 Закона № 152-ФЗ истребование персональных данных является избыточным.

Рассмотрев соответствующие нормативные акты, ВС РФ заключил, что возврат денег покупателю из кассы организации на основании письменного заявления покупателя с указанием фамилии, имени, отчества и данных документа, удостоверяющего личность, не противоречит требованиям законодательства, истребование указанных персональных данных избыточным не является.

Как видим, ситуаций много и каждая должна рассматриваться отдельно. Так как юридически отношения оператор — носитель персональных данных могут регулироваться не только Законом о ПД № 152-ФЗ, но и иными законами, нормативными актами. Поэтому для получения ответа, рекомендуем указывать конкретную ситуацию с описанием проблемы.

Если у Вас еще нет разработанной формы согласия на обработку персональных данных или же Вы ходите привести документы в соответствие с 152-ФЗ рекомендуем Вам обратиться к консультанту в форму ниже.

    Пробегусь по пунктам новой статьи 10.1 Закона «О персональных данных». Это она определяет особенности публикации персональных данных. Подумайте заранее, как реализовать в вашей деятельности эти новшества.

    Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

    Это может выглядеть так: согласен на публикацию ФИО, не согласен на публикацию даты рождения. Посмотрим, что скажет РКН. Совершенно точно придется поломать голову над формулировками.

    Владельцев сайтов могут оштрафовать на 75 000 ₽ за персональные данные

    В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

    Например, один сайт написал про чиновника, второй сделал рерайт новости, третий — просто ее перепостил. Чиновник обиделся и написал жалобу в РКН.

    В этом примере доказывать, что есть общественный интерес персональным данным чиновника будут все три сайта. Вряд ли у них будет согласие на распространение ПД чиновника. А других законных оснований нет.

    В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

    Например, произошел слив базы данных банка в сеть. Кто-то их скопировал и опубликовал. Значит он будет доказывать законность распространения этой информации. Не знаю, получится ли у него это.

    В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

    Речь идет о том, что если вы намудрите в своей форме согласия, то обрабатывать персональные данные можно, но только без распространения.

    В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

    Тот же пример: намудрили непонятного в форме согласия — публиковать нельзя.

    Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

    Многозначительно промолчать в ответ на вопрос: «даете свое согласие на публикацию ваших данных на нашем сайте?» — означает нет.

    Персональные данные работников: как работодателю не нарушить закон

    В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

    Например, человек может разрешить опубликовать свои ФИО и возраст в отзывы на товар. Но тут же запретить передавать кому-нибудь еще. Например, вашему рекламному агентству. И ограничить человека в этом праве нельзя.

    1. Законодательство в сфере сбора и обработки персональных данных ужесточилось, а штрафы для предпринимателей выросли в разы. Дальше — больше.
    2. Почти все юридические лица и ИП, которые собирают информацию о пользователе на сайте, считаются операторами персональных данных и попадают под действие 152-ФЗ.
    3. Закон чётко не определяет, что такое персональные данные. К ним относится любая информация о пользователе: имя, фамилия, телефон, ссылка на профиль в социальных сетях и другое.
    4. Для компаний, должностных лиц и ИП штрафы разные. Они также зависят от типа правонарушения.
    5. Чтобы соблюдать 152-ФЗ, надо зарегистрироваться как оператор персональных данных, составить политику обработки персональных данных и согласие на обработку персональных данных, повесить на сайт уведомление о сборе метаданных и подготовить несколько десятков бумажных документов.

    Для минимизации рисков привлечения к ответственности за нарушения в области ПДн рекомендуем компаниям заранее провести проверку соблюдения требований законодательства о ПДн и устранить выявленные нарушения. Это позволит в том числе заблаговременно подготовиться к возможным контрольным мероприятиям Роскомнадзора с целью управления рисками (их исключения, минимизации) привлечения к ответственности и применения иных мер принуждения по результатам такого контроля.

    Персональные данные – понятие довольно широкое. В него обязательно включаются сведения из паспорта человека: фамилия, имя, отчество, пол, дата и место рождения, адрес проживания, номера ИНН, СНИЛС.

    Кроме того, в персональные данные входит информация о национальной и религиозной принадлежности, семейном положении, здоровье, воинском учете, образовании, получаемых гражданином доходах, затратах, льготах, пособиях и субсидиях.

    Сюда же причисляются сведения из трудового договора, дополнительных соглашений к нему, результаты профессиональных собеседований, анкет и тестов, заявления, объяснительные и т.п. документы, касаемые деятельности человека по месту работы.

    Персональные данные: ответы на популярные вопросы

    В том случае, если перед вами встала необходимость по составлению отказа от предоставления персональных данных, а вы не знаете, как сделать это правильно и без ошибок, прочитайте расположенные ниже рекомендации и посмотрите пример – на его основе у вас без особых усилий получится сформировать собственный документ.

    Прежде всего, дадим общую информацию, которая касается всех подобного рода бумаг. Сейчас единого стандарта такого отказа нет, что фактически обозначает то, что писать его разрешается в свободной форме. Также можно сделать его по типу разработанного и утвержденного внутри учреждения шаблону документа, если конечно, таковой имеет место быть.

    Для отказа подойдет как обычный лист бумаги любого удобного формата (предпочтительно А5 или А4) или фирменный бланк (как правило, если такое требование устанавливается внутри компании). Отказ допустимо набирать на компьютере (с обязательным последующим распечатыванием), либо же писать собственноручно – в случае необходимости доказать его подлинность этот фактор будет иметь значение.

    Отказ нужно делать в двух одинаковых экземплярах, один из которых следует передать адресату, второй – оставить у себя, предварительно заручившись на нем отметкой о вручении копии представителю учреждения.

    По своему составу отказ должен отвечать некоторым нормам делопроизводства, а по тексту содержать ряд определенных сведений. К последним можно отнести:

    • должность, ФИО руководителя;
    • наименование организации;
    • ФИО автора отказа;
    • его паспортные и контактные данные (для связи).

    Это будет «шапка» документа, которая всегда расположена вверху бланка, слева или справа.

    В основной части следует обозначить:

    • свое несогласие с предоставлением персональных данных;
    • обоснование отказа (здесь нужно сослаться на норму закона или Конституции РФ, которые в равной степени дают такое право);
    • если вы были ознакомлены с последствием своего отказа, об этом следует сделать соответствующую отметку;
    • также дать отметку о том, что за вами остается возможность обжаловать возможные санкции в суде.

    Остальную информацию можно вносить в зависимости от потребностей и индивидуальных обстоятельств.

    Бланк должен быть обязательно датирован и подписан тем, кто его составил – без его автографа он не обретет законного статуса.

    Способы защиты данного нарушенного права различны. Жалоба на незаконное использование персональных данных может быть подана в правоохранительные органы либо непосредственно в суд.

    В зависимости от выбранного способа существуют различные последствия для нарушителя. Результатом направлении жалобы в адрес правоохранителей является привлечение виновника к административной либо уголовной ответственности. Обращение в полицию с соответствующим заявлением особенно актуально в случае, если сведения о распространителе не известны. Иными словами – не достаточно данных виновника нарушения прав для определения его в суде в качестве ответчика. В таком случае задачей государственного органа будет установление лица, допустившего незаконное распространение данных о личности.

    Целью подачи заявления в суд, в отличие от обращения в полицию, выступает предъявление денежного требования к ответчику в качестве компенсации за незаконное распространение личных данных. При этом, такое заявление обязательно должно отвечать установленным процессуальным кодексом требованиям к исковому порядку.

    Немаловажно отметить, что при решении вопроса куда жаловаться на разглашение персональных данных, необходимо знать – оба рассмотренных способа не противоречат друг другу и могут быть реализованы одновременно. Применение всевозможных процедур защиты нарушенного права напротив имеет максимальный положительный эффект. По сути жалоба в правоохранительные органы и иск в суд будут дополнять друг друга. Установленные фактические данные в полиции будут дополнительным доказательством в суде и упростят рассмотрение гражданского иска.

    Несмотря на ответственность за разглашение сведений о личности, получение и дальнейшая работа с такого рода информацией возможна в правовом поле. Соблюдение обязательных требований получения, сбора и обработки данных гражданина позволит их применять совершенно законно без страха наступления ответственности. При этом, передача персональных данных третьим лицам должна происходить только в случае согласии лица. Такое одобрение должно быть зафиксировано в электронном виде либо на бумажном носителе.

    В соответствующем соглашение на персональные данные должно быть отмечено:

    1. Сведения о лице, которое дает согласие. Подобное право принадлежит исключительно самому человеку и неразрывно с ним связано. Поэтому согласие следует получить у самого лица непосредственно. Передача этого права. например по доверенности не допустима.
    2. Перечень информации, согласие на получение и дальнейшие действия с которой одобряет лицо. Круг вопросов, входящих в персональные данные, крайне обширен. В этой связи, согласие на получение одних сведений, например, паспортных данных, очевидно не позволяет получать и распространять всю оставшуюся информацию о личности.
    3. Список лиц, которым разрешен доступ к информации. Законный порядок передачи персональных данных третьим лицам обуславливает наличие ограничений в части круга лиц, которые вправе обрабатывать личные данные. По этой причине следует отметить перечень доверенных лиц, получивших право на обработку персональных данных.
    4. Срок действия согласия. Соглашением на обработку персональных данных может быть предусмотрен период, в течение которого допускается возможность использования данных о личности. Применение полученных от человека сведений за пределами оговоренного срока в равной степени признается незаконным распространением персональных данных с соответствующими последствиями.
    5. Порядок отзыва согласия. По общему правилу отозвать разрешение в части персональных данных возможно в любой момент. Для этого требуется подача соответствующего письменного заявления с указанием на прекращение действия разрешения на персональные данные. Вместе с тем, дополнительно в соглашении допустимо предусмотреть каким именно образом и способом возможно сообщить об отзыве согласия на обработку персональных данных.

    В Федеральную службу по надзору в сфере защиты прав потребителей и благополучия человека

    В Центральный банк Российской Федерации

    От П.

    Жалоба на использование персональных данных

    Между мной, П., и ОАО «Уралвнешторгбанк» был заключен кредитный договор который был исполнен путем фактического исполнения в 2006 году. 2 месяца назад в мой адрес постоянно начали поступать звонки от лиц, представляющихся сотрудниками организации «Первое коллекторское бюро» с требованием оплатить задолженность по указанному выше кредиту 2 700 рублей. Однако кредит мной давно погашен, задолженности, в том числе пени я не имею, об указанных обстоятельствах я неоднократно сообщал звонившим мне работникам коллекторского агентства, однако никакого результата не последовало.

    В настоящее время ОАО «Уралвнешторгбанк» не существует, поэтому обратиться в банк для урегулирования данного вопроса не представляется возможным.

    В результате неправомерных действий сотрудников НАО «Первое коллекторское бюро» нарушается покой и благополучие моей семьи.

    Кроме того, звонки поступают мне на работу, сотрудники коллекторского агентства в ходе этих телефонных разговоров вводят в заблуждение моих коллег и начальство, передавая им информацию, не соответствующую действительности, таким образом дискредитируя меня.

    Звонки поступают со следующих номеров телефонов: …

    Таким образом, необходимо сделать вывод что ПАО «Бинбанк», являющееся правопреемником ОАО «Уралвнешторгбанк» нарушило закон о банковской тайне и сообщило мои конфиденциальные данные третьим лицам.

    В связи с давностью получения и выплаты кредита у меня не сохранилось никаких документов, ни кредитного договора, ни графика платежей, ни документов подтверждающих погашение кредита. В связи с вышеизложенным, считаю необходимым запросить ПАО «Бинбанк», сведения об отсутствии у меня задолженности по кредиту.

    Ст. 26 Федерального закона о банках и банковской деятельности гласит, Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.

    Новое в Законе «О персональных данных» 2021. Что нас ждет?

    г. Екатеринбург, пер. Отдельный, 5

    остановка транспорта Гагарина

    Трамвай: А, 8, 13, 15, 23

    Автобус: 61, 25, 18, 14, 15

    Троллейбус: 20, 6, 7, 19

    Маршрутное такси: 70, 77, 04, 67

    При заполнении формы заявки на покупку товара в интернете согласие покупателя на обработку персональных данных можно получить с помощью электронной цифровой подписи или акцепта покупателем оферты магазина. Вариант с акцептом оферты работает, когда продавец может идентифицировать клиента, который дал согласие, то есть знает, что его покупатель – Петрова Мария Ивановна, а не абстрактный пользователь сети интернет.

    Аналогично интернет-магазинам, но с некоторыми оговорками. Для согласия можно использовать акцепт пользовательского соглашения (это не оферта), если идентифицировать не-покупателя.

    Идентифицировать – это не галочка-согласие с пользовательским соглашением. Идентифицировать – значит установить личность. Не обязательно запрашивать паспорт (хотя можно) – можно использовать отправку кода подтверждения на номер телефона не-покупателя.

    Предупреждение или штраф от 5 до 10 тысяч рублей для ИП и самозанятых или от 30 до 50 тысяч рублей для юридических лиц.

    Всё, что описано выше, не касалось биометрических и особо чувствительных (вероисповедание и так далее) персональных данных, а также передачи персональных данных зарубеж. Там нужно письменное согласие человека на обработку этой категории данных.

    Ответы Роскомнадзора на вопросы о персональных данных

    «Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными» (ч.2 ст.3).

    Однако из данного правила есть исключение.

    «Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора» (ч.3 ст.6).

    Указанные лица не определяют «цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными», а потому не считаются операторами персональных данных.

    На практике к таким лицам могут относиться любые консалтинговые и сервисные компании, включая облачные сервисы. Персональные данные предоставляются клиентами, они же и несут ответственность за легальность их обработки.

    Аналогично любые сервисы не должны отвечать за обработку ПДн сотрудников клиентов, которые последние самостоятельно загружают в сервис. Именно клиент должен получить согласие субъекта персональных данных на передачу сервису и их обработку соответствующими способами.

    Выводы

    Не спешите хоронить считать себя оператором. Возможно, вы получили персональные данные для обработки от оператора, а не субъекта персональных данных.

    Действительно, в ФЗ «О персональных данных» есть норма о публикации Политики конфиденциальности:

    «Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети» (ч.2 ст.18.1).

    Однако не забывайте о возможных исключениях из данного правила.

    Во-первых, не все сведения о физическом лице относятся к персональным данным (см. миф 1).

    Во-вторых, такие правила не возлагаются на лицо, осуществляющее обработку персональных данных по поручению оператора (см. миф 2 выше).

    В-третьих, сам ФЗ «О персональных данных» не возлагает на физических лиц (в том числе ИП) обязанность издания документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных. Такие документы должны издаваться только юридическими лицами (пп.2 ч.1 ст.18.1).

    Многие консультанты рекомендуют подать уведомление в Роскомнадзор для включения в реестр операторов персональных данных, ссылаясь на данную норму:

    «Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных» (ч.1 ст.22).

    Однако при этом забывают, что в той же статье закона предусмотрены исключения из данного правила. К рассматриваемой ситуации обработки ПДн частным интернет-сервисом относятся минимум два основания освобождения от обязанности подачи уведомления.

    В частности оператор вправе осуществлять без уведомления Роскомнадзора обработку следующих персональных данных:

    • «полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных» (пп.2 ч.2 ст.22)
    • «сделанных субъектом персональных данных общедоступными» (пп.4 ч.2 ст.22)

    Выводы

    В первом случае для обработки ПДн без уведомления Роскомнадзора достаточно предложить пользователю принять пользовательское соглашение, которое по сути является договором. Для получения сообщений на номер телефона и адрес электронной почты в любом случае необходимо получать согласие пользователя, поэтому принятие пользовательского соглашение решает две задачи одновременно: с одной стороны вы легально используете данные без уведомления Роскомнадзора, с другой – получаете согласие на обращение к пользователю по указанным номерам и адресам, включая при необходимости рекламную рассылку.

    Второе исключение из правил касается общедоступных данных. Это основание может пригодиться социальной сети, доске объявлений или сайту поиска работы, где пользователи самостоятельно делают доступной информацию о себе. В таком случае нет необходимости не только уведомлять Роскомнадзор об обработки данной категории ПДн, но и получать дополнительное согласие пользователя на их обработку.

    Помимо этого вспомните, что не все лица, осуществляющие обработку ПДн считаются операторами. Некоторые из них действуют по поручению оператора (см. миф 2 выше). Поэтому им не нужно направлять уведомление в Роскомнадзор об обработке ПДн, предоставленных оператором.

    Отдельного упоминания заслуживает регомендация встать на учет «как бы чего не вышло». Это во всех отношениях вредный совет, т.к. Роскомнадзор должен проводить плановые проверки операторов, включенных в реестр. И тогда вам простая политика конфиденциальности не поможет: спросят все внутренние регламенты по информационно йбезопасности и проверят фактическое выполнение!

    Обращайте внимание на детали – в них кроется юрист дьявол.

    Хотите проверить или составить Политику конфиденциальности?

    Заинтересовала услуга? Не нашли ответа?
    Узнать цену Задать вопрос

    Персональные данные Документ для сайта

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *