Обязана ли я давать согласие на обработку персональных данных?

Портал поддержки федеральных систем в сфере образования

Обязана ли я давать согласие на обработку персональных данных?

На начальных этапах мы сталкивались с такими людьми, но сейчас их становится все меньше и меньше. Мы решали все путем объяснения, что это необходимо, что без этого сейчас никуда, что ЭЖ ведутся во всех школах, что запись в детский сад во всех садах, и везде одни правила регламентированный законодательством.

И мы (как сотрудники образовательной организации) не хотим нарушать закон, и что мы должны Вас внести в систему, а для этого Вам необходимо подписать согласие, так же приводили множество примеров где их персональные данные уже включены в какие-либо информационные системы: Пенсионный фонд, Банки, Налоговая и т.д. Примеров масса.

Поэтому соглашаются.

к сожалению у нас стали появляться верующие с таким настроем- им объясняют, но ….в ответ только отрицательная реакция. Вот я про граждан с такой позицией и спрашивал….

Уговоры не помогут. Наши граждане-товарищи суд против системы егэ выиграли в этом году. Уже боюсь, что начнется, когда Контингент запустим. По первой ситуации – отказываемся принимать заявление, т.к. регистрация заявления – уже обработка, а обрабатывать они нам не разрешают.

По второй ситуации. Что мешает заводить ребенка в систему без перс.данных, используя для идентификации лишь номер заявления? Вводим дату рождения, желаемый год, потребности по группам и садам.

тогда возвращаемся к тому, что надо вносить изменения в приказы 293 и 32 – там то пункты о подписании согласия об обработке ПДн остались….

вот еще какая доп. информация: В соответствии со статьей 3 Федерального закона № 152-ФЗ под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В соответствии с частью 1 статьи 6 Федерального закона № 152-ФЗ обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных указанным Федеральным законом. Обработка персональных данных допускается в том числе в случае, если такая обработка осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Обработка персональных данных обучающихся осуществляется в том числе для внесения информации в ИС. В случае отказа от обработки персональных данных обучающегося они не должны вноситься ИС. Таким образом, без согласия субъекта персональных данных или его представителя (в случае, если речь идет о несовершеннолетнем гражданине), внесение сведений в ИС запрещено!

Поэтому может получиться ситуация, когда заявитель подал лично заявление о постановке на учет в очередь, но согласия не дал….

Не очень понятно, с какой целью надо вносить изменения в 293 и 32 приказ относительно данной темы? Обработка данных ребенка идет и без всяких систем, что тоже попадает под Закон. Мы принимаем заявление, содержащее ПДн, оформляем договор с ПДн, копию храним у себя, оформляем приказ с ПДн, который мы не можем не хранить. Так что не дает согласия на обработку – не принимаем заявление на основании того, что он нам на это не дал согласие. Пусть занимается образованием вне образовательной организации. Такая форма тоже существует. Большинство ненормальных родителей разрешают обработку только в бумажном виде либо и в электронном, но в рамках образовательной организации, без передачи третьим лицам.

По таким случаям ввиду отсутствия закона, который освободил бы нас от обязанности брать согласия, лично я не вижу других вариантов, кроме как вести в ИС данные по ребенку без ПДн.

статья то в 210 фз есть, на которую можно сослаться и не брать согласие – но только согласие с заявителя услуги…. Тогда надо вводить основание для отказа в приеме заявлений!

только на учет как вы поставите ребенка в ДОО в ИС, если родитель не даст вам согласие- откажитесь принимать заявление?

Если откажется от ручной обработки – не брать, потому что он вам не разрешил брать.

Если согласен только на ручную обработку, в ис пдн не вводятся. Для распределения вам нужна только дата рождения, по дате рождения однозначно определить, что это за человек, невозможно. Вся идентификация идет по индивидуальному номеру очереди, который присваивается ребенку

Я написал официальный запрос в Роскомнадзор, на его ответ и будем опираться. Ждем…

я также поступил неделю назад….

В 293 приказе еще интересный есть п. 17 “Распорядительный акт размещается на информационном стенде образовательной организации и на официальном сайте образовательной организации в сети Интернет”.

Мы обратились в Роскомнадзор за разъяснениями. По цепочке дошло до МОН. в итоге от них появилось письмо

Да-да, мы еще летом 2014 получали из Роскомнадзора письмо, пока договорились с региональным Роскомнадзором по размещению на сайтах информации о зачисленных детях таким образом: сами приказы размещаются на информационном стенде для родителей в зданиях ДОО, т.е.

фактически для доступа ограниченного круга лиц (в ДОО без регистрации пришедших не попадешь…

), по сайтам- вывешивается выписка из приказа, где вместо ПДн указывается № зарегистрированного заявления, заявитель введя этот номер в ИС сможет получить данные , при этом эти данные в ИС (открытой части) не содержать ПДн ребенка! Так что то родитель, у которого на руках выписка из системы с номером , не приходя в ДОО может ознакомиться с информацией о зачислении… И Роскомнадзор доволен- ПДн не размещены на сайтах, и приказ 293 выполнили- разместили на сайте… Пока только такой выход придумали. По приему в школы- рекомендовали на сайтах школ также размещать инфу о зачисленных в обезличенном виде….

А на стендах с персоналкой? Но ведь их видят и другие родители. А если заявитель против этого, приказы не вывешивать?

мы выполняем приказы 32 и 293, но не предоставляем доступ к ПДн к неограниченному кругу лиц (в сети Интернет) о чем и говорит Роскомнадзор+ данные, размещаемые в приказе не позволяют идентифицировать человека – фамилия и инициалы в приказе (как пример)

мы же должны зачислить конкретного ребенка. т.е. приказы должны однозначно идентифицировать тех, кого мы зачислили. и в 293 приказе написано про выставление приказов, а не выписок из них.

лично я не особо понимаю, зачем приказы вывешивать надо куда-либо. что это кому-то дает?

я думаю для идентификации ребенка родителю достаточно Фамилии и инициалов ребенка + номер заявления (он же уникальный), и только инициалы не позволяют соотнести конкретного человека и его ПДн….

А по поводу вывешивания- ну идея , наверное, в том, что есть заявитель- например- родитель, очень занятой или ленивый – он хочет через интернет подать заявление и практически не посещая ДОО или школу получить также дистанционно через интернет информацию о результатах рассмотрения.

И наоборот- у заявителя нет возможности или желания использовать интернет, он пешком идет в ДОО или школу и лично подает заявление, а потом должен иметь возможность прийти и лично увидеть результат рассмотрения его заявления в виде приказа о зачислении – где увидеть? на стенде в здании ДОО или школы….

Про приказ – он же не для родителей делается. Это нормативный документ. Для родителей можно вывешивать индивидуальные номера в сообщении, что такие-то зачислены по такому-то приказу.

По поводу не ходить. Ему все равно придется прийти для заключения договора. А приказ – просто важная формальность, которая делается в течение 3 дней с момента заключения договора.

Вопрос по теме кто-нибудь из коллег по образованию поделитесь пожалуйста для всех вашим документом- Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные – если вы делали для физ.лиц, получающих услуги по 210 – фз…. особенно что касается приема в ДОО и школы… Либо, если нет такого- предложениями по формулировкам положений такого документа…

ТИПОВАЯ ФОРМА РАЗЪЯСНЕНИЯ юридических последствий отказа предоставить свои персональные данные Мне, _________________________________________________________ (фамилия, имя, отчество) проживающий (-ая) по адресу ________________________________________ (адрес регистрации) __________________________________________________________________ (документ, удостоверяющий личность, серия, номер, кем и когда выдан) в соответствии с частью 2 статьи 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» разъяснены юридические последствия отказа предоставить свои персональные данные _________________________________________________________________________________ (далее – _______), зарегистрированному по адресу: _____________________________________________________________. В соответствии со статьей __________________________________________________________________ и «Правилами обработки персональных данных в ____________________________________________________________», утвержденными приказом директора _______ от «__» ________ 201_ г. № _____, определён перечень персональных данных, которые субъект персональных данных обязан предоставить уполномоченным лицам _____ в связи с _________________________. Я предупрежден (-а), что в случае отказа предоставить свои персональные данные уполномоченным лицам ______________ предоставление _______________________ услуги не может быть выполнено в полном объеме. «__» __________ 201_ г. _____________ (________________) (подпись) (расшифровка)

как вариант, но надо дозаполнить….

форма об отказе предоставлять персональные данные, включающая персональные данные – это круто!

Источник: http://fedproekt.ru/42/o-roditelyah-otkazyvayushchihsya-davat-soglasie-na-obrabotku-personalnyy-dannyh

152-ФЗ: Согласие на обработку персональных данных и пресловутая Политика конфиденциальности

Обязана ли я давать согласие на обработку персональных данных?

СМИ пишут об изменениях в законе о персональных данных, согласно которым с июля 2017 года требуется получать согласие на обработку персональных данных во всех случаях, когда пользователь интернета предоставляет какие-либо свои данные. Мол, даже под любой формой обратной связи на сайте должно быть согласие на обработку персональных данных.

Пишут, что и Роскомнадзор надо уведомить о том, что компания по указанной выше причине является оператором персональных данных.

Предупреждают, что нарушение правил обработки персональных данных приведет к наложению штрафа в размере 300.000 руб. Такого размера штрафа в ст. 13.11 КоАП нет, это сумма максимальных штрафов по всем перечисленным в статье нарушениям правил обработки персональных данных.

Разберемся в этой надуманной проблеме получения согласия на обработку персональных данных!

Рассмотрим:

  1. В каком случае не требуется получать согласие на обработку персональных данных.
  2. В каких случаях нужно уведомлять Роскомнадзор об обработке персональных данных.
  3. Что считать персональными данными.
  4. Когда нужны Политика конфиденциальности на сайте и Положение о персональных данных.
  5. Когда согласие на обработку персональных данных должно содержать полные паспортные данных.

C июля 2017 года изменения были внесены не в закон №152-ФЗ о персональных данных, а в ст. 13.11 Кодекса об административных правонарушениях. Иными словами, требования к обработке персональных данных остались прежними, изменили наказание за нарушение закона.

1. Согласие на обработку персональных данных не требуется, если данные нужны для исполнения договора или сделаны общедоступными по желанию субъекта

Вот оно то, что Роскомнадзор, многие юристы и следом предприниматели как будто в законе не замечают.

Ну правда, разве интернет-магазин заинтересован в персональных данных своих клиентов? Нет!

  • Имя нужно, чтобы как-то обращаться,
  • имейл, чтобы поддерживать связь, а теперь еще (тоже с июля 2017) и отправлять онлайн чек (в связи с этим очаровательным пакетом изменений, называемым “онлайн кассы”),
  • телефон, чтобы держать связь в целях доставки товаров,
  • адрес, чтобы доставить товар,
  • хотите возраст, социальное положение? зачем? Чтобы делать индивидуальные предложения, давать таргетированную рекламу? Так и укажите!
  • И так далее.

Вы можете собирать много данных, но все они нужны для совершения вами какого-то действия в отношении cyбъeктa персональных данных. То есть реально они вам нужны для исполнения договора с ним. Вот это и должно быть в вашем договоре.

Пункт 5.8 Правил ВКонтакте: “Поскольку Администрация Сайта осуществляет обработку персональных данных Пользователя в целях исполнения настоящих Правил, в силу положений законодательства о персональных данных согласие Пользователя на обработку его персональных данных не требуется”.

Это так просто! Никакой паники. Никаких штрафов. Никаких согласий на обработку персональных данных.

Закон 152-ФЗ о персональных данных

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия cyбъeктa персональных данных на обработку его персональных данных;

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных)…

Помните, однако, что ряд действий требует согласия (например, передача данных службе доставки), поэтому имеет значение, как данные предоставляются и как это юридически оформлено. Надежнее получить консультацию и заказать документы юристам.

2. Уведомление Роскомнадзора об обработке персональных данных

Штраф за неуведомление Роскомнадзора согласно ст. 19.7 КоАП составляет для юрлиц до 5.000 руб.

Большинству лиц не требуется уведомлять Роскомнадзор об обработке персональных данных!

Сейчас в реестре операторов, осуществляющих обработку персональных данных, около 388 тыс. лиц. В их числе нет, например, ВКонтакте.

Вы же не поверите в логику, что крупнейшей социальной сети не требуется “регистрироваться” в качестве оператора, а вашему интернет-магазину, интернет-сервису или вообще простому сайту-визитке с формой обратной связи вдруг необходимо?

Смотрим раздел 1 настоящей статьи – когда не требуется получать согласие на обработку персональных данных. В указанных же ситуациях не требуется уведомлять и Роскомнадзор об обработке персональных данных.

Не вносите вклад в дурную практику получения согласия на обработку персональных данных всегда и везде (как это рекомендуют делать юристы сомнительного уровня, например, Единого центра документов).

3. Что относится к персональным данным?

Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 федерального закона от 27.07.2006 №152-ФЗ “О персональных данных”).

Ни закон, ни подзаконные акты не содержат четкого указания на то, что относится к персональным данным.

Серьезные проблемы связаны с “определяемым” физическим лицом. Определяемым кем и как? По интернету любым лицом с проведением собственного поиска (насколько глубокого, насколько профессионального?)? В результате общения со знакомыми? Детективом? Полицией? ФСБ? Судом?

В ряде случаев полные ФИО и регион относили к персональным данным, в ряде – нет.

Можно написать целую статью, но к однозначному выводу о том, что всегда будет относиться к персональным данным, а что никогда не будет, на текущий момент невозможно.

Например, можно ли номер паспорта сам по себе считать персональными данными? Едва ли. А номер телефона? Тоже. Но при появлении других сведений, например: имени и фамилии (прямо относятся к субъекту персональных данных) или идентификация человека через обстоятельства, известные события и т.п. (косвенно относятся), – то в связке с другими сведениями они могут стать персональными данными.

Именные ящики в собственных доменных именах, вероятно, могут быть сами по себе отнесены к персональным данным, а с помощью имейла типа [email protected] напрямую лицо не установить, разве что косвенно – через поиск по соответствующему адресу в интернете.

4. Политика конфиденциальности, Положение о персональных данных

Вот на это действительно надо обратить внимание.

Закон называет оператором персональных данных любое лицо, которое осуществляет любые действия с персональными данными. Хочется верить, цель законодателя едва ли была настолько глупой, чтобы фактически любое лицо провозгласить оператором персональных данных.

Однако согласно федеральному закону от 27.07.2006 №152-ФЗ “О персональных данных” любой владелец сайта, через который собираются персональные данные (даже в целях исполнения заказов), должен иметь на сайте Политику конфиденциальности (штраф – до 30.000 руб.

), а каждому работодателю или даже индивидуальному предпринимателю без работников, но заключающему договоры с физлицами, желательно иметь Положение об обработке персональных данных, которое по запросу Роскомнадзора он сможет предоставить в качестве доказательства принятия мер по защите обрабатываемых персональных данных (один из самых простых способов).

К слову, Роскомнадзор нередко трактует положения закона так, что Положение об обработке персональных данных как локальный документ (для внутреннего использования) должен быть у любого оператора персональных данных.

Подробнее в статье Политика конфиденциальности для сайта и Положение о персональных данных.

Наши юристы помогут вам разобраться в том, относится ли получаемая вами информация к персональным данным, и помогут правильно составить юридические документы, избавив от необходимости получать согласие на обработку персональных данных, т.к. в большинстве случаев персональные данные обрабатываются для исполнения договора с субъектом персональных данных.

5. Когда согласие на обработку персональных данных должно содержать полные паспортные данные

Не правда ли, очаровательно: хотите получить согласие на обработку достаточно ограниченного объема персональных данных, но обязаны потребовать целиком ФИО, адрес, паспортные данные. В противном случае – платим штраф до 75.000 руб.

Но закон!

Статья 9 ФЗ №152 от 27.07.2006 “О персональных данных”. Согласие субъекта персональных данных на обработку его персональных данных

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.

Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом…

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Статья 13.11 КоАП. Нарушение законодательства Российской Федерации в области персональных данных

2.

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, –

влечет наложение административного штрафа на граждан в размере от 3.000 до 5.000 рублей; на должностных лиц – от 10.000 до 20.000 рублей; на юридических лиц – от 15.000 до 75.000 тысяч рублей.

Случаи, в которых согласие на обработку персональных данных должно быть обязательно в письменной форме (а соответственно, должно включать в себя полные паспортные данные лица):

  • персональные данные предоставляются для размещения в общедоступных источниках (к которым относятся и сайты в интернете, но у них есть свои особенности по сравнению, в частности, с приведенными в законе примерами – справочниками и адресными книгами);
  • данные касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, если они не сделаны субъектом персональных данных общедоступными;
  • биометрические персональные данные (отпечатки пальцев, рост, вес, фотографии лица и другие), если они используются оператором для установления личности субъекта персональных данных, при этом Роскомнадзор полагает, что идентификация стороны по договору по паспорту, в том числе копирование паспорта в этих целях, не относится к обработке биометрических персональных данных, т.к. цели иные, т.е. такие данные обрабатываются на общих основаниях;
  • при проведении автоматических розыгрышей и иные случаи, когда юридические последствия порождаются исключительно компьютером (например, розыгрыши скидок, призов среди клиентов);
  • другие случаи, предусмотренные законодательством.

Источник: https://kolosov.info/kommentarii/soglasie-na-obrabotku-personalnyh-dannyh-i-politika-konfidencialnosti

Зачем нужно согласие на обработку персональных данных — Право на vc.ru

Обязана ли я давать согласие на обработку персональных данных?

Хотите иметь дело с проверкой Роскомнадзором своего ИТ-продукта или сайта? А потом ещё платить штраф, нести ответственность?

Думаю, что нет. Поэтому, давайте, начнём разбирать что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов.

Немного теории

Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

1) нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

– Физическое лицо: предупреждение или штраф в размере 1 000 – 3 000 рублей;

– Должностное лицо: штраф в размере от 5 000 – 10 000 рублей;

– Юридическое лицо: штраф в размере 30 000 – 50 000 рублей;

2) Обработка персональных данных без согласия гражданина приведет:

– Физическое лицо: штраф в размере 3 000 – 5 000 рублей;

– Должностное лицо: штраф в размере от 10 000 – 20 000 рублей;

– Юридическое лицо: штраф в размере 15 000 – 75 000 рублей;

3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:

– Физическое лицо: штраф в размере 700 – 1 500 рублей;

– Должностное лицо: штраф в размере от 3 000 – 6 000 рублей;

– Индивидуальный предприниматель: штраф в размере от 5 000 – 10 000 рублей

– Юридическое лицо: штраф в размере 15 000 – 30 000 рублей;

Первоначально определимся с основными понятиями и поймём, что же они значат (неформальное объяснение по тексту будет обозначаться “Д”, это от слова description):

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Д: это любая совокупность информации, через которую можно определить определенного человека. К примеру, абстрактная электронная почта, допустим posledni_kaktus_naokne@bk.

ru – не относится к ПД, однако электронная почта с рабочим адресом допустим, ivan.ivanov@romashka.ru с подписью в письме “Главный инженер” – относятся к персональным данным, т.к.

мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации “Ромашка”.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Д: это вы, собирающий персональные данные. Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека – и вот вы уже владелец персональных данных в лице оператора.

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Д: это любые действия, которые вы совершаете как оператор.

Самый большой штраф как вы видите – это за сбор ПД гражданина без согласия, поэтому в статье будем говорить в основном об этом.

Определим сразу случаи, когда согласие на обработку ПД не надо собирать в соответствии с законодательством Российской Федерации:

1. Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.

Д: когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.

2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Д: когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные. Сюда подходит и оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент когда собираете ПД – наступает раньше.

3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.

Д: вы обезличиваете данные физического лица и “размываете” их в море других данных, соответственно определить кому что принадлежит – невозможно даже вам.

4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

Д: данный пункт не относится к интернет-проектам, но для понимания ситуации, пример, когда приезжает частная медицинская бригада и оказывает помощь.

5. Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.

Д: если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги – нет необходимости требовать согласия на обработку ПД.

6. Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

7. Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Д: не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством Российской Российской Федерации.

Во всех остальных случаях, при контакте и сборе ПД от физического лица – вы должны получать его согласие и иначе никак – закон есть закон!

Что делать

Теперь разберём как собирать ПД и получать согласие.

Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных.

Если у вас юридическое лицо или вы – индивидуальный предприниматель – вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии.

Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах – относится не только к работе с потребителями, но и с работниками.

Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.

Самое главное по теме.

Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.

При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!

Немного юридического обоснования чекбоксов, а как называет Роскомнадзор – “галочек”:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:

“4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью…”.

Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:

“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме.

Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.

Подать уведомление об обработке ПДн в Роскомнадзор.

В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД.

За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется:

– политика обработки персональных данных;

– приказ об утверждении вышеуказанной политики;

– согласие на обработку персональных данных;

– чекбокс с гиперссылкой на вышеуказанное согласие.

Всё это требуется опубликовать на сайте и / или в приложении.

И зачем всё это вообще?

Для чего же это вообще нужно? Зачем нужно беспокоиться о персональных данных и о получении согласия пользователя на их обработку?

Конечно, это прежде всего административная (штрафы, блокировка) и гражданская (причинение вреда) ответственность – такие вещи могут очень серьёзно повлиять на бизнес. Но есть ещё такая штука как частная жизнь граждан, как злоупотребление правом и недобросовестная реклама продавцов.

Я на 100% уверен, что каждый из нас не любит, когда на телефон приходит спам, реклама, а посередине ночи будит смс или звонок с просьбой “срочно перевести деньги, а то в тюрьму посадят”. А всё это происходит из-за ненадлежащего исполнения лицами, осуществляющими сбор персональных данных, своих обязательств.

И согласие на обработку ПД – всего лишь часть механизма, который должен обеспечивать нашу с вами защиту как граждан и повышать социальную ответственность.

К сожалению, такие полезные институты и механизмы могут превратиться в инструмент для давления… И мы как юристы должны эффективно использовать законы и максимально обезопасить бизнес от этого.

Так что, если вы выполнили все условия и шаги из настоящей статьи, то поздравляем – вы не только уменьшили вероятность быть оштрафованным и привлеченным к ответственности (работа с ПД физических лиц лишь небольшая часть правовой политики ИТ-продукта), но и сделали шаг к социально-ориентированному Интернет-пространству, уважающему личные данные пользователей!

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать

Источник: https://vc.ru/legal/46868-zachem-nuzhno-soglasie-na-obrabotku-personalnyh-dannyh

Газета

Обязана ли я давать согласие на обработку персональных данных?

В последнее время нам все чаще предлагают поставить свою подпись под фразой «О согласии на использование и обработку персональных данных»: в любых социальных и финансовых учреждениях, коммунальных службах, при приеме на работу.

Требуют наши «добровольные
согласия» сегодня в ВУЗах, школах, детских садах, поликлиниках и даже библиотеках! Не отстают магазины, гостиничные и ресторанные комплексы – для получения дисконтной карты вы обязаны заполнить и подписать анкету, где внизу мелким шрифтом обозначено ваше согласие на обработку персональных данных.

Для чего это нужно: с целью безобидного учета или для превращения человека в бесправное приложение к мировой электронной системе? Давайте разбираться.


Что представляют собой персональные данные человека и кому они нужны?

Итак, понятие «персональные данные человека» включает в себя не только его имя, отчество, фамилию и адрес регистрации,
как мы привыкли понимать.

Это полностью вся информация, которая прямо или косвенно касается конкретного физического лица: биометрические
данные, сведения о состоянии здоровья и физиологические особенности, национальность, вероисповедание, состав семьи, наличие судимости, информация о сфере занятости, финансовые доходы и прочее.

В 2005 году Россия утвердила Конвенцию Совета Европы «О защите физических лиц при автоматической обработке персональных данных».

После чего был принят Федеральный закон (ФЗ-№152) «О персональных данных», основные положения которого повторяет вышеуказанный международный акт.

Большая часть людей думает, что закон предусматривает защиту личных данных человека. Но так ли это на самом деле?

Особенно настораживает в документе такое понятие как «автоматическая обработка данных», которое предусматривает как накопление и хранение данных личности, так и передачу их третьим лицам и использование в различных целях. Право выполнять эти действия принадлежит так называемому оператору, выступать в роли которого могут юридические или физические лица, государственные структуры, коммерческие организации.

Но главным нашим оператором является коммерческая структура ОАО «Ростелеком» и Минкомсвязь (Минцифра). Именно они обладают правом определять состав персональных данных, цели их обработки и совершать над ними любые действия.

Что скрывается за понятиями «использование» и «обработка» персональных данных?

Казалось бы, зачем больницам, учебным заведениям, ЖЭКам, работодателям стало необходимо предоставлять такую полную информацию о себе,
своей семье, материальном положении, если совсем недавно еще не было этой надобности? Такой жестких сбор всех личных данных начался
с принятием Федерального закона № 210
«Об организации предоставления государственных и муниципальных услуг», после чего во всю и заработали ранее принятый закон «О персональных данных».

Кому это нужно?Безусловно, не социальным и коммерческим структурам – они только инструмент для сбора информации. Все данные будут фиксироваться непосредственно у главного оператора – ОАО«Ростелеком» и Минкомсвязь (Минцифра), которые планируют в скором времени обеспечить всех граждан электронными документами и запустить активную тщательную обработку каждого человека.

А что подразумевается под словом «обработка» и «использование»? Граждане понимает под этим понятием банальный сбор и хранение информации. А на что на самом деле соглашается человек?

В п. 3 ч. 1 ст. 3 ФЗ № 152 это обозначено следующим образом:

«Обработка» включает в себя любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), ОБЕЗЛИЧИВАНИЕ, БЛОКИРОВАНИЕ, УДАЛЕНИЕ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ».

Таким образом, люди добровольно передают в чужие руки разрешение распоряжаться своей личной жизнью.

Теперь главный оператор, в будущем обеспечив вас электронным биометрическим документом, будет обладать всей полной информацией,

касающейся вашего здоровья, наличия родственников, социальных выплат, совершенных сделок, налогах, хозяйственных покупок и даже передвижения! И, если вы, как обладатель универсальной электронной карты, будете не согласны с некоторыми действиями оператора, тогда все ваши данные он может просто заблокировать или вовсе уничтожить, как полноправный хозяин вашей персональной информации.

Вы ведь заранее согласились на возможность применения к себе подобных мер!

Как это работает уже сегодня?

Активный процесс по обработке персональных данных только начинает внедряться в нашу повседневную жизнь, но некоторые граждане уже успели почувствовать на себе последствия таких законных действий.

Источник: http://www.sobor2008-narod.ru/4094-pochemu-opasno-podpisyvat-soglasie-na-ispolzovanie-i-obrabotku-personalnyh-dannyh.html

Адвокат Сорокин
Добавить комментарий