Соглашение на обработку персональных данных

В данном разделе представлена образцовая форма согласия на обработку персональных данных. Эта форма включает в себя все необходимые элементы, чтобы быть конкретной, предметной, информированной, сознательной и однозначной, как предусмотрено законодательством.

Согласие на обработку персональных данных

Я, нижеподписавшийся, __________________________________, добровольно и свободно выражаю свое согласие на обработку моих персональных данных в соответствии с целями, указанными ниже:

  1. Фамилия, имя, отчество
  2. Дата рождения
  3. Адрес регистрации
  4. Номер телефона
  5. Адрес электронной почты
  6. Информация о работе/образовании
  7. Другие данные, необходимые для выполнения целей обработки

Я понимаю и соглашаюсь, что мои персональные данные будут использоваться и обрабатываться для описанных выше целей.

Дата: _______________

Подпись: _______________

Содержание
  1. Право на отзыв согласия
  2. Заключение
  3. Правовые аспекты использования электронной подписи для согласия на обработку персональных данных
  4. Законодательство об электронной подписи
  5. Возможность оформления согласия
  6. Подписанное согласие
  7. Легализация документооборота
  8. Обеспечение безопасности данных
  9. Доказательства обработки данных
  10. Обработка персональных данных лиц, ограниченных в дееспособности
  11. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения
  12. Согласие на обработку персональных данных может быть предоставлено оператору:
  13. Особенности обработки персональных данных о судимости
  14. Особенности обработки биометрических персональных данных
  15. Текст соглашения на обработку данных
  16. Нужно ли включать раздел об обработке данных в договор с потребителем?
  17. Что писать в разделе об обработке персональных данных?
  18. Может ли потребитель не предоставлять персональные данные?
  19. Как определить избыточность персональных данных?
  20. Как обосновать сбор персональных данных?
  21. Как реагировать на запросы потребителей?
  22. Как часто менять раздел об обработке персональных данных?
  23. Нужно ли уведомлять ли пользователей об изменениях в разделе?
  24. Должны ли компании уничтожать персональные данные?
  25. Какие штрафы предусмотрены за нарушение требований к работе с персональными данными?
  26. Как избежать нарушений при составлении договора с потребителем?

Право на отзыв согласия

Согласно законодательству, субъект персональных данных имеет право в любое время отозвать свое согласие на обработку персональных данных. Для этого необходимо официально уведомить оператора о своем желании.

Отзыв согласия не влияет на законность обработки персональных данных до момента его отзыва. Однако после отзыва согласия оператор должен прекратить обработку персональных данных субъекта.

Заключение

Все условия обработки персональных данных, включая получение согласия субъекта, должны быть строго соблюдены в соответствии с законом. Нарушение этих правил может повлечь за собой серьезные юридические последствия для оператора. Гарантируйте конфиденциальность и безопасность данных, соблюдайте все законы и правила.

Правовые аспекты использования электронной подписи для согласия на обработку персональных данных

Если согласие составляется в форме электронного документа, то оно должно быть подписано электронной подписью (ч. 4 ст. 9 Закона № 152-ФЗ). Электронная подпись является аналогом собственноручной подписи. Ее использование допускается в случаях и в порядке, предусмотренных законом и иными правовыми актами или соглашением сторон (п. 2 ст. 160 ГК РФ).

Законодательство об электронной подписи

Отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий регулирует Федеральный закон от 6 апреля 2011 г. № 63-ФЗ Об электронной подписи (далее – Закон № 63-ФЗ).

Возможность оформления согласия

Закон № 152-ФЗ допускает возможность оформления согласия в форме электронного документа, подписанного электронной подписью. Оператор может воспользоваться простой электронной подписью (ПЭП), так как в Законе № 152-ФЗ нет требования использовать квалифицированную электронную подпись.

Подписанное согласие

Согласно п. 1 ст. 9 Закона № 63-ФЗ электронный документ считается подписанным ПЭП при выполнении одного из условий: ПЭП содержится в документе; ключ ПЭП применяется согласно правилам оператора информационной системы, где создается или отправляется документ, составленном и содержащем информацию о лице, создавшем или отправившем документ.

Легализация документооборота

Для легализации использования электронной подписи оператор должен издать локальный акт, ознакомить всех участников взаимодействия (ст. 18.1 Закона № 152-ФЗ).

Обеспечение безопасности данных

При соблюдении требований Закона № 63-ФЗ и Закона № 152-ФЗ оператор не имеет препятствий для использования ПЭП при оформлении договорных отношений, включая согласие на обработку персональных данных. Оператор разрабатывает алгоритм взаимодействия самостоятельно.

Доказательства обработки данных

Оператор должен обеспечить возможность подтвердить факт получения согласия, так как он несет ответственность за доказательства обработки персональных данных с согласия субъекта (ч. 3 ст. 9 Закона № 152-ФЗ).

## Важно! 

При недееспособности гражданина письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона № 152-ФЗ). 

А в случае смерти такое согласие оформляют наследники умершего, если только оно не было получено от него самого при жизни (ч. 7 ст. 9 Закона № 152-ФЗ).


## Согласие на обработку персональных данных несовершеннолетнего и лица, ограниченного в дееспособности

Законодатель не указывает с какого возраста субъект персональных данных вправе выражать согласие на обработку сведений о себе самостоятельно, оговаривая лишь обязательность представительства в отношении недееспособных лиц, не упоминая при этом несовершеннолетних и лиц, ограниченных в дееспособности. 

Однако недееспособными считаются граждане, которые признаны таковыми судом в том случае, если они вследствие психического расстройства не могут понимать значение своих действий или руководить ими (п. 1 ст. 29 ГК РФ). Несовершеннолетние граждане таковыми не являются. В силу своего возраста они наделяются законом частичной дееспособностью, объем которой постепенно расширяется.

Полагаем, что представительство лиц, под опекой которых находятся малолетние дети, то есть до 14 лет (п. 1 ст. 28 ГК РФ), в части, касающейся обработки персональных данных таких детей, необходимо. 

Однако несовершеннолетние в возрасте от 14 до 18 лет, на наш взгляд, могут делать соответствующее волеизъявление самостоятельно. По крайней мере, Закон № 152-ФЗ соответствующего запрета не содержит (письмо Роскомнадзора от 11 марта 2022 г. № 08-15154).

Отметим, что в Регламенте (ЕС) Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г., в отличие от отечественного законодательства, данный вопрос урегулирован: в пар. 1 ст. 8 предписано, что при предоставлении услуг информационного общества непосредственно ребенку, обработка персональных данных ребенка является законной только в случае, если ребенку исполнилось как минимум 16 лет.

Если ребенок еще не достиг возраста 16 лет, такая обработка является законной, только если и поскольку согласие было дано лицом, обладающим родительской ответственностью в отношении ребенка, или было дано с его одобрения. Государствам-членам ЕС предоставлена возможность на законодательном уровне предусмотреть меньший возраст для указанных целей при условии, что такой возраст не ниже 13 лет. 

При этом, если профилактические мероприятия и консультационные услуги предлагаются непосредственно ребенку, то согласие лиц, обладающих родительской ответственностью, не является необходимым (пар. 38 Преамбулы).

Обработка персональных данных лиц, ограниченных в дееспособности

Аналогичный подход должен иметь место и в отношении лица, ограниченного в дееспособности (ст. 30 ГК РФ). Правовой эффект ограничения дееспособности гражданина состоит в том, что он лишается возможности без помощи попечителя участвовать в имущественном обороте, за исключением совершения мелких бытовых сделок (п. 1 ст. 30 ГК РФ).

Однако это не препятствует ему участвовать в иных правоотношениях, в том числе и тех, которые регулируются законодательством в области защиты персональных данных.

Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

Для обработки персональных данных, разрешенных для распространения, оформляется отдельное согласие (требования к нему предусмотрены в приказе Роскомнадзора от 24 февраля 2021 г. № 18). Субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) неограниченным кругом лиц (исключение: обработка персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ).

Оператор же обязан в срок не позднее 3 рабочих дней с момента получения согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.

Согласие на обработку персональных данных может быть предоставлено оператору:

  • Письменно
  • В электронной форме
  • В иных формах, позволяющих подтвердить факт его получения

Обращаем внимание, что субъект вправе обратиться с требованием прекратить распространение своих персональных данных, ранее разрешенных для распространения, в любое время к любому лицу, обрабатывающему его персональные данные, или в суд. Требование должно включать в себя в том числе перечень персональных данных, обработка которых подлежит прекращению.

Про сертификаты:  Стройцентробетон, ООО, ИНН 7715184013 | Реквизиты, юридический адрес, КПП, ОГРН, схема проезда, сайт, e-mail, телефон - узнать на

Особенности обработки персональных данных о судимости

В соответствии с ч. 3 ст. 10 Закона № 152-ФЗ обработка персональных данных о судимости может осуществляться госорганами или муниципальными органами в пределах их полномочий, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

В частности, такое право есть у полиции. Сотрудники полиции могут обрабатывать данные о гражданах, необходимые для выполнения возложенных на них обязанностей, с последующим внесением полученной информации в банки данных (ч. 1 ст. 17 Федерального закона от 7 февраля 2011 г. № 3-ФЗ "О полиции", далее – Закон № 3-ФЗ). Так, внесению в банки данных подлежит информация о лицах, подвергающихся или подвергавшихся уголовному преследованию. Полиция должна обеспечить защиту данной информации от неправомерного и случайного доступа, уничтожения, копирования, распространения и иных неправомерных действий. Статья 17 Закона № 3-ФЗ допускает раскрытие содержащейся в банках данных информации государственным органам и их должностным лицам только в случаях, предусмотренных федеральным законом; правоохранительным органам иностранных государств и международным полицейским организациям – в соответствии с международными договорами РФ, а также гражданину, права и свободы которого непосредственно затрагиваются содержащейся в банках данных информацией.

Необходимость обработки персональных данных граждан, связанных с фактами осуждения, обусловлена также положениями ст. 65 и 331 Трудового кодекса. Отсутствие судимости, в том числе снятой или погашенной, является обязательным требованием, которое предъявляется к лицу, назначаемому на должность прокурора, к кандидатам на должность судьи, к лицам, принимаемым на службу или на работу в органы федеральной службы безопасности и т. д. В таких случаях работодатель вправе осуществлять обработку персональных данных о судимости.

С позицией Верховного Суда Российской Федерации по вопросу о признании недействующим подп. 76.2 п. 76 Административного регламента МВД России по предоставлению государственной услуги по выдаче справок о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования можно ознакомиться в Решении ВС РФ от 18 июля 2022 г. № АКПИ22-365.

Особенности обработки биометрических персональных данных

Напомним, биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, которые обрабатываются оператором исключительно в целях идентификации субъекта персональных данных. Как указывает Минцифры России, к ним относятся физиологические параметры (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и др.) и иные физиологические или биологические характеристики человека, в том числе его изображения (фотография и видеозапись), в частности фотографические изображения обучающихся, сотрудников и посетителей организации, поскольку они характеризуют физиологические и биологические особенности человека (письмо от 28 августа 2020 г. № ЛБ-С-074-24059).

Для обработки биометрических персональных данных требуется согласие самого субъекта (или его законного представителя). При этом в соответствии с ч. 2 ст. 11 Закона № 152-ФЗ такое согласие не требуется в случае:

Предоставление биометрических персональных данных не может быть обязательным, кроме случаев, когда не требуется согласия субъекта. Оператор не может отказывать в обслуживании гражданину в случае отказа предоставить биометрические персональные данные или дать согласие на их обработку.

Подробнее о единой биометрической системе, дактилоскопической идентификационной системе и системе генетической идентификации, читайте в Энциклопедии решений системы ГАРАНТ. Получите полный доступ на 3 дня бесплатно!

Форма согласия на размещение и обработку персональных данных в единой системе идентификации и аутентификации и биометрических персональных данных в единой биометрической системе, в том числе на передачу векторов единой биометрической системы, утверждена распоряжением Правительства РФ от 30 июня 2018 г. № 1322-р.

Последняя актуализация: 23 июня 2023 г.

Текст соглашения на обработку данных

Настоящее согласие распространяется на следующие Ваши персональные данные: фамилия, имя и отчество, адрес электронной почты, почтовый адрес доставки заказов, контактный телефон, платёжные реквизиты.

Гарантирую, что представленная мной информация является полной, точной и достоверной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мною в отношении себя лично.

Настоящее согласие действует в течение всего периода хранения персональных данных, если иное не предусмотрено законодательством Российской Федерации.

Обязательно ли получение согласия на обработку персональных данных

Согласие на обработку персональных данных физического лица не требуется в случаях, приведенных в п. п. 2 — 11 ч. 1 ст. 6 Закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Например, оно не нужно, если обработка необходима для:

• заключения договора по инициативе гражданина или договора, по которому он будет выгодоприобретателем или поручителем. Например, если индивидуальный предприниматель арендует у компании помещение и в договоре указываются его паспортные данные;

• исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является гражданин. Например, если запрашивается адрес гражданина для доставки ему товара;

• осуществления и выполнения функций, полномочий и обязанностей, которые возложены законодательством. Например, если продавец получает у клиента адрес его электронной почты, чтобы направить ему кассовый чек в электронной форме (Письмо Минкомсвязи России от 07.07.2017 № П11-15054-ОГ);

• осуществления прав и законных интересов (компании или третьих лиц) либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина. Например, если в целях обеспечения безопасности охранник записывает Ф.И.О. и паспортные данные посетителей.

В остальных случаях обработка персональных данных осуществляется с согласия гражданина (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ). Например, придется получить письменное согласие, если компания собирает данные граждан для маркетингового исследования или уступает требование к должнику — физическому лицу.

Изменения в согласии на обработку персональных данных в 2024 году

С 1 января 2024 года с помощью единого портала госуслуг граждане могут давать и отзывать согласия на размещение и обработку своих биометрических персональных данных в ЕБС (Федеральный закон от 29.12.2022 № 572-ФЗ, Постановления Правительства от 01.09.2023 № 1429, от 01.09.2023 № 1430).

Физлицо, зарегистрированное в ЕСИА, с этого момента вправе с применением портала Госуслуг

Кроме того, согласно Приказу Минцифры от 27.04.2023 № 432, также с 01.01.2024 оператор ЕБС при наличии технической возможности может направлять запросы организациям через единый портал госуслуг посредством взаимодействия с оператором единого портала госуслуг, в том числе с использованием единой системы межведомственного электронного взаимодействия.

С 23.12.2023 Федеральным законом от 12.12.2023 № 589-ФЗ ужесточена административная ответственность за обработку персональных данных без согласия. Подробнее об этом новшестве мы расскажем ниже в соответствующем разделе статьи.

Как указать цель обработки персональных данных в согласии

Целевой характер обработки персональных данных подразумевает, что она должна ограничиваться достижением конкретной цели (ч. 2 ст. 5 Закона № 152-ФЗ). То есть все действия со сведениями должны быть связаны с той целью, с которой они получены.

За обработку персональных данных, не совместимую с целями их сбора грозит административная ответственность. За первое нарушение (ч. 1 ст. 13.11 КоАП):

• компанию могут оштрафовать на сумму от 60 тыс. до 100 тыс. рублей;

• ее должностных лиц – от 10 тыс. до 20 тыс. рублей.

За повторное нарушение наказание будет серьезнее (ч. 1.1 ст. 13.11 КоАП):

• компании грозит штраф от 100 тыс. до 300 тыс. рублей;

• ее должностным лицам – от 25 тыс. до 50 тыс. рублей.

Цель обработки в согласии должна быть:

• заранее определенной. Цель необходимо определить до начала обработки сведений и довести ее до гражданина, в том числе путем включения в согласие. Рекомендуем также закрепить ее в локальном акте, посвященном обработке данных. Цели обработки могут происходить из анализа правовых актов, которые регламентируют деятельность компании, целей фактически осуществляемой ею деятельности, а также деятельности, которая предусмотрена учредительными документами, а также из анализа конкретных бизнес-процессов в конкретных информационных системах персональных данных;

• конкретной. Чтобы у контролирующих органов не возникло вопросов, рекомендуем не использовать абстрактные формулировки. Например, если речь идет о повышении продаж путем СМС-рассылки, в качестве цели должно быть указано не «повышение продаж», а «осуществление рекламной СМС-рассылки».

Образец согласия на обработку персональных данных – 2024

Согласие на обработку персональных данных должно отвечать таким требованиям, как (ч. 1, 4 ст. 9 Закона № 152-ФЗ):

Про сертификаты:  Ошибка при установке DirectX Компьютерная помощь

Законодательно бланк согласия не утвержден, составить его можно в произвольной форме. Перечень сведений, которые должные быть отражены в согласии, приведен в ч. 4 ст. 9 Закона № 152-ФЗ. Это, в частности:

• ФИО, адрес физлица, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

• ФИО, адрес представителя гражданина, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или другого документа, подтверждающего полномочия этого представителя (при получении согласия от представителя гражданина);

• название или ФИО, адрес оператора, получающего согласие на обработку данных;

• цель обработки сведений;

• перечень персональных данных, на обработку которых дается согласие;

• название или ФИО, адрес лица, осуществляющего обработку сведений по поручению оператора, если обработка будет поручена такому лицу;

• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки данных;

• срок, в течение которого действует согласие, а также способ его отзыва, если другое правило не установлено законом;

• подпись физлица-субъекта персональных данных или его представителя.

По ссылке можно посмотреть Образец согласия на обработку персональных данных.

Согласие на обработку персональных данных ребенка

Согласие на обработку персональных данных ребенка может потребоваться, например:

• образовательным учреждениям для обработки данных о прохождении обучения, сдачи экзаменов, участии в олимпиадах;

• медучреждениям, если ребенок проходит осмотр или обследование;

• работодателю при устройстве несовершеннолетнего на работу;

• консульствам и представительствам зарубежных стран для оформления виз на выезд ребенка за границу и так далее.

В Законе № 152-ФЗ не указано, с какого возраста гражданин вправе выражать согласие на обработку сведений о себе самостоятельно. В нем лишь прописано, что при недееспособности субъекта согласие на обработку персональных данных дает его законный представитель (ч. 6 ст. 9 Закона № 152-ФЗ). Однако недееспособными считаются граждане, которые признаны таковыми судом, если они вследствие психического расстройства не могут понимать значение своих действий или руководить ими (п. 1 ст. 29 ГК РФ). Несовершеннолетние граждане таковыми не являются. В силу своего возраста они наделяются законом частичной дееспособностью, объем которой с возрастом расширяется.

Полагаем, что для решения вопроса о порядке обработки персональных данных несовершеннолетних следует руководствоваться ст. 26 и ст. 28 ГК РФ, ст. 64 СК РФ. Исходя из указанных норм, согласие на обработку персональных данных ребенка, не достигшего 14-летнего возраста, должен давать его законный представитель (родитель, опекун). Несовершеннолетние в возрасте от 14 до 18 лет могут давать разрешение на обработку сведений о себе в пределах установленного законодательством объема их дееспособности.

После вступления в брак или эмансипации несовершеннолетние, приобретая дееспособность в полном объеме, дают согласие на обработку своих персональных данных самостоятельно (ст. ст. 21, 27 ГК РФ).

Согласие, которое дается законным представителем ребенка, должно содержать, помимо общих реквизитов:

• ФИО и адрес представителя;

• реквизиты документа, удостоверяющего его личность;

• реквизиты документа, подтверждающего полномочия этого представителя (свидетельства о рождении (усыновлении), решения суда или органа опеки и попечительства).

С учетом тяжести потенциальных негативных последствий возможного несоблюдения контролируемым лицом обязательных требований обработка персональных данных несовершеннолетних лиц в случаях, не предусмотренных федеральными законами, относится к группе тяжести «Б» (пп. «б» п. 3 Критериев отнесения объектов контроля к определенной категории риска — Приложение к Положению, утвержденному Постановлением Правительства РФ от 29.06.2021 № 1046).

Ответственность за обработку персональных данных без согласия

С 23.12.2023 заработали поправки к КоАП РФ, ужесточающие ответственность за обработку персональных данных без согласия ее владельца. Новшества внесены законом от 12.12.2023 № 589-ФЗ.

Для банков и ряда других юрлиц установили ответственность за нарушение требований к тому, как размещать и обновлять биометрические персональные данные в единой системе биометрии. Должностным лицам теперь за это грозит штраф от 100 тыс. до 300 тыс. рублей, компаниям — от 500 тыс. до 1 млн. рублей.

Отзыв согласия на обработку персональных данных

Гражданин вправе отозвать свое согласие на обработку персональных данных (ч. 2 ст. 9 Закона № 152-ФЗ). В этом случае продолжение обработки персональных данных физлица без его согласия возможно только при наличии оснований, перечисленных в п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона № 152-ФЗ.

Заявление на отзыв согласия пишется в произвольной форме. В нем необходимо указать:

• полное наименование организации, которая осуществила сбор сведений;

• ее юридический адрес, а также фактический адрес отделения, если речь идет, например, о банке;

• сведения о заявителе: ФИО, номер и серию паспорта, адрес регистрации.

Лучше всего подавать заявление лично, в двух экземплярах. Один экземпляр, с отметкой о регистрации входящей документации, остается на руках у заявителя.

В случае отзыва согласия компания обязана прекратить обработку персональных данных и уничтожить, если их сохранение более не требуется для целей обработки. Для этого предоставляется срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено соглашением между гражданином и организацией. При отсутствии возможности уничтожить данные в этот срок их нужно заблокировать и обеспечить уничтожение по общему правилу в срок не более 6 месяцев (ч. 5, 6 ст. 21 Закона № 152-ФЗ).

В эпоху цифровых технологий практически все компании собирают и хранят персональные данные своих клиентов. Они позволяют лучше понять целевую аудиторию, создать целевые маркетинговые кампании или повышать качество сервиса. Но действующее законодательство имеет множество регламентов относительно сбора, хранения и уничтожения ПД. За нарушения предусмотрены серьезные штрафы.

Федеральный закон №152-ФЗ устанавливает запрет на использование персональных данных в отсутствие надлежащего правового основания, в том числе без согласия их владельцев. А 1 сентября 2022 года вступили в силу поправки в ст.16 Закона «О защите прав потребителей».

Никита Володин, старший консультант по защите персональных данных компании Б-152, рассказал, как оформлять документы, чтобы не получить штраф от Роскомнадзора.

Нужно ли включать раздел об обработке данных в договор с потребителем?

Если организация собирает сведения о своих клиентах, такие как ФИО, контакты, информация о банковских картах и т.д., то для соблюдения требований действующего законодательства при сборе и дальнейшей обработке такой информации организации необходимо обеспечить правовое основание, например – получить согласие клиента.

Если персональные данные клиента обрабатываются на основании договора, то в таком договоре должен быть раздел об обработке персональных данных, который будет информировать пользователей о том, как их личная информация будет собираться, храниться, передаваться и в целом использоваться компанией. Включение такого пункта поможет обеспечить для клиента прозрачность и понятность процедуры обработки его персональных данных и защитить организацию от потенциальных юридических проблем.

В случае, если у организации есть цели обработки персональных данных клиента, выходящие за рамки предмета, заключенного с ним договора (например, если у организации есть цель осуществлять маркетинговые рассылки клиентам), то для этого необходимо обеспечить дополнительное правовое основание – согласие такого клиента на обработку его данных в целях осуществления рассылок.

Что писать в разделе об обработке персональных данных?

Содержание раздела зависит от того, какой объём информации о клиентах собирается и как она в дальнейшем используется вашей компанией. Рекомендуем включать в этот раздел все детали процесса работы с полученными сведениями.

● Какой тип информации собирается. ● Зачем компании сведения о потребителе, то есть цели обработки данных. ● Где будут храниться данные. ● Могут ли они быть переданы третьим лицам и в каких случаях. ● Какие меры приняты для защиты конфиденциальности клиента. ● В каких случаях прекращается работа с персональными данными. ● Сроки обработки персональных данных. ● Способы связи с организацией по вопросам обработки персональных данных.

Может ли потребитель не предоставлять персональные данные?

Потребитель имеет право не предоставлять персональные данные, которые не нужны для исполнения договора, то есть являются избыточными. Исключением являются случаи, когда предоставить персональные данные по закону, например, при оказании медицинских услуг.

Компаниям запрещено отказывать в исполнении, изменении или расторжении такого договора, если они не могут обосновать, по какой причине невозможно исполнить договор в случае отсутствия запрашиваемых сведений. Поэтому юридическим лицам важно определить, какая именно информация им требуется для начала сотрудничества.

Про сертификаты:  Как удалить сертификат ЭЦП с компьютера | АИСТ Такском

Как определить избыточность персональных данных?

Процесс определения избыточности собираемых сведений о гражданах регламентируется ч.5 ст.5 ФЗ «О персональных данных» и предполагает 3 этапа:

1. Определение цели обработки. Это может быть заключение договора для продажи товаров или оказания услуг.

2. Обоснование необходимости сбора данных, без которых невозможно исполнить обязательство по договору.

3. Сформировать минимум сведений, необходимых для достижения цели их обработки. То есть нужно доходчиво объяснить потребителю, какие данные и для чего вы используете.

Если обосновать сбор данных не удаётся, они считаются избыточными, то есть использовать их организация не имеет права.

Важно отметить, что помимо определения минимально необходимого перечня персональных данных, компании нужно определить перечень целей, с которыми эти данные собираются. Так, например, если компания собирает контакты для исполнения договора купли-продажи, то для сбора персональных данных в целях направления покупателям рекламных рассылок требуется самостоятельное правовое основание – согласие покупателя, не включенное в текст договора.

Это необходимо ввиду того, что направление рекламных рассылок покупателю не входит в предмет договора купли-продажи, поэтому для такой цели обработки персональных данных договорные отношения не будут являться надлежащим правовым основанием. Включение в договор купли-продажи положений о возможности направления рекламных рассылок расценивается Роскомнадзором как принуждение к даче согласия или не свободное волеизъявление, т.к. покупатель в этой ситуации оказывается в более уязвимом положении и вынужден либо заключить договор, включающий эту цель, либо вовсе отказаться от заключения договора.

Соглашение на обработку персональных данных

Как обосновать сбор персональных данных?

В Разделе об обработке персональных данных нужно описать, какие сведения о потребителях использует компания и в каких целях.

Например, необходимость обработки ПДн в связи с исполнением договора связана с реализацией принципа надлежащего исполнения обязательств в соответствии со ст.309 ГК РФ. Обработка в целях, не связанных с исполнением договора или раскрытие ПДн третьим лицам требуют наличия самостоятельного согласия потребителя.

«Молчаливое согласие», т.е. факт пользование сайтом или расчёт стоимости услуг не является согласием на обработку данных и их передачу третьим лицам. Связано это с тем, что, во-первых, для пользователя сайта такое согласие не будет информированным, а во-вторых, самой компании впоследствии будет сложно доказать факт получения такого согласия.

Как реагировать на запросы потребителей?

Потребитель имеет право направить запрос с требованием обосновать необходимость сбора персональных данных. Задача компании заключается в правильной реакции на такие обращения.

Необходимо предоставить причины и правовые основания невозможности заключения договора без предоставления персональных данных, желательно с ссылками на законодательство РФ. Ответ на запрос должен быть предоставлен в той же форме, в какой он был сделан, то есть устно, на бумажном носителе или в электронном виде.

Срок реагирования на письменные запросы составляет 7 дней или незамедлительно в случае обращения в устной форме. Поэтому важно провести тренинги для персонала, объяснив сотрудникам, как отвечать клиентам в подобной ситуации.

Как часто менять раздел об обработке персональных данных?

Вносить изменения в раздел об обработке персональных данных нужно каждый раз, когда в организации корректируется процесс сбора, хранения, использования, или передачи личной информации клиентов. Например, когда вносятся изменения в политику по обработке персональных данных в части положений, касающихся конфиденциальности и безопасности. Если никаких изменений во внутренних процессах компании не происходит, корректировать раздел нет необходимости.

Кроме того, важно следить за изменениями, которые касаются законодательства об обработке персональных данных: если появляются новые требования, необходимо проверить договор на соответствие им, а в случае необходимости дополнить раздел.

Нужно ли уведомлять ли пользователей об изменениях в разделе?

При внесении любых изменений в разделе, пользователи должны быть об этом уведомлены.

Кроме того, если у организации меняются цели обработки персональных данных, об изменениях нужно уведомлять Роскомнадзор, это входит в обязанности любого оператора персональных данных. В случае игнорирования требований, компанию могут оштрафовать на сумму до 5 000 рублей в соответствии со ст. 19.7 КоАП РФ.

Как уведомить пользователей об изменениях?

Уведомить пользователей об изменениях в разделе об обработке ПНд можно двумя способами.

1. Направить информацию по электронной почте, перечислив изменения, связанные с хранением, использованием, передачей личной информации.

2. Разместить уведомление об обновлении вместе относящимися с деталями на сайте, охватив тем самым максимальное количество людей, которые могут быть прямо или косвенно затронуты этими изменениями.

Соглашение на обработку персональных данных

Должны ли компании уничтожать персональные данные?

В № 152-ФЗ предусмотрено несколько случаев, когда оператор обязан уничтожить персональные данные. Вот некоторые из них:

● Истечение установленного законодательством или договором срока обработки персональных данных;

● Достижение цели обработки персональных данных (или утрата необходимости в достижении этой цели);

● Отзыв гражданином согласия на обработку его персональных данных;

● Требование лица об уничтожении неполных, устаревших, неточных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки персональных данных;

● Выявление неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора.

Если в перечисленных выше случаях у организации нет иных правовых оснований для обработки персональных данных, то эти персональные данные должны быть уничтожены. Способ уничтожения организация выбирает самостоятельно. Важно отметить, что с 1 марта 2023 года при уничтожении персональных данных операторы обязаны составлять акт, подтверждающий факт их уничтожения, а в случае, если персональные данные обрабатывались в информационных системах – также сделать выгрузку из журнала регистрации событий в информационной системе.

Какие штрафы предусмотрены за нарушение требований к работе с персональными данными?

В случае, если организацией осуществляется обработка персональных данных без надлежащих правовых оснований (например, согласие на обработку персональных данных), то такое нарушение может привести к штрафу от 60 до 100 тыс. рублей. В случае повторного выявления нарушения штраф может достигать 300 тыс. рублей.

За неисполнение ч.4 ст.16 Закона «О защите прав потребителей» санкция для юридических лиц составляет от 30 до 50 тыс. рублей.

Как избежать нарушений при составлении договора с потребителем?

Важно периодически проводить в компании аудит, проверяя соответствие документации требованиям закона. В том числе нужно определить объём персональных данных, которые требуются для исполнения потребительского договора, а также проанализировать типовые формы договоров и уже заключенные договоры на предмет избыточности данных. Сбор сведений целесообразно минимизировать, использовав только те, которые необходимы для исполнения договора.

Помимо этого, рекомендуется назначить ответственное лицо, которое будет заниматься оформлением договора и соглашений, составлять уведомления и вовремя отвечать на запросы граждан и уполномоченных органов.

Взаимодействие с потребителями упростит инструкция для сотрудников по реагированию на запросы, для этого дополнительно следует проанализировать все возможные способы их получения.

Удобно систематизировать договоры и собираемые данные с помощью специализированных платформ, таких как Privacy Box. Процесс сбора и обработки информации станет проще, поскольку в наглядном виде представлены правовые основания, рекомендации по объёму и типу сведений.

Никита Володин, старший консультант по защите персональных данных компании Б-152. Для NEW RETAIL

Бухгалтеры и специалисты по кадровому учету уже давно привыкли, что при приеме на работу нового сотрудника у него нужно брать Согласие на обработку персональных данных.

А если сотрудник отказывается подписывать его? Какие штрафы ждут организацию за отсутствие этого документа? Да и как показывает судебная практика по таким вопросам, не все так просто, как кажется на первый взгляд.

В этой статье мы подробно разберем все нюансы и расскажем о нововведениях в работе с личными данными в 1С: Бухгалтерии предприятия ред. 3.0.

В рамках трудовых отношений компании — работодателю необходимо обладать личными данными физ. лица для корректного оформления кадровых документов и выполнения работником своих трудовых функций.

Персональные данные (по тексту далее ПДн) — это информация, которую можно отнести к конкретному физ. лицу (Закон от 27.07.2006 № 152-ФЗ). Как правило, такими данными является Ф.И.О., сведения о предыдущих местах работы, паспортные данные, и прочие.

Стоит заметить, что работодатель вправе запрашивать только те сведения, которые нужны для выполнения должностных обязанностей. Это значит, что информацию, касающуюся национальной принадлежности, политических взглядов, вероисповедания и другие подобные сведения работодатель запрашивать не имеет права.

Оцените статью
Мой сертификат
Добавить комментарий