Подтверждение на обработку персональных данных

Все о персональных данных

goldyg / Shutterstock.com

СОДЕРЖАНИЕ

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Такое широкое толкование позволяет относить к персональным данным практически любую информацию о человеке: сведения о его ФИО, поле и возрасте, образовании, месте жительства, семейном положении и др. Помимо этого к персональным данным относится и изображение человека, с помощью которого можно установить его личность – например, фотография, видеозапись или портрет (разъяснения Роскомнадзора от 30 августа 2013 г. «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, их состав, а также совершаемые с ними действия (п. 2 ст. 3 закона о персональных данных).

Обработка персональных данных – любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 закона о персональных данных).

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 3 закона о персональных данных).

С 1 июля 2017 года ужесточилась административная ответственность за нарушения, допущенные при обработке персональных данных. Рассмотрим подробнее, какие правила необходимо соблюдать при работе с ними и какая ответственность теперь грозит нарушителям.

Последняя актуализация: 30 августа 2017 г.

Документы по теме:

Читайте также:

Персональные данные: успеть обеспечить защиту!
Предпринимателей могут обязать хранить персональные данные граждан РФ на российских серверах не с 1 сентября 2016 года, как планировалось ранее, а уже с 1 сентября 2015 года.

Кибербезопасность и цифровой суверенитет: стимул или препятствие для развития IT-рынка?
Разберемся, как от киберугроз планируется защищать персональные данные, чего ждать от Доктрины информационной безопасности и каковы перспективы развития законопроекта о критической инфраструктуре.

Источник: http://www.garant.ru/actual/persona/

Подтверждение на обработку персональных данных (152-ФЗ)¶

Этот модуль впервые появился в CS-Cart 4.6.2.

Продавая товары через Интернет, продавец тем или иным образом взаимодействует с персональными данными своих покупателей. 29.07.2017 на территории Российской Федерации вступил в силу закон Федеральный закон 152-ФЗ “О персональных данных”, направленный на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных. Теперь, каждый, кто имеет дело с персональными данными пользователей должен зарегистрироваться на сайте Роскомнадзора в качестве оператора персональных данных. Чтобы обеспечить соответствие закону и был создан модуль Подтверждение на обработку персональных данных (152-ФЗ).

Особенности модуля¶

На все страницы с регистрацией была добавлена галка для подтверждения согласия с условиями политики конфиденциальности. Также эта галка была добавлена на страницу готового профиля.

Как установить и настроить модуль?¶

Шаги 2 и 3 необходимо выполнить тем пользователям, которые обновились до новой версии CS-Cart. Тем, кто установил CS-Cart впервые, не нужно устанавливать модуль, достаточно просто включить его.

Откройте страницу Модули → Управление модулями в панели администратора CS-Cart.

Перейдите на вкладку Просмотреть все доступные модули.

Найдите в списке модуль Подтверждение на обработку персональных данных (152-ФЗ) и нажмите кнопку Установить рядом с модулем.

После чего модуль окажется в списке установленных модулей, но будет выключен. Нажмите кнопку Вкл./Выкл., чтобы включить его.

Для корректной работы модуля вам потребуется зарегистрироваться на сайте Роскомнадзора в качестве оператора персональных данных. Зарегистрироваться вы можете по этой ссылке.

Источник: http://www.cs-cart.ru/docs/4.6.x/user_guide/addons/rus_personal_data_processing/

Подтверждение на обработку персональных данных

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

В рамках круглого стола речь пойдет о Всероссийской диспансеризации взрослого населения и контроле за ее проведением; популяризации медосмотров и диспансеризации; всеобщей вакцинации и т.п.

Программа, разработана совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Обзор документа

Распоряжение Правительства РФ от 30 июня 2018 г. № 1322-р Об утверждении формы согласия на обработку персональных данных, необходимых для регистрации гражданина РФ в единой системе идентификации и аутентификации, и иных сведений, если такие сведения предусмотрены федеральными законами в указанной системе, и биометрических персональных данных гражданина РФ в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина РФ

В соответствии с частью 5 статьи 14.1 Федерального закона «Об информации, информационных технологиях и о защите информации» утвердить прилагаемую форму согласия на обработку персональных данных, необходимых для регистрации гражданина Российской Федерации в единой системе идентификации и аутентификации, и иных сведений, если такие сведения предусмотрены федеральными законами в указанной системе, и биометрических персональных данных гражданина Российской Федерации в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации.

Читайте так же:  Жалобы на судей судебный участок
Председатель Правительства
Российской Федерации
Д. Медведев

УТВЕРЖДЕНА
распоряжением Правительства
Российской Федерации
от 30 июня 2018 г. N 1322-р

Форма согласия
на обработку персональных данных, необходимых для регистрации гражданина Российской Федерации в единой системе идентификации и аутентификации, и иных сведений, если такие сведения предусмотрены федеральными законами в указанной системе, и биометрических персональных данных гражданина Российской Федерации в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации

на обработку персональных данных, необходимых для регистрации

гражданина Российской Федерации в единой системе идентификации и

аутентификации, и иных сведений, если такие сведения предусмотрены

федеральными законами в указанной системе, и биометрических персональных

данных гражданина Российской Федерации в единой информационной системе

персональных данных, обеспечивающей обработку, включая сбор и хранение

биометрических персональных данных, их проверку и передачу информации о

степени их соответствия предоставленным биометрическим персональным

данным гражданина Российской Федерации

(фамилия, имя, отчество (при наличии) полностью)

паспорт серия ________ N ___________ выдан _____________________________

(кем и когда выдан документ)

проживающий (проживающая) по адресу: ___________________________________

1. Свободно, своей волей и в своем интересе даю конкретное,

информированное и сознательное согласие на обработку следующих моих

а) фамилия, имя, отчество (при наличии), пол, гражданство, дата и

место рождения, номер основного документа, удостоверяющего личность,

сведения о дате выдачи указанного документа и выдавшем его органе, адрес

регистрации по месту жительства (пребывания), идентификационный номер

налогоплательщика, страховой номер индивидуального лицевого счета,

контактные данные (номер абонентского устройства подвижной

радиотелефонной связи, адрес электронной почты), иные сведения,

предусмотренные федеральными законами, а также необходимые для

размещения данных в моей учетной записи в федеральной государственной

информационной системе «Единая система идентификации и аутентификации в

инфраструктуре, обеспечивающей информационно-технологическое

взаимодействие информационных систем, используемых для предоставления

государственных и муниципальных услуг в электронной форме» (далее —

единая система идентификации и аутентификации);

б) изображение лица, полученное с помощью фото- и видео- устройств,

голос, полученный с помощью звукозаписывающих устройств, которые

требуются для подтверждения моей идентификации с применением единой

информационной системы персональных данных, обеспечивающей обработку,

включая сбор и хранение биометрических персональных данных, их проверку

и передачу информации о степени их соответствия предоставленным

биометрическим персональным данным гражданина Российской Федерации

(далее — единая биометрическая система) в соответствии с

законодательством Российской Федерации.

2. Свободно, своей волей и в своем интересе даю конкретное,

информированное и сознательное согласие на обработку моих персональных

данных, указанных в пункте 1 настоящего согласия, в целях моей

идентификации с применением информационных технологий:

а) Министерству цифрового развития, связи и массовых коммуникаций

Российской Федерации — оператору единой системы идентификации и

аутентификации (Россия, 125375, г. Москва, ул. Тверская, д. 7) — на

обработку (включая сбор, запись, систематизацию, накопление, хранение,

уточнение (обновление, изменение), извлечение, использование, передачу

(предоставление, доступ), обезличивание, блокирование, удаление,

уничтожение) персональных данных, указанных в подпункте «а» пункта 1

настоящего согласия, в том числе обработку моих персональных данных при

предоставлении государственных и муниципальных услуг;

б) публичному акционерному обществу междугородной и международной

электрической связи «Ростелеком» — оператору единой биометрической

системы (Россия, 115172, г. Москва, ул. Гончарная, д. 30, стр. 1) — на

обработку (включая сбор, запись, систематизацию, накопление, хранение,

уточнение (обновление, изменение), извлечение, использование, передачу

(предоставление, доступ) в том числе результата обработки моих

персональных данных, обезличивание, блокирование, удаление, уничтожение)

персональных данных, указанных в подпункте «б» пункта 1 настоящего

в) лицу, уполномоченному на обработку персональных и биометрических

персональных данных в соответствии с законодательством Российской

(полное наименование юридического лица)

(адрес местонахождения юридического лица)

на обработку (включая сбор, запись, систематизацию, накопление,

хранение, уточнение (обновление, изменение), извлечение, использование,

передачу (предоставление, доступ), обезличивание, блокирование,

удаление, уничтожение персональных данных) персональных данных,

биометрических персональных данных, в том числе передачу данных,

указанных в подпункте «а» пункта 1 настоящего согласия, оператору единой

системы идентификации и аутентификации, указанному в подпункте «а»

пункта 2 настоящего согласия, а также передачу данных, указанных в

подпункте «б» пункта 1 настоящего согласия, оператору единой

биометрической системы, указанному в подпункте «б» пункта 2 настоящего

Лица, указанные в подпунктах «а» — «в» пункта 2 настоящего

согласия, вправе осуществлять автоматизированную обработку персональных

данных, указанных в пункте 1 настоящего согласия, или их обработку без

использования средств автоматизации, в том числе с передачей по каналам

связи, защита которых обеспечивается путем реализации соответствующих

правовых, организационных и технических мер, предусмотренных

законодательством Российской Федерации о защите персональных данных.

3. Для достижения цели, указанной в пункте 2 настоящего согласия:

даю согласие лицам, указанным в подпунктах «а» — «в» пункта 2

настоящего согласия, на проверку предоставленных мной сведений на

предмет их полноты и достоверности, в том числе с использованием

государственных и муниципальных информационных систем и ресурсов, а

Видео (кликните для воспроизведения).

также путем направления указанными лицами запросов в иные органы и

Читайте так же:  Как оплачивается родовой сертификат

соглашаюсь с тем, что лица, указанные в подпунктах «а» — «в» пункта

2 настоящего согласия, вправе поручить обработку моих персональных

данных, указанных в пункте 1 настоящего согласия, другому лицу (лицам):

(наименование или фамилия, имя, отчество (при наличии) и адрес)

на основании поручения либо заключаемого с этим лицом (лицами)

договора, в том числе государственного контракта, либо путем принятия

государственным органом соответствующего акта (далее — поручение

Я проинформирован, что ответственность передо мной за действия

лица, обрабатывающего мои персональные данные по поручению оператора,

несет оператор, выдавший соответствующее поручение.

4. Подтверждаю, что даю согласие на обработку моих персональных

данных, указанных в пункте 1 настоящего согласия, лицам, указанным в

5. Настоящее согласие действует со дня его подписания до дня его

отзыва, но не более 50 лет.

6. Подтверждаю, что проинформирован (проинформирована) о

возможности отзыва настоящего согласия на основании положений

Федерального закона «О персональных данных» путем личного обращения или

направления письменного обращения (в том числе в форме электронного

документа, подписанного простой электронной подписью или усиленной

квалифицированной электронной подписью), на имя лиц, указанных в

подпунктах «а» — «в» пункта 2 настоящего согласия, в том числе я

проинформирован (проинформирована), что имею право:

отозвать настоящее согласие в целях прекращения обработки лицом,

указанным в подпункте «в» пункта 2 настоящего согласия, как всех

указанных в пункте 1 настоящего согласия персональных данных, так и

отдельно биометрических персональных данных, указанных в подпункте «б»

отозвать настоящее согласие в целях прекращения обработки в единой

системе идентификации и аутентификации персональных данных, указанных в

отозвать настоящее согласие в целях прекращения обработки в единой

биометрической системе биометрических персональных данных, указанных в

7. Я проинформирован (проинформирована), что лица, указанные в

подпунктах «а» — «в» пункта 2 настоящего согласия, вправе после

получения отзыва настоящего согласия, а равно после истечения срока

действия настоящего согласия, продолжать обработку моих персональных

данных при наличии оснований, предусмотренных частью 2 статьи 9

Федерального закона «О персональных данных».

______________ ___________________________ «____» __________ 20___ г.

(подпись) (фамилия, имя, отчество)

Обзор документа

С 30 июня 2018 г. вступили в силу изменения в Закон об информации, информационных технологиях и о защите информации. Речь идет о создании механизма удаленной биометрической идентификации физлиц.

В частности, регламентирован порядок применения информационных технологий в целях идентификации граждан.

Так, госорганы, банки и иные организации в случаях, определенных федеральными законами, после проведения идентификации при личном присутствии гражданина с его согласия на безвозмездной основе размещают в электронной форме отдельные сведения в единой системе идентификации и аутентификации, а также биометрические персональные данные гражданина в единой биометрической системе.

Утверждена форма согласия на обработку персональных данных в этих целях.

Источник: http://www.garant.ru/products/ipo/prime/doc/71879372/

Согласие на обработку персональных данных

СОДЕРЖАНИЕ

Обработка персональных данных субъекта, по общему правилу, должна осуществляться с его согласия (ч. 1 ст. 6 закона о персональных данных). В тех случаях, когда это прямо предусмотрено законом, согласие должно быть письменным. Утвержденной формы такого документа нет, но в нем как минимум следует указать:

  • ФИО, адрес субъекта персональных данных и его паспортные данные;
  • ФИО, адрес и паспортные данные его представителя, реквизиты доверенности или иного документа, подтверждающего его полномочия (если согласие дает представитель субъекта);
  • наименование (или ФИО) и адрес оператора, а также лица, которому оператор поручил обработку данных (если обработка поручена третьему лицу);
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта;
  • перечень действий с персональными данными, на совершение которых дается согласие;
  • срок, в течение которого действует согласие субъекта, а также способ его отзыва;
  • подпись субъекта персональных данных (ч. 4 ст. 9 закона о персональных данных).

БЛАНКИ

Согласие субъекта на обработку персональных данных
Отзыв согласия на обработку персональных данных
Другие бланки

Равнозначным согласию в письменной форме признается согласие в электронной форме, скрепленное электронной подписью субъекта.

Стоит также отметить, что лицо вправе в любой момент отозвать свое согласие на обработку его персональных данных (ч. 2 ст. 9 закона о персональных данных).

Источник: http://www.garant.ru/actual/persona/soglasie/

5 базовых принципов закона о персональных данных, о которых нужно знать

Деятельность по обработке персональных данных регулирует №152-ФЗ «О персональных данных». Он касается всех без исключения организаций, поэтому важно иметь представление об основных требованиях, которые он устанавливает.

1. Закон распространяется на все организации — и коммерческие, и бюджетные

Под персональными данными, как следует из ст. 3 №152- ФЗ, подразумевается любая информация, имеющая отношение к физлицу: информация, указанная в паспорте (ФИО, дата рождения, адрес регистрации, семейное положение и др.), а также сведения об образовании, занимаемой должности, зарплате и даже росте, весе, цвете глаз и др.

Закон распространяется абсолютно на все организации. Поскольку в каждой организации есть работники, то их данные так или иначе используются при заключении трудового договора, начислении зарплаты и в других случаях. Персональные данные вносятся в личные дела сотрудников, которые хранятся у кадровиков.

Под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных. Распространение персональных данных — это действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Читайте так же:  Как вернуть выморочное имущество

2. Компании могут использовать данные различных категорий субъектов

С каждой из категорий субъектов персональных данных компанию связывает определенный тип правоотношений. Некоторые компании обрабатывают персональные данные не только работников, но и клиентов, например, производственные компании. Так, компании из сферы услуг (автошколы, салоны красоты, парикмахерские, туристические агентства и др.) взаимодействуют с клиентами-физлицами, обрабатывая их персональные данные с целью предоставления, например, дисконтных карт. Интернет-магазины собирают данные физлиц, чтобы осуществлять доставку товаров.

Существует определенная категория лиц, которая не является ни клиентами, ни работниками компании, однако она передает свои данные в организацию, где они хранятся и обрабатываются. К такой категории относятся соискатели, принимающие участие в конкурсе на вакансию и передающие потенциальному работодателю свои персональные данные в виде резюме или анкеты на сайте компании.

Сотрудники могут работать в организации по договору подряда. Оформляя человека по такому договору, компания может не запрашивать у него сведений о семейном положении или ограничений по здоровью. В случае с работником, оформленным по трудовому договору, компания должна это делать.

У товариществ собственников жилья нет ни работников, ни клиентов. Это сообщество, в котором состоят члены. Существуют и другие виды организаций с подобной структурой и без трудовых или гражданских правоотношений: общественные организации, политические партии, религиозные организации и др.

3. Обработке подлежат персональные данные, отвечающие целям их обработки

Важно понимать, какие данные каких субъектов используются, чтобы устанавливать цель обработки персональных данных.

Организациям необходимо иметь представление не только о том, данные каких категорий субъектов они обрабатывают, но и с какой целью они это делают, исходя из специфики деятельности. Например, у интернет-магазина и автошколы цель обработки данных может заключаться в выполнении условий договора с клиентами.

Проверьте, насколько ваша организация готова к проверке Роскомнадзора

4. Необходимо знать, какие именно данные нужно использовать

Закон требует от компаний понимания, какие именно персональные данные в отношении каждой категории субъектов они обрабатывают.

Очевидно, что если в случае с работником необходимо знать об ограничениях по здоровью для начисления социальных выплат, имеются ли у него дети до 18 лет, чтобы предоставить ему налоговый вычет, то в отношении клиента интернет-магазина, который заказал товар, эти сведения не нужны. В этом случае достаточно знать имя, адрес и телефон покупателя.

Закон запрещает обрабатывать персональные данные, которые не требуются для достижения цели их обработки.

Достигнув цели обработки данных, компания должна прекратить обработку этих данных. Так, если интернет-магазин осуществил доставку товара клиенту, то в дальнейшем ему уже не потребуются его номер мобильного телефона и адрес доставки.

5. Необходимо понимать, когда требуется согласие на обработку данных

Для каждой категории субъектов (работников, клиентов, соискателей и др.) определяется цель обработки данных. Порой эта цель заключается в выполнении требований определенных законов. В этом случае организация может абсолютно спокойно собирать данные соответствующей категории и обрабатывать их. Так, в отношении работников организации выполняют трудовое законодательство, многие кредитные и финансовые организации обязаны на своем официальном сайте публиковать сведения об аффилированных лицах, ОАО должно размещать у себя на сайте информацию о структуре акционеров.

Если цель обработки данных какой-то категории субъектов установлена компанией самостоятельно, исходя из специфики деятельности, то она должна взять согласие об обработке персональных данных у субъекта данных (ст. 9 №152- ФЗ). Например, если компания принимает на работу сотрудника по трудовому договору, то по трудовому законодательству она должна знать, как его зовут, где он прописан, какое у него образование. И эти сведения компания может получать у человека без его согласия. Если же компания собралась выплачивать сотруднику зарплату на банковскую карту и планирует передавать сведения о нем в банк, то она обязана взять на это согласие, так как прямого требования передавать персональные данные в банк для выплаты заработной платы в законе нет.

Если интернет-магазин после доставки товара планирует рассылать клиентам SMS-сообщения о скидках, то он должен заранее сформулировать эту цель и взять с клиентов согласие на использование данных именно с этой целью. В ч.1 ст.15 №152- ФЗ есть упоминание о том, что рекламные контакты с клиентами совершаются только с их согласия.

Закон отдельно выделяет требования для данных, неправомерные действия с которыми могут нанести вред субъекту персональных данных. Речь идет о специальной категории персональных данных (ст. 10 №152- ФЗ) и биометрических персональных данных (ст. 11 №152-ФЗ).

К биометрическим данным относятся сведения, которые отражают физиологические особенности человека и необходимы для установления его личности (например, если в компании используются системы контроля доступа). К специальной категории данных относятся сведения о национальной, расовой принадлежности, философских, политических и религиозных убеждениях, состоянии здоровья и интимной жизни. Эти данные выделяются в отдельную категорию, так как закон прямо запрещает их использовать, за исключением ряда случаев (один из них — если субъект дал на то свое письменное согласие).

Отдельно закон говорит о передаче данных за границу (ст. 12 №152- ФЗ).

С учетом всех базовых принципов, описанных выше, требования к обработке данных можно разделить на три больших блока (ст. 19 №152- ФЗ):

1. Правовые меры

Организация решает, как будет соблюдать законодательство, оформляет решение в виде внутренних документов, например, «Политики в отношении обработки персональных данных», издает приказ, в котором назначает ответственного за организацию процесса обработки персональных данных и т д.

2. Организационные меры

Эти меры связаны с деятельностью компании. Закон требует, чтобы «Политика в отношении обработки персональных данных» была доступна для всех категорий субъектов персональных данных. Ее рекомендуется размещать на информационном стенде, где с ней смогут ознакомиться не только работники, но и клиенты.

По закону любой субъект персональных данных может написать в компанию письмо с требованием уточнить, обрабатывает ли она его данные. Если обрабатывает, то какие данные, с какой целью и на каком основании. Также любой субъект имеет право потребовать прекратить обработку своих персональных данных.

Рассмотрение этого письма и подготовка ответа на него — деятельность, относящаяся к организационным мерам. О том, как отвечать на такие письма, уточняется в ст. 20-21 №152-ФЗ.

3. Технические меры

Связаны с использованием средств защиты информации. Это могут быть как примитивные средства — сургучовые печати, решетки на окнах, так и высокотехнологичные способы — антивирусы, межсетевые экраны, средства защиты от несанкционированного доступа, средства криптографической защиты и др.

При обработке персональных данных организации следует:

  1. Разобраться, с данными каких категорий субъектов она имеет дело, на каком основании и с какой целью она их использует.
  2. Ознакомиться с законом и решить, как будут выполняться требования, отразить это в локальных нормативных актах.
  3. Принять соответствующие организационные меры. Например, опубликовать «Политику в отношении обработки персональных данных» и быть готовой выполнять те организационные требования, которые необходимы в ходе операционной деятельности.
  4. Позаботиться о технических мерах, понять, какие технические меры должны быть приняты, обеспечить принятие этих мер.

Существенное дополнение: в рамках текущего законодательства ни у одного контролирующего органа нет полномочий на то, чтобы контролировать выполнение технических мер у коммерческих частных организаций. Роскомнадзор может контролировать только выполнение правовых и организационных мер у частных компаний. Поэтому о четвертом шаге можно говорить формально: закон предоставляет возможность коммерческим компаниям большую свободу в выборе технических мер. Что касается государственных организаций, то для них требования по использованию средств защиты информации четко определены и подробно описаны.

Игорь Луканин, руководитель продукта «Контур.Персональные данные»

Источник: http://kontur.ru/articles/1293

Владельцам сайтов: изменения в законе
о персональных данных

Почти все владельцы сайтов обрабатывают персональные данные — например, собирают почтовые адреса для рассылки.

1 июля 2017 года вступают в силу изменения в законе о персональных данных, из-за которых в разы вырастут штрафы. Максим Лагутин, эксперт по персональным данным в компании Б-152, рассказывает, на кого это повлияет и как избежать штрафов.

Сейчас по статье 13.11 есть только одно нарушение со штрафом 10 000 рублей для юрлиц. После 1 июля их станет семь и общий штраф может составить до 295 000 рублей.

Почему сейчас? Все штрафы, которые вступают в силу с 1 июля, являются наиболее частыми нарушениями, которые Роскомнадзор выявлял в течение последних пяти лет. Ужесточение нашего законодательства связано с ужесточением законодательства в Евросоюзе.

Например, если в форме обратной связи нет ссылки на соглашение на обработку персональных данных, компания должна будет заплатить 50 000 рублей. Если на сайте нет политики конфиденциальности, ИП оштрафуют на 10 000 рублей, компанию — на 30 000 рублей.

  • Email
  • Телефон
  • Имя, фамилия, отчество (и по отдельности)
  • Адрес
  • Дата рождения
  • Фотография
  • Ссылка на персональный сайт и профиль в соцсетях

Хостинг и база данных с персональными данными должна располагаться на территории России. Об этом прямо говорят данные проверок Роскомнадзора (снова LinkedIn) и закон № 242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года.

Это касается иностранных компаний с юрлицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. Все осложняется тем, что требования Роскомнадзора до конца не ясны, приходится догадываться самим. Подробнее о локализации данных рассказывается в статье.

Если вы не понимаете, где хранить данные и что делать, обратитесь с запросом в Роскомнадзор или Минкомсвязи. И возможно у вашего хостинг-провайдера есть готовые решения на такой случай.

Какая информация должна быть в соглашении об обработке персональных данных

Согласно ч.4 ст. 9 закона 152-ФЗ «О персональных данных» в соглашении обязательно должна быть следующая информация:

Читайте так же:  Обучение после академического отпуска

    наименование или фамилия, имя, отчество и адрес оператора , получающего согласие субъекта персональных данных;

цель обработки персональных данных;

перечень персональных данных , на обработку которых дается согласие субъекта персональных данных;

наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

перечень действий с персональными данными , на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

Также нужно указать информацию о том, как физическое лицо может отозвать свое согласие на обработку персональных данных (ч.2 ст. 9 152-ФЗ «О персональных данных»).
Источник: http://tilda.education/articles-personal-data-law

За что штрафует Роскомнадзор: анкеты и резюме соискателей, визитки и билеты в командировки

На практике инспекторы могут оштрафовать за нарушения по защите персональных данных по совершенно абсурдным основаниям. Чего ждать от проверки Роскомнадзора, рассказывает кадровый эксперт.

Регистрироваться ли в реестре?

Если проверки Государственной инспекции труда проходили многие работодатели, то о проверках Роскомнадзора знают пока не все.

Информацию о том, придет ли на предприятие плановая проверка Роскомнадзора можно найти на сайте Прокуратуры субъекта РФ.

Так как же подготовиться и пройти такую проверку без штрафов? Для начала нужно разобраться: необходимо ли компании регистрироваться в реестре Роскомнадзора?

В соответствии с законодательством оператором персональных данных признается, в том числе, юридическое лицо осуществляющее обработку персональных данных. Согласно закону «О персональных данных» оператор до начала обработки персональных данных обязан уведомить Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Одним из исключений является обработка персональных в соответствии с трудовым законодательством.

Но это исключение не распространяется на персональные данные уволенных сотрудников, на членов семей сотрудников и их детей.

То есть на практике получается так, что уведомление подавать в любом случае нужно.

Читайте так же:  Возражение на ходатайство о назначении экспертизы

На что смотрит инспектор?

В отделе персонала проверяющих заинтересует наличие договоров с работными сайтами, приказ о назначении ответственного за обработку персональных данных в компании, а также локально-нормативные акты, регулирующие в компании работу с персональными данными.

Особое внимание инспекторы Роскомнадзора обратят на содержание письменного согласия на обработку персональных данных.

Проблемы из-за соискателей

В соответствии с законодательством информация в анкете о родственниках соискателя должна соответствовать объему, предусмотренном пунктом 10 унифицированной формы N Т-2, утвержденной постановлением Госкомстата Российской Федерации.

То есть работодателю о родственниках соискателя (работника) положено знать только степень их родства, фамилию, имя, отчество и год рождения ближайших родственников.

Любая другая информация, как например, число и месяц рождения или место работы родственника, будет признана избыточной и за это компанию оштрафуют.

А как это сделать, если нет никакой другой информации в анкете — не понятно. Проверяющие эту ситуацию никак не комментируют.

Про хранение личных дел сотрудников все ясно — они должны находиться в закрытых стеллажах под замком.

Резюме

Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключило соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.

Согласно требованиям Роскомнадзора при получении резюме кандидата по электронной почте — необходима обратная связь с ним для подтверждения факта отправки указанного резюме самим кандидатом.

То же необходимо сделать и в случае отказа кандидату в приеме на работу — резюме должно быть уничтожено в течение 30 дней. Поэтому резюме проще вообще не распечатывать.

При направлении работодателем запросов по прежним местам работы, для уточнения или получения дополнительной информации о соискателе получение его согласия также является обязательным условием.

Кадровый резерв

Поэтому соискатель обязательно должен быть ознакомлен с условиями ведения кадрового резерва: со сроками хранения его персональных данных и порядком исключения из кадрового резерва. Согласие на внесение соискателя в кадровый резерв организации оформляется либо в форме отдельного документа либо путем проставления соискателем отметки в соответствующем поле электронной формы анкеты соискателя на сайте Компании.

Сайт компании

В случае использования окна обратной связи с клиентами или кандидатами, политика или положение об обработке персональных данных должны быть размещены на сайте, а согласие на обработку персональных данных обязательно должно подтверждаться соискателем или клиентом, путем проставления отметки — «галочки» в соответствующем поле.

Передача данных третьим лицам

Если да, то еще одним подводным камнем для работодателя является сохранение конфиденциальности при передаче персональных данных третьим лицам и согласие самих сотрудников на такую передачу для изготовления, например, визитных карточек или заказа авиа- и железнодорожных билетов через агентства, направления на обязательный медицинский осмотр.

Для этого должны быть заключены договоры о конфиденциальности с соответствующими подрядчиками.

В таких договорах проверяющих интересует перечень действий, совершаемых с персональными данными, цели обработки и обеспечение безопасности данных.

Визитка — как повод для штрафа

Что касается штрафов, конкретные их размеры указаны в статье 13.11 КоАП. Размеры штрафов от 15 до 70 тысяч рублей в зависимости от вида нарушения. Чтобы минимизировать риски, работодателю перед проверкой необходимо провести инструктаж ответственных лиц, какие пояснения давать инспектору.

Как показывает практика, к проверке Роскомнадзора подготовится сложнее, чем к проверке ГИТ, потому что требования Роскомнадзора не столь широко известны работодателям, как требования трудового законодательства.

К тому же бывает, что решения инспекторов, на первый взгляд, кажутся парадоксальными.

Есть прецеденты, когда компанию штрафовали, например, за то, что у бухгалтера по зарплате в согласии на обработку персональных данных, отсутствует согласие на передачу персональных данных компаниям, у которых заказываются визитки, авиабилеты, и где проходят медосмотры сотрудники, которым положено их проходить в соответствии с законодательством.

Поэтому любое судебное решение, вынесенное в пользу компании, будет значительной вехой в спорах подобного рода.

Видео (кликните для воспроизведения).

Источник: http://www.klerk.ru/boss/articles/470473/

Подтверждение на обработку персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here