Персональные данные могут обрабатываться на законных основаниях (статья 5 152-ФЗ). Обработка без согласия субъекта данных допускается в случаях, предусмотренных международными соглашениями или правовыми нормами (статья 6 часть 1, статья 10 часть 2, статья 11 часть 2 152-ФЗ), например:
Согласие на обработку персональных данных: бланк 2021
Защита персональных данных стала сегодня особенно актуальной проблемой для многих групп пользователей. Статистика показывает увеличение числа случаев, когда средства и/или активы частных лиц изымаются с использованием их персональных данных. Поэтому как организации, так и частные лица должны быть осведомлены о том, как они обращаются с передачей и получением персональных данных. В этой статье мы в основном остановимся на вопросах, связанных с согласием на обработку персональных данных юридических лиц.
Письменное согласие на обработку персональных данных требуется, если информация о:
- Данных, которые касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п. 1 ч. 2 ст. 10 закона № 152-ФЗ).
- Биометрических данных (ч. 1 ст. 11 закона № 152-ФЗ).
- Данных, передающихся на территорию другого государства (трансграничная передача – п. 1 ч. 4 ст. 12 закона № 152-ФЗ).
- Данных, которые вносятся в общедоступные источники, например, в справочники, адресные книги, онлайн-ресурсы (ч. 1 ст. 8 закона № 152-ФЗ).
Существуют исключения, когда согласие на обработку персональных данных в 2021 году не требуется:
- Данные обрабатывают в целях, предусмотренных законом или международным договором РФ, а также для выполнения оператором обязанностей, которые он несет в силу закона.
- Субъект данных участвует в том или ином судебном процессе, либо обработка данных нужна для исполнения судебного акта.
- Обработкой информации занимаются органы власти.
- Сведения о субъекте, который участвует в договоре, используют, чтобы исполнять договор. Если в отдел кадров субъект персональных данных (сотрудник) предоставляет документы, содержащие общедоступные сведения о нём, то письменное согласие на их хранение и обработку данных в 2020 г. необязательно.
- Не требуется согласие на обработку данных при передаче сведений о сотруднике по запросу органов прокуратуры, правоохранительных органов, органов безопасности, государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством РФ.
- Работа с данными потребовалась для защиты жизни, здоровья или иных интересов, а согласие получить невозможно (п. 2–11 ч. 1 ст. 6 закона № 152-ФЗ).
Если вы не уверены в составлении формы согласия на обработку персональных данных для сферы деятельности вашей организации, мы рекомендуем вам поработать с нашей командой экспертов над составлением формы или написать нам письмо для получения консультации.
Что делать, если Вам отказываются давать согласие на обработку персональных данных?
Иногда люди отказываются давать письменное согласие на обработку персональных данных из-за низкой правовой культуры и незнания закона. Причиной этого является опасение, что работодатель или отдел кадров может использовать информацию во вред владельцу. В этом случае рекомендуется добросовестно разъяснить, что письменное согласие юридически защищает контролера данных от незаконных действий. В противном случае, например, работодатель не сможет принять на работу человека, который отказывается заполнить эту форму, а банк не сможет проводить платежи. Один и тот же работодатель может быть привлечен к ответственности за нарушение этого положения.
Закон не определяет условия хранения персональных данных, но организация должна обеспечить их сохранность и недоступность для неуполномоченных лиц.
Обратите внимание, что организации также должны учитывать следующие аспекты при согласии на обработку персональных данных:
- получить подтверждение, что субъект персональных данных добровольно разрешает обработку личных данных.Такое подтверждение понадобится в случае спора (подробнее о доказательствах наличия согласия на обработку персональных данных 2021 в суде)
- убедится, что данные принадлежат субъекту, который предоставил сведения
Общедоступные персональные данные
Персональные данные в понимании Закона № 152-ФЗ — это любая информация, относящаяся прямо или косвенно к идентифицируемому или определяемому физическому лицу (субъекту ИД).
Передача или распространение данных, относящихся к физическому лицу, требует согласия субъекта данных, за исключением случаев, предусмотренных законом (согласие не требуется при передаче персональных данных определенным органам власти и в некоторых случаях
Общедоступная информация включала имя, фамилию, девичью фамилию, год и место рождения, адрес, абонентский номер, род занятий, фотографию и т.д. Общедоступные данные могут быть исключены из общедоступного источника в любое время по просьбе субъекта данных или по решению суда или других уполномоченных государственных органов.
С 1 марта 2021 года общедоступные данные заменены термином «персональные данные, раскрытие которых разрешено субъектом данных» — информация о субъекте данных, которая является полностью доступной благодаря его согласию на обработку таких персональных данных и раскрытие которой разрешено в порядке, предусмотренном Законом № 152-ФЗ (статья 3 Закона № 152-ФЗ).
При этом в новой редакции распространение персональных данных определяется как меры, направленные на раскрытие персональных данных неопределенному кругу лиц.
Общедоступные данные по-новому
К вашему сведению, предыдущая версия закона определяла распространение данных как любое действие, заключающееся в передаче персональных данных определенной группе лиц или предоставлении их неограниченному кругу лиц, включая публикацию в СМИ, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным любым другим способом.
Таким образом, прежде чем персональные данные работника станут достоянием общественности (на сайте организации, в печатных СМИ, в рекламе и т.д.), необходимо получить его согласие.
Согласно статье 9 Закона № 152-ФЗ, работодатели уже обязаны получать согласие работников на обработку их персональных данных. В данной статье также изложены условия получения такого согласия. В частности, она должна быть конкретной, документированной и добросовестной. Работник может дать такое согласие в любой форме, позволяющей его подтвердить (в письменной форме или в виде электронного документа, подписанного электронной подписью), если федеральным законом не предусмотрено иное.
Работодатели давно должны были получить такое согласие от сотрудников.
Сколько согласий запрашивать?
Напоминаем, что для обработки специальных категорий персональных данных, касающихся расового или этнического происхождения, политических взглядов, религиозных или философских убеждений, здоровья или частной жизни, требуется отдельное письменное согласие (статья 10 Федерального закона № 152-ФЗ).
Новая статья 10.1 Закона № 152-ФЗ прямо указывает, что согласие на обработку персональных данных, которые могут быть раскрыты субъектом данных, должно быть дано отдельно от согласия любого другого субъекта данных.
Так, работодатель может объявить выговор работнику организации за ненадлежащее исполнение своих обязанностей или снизить размер премиальных выплат (бонусов), если данный вид взыскания предусмотрен коллективным договором или иным документом, действующим на предприятии.
Административная ответственность за обработку данных без согласия субъекта данных в виде штрафа (часть 2 статьи 13.11 части 2 Кодекса Российской Федерации об административных правонарушениях):
С действующими штрафами за правонарушения в области обработки персональных данных можно ознакомиться в тематической публикации, размещенной в системе КонсультантПлюс. Получите бесплатный пробный доступ к документу.
Незаконный сбор информации о частной жизни лица (включая личную или семейную тайну) и несанкционированный доступ к компьютерным данным, содержащим такую информацию (статьи 137 и 272 Уголовного кодекса), является уголовным преступлением.
Ответственность за нарушение законодательства
Кроме того, субъект данных может потребовать от нарушителя компенсации нематериального ущерба (Статья 24(2) Закона № 152).
За соблюдением законодательства в области персональных данных следит Роскомнадзор.
Ответственным за организацию работы с персональными данными сотрудников поможет справочник «КонсультантПлюс». Если у вас еще нет доступа к этой правовой системе, вы можете получить бесплатный пробный доступ.
- 6–10 тыс. руб. — на граждан;
- 20–40 тыс. руб. — на должностных лиц;
- 30–150 тыс. руб. — на юридических лиц.
Согласно части 1 статьи 6 Закона № 152, согласие на обработку персональных данных не требуется в следующих случаях:
Компания информирует Роскомнадзор об обработке персональных данных в установленном порядке. Подробнее об этой процедуре читайте в текущей публикации.
Таким образом, обработка и раскрытие персональных данных без согласия контролера данных является нарушением закона и может повлечь ответственность нарушителя. Однако могут быть обстоятельства, когда закон освобождает лицо, уполномоченное на обработку персональных данных, от обязанности получать согласие на обработку этих данных. Например, если человек просто не может дать согласие по состоянию здоровья.
Более подробную информацию по этому вопросу можно найти в КонсультантПлюс. Бесплатный пробный доступ к системе в течение 2 дней.
В некоторых случаях оператор раскрывает персональные данные неопределенной группе лиц. Например, она публикует на сайте отзывы клиентов, которые содержат имена, электронную почту и другие личные данные. Или же она помогает клиенту получить кредит и от его имени отправляет заявку в различные банки и МФО.
Когда согласие на обработку персональных данных не требуется
Это называется раскрытием персональных данных, которое требует отдельного согласия субъекта данных.
- если лицо является участником судебного разбирательства;
- если данные необходимы для исполнения госорганами своих полномочий в области предоставления государственных и муниципальных услуг, в том числе для регистрации гражданина на портале «Госуслуги»;
- для исполнения договора, выгодоприобретателем или поручителем по которому выступает лицо (или для заключения такого договора от его имени), притом что соответствующий договор не должен содержать положений, ограничивающих права и свободы субъекта персональных данных, как и положения, предусматривающие в качестве условия заключения данного договора бездействие субъекта;
- если ситуация требует немедленных действий, необходимых для сохранения жизни и здоровья гражданина, а получить его согласие невозможно (например, человек находится без сознания);
- собранные личные данные будут использованы в целях проведения статистического или иного исследования, при условии что они будут обезличены;
- лицо ранее самостоятельно сделало свои данные доступными для неограниченного количества пользователей;
- данные должны быть раскрыты в соответствии с действующими законодательными требованиями;
- информация используется для журналистской, творческой или научной деятельности, а также для работы СМИ, при условии что это не нарушает права и законные интересы гражданина.
Форму согласия на раскрытие персональных данных можно создать с помощью информационного ресурса Роскомнадзора.
Итоги
Если оператор решит разработать собственную форму, он должен указать в ней обязательные элементы в соответствии с Постановлением № 18 от 24.02.2021. Для каждой категории и списка идентификаторов субъект должен иметь возможность выбрать одну из трех категорий:
Молчание или бездействие гражданина ни в коем случае не может рассматриваться как согласие на обработку удостоверений, которые могут быть распространены (ст. 10.1 ч. 8 152-ФЗ).
Как оформить разрешение на распространение ПД
В течение трех рабочих дней с момента получения согласия на распространение персональных данных оператор обязан опубликовать информацию об условиях обработки данных, а также о запретах и условиях обработки данных неограниченным кругом лиц (ч. 10 ст. 10.1 Федерального закона 152-ФЗ), например, опубликовав ее на своем сайте.
Эта мера необходима для защиты права на неприкосновенность частной жизни субъектов данных. Лица, которым предоставлен доступ к персональным данным, должны соблюдать условия и запреты, указанные в разрешении на распространение.
Что следует учитывать, если положение об обработке данных является частью документа, например, договора?
Если положение об обработке персональных данных является неотъемлемой частью подписываемого документа:
- передано субъектом непосредственно оператору;
- заполнено с использованием информационной системы Роскомнадзора.
Получатель жилищного пособия не дает согласия на обработку персональных данных по религиозным соображениям. Имеет ли он право на государственную службу?
Если обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Законом о государственных услугах4 в целях обеспечения предоставления данной услуги, то для обработки этой информации не требуется согласие владельца удостоверения личности на регистрацию владельца удостоверения личности на Едином портале государственных и муниципальных услуг.
Статья 6 Закона о персональных данных устанавливает условия обработки персональных данных, включая случаи, в которых обработка персональных данных разрешается без согласия субъекта данных, в том числе для получения государственных услуг. Буквальное толкование этого положения предполагает, что каждый из этих случаев представляет собой независимое основание для обработки персональных данных.
Подавая заявление на получение жилищного пособия, предоставляя в нем необходимую информацию и прилагая требуемые законом документы, получатель государственных услуг дает согласие на передачу и обработку своих персональных данных, необходимых для предоставления услуги.
- разрешено;
- запрещено;
- разрешено с условиями — указать условия.
Ни Закон о защите персональных данных, ни Закон о защите персональных данных не предусматривают передачу персональных данных.
Форма согласия на обработку ПД
- фамилию, имя, отчество, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПД);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПД;
- цель обработки персональных данных;
- перечень ПД, на обработку которых дается согласие субъекта ПД;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки;
- срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
- Содержание согласия должно быть конкретным и информированным, то есть включать сведения, позволяющие субъекту ПД однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных. Законом о персональных данных установлены требования к форме такого согласия (которые разберем ниже).
- Документ должен предусматривать возможность отказа от данного условия, поскольку согласие добровольное.