Согласие на обработку персональных данных
Относительно недавно в России был введен в оборот новый документ под названием «Согласие на обработку персональных данных». Очень быстро он получил повсеместное распространение и на данный момент широко используется в самых разных организациях, начиная от государственных бюджетных учреждений и до коммерческих компаний.
Внимание! Этот документ можно скачать в КонсультантПлюс.
- Бланк и образец
- Онлайн просмотр
- Бесплатная загрузка
- Безопасно
Что собой представляет согласие
Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.
Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.
Когда чаще всего требуется согласие
Сейчас согласие необходимо писать почти повсеместно:
- при подаче документов на ребенка в садик или школу;
- при трудоустройстве;
- при заключении договора с банком, страховой компанией и т.д.
Иными словами, везде, где гражданин предоставляет свои личные документы или документы лица, представителем которого он является, заполняет различного рода тесты и анкеты, он подписывается такое согласие.
Что вкладывается в термин «персональные данные»
Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:
- фамилия, имя, отчество;
- дата и место рождения;
- сведения из паспорта, трудовой книжки и прочих документов;
- а также некоторые характеристики его личности.
При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.
В частности их условно можно поделить на три основных вида:
- общедоступные данные (ФИО, пол, дата, место рождения, гражданство и т.п.)
- биометрические (физиологические особенности индивида, его внешние параметры)
- специальные (народность, религия, здоровье и т.д.). Сюда же в некоторой степени относится и информация о месте работы человека, его отношениях с законодательством, привычках и т.п.
По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.
Для чего формируется согласие на обработку при трудоустройстве
Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д. Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).
В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.
Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.
Если сотрудник отказывается подписывать согласие
Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.
Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.
В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.
Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.
Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.
Что грозит за разглашение персональных данных
Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.
Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.
Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.
В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).
Как уведомить
Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.
Можно ли отозвать согласие
Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает. Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.
Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).
Это требование должно быть выполнено не позже чем через месяц после написания отзыва.
Образец согласия
Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:
- наименование компании-работодателя;
- место и дата составления документа;
- фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.
Далее в основной части подробно указывается:
- каких именно персональных данных касается документ;
- в каких целях и что именно допустимо с ними делать;
- срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).
Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.
СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Я, Ковтун Инна Олеговна, паспорт 2495 564738, выдан Ленинским РОВД г. Иваново, адрес регистрации: г. Иваново, ул. Мельничная д.73, кв. 8, даю свое согласие ОАО «КомЖилФонд» на обработку моих персональных данных. Согласие касается фамилии, имени, отчества, данных о поле, дате рождении, гражданстве, типе документа, удостоверяющем личность (его серии, номере, дате и месте выдачи), а также сведений из трудовой книжки: опыте работы, месте работы и должности.
Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях. Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч. передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.
До моего сведения доведено, что ОАО «КомЖилФонд» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.
Подтверждаю, что давая согласие я действую без принуждения, по собственной воле и в своих интересах.
Персональные данные: ответы на популярные вопросы
Кто и как может получить доступ к персональным данным, в каких случаях не нужно разрешение на их использование и передачу, могут ли не продать товар или не оказать услугу при отказе дать согласие на обработку данных, какие данные собирают владельцы сайтов и как отказаться от рекламной рассылки?
Что такое персональные данные?
Персональные данные (ПД) – это любая информация о человеке. ПД бывают трех видов: общие, специальные и биометрические.
Это Ф.И.О., паспортные данные, СНИЛС, ИНН, дата и место рождения, e-mail, адрес, семейное, социальное и имущественное положение, место учебы и работы, образование, профессия, доходы и т.д.
С номером телефона сложнее. Сам по себе номер как набор цифр – это не ПД, поскольку он не может персонифицировать субъекта данных, он обезличен. Но ситуация меняется, когда помимо номера есть информация о человеке. В этом случае он может быть признан ПД. То есть записанный номер телефона без указания на человека, которому он принадлежит, не относится к персональным данным. Но если, например, на сайте вы нашли номер телефона и Ф.И.О. его владельца, он будет считаться ПД.
Не являются персональными данными: госномер транспортного средства, так как он относится не к человеку, а к автомобилю; лицевой счет ЖКХ, поскольку он относится к квартире.
Перечисленные выше ПД могут обрабатываться только с вашего согласия и лишь в некоторых случаях без него (об этом ниже).
2. Специальные ПД
Это данные о расовой и национальной принадлежности, политических, религиозных и философских убеждениях, состоянии здоровья, интимной жизни и т.д.
Обработка таких ПД не допускается, за исключением следующих случаев:
- вы дали письменное согласие на обработку, т.е. подписали документ, в котором выразили свое согласие;
- обработка в целях оказания медицинской помощи; при этом вам не могут отказать в медпомощи, если вы отказываетесь подписать согласие на обработку специальных ПД;
- обработка в целях страхования;
- обработка ПД госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности, а также иные исключения, предусмотренные ч. 2 ст. 10 Закона о персональных данных.
3. Биометрические ПД
Это данные о физиологических и биологических особенностях человека, которые позволяют установить его личность. К биометрическим ПД относятся: ДНК, голос, радужная оболочка глаза, отпечатки пальцев, изображение лица, рост, вес и т.д.
Такие ПД могут обрабатываться только с письменного согласия, за исключением случаев, когда обработка осуществляется госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности; а также в иных случаях, предусмотренных ч. 2 ст. 11 Закона о персональных данных.
Например, следуя в свой офис, вы проходите пункт охраны. Там вас просят приложить к сканеру палец, что позволяет службе охраны на компьютере видеть ваши ПД на основании взятого отпечатка. Так они могут установить вашу личность. Для использования отпечатка пальца охранная организация должна взять у вас письменное согласие на обработку биометрических ПД.
Что такое обработка персональных данных?
Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
- работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
- продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
- покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.
Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.
Кто такой оператор персональных данных?
Оператор ПД – любой человек, ИП, компания, органы и учреждения государственной и муниципальной власти, которые осуществляют действия с ПД.
- работодатель, обрабатывающий ПД своих работников;
- продавец, обрабатывающий ПД клиентов-граждан;
- госорганы, обрабатывающие ПД граждан при предоставлении государственных услуг;
- владельцы сайтов, собирающие ПД пользователей сайта.
Какие условия обязан соблюдать оператор при обработке персональных данных?
Главное условие – наличие вашего согласия. При этом в ст. 6 Закона о персональных данных предусмотрены случаи, когда оператор может обрабатывать ПД при отсутствии согласия:
- в целях, предусмотренных международным договором России, например договором, позволяющим выдавать преступников другой стране (экстрадиция);
- в целях, предусмотренных законами РФ, когда на оператора возложены определенные обязанности; например, работодатель обязан передать ПД в налоговые органы;
- в связи с вашим участием в суде; например, при подаче документов в суд вы должны указать свои Ф.И.О. и адрес;
- для исполнения судебного акт; например, суд по результатам рассмотрения дела выдает исполнительный документ, в котором указываются Ф.И.О., адрес, ИНН и иные данные должника;
- в целях получения госуслуг – в таких случаях мы всегда подписываем согласие на обработку ПД. В недавнем определении Верховный Суд РФ подтвердил, что отказ лица от подписания согласия не может являться основанием для отказа в предоставлении услуги органом власти 1 ;
- для исполнения договора, в котором вы являетесь стороной, выгодоприобретателем (например, в вашу пользу застраховано имущество) или поручителем.
Например, вы заключили с риелтором договор, согласно которому он ищет покупателя для вашей квартиры. Риелтору нужно знать ваши ПД: Ф.И.О., контактный телефон и e-mail. Так как он использует эти данные только для оказания услуг, ему не нужно ваше согласие на обработку ПД. Если же риелтор желает присылать вам рекламные материалы, которые, естественно, не связаны с оказанием услуг по заключенному договору, то он обязан будет получить ваше согласие на обработку ПД в рекламных целях;
Что такое согласие на обработку персональных данных?
Согласие на обработку ПД – это добровольно принятое вами решение о предоставлении своих данных оператору для обработки в тех целях, которые им определены.
Согласие на обработку ПД должно быть оформлено:
- письменно, если того требует закон (см. выше);
- в остальных случаях закон допускает оформление согласия в любой иной форме, позволяющей подтвердить факт его получения оператором, например проставление галочки напротив текста о предоставлении согласия на сайте при регистрации (☑).
Пункты, которые обязательно должно содержать письменное согласие:
- Ф.И.О., адрес, реквизиты паспорта или иного документа, удостоверяющего личность;
- название организации или Ф.И.О. и адрес оператора;
- цель обработки ПД – вы должны понимать, для чего вы даете согласие на обработку данных; если оператор станет обрабатывать ПД в иных целях, это будет считаться нарушением закона;
- перечень ПД, которые будет обрабатывать оператор;
- информация о лице, которое будет обрабатывать ваши ПД по поручению оператора. Например, работодатель передает ваши данные сторонней организации, которая оказывает бухгалтерские или кадровые услуги, – для этого вы должны предоставить свое согласие;
- перечень действий, которые будет осуществлять оператор, т.е. что конкретно он может делать с ПД: собирать и хранить или собирать, хранить и передавать и т.д.;
- срок, на который выдано согласие;
- способ отзыва согласия;
- подпись.
Можно ли не давать согласие на обработку ПД?
Можно. Предоставление согласия – дело добровольное. Исключением являются те случаи, когда оператор может обрабатывать ПД без вашего согласия (см. выше).
Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?
На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.
- Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
- Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.
С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.
Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:
- считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
- считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.
Однако оба довода являются спорными.
Почему организация может требовать оформления согласия на обработку ПД?
Причин может быть несколько:
- оператор хочет получить возможность обрабатывать ПД в целях, не связанных с выполнением договора; самый распространенный случай – нужно согласие на рассылку рекламных материалов;
- оператор не понимает или не знает о случаях, в которых не требуется получение согласия;
- оператор хочет перестраховаться.
Может ли оператор передать кому-нибудь персональные данные?
Оператор может передавать ПД третьим лицам только с вашего согласия, если иное не предусмотрено законом.
Примеры, когда согласие нужно: работодатель передает ваши ПД сторонней организации для бронирования отелей, покупки авиабилетов или оформления пропуска.
Примеры, когда согласие не нужно:
- управляющая организация или правление товарищества собственников жилья вправе предоставить ваши ПД (Ф.И.О., номер квартиры, сведения о размере доли) организатору созыва общего собрания собственников жилья;
- работодатель вправе передавать ваши ПД в ФСС, ПФР, налоговые органы, по запросу в суд, прокуратуру, правоохранительные органы и т.д.
Предоставление такого согласия является добровольным. Оператор не может принуждать вас это сделать.
(Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? О том, как действовать в такой ситуации, читайте в статье «Битва за персональные данные».)
Какие персональные данные оператор собирает через сайт и зачем?
ПД, которые могут быть собраны оператором через сайт, условно можно разделить на две группы.
1. ПД, которые вы передаете сами, заполняя формы обратной связи на сайте: Ф.И.О., адрес, номер телефона, e-mail.
В этом случае объем переданных ПД вы можете определить сами. Согласие на обработку таких данных обычно можно предоставить путем:
- проставления галочки в специальном окне («Я даю свое согласите на обработку персональных данных» ☑);
- принятия условий публичной оферты, опубликованной на сайте; обычно оплата товара означает согласие с условиями.
2. ПД, которые оператор собирает без предоставления вами информации.
В основном это файлы куки (cookie) – небольшие текстовые файлы со служебной информацией с сайта (сведения о программном обеспечении, которым вы пользуетесь, IP вашего компьютера, информация о вашем браузере).
Ваше согласие на обработку этих ПД оператор получает, если вы остаетесь на сайте после того, как появилось всплывающее окно с информацией примерно следующего содержания: «Продолжая использовать настоящий сайт, вы даете согласие на обработку файлов cookie в целях функционирования сайта. Если вы против обработки ваших данных, незамедлительно покиньте сайт».
Владелец сайта вправе обрабатывать ваши ПД только в тех целях, которые были указаны при получении вашего согласия, чаще это направление вам рекламных материалов. Файлы куки обычно используются для сбора статистики и информации о ваших предпочтениях.
Законно ли направление мне рекламы без моего согласия?
Прежде чем направить вам рекламные материалы, оператор обязан взять у вас согласие:
- на получение рекламных материалов, т.е. вы должны разрешить ему высылать их;
- на обработку ПД в целях продвижения товаров, работ или услуг, т.е. вы должны разрешить ему обрабатывать ваши данные (Ф.И.О., номер телефона, e-mail) для получения рекламной рассылки.
Обычно мы не замечаем, как даем эти согласия. Например, в магазине вы заполняете анкету для получения бонусной карты, что влечет согласие на рекламную рассылку; на сайте при заполнении формы обратной связи или при оформлении заказа вы ставите галочку напротив текста, который выражает ваше согласие (☑).
Если вы не хотите сталкиваться со спамом, рекомендую внимательно следить за тем, что вы подписываете или оформляете на сайте.
Как отказаться от назойливой рекламной рассылки?
Обычно в конце рекламного сообщения есть активная ссылка, которая позволяет отказаться от рассылки. Если это не помогло, вы должны обратиться к оператору, от которого получаете рекламу, с требованием прекратить обработку ПД в целях продвижения товаров, работ или услуг. Вы можете обратиться к нему лично, придя в офис, направить по почте письменное требование или через e-mail отправить электронный документ, подписанный усиленной квалифицированной подписью.
При оформлении отказа рекомендую указать свои контактные данные и четко сформулировать свое требование (отказ от получения рекламных материалов и от обработки ПД в целях продвижения товаров, работ, услуг). Тут же следует сослаться на ч. 2 ст. 15 Закона о персональных данных, в которой сказано, что по требования субъекта ПД оператор обязан немедленно прекратить обработку его данных.
Лучше направить письменное требование обычной почтой (ценным письмом с описью вложения). Почтовая квитанция и опись будут являться подтверждением факта обращения к оператору. Получив такое требование, он обязан будет прекратить обработку ПД.
Если вам направляют рекламу, несмотря на отказ от нее, вы можете обратиться:
- в территориальный орган Роскомнадзора с жалобой на действия оператора;
- в территориальный орган Федеральной антимонопольной службы с жалобой на действия предпринимателя, осуществляющего рассылку рекламных материалов без вашего согласия на их получение;
- в суд.
Какие права у меня есть при обработке моих персональных данных?
1. Право на получение у оператора информации, касающейся обработки ваших ПД.
Вы можете обратиться к оператору с требованием о предоставлении следующей информации:
- подтверждение факта обработки ваших ПД оператором – он должен подтвердить или опровергнуть информацию об этом;
- правовые основания и цели обработки ваших ПД – если вы дали свое согласие на обработку, то оператор должен сослаться на него. Если он вправе осуществлять обработку без вашего согласия, то должен сослаться на конкретное положение закона. Также оператор должен перечислить цели, для которых осуществляется обработка ПД;
- способы обработки ваших ПД – возможны два способа: автоматизированный – обработка с помощью средств вычислительной техники; без использования средств автоматизации – обработку осуществляет человек;
- наименование и место нахождения оператора; сведения о лицах (за исключением работников оператора), которые имеют доступ к ПД или которым эти данные могут быть раскрыты на основании договора с оператором или на основании федерального закона – здесь речь идет об органах госвласти, которым оператор передает ваши ПД, а также об иных третьих лицах, которым оператор передает ваши ПД на основании договора;
- перечень обрабатываемых ПД и источник их получения – оператор должен указать, какие именно ваши данные он обрабатывает и как их получил;
- сроки обработки и хранения ПД;
- порядок осуществления вами прав, предусмотренных Законом о персональных данных, – информация о том, каким образом вы можете реализовать свои права у данного оператора;
- о трансграничной передаче ПД – информация о том, передаются ли ваши ПД за границу;
- сведения о лице, осуществляющем обработку ваших ПД вместо оператора, – например, сторонняя организация вместо работодателя обрабатывает ПД работников для предоставления кадровых и бухгалтерских услуг;
- иные сведения, предусмотренные законодательством.
Право на получение такой информации не распространяется на случаи обработки ПД в целях обороны страны, безопасности государства, охраны правопорядка, в рамках законодательства о противодействии отмыванию доходов, полученных преступным путем, и т.д.
Как получить от оператора необходимую информацию?
Вы вправе обратиться к оператору лично, придя в офис. Можно направить запрос по почте в виде письменного документа или на e-mail в виде электронного документа, подписанного усиленной квалифицированной электронной подписью.
Самый надежный способ обращения – направление по обычной почте ценного письма с описью вложения. Оставьте у себя почтовые квитанции и опись – так вы сможете подтвердить факт направления запроса оператору.
В запросе обязательно нужно указать:
- паспортные данные;
- если ваши ПД обрабатываются оператором на основании договора, то укажите дату его заключения и номер;
- если вы не заключали договор с оператором, укажите иные сведения, подтверждающие ваши взаимоотношения с ним; например, если вы купили товар на сайте оператора, можете сослаться на адрес сайта, номер вашего заказа и т.д.;
- иные сведения, подтверждающие факт обработки ваших ПД оператором; например, ссылка на электронное письмо с рекламными материалами;
- ваша подпись.
При личном обращении информация об обработке ПД должна быть предоставлена вам незамедлительно. Если запрос был направлен по почте, то ответ должен поступить в течение 30 дней с даты получения оператором запроса.
Повторно обратиться к оператору вы можете не ранее чем через 30 дней после первоначального обращения. Отправить второй запрос, не дожидаясь истечения 30-дневного срока, вы можете, только если оператор предоставил не всю информация, которую вы требовали. Но вы должны будете обосновать свое обращение. В случае несоблюдения этих условий оператор вправе отказать в выполнении повторного запроса.
2. Право на предъявление иных требований к оператору, обрабатывающему ваши ПД.
Вы можете требовать от оператора:
- уточнить ваши ПД;
- блокировать ПД – временно прекратить обработку данных. Например: вы обратились к оператору с требованием уточнить ПД и, пока вносятся изменения, заблокировать их, чтобы приостановить обработку неточных данных;
- уничтожить ПД. Например: вы просите оператора уничтожить паспортные данные, которые не нужны ему для направления вам рекламных материалов.
Такие требования можно предъявить, если ПД, которые обрабатывает оператор:
- неполные, например вместо Ф.И.О. указана только фамилия;
- устаревшие, например если вы поменяли паспорт;
- неточные, например ваша фамилия указана с ошибкой;
- получены незаконно;
- не являются необходимыми для заявленной цели обработки. Например: продавец обрабатывает ваши паспортные данные, хотя получал ПД для направления рекламных материалов, для чего ему достаточно знать ваши имя и e-mail или номер телефона.
Как обратиться к оператору с одним из требований?
Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см. выше пункт 1). При оформлении обращения рекомендую указать свои контактные данные и четко сформулировать свое требование (об уточнении, блокировании или уничтожении ПД). Тут же нужно сослаться на ч. 1 ст. 14 и ч. 3 ст. 20 Закона о персональных данных.
Отказать в выполнении требования оператор не может. Он обязан сделать это в течение 7 дней и уведомить об этом вас и тех, кому были переданы ваши ПД. Если оператор не выполнил ваши требования, имеет смысл обратиться в контролирующий орган – Роскомнадзор.
3. Право на отзыв согласия на обработку ПД.
После отзыва согласия оператор не может обрабатывать ваши ПД, за исключением случаев, когда обработка может быть продолжена по закону. Например: вы заключили с оператором договор оказания услуг и подписали согласие. После его отзыва оператор вправе продолжить обработку ваших ПД только в том объеме, который необходим для оказания вам услуг по договору.
Как отозвать согласие на обработку персональных данных?
Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см. выше пункт 1). При оформлении отзыва рекомендую указать свои контактные данные и четко сформулировать свое требование (отзыв ранее выданного согласия на обработку ПД). Сослаться нужно будет на ч. 2 ст. 9 и ч. 5 ст. 21 Закона о персональных данных.
Оператор не может вам отказать и должен будет прекратить обработку ПД в течение 30 дней с даты поступления отзыва.
4. Право принимать предусмотренные законом меры по защите своих прав.
Если вы считаете, что оператор:
- осуществляет обработку ваших ПД с нарушением требований закона, например обрабатывает биометрические данные без письменного согласия;
- иным образом нарушает ваши права, например игнорирует ваши требования об уничтожении ПД, отзыве согласия, отказе от обработки ПД в целях продвижения товаров, работ или услуг и т.д.
В таких случаях вы можете обратиться:
- в территориальный орган Роскомнадзора с жалобой на действия или бездействие оператора;
- в суд с требованием о восстановлении нарушенных прав, а также с требованием о взыскании убытков (причиненный вам имущественный вред) и компенсации морального вреда (причиненные нравственные страдания).
Вы можете обратиться за защитой своих прав в любой из этих органов. Однако наиболее быстрый и надежный способ – направление жалобы в территориальный орган Роскомнадзора. Это позволит сэкономить время и силы. При обращении в суд дело может рассматриваться очень долго, нужно будет посетить не одно судебное заседание, представить доказательства и т.д.
1 Кассационное определение Судебной коллегии по административным делам Верховного Суда РФ от 22 января 2020 г. № 5-КА19-56.
Как работать с персональными данными клиентов и собирать согласия на их обработку в 2023 году
Когда компания берет у клиентов номера телефонов, e-mail или другие личные сведения, может понадобиться согласие на их обработку. В статье рассказываем, как грамотно составить согласие на обработку персональных данных и избежать типичных ошибок
Статья участника сообщества и нашей редакции
Ульяна Жаркова
Кира Лукашина
Эта статья понравилась редакции Бизнес-секретов, поэтому мы помогли автору сделать ее еще лучше
Когда компания берет у клиентов номера телефонов, e-mail или другие личные сведения, может понадобиться согласие на их обработку. В статье рассказываем, как грамотно составить согласие на обработку персональных данных и избежать типичных ошибок
Статья участника сообщества и нашей редакции
Ульяна Жаркова
Кира Лукашина
Эта статья понравилась редакции Бизнес-секретов, поэтому мы помогли автору сделать ее еще лучше
Если работаете с клиентами, наверняка спрашиваете их персональные данные — например, ФИО, адрес проживания, номер телефона, дату рождения. Такие данные обычно нужны, чтобы отправить заказ, прислать клиенту в день рождения промокод на скидку или составить договор оказания услуг.
В некоторых случаях нужно получить согласие на обработку личных данных. Частый пример — клиента просят поставить галочку в чекбоксе, что согласен получать email-рассылку. Если без спроса отправить рекламную рассылку, можно получить штраф.
Разобрались с экспертами, как бизнесу работать с персональными данными клиентов — в каких случаях необходимо собирать согласия на их обработку и как это правильно делать.
Когда необходимо собирать согласия на обработку персональных данных
Персональные данные — это любая информация, по которой клиента можно идентифицировать: ФИО, номер телефона, e-mail, паспортные данные, дата рождения, адрес, cookie-файлы и так далее.
Бизнес может обрабатывать — то есть получать, использовать или передавать такие данные клиентов — только с их согласия. Однако есть ситуации, когда оно не нужно:
- для исполнения договора с клиентом — например, курьеру нужен номер телефона получателя, чтобы узнать, куда доставить заказ;
- по закону — например, если персональные данные клиента содержатся в документах бухгалтерского и налогового учета, которые вы обязаны хранить в течение определенного срока;
- по требованию официального лица — например, если пришел следователь и просит данные ваших клиентов для расследования дела, придется их передать.
Посмотрим, как это работает на примере.
Клиент заказывает у Ивана товар с доставкой на дом. Для этого ему нужно указать адрес — иначе не получится исполнить договор. Значит, согласие на обработку данных об адресе не нужно.
Еще Иван хочет отправлять клиенту СМС с рекламными рассылками и промокодом на следующий заказ. Это не обязательно для исполнения договора, поэтому необходимо получить согласие клиента.
Некоторые юристы советуют подстраховаться и всегда получать согласие на обработку персональных данных — когда нужно и когда нет. Но это не спасает бизнес от рисков: за ошибки в форме согласия можно также получить штраф.
Поэтому рекомендуем проконсультироваться с юристом, в каких случаях вашему бизнесу нужно согласие, а когда нет.
«Чтобы понять, нужно ли брать согласие у клиента на получение и обработку данных, достаточно ответить на один вопрос: оставил ли вам покупатель информацию, по которой вы можете его идентифицировать, даже косвенно?
Если ответ „да“, надо запрашивать согласие на обработку этих данных.
Например, клиент оставил вам свой e-mail или телефон в заявке на обратный звонок, значит, он передал вам свои персональные данные. С согласия клиента можно эти данные использовать: перезвонить и предложить оформить заказ, отправить пуш-уведомление о скидках на старую коллекцию, отправить email-рассылку с подборкой книг в интернет-магазине и так далее.
Если вы собираете данные в таком формате, что клиента невозможно идентифицировать, вам не нужно брать согласие на обработку его данных.Допустим, компания проводит анонимный опрос или публикует отзывы под вымышленными именами или без указания конкретных данных: „отзыв Алисы К.“, „отзыв нашего покупателя из Химок“, „отзыв многодетной мамы“.
Еще сбор согласий не нужен в особых случаях, которые прописаны в законе. Например, закон не требует получать согласие от клиента, если его данные нужны для исполнения договора, который он уже заключил.
Не нужно брать согласие на обработку адреса, если клиент заказал у вас товар и оформил доставку на дом, потому что заключен договор купли-продажи и для его исполнения вам необходим адрес доставки».
Кира Лукашина
Эксперты выделили три частых ситуации, когда бизнес работает с персональными данными клиентов и нужно получить согласие на их обработку:
- Компания собирает на сайте cookie-файлы.
- На сайте компании клиент может оставить контактную информацию, чтобы подписаться на email-рассылку.
- Компания узнает данные офлайн для подключения клиента к программе лояльности.
Компания собирает на сайте cookie-файлы. Практически все сайты используют cookie-файлы, они собирают информацию об активности пользователя. С помощью cookie компания может узнать IP-адрес клиента или другие технические параметры устройства, с помощью которых пользователя в дальнейшем можно идентифицировать.
Раньше вопрос, считать ли cookie-файлы персональными данными, был спорным, но сейчас Роскомнадзор и суды широко трактуют понятие «персональные данные» и относят к ним cookie.
Поэтому, если ваш сайт собирает cookie-файлы, на нем должна всплывать плашка с запросом согласия на сбор cookie. Идеально, если посетитель сайта не сможет им пользоваться, пока не согласится с обработкой cookie.
Клиент оставил свои данные на сайте, чтобы получать email-рассылку. Обычно сайт компании — это не только визитная карточка бизнеса, но и способ сбора контактной информации клиентов в рекламных целях. Если хотите отправлять клиенту по почте рассылку или промокоды, нужно его согласие.
Компания узнает информацию о клиенте офлайн для подключения клиента к программе лояльности. Неважно, как вы собираете данные клиента — на бумаге или клиент сообщает вам их устно, а вы сами эти данные где-то записываете, надо получать согласие на обработку персональных данных.
Способы сбора согласий на обработку персональных данных
Вы можете собирать согласия у клиентов любым способом и в любой форме — в законе нет установленных шаблонов и правил. Исключение: бизнес, который работает с особенно важными данными, например с данными о здоровье или национальной принадлежности. Для этих категорий в законе прописаны повышенные требования, но к большинству ситуаций они не относятся.
Собирать согласия можно в письменном или электронном виде — на усмотрение бизнеса. Мы рекомендуем хранить согласия в течение всего срока их действия — обычно это период, в течение которого планируется обработка данных. Например, если собираете данные для выдачи сотруднику пропуска в офис, их надо хранить, пока человек у вас работает.
В таблице — популярные способы сбора согласий.
Рассмотрим каждый из способов.
Печатная анкета. В ней должен быть пункт о согласии на обработку персональных данных. Клиент заполняет ее от руки. Анкета должна храниться в бумажном виде.
Подтверждение согласия через СМС-код или звонок. Продавец со слов клиента вносит его данные в электронную систему для участия в программе лояльности и просит клиента подтвердить свое согласие на передачу данных через СМС-код или звонок. Система автоматически отправляет клиенту код подтверждения.
Перед тем как подтвердить свое согласие на обработку данных, клиент должен ознакомиться с правилами программы лояльности и полным текстом согласия. Для этого можно отправить клиенту ссылку на эти документы в СМС.
Чекбокс с галочкой согласия в общей форме заявки. Клиент ставит галочку «согласен» в чекбоксе формы для сбора данных напротив ссылки на согласие на сайте. Отправленная заявка с проставленной галочкой сохраняется на сайте. При необходимости ее можно выгрузить и использовать в качестве доказательства того, что клиент дал согласие.
Двойное подтверждение — double opt-in. Клиент дает согласие через e-mail или СМС. Например, сначала оставляет свой e-mail в форме на сайте, а затем подтверждает согласие, кликнув на ссылку в письме. Или оставляет на сайте номер телефона, а потом отправляет подтверждение в ответ на СМС, которое пришло от компании, или называет код продавцу в магазине.
Главное: вне зависимости от формы согласия сохранить подтверждение того, что клиент согласился на обработку своих персональных данных. Для этого сохраните заполненную от руки анкету или выгрузите логи — технические файлы о действиях клиента на сайте.
Согласия нужно хранить на случай проверки контролирующими органами или жалобы клиента.
Что нужно сделать перед тем, как начать собирать персональные данные
Если бизнесу понадобились персональные данные, например, чтобы отправить промокод на скидку, просто так их запросить нельзя. Сначала нужно определить ответственного, уведомить Роскомнадзор и подготовить документы.
Определить ответственного. Нужно выбрать сотрудника, который будет отвечать за обработку персональных данных. Если сотрудников нет, тогда им становится сам ИП.
Ответственный должен следить за изменениями в законе о персональных данных, контролировать, чтобы все сотрудники соблюдали эти законы, реагировать на запросы Роскомнадзора или клиентов.
Когда выберете ответственного сотрудника, надо подготовить об этом приказ.
Уведомить Роскомнадзор. До начала работы с персональным данными бизнес должен уведомить об этом Роскомнадзор. Это можно сделать тремя способами:
- через сайт ведомства, если есть УКЭП;
- через Госуслуги;
- на бумаге в территориальном подразделении ведомства;
В течение 30 дней Роскомнадзор внесет компанию или ИП в реестр операторов. Если какие-то данные не указали, сотрудники ведомства могут их уточнить. После того, как бизнес добавили в реестр операторов, можно собирать и обрабатывать персональные данные.
С 2022 года уведомлять Роскомнадзор не нужно только в двух случаях:
- Обрабатываете персональные данные без автоматизации — то есть записываете их вручную на бумаге.
- Обрабатываете персональные данные в государственных защищенных системах — например, ЕГАИС, «Работа в России», «Меркурий».
Это редкие случаи — большинство ИП и компаний должны уведомить Роскомнадзор. Сделать это нужно только один раз, но надо сообщать об изменениях, если:
- изменились сведения, которые вы ранее предоставили в Роскомнадзор, например состав запрашиваемых персональных данных или ответственный за обработку персональных данных;
- прекращаете собирать и обрабатывать персональные данные, например при закрытии ИП или компании.
Сообщить об изменениях в работе нужно до 15 числа следующего месяца.
Еще с 2022 года бизнес обязан уведомлять об утечке персональных данных. Если такое случится, нужно:
- Отправить первичное уведомление в Роскомнадзор в течение 24 часов. В нем надо объяснить предполагаемую причину утечки и причиненный вред клиентам, рассказать, как планируете решать проблему. Сделать это можно на сайте ведомства в разделе «Инциденты».
- Провести внутреннюю проверку — почему так вышло и кто виноват в утечке.
- Отправить в Роскомнадзор результаты внутренней проверки в течение 72 часов. В этом документе надо указать установленную причину утечки, виновных и меры, которые приняли, чтобы ситуация не повторилась. Заполнить и отправить уведомление можно в том же разделе «Инциденты».
Если не сообщить Роскомнадзору об утечке вовремя или вообще не направить уведомления, могут оштрафовать: ИП — от 300 до 500 ₽, малые предприятия — от 1500 до 2500 ₽, средние и крупные компании — от 3000 до 5000 ₽.
Подготовить документы. Закон требует подготовить только политику обработки персональных данных. Но обычно бизнес помимо политики готовит еще и положение о защите данных. Кроме того, отдельно оформляют форму согласия на обработку персональных данных для удобства клиентов.
Посмотрим, что должно быть в каждом документе.
| Название документа | Для чего он нужен | Что важно прописать |
|---|---|---|
| Политика обработки персональных данных | Этот документ может называться и по-другому, например, политика конфиденциальности. Главное — в нем написать, какая компания или ИП будут собирать данные, зачем и что с ними будут делать. |
— зачем собираете персональные данные;
— какие данные собираете;
— как и сколько времени будете обрабатывать данные;
Публиковать документ на сайте не нужно.
— кто из штата имеет доступ к персональным данным;
— как защищены информационные системы, в которых храните и обрабатываете данные;
Есть случаи, когда нужно получать только письменное согласие. Например, при обработке биометрических или специальных категорий данных.
— реквизиты лица, обрабатывающего данные по поручению;
— цель обработки персональных данных;
— список персональных данных;
— срок действия согласия;
— порядок отзыва согласия;
Как составить письменное согласие на обработку персональных данных
Посмотрим, как составить согласие на обработку персональных данных.
Сформулировать цель обработки персональных данных. Можно собирать персональные данные, которые точно нужны для работы. Закон запрещает собирать избыточные данные, не нужные для цели, которую вы заявляете в согласии.
В одном согласии укажите только одну цель. Нельзя брать одно согласие на обработку данных для нескольких целей. Также нельзя собирать согласия на обработку неограниченного перечня данных. Список собираемых персональных данных должен быть четко определен.
Чтобы отправить пиццу, бизнесу необходимо знать адрес и номер телефона, чтобы курьер мог позвонить. А вот информация о вкусовых предпочтениях, семье или работе не нужна.
Если пиццерия запустит программу лояльности, по которой дают скидку на день рождения, тогда можно будет запросить дату рождения. Но для этой цели понадобится отдельное согласие.
Если бизнес все-таки спрашивает необязательные данные, а клиент отказывается их передать — нельзя отказать ему в услуге.
Нет конкретного перечня личных данных, которые необходимы для каждой цели. Однако каждый запрос данных нужно обосновать. Клиент имеет право требовать объяснения, зачем бизнесу его данные. Тогда необходимо в течение семи дней ответить на обращение. Если клиент спросил лично, ответить нужно сразу.
Подготовить документ. Чтобы подготовить правильную форму согласия, нужно проанализировать весь процесс сбора данных и с учетом этого лаконично и в понятной форме объяснить клиенту, что вы собираетесь делать с его данными. В законе прописаны обязательные требования к тексту письменного согласия — изучите их при подготовке формы.
Вот примерный перечень того, что нужно указать в согласии:
- наименование вашей компании как оператора, который получает согласие субъекта персональных данных, например ООО «АБВ», адрес;
- ФИО, адрес субъекта, данные паспорта;
- цель обработки персональных данных, например участие в программе лояльности, рекламные рассылки;
- перечень персональных данных, на обработку которых человек дает согласие: ФИО, дата рождения, адрес, телефон, e-mail и другие;
- перечень действий с персональными данными, на совершение которых человек дает согласие, например сбор, запись, систематизация, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение персональных данных;
- конкретный перечень лиц, которым могут быть переданы данные, если вы собираетесь передавать их другим компаниям. Например, ООО «Ромашка», ИНН, адрес;
- срок действия согласия: сколько времени нужно для достижения цели обработки данных, например «На срок участия покупателя в программе лояльности»;
- способ, которым человек может отозвать согласие, например отправить письменный запрос в свободной форме на адрес вашей компании или заполнить специальную форму на сайте, отписаться через кнопку отписки в e-mail.
Закон не обязывает писать документы на непонятном юридическом языке. У вас есть возможность сделать документы понятными для клиентов и тем самым завоевать их лояльность. Вот что на этот счет говорит юрист:
«Правила по работе с персональными данными стали строже для бизнеса. И многие предприниматели и компании относятся к этому негативно. Однако правильная работа с персональными данными может стать конкурентным преимуществом.
Приведу пример: раньше по закону все продуктовые магазины должны были вернуть деньги за товар или обменять, если он испортился. Но только ВкусВилл заявил: магазин вернет деньги, если товар испорчен или не нравится его вкус. При этом не надо никаких чеков и заявлений. Таким шагом они завоевали лояльную аудиторию. Сейчас так уже делают многие компании, но пять лет назад ВкусВилл стал первым.
Сейчас у бизнеса есть возможность завоевать лояльность аудитории, если они сделают работу с персональными данными прозрачной и удобной. Такая забота поможет выделиться на фоне конкурентов. Покажу ниже удачный вариант документа».
Павел Мищенко
Юрист, управляющий партнер Runetlex
Что делать, если клиент хочет отозвать согласие
Клиент может отозвать согласие на обработку данных в любое время. В этом случае бизнес должен их уничтожить. Как это делать, зависит от способа обработки:
- если данные обрабатывались только вручную, нужно выписать акт об их уничтожении;
- если данные обрабатывались автоматически, нужно выписать акт об их уничтожении и сделать выгрузку из журнала регистрации событий в информационной системе персональных данных.
Хранить акт и выгрузку из журнала нужно в течение трех лет с момента уничтожения персональных данных.
После отзыва согласия бизнес больше не может использовать данные клиента. Например, нельзя отправить такому клиенту промокод на электронную почту. Однако вы можете продолжать использовать персональные данные, если есть другие основания для этого. Например, для исполнения договора, который заключили с этим клиентом, или для выполнения требований закона.
Также надо уничтожить персональные данные даже без отзыва клиента, если достигли цели, для которой их запрашивали. Это нужно сделать в течение 30 дней.
Если данные хранились на бумаге, проще всего уничтожить через шредер. Если на компьютере, надо форматировать диск, удалить из базы данных. Как именно надо уничтожить, закон не поясняет. Главное — чтобы никто не смог восстановить данные в будущем.
Топ-5 ошибок компаний при сборе персональных данных
Часто компании в России пытаются собирать данные, но делают это неправильно — такие случаи можно встретить в сети. Если вы видите, что на каком-то сайте собирают данные, не стоит копировать методику, она может быть некорректной.
Мы собрали ряд примеров, как делать не надо, — они нарушают требования закона о сборе согласий на обработку данных.
❌ В форме сбора данных нет запроса согласия на обработку. Даже если компания разместила на сайте политику обработки персональных данных в футере, она обязана запрашивать согласие при сборе данных в понятной клиенту форме.
Чтобы не нарушить закон, в форму надо добавить явный запрос согласия, например поставить чекбокс или добавить подпись «Нажимая кнопку „Проконсультируйте меня“, вы даете согласие на обработку персональных данных» и прикрепить ссылку на это согласие.
❌ Галочка в чекбоксе на согласие поставлена заранее. Если у вас в форме есть чекбокс, заполнение которого подтверждает согласие на обработку данных, нельзя автоматически делать его отмеченным. Клиент должен самостоятельно поставить галочку, иначе это нарушение закона: согласия в явной форме не было.
Это же правило действует при согласии на получение рассылки и участие в программе лояльности: галочка не должна быть проставлена заранее. Если один из клиентов возмутится и напишет жалобу в надзорный орган, бизнес может получить штраф.
❌ В согласии написано, что данные передаются третьим лицам, но данные этих лиц не указаны. Если в согласии вы не перечислили партнеров, которым раскрываете персональные данные клиентов, значит, у вас отсутствует согласие на передачу клиентских данных — вы не сможете это делать.
❌ В согласии не указано, на что именно соглашается клиент. Если нет ссылки на полный текст согласия, это нарушение закона.
❌ В тексте согласия написано, что клиент соглашается на обработку неограниченного перечня персональных данных. По закону список персональных данных, на обработку которых клиент дает согласие, должен быть четко определен — надо прописать, какие именно данные вы собираете и зачем.
Как накажут бизнес, который не соблюдает правила обработки персональных данных
Не соблюдать требования к сбору персональных данных — риск для компаний и ИП. Ваш бизнес могут проверить по жалобе клиента или конкурента. Нарушение на сайте могут заметить сотрудники Роскомнадзора в процессе мониторинга — для этого не требуется даже проведение проверки.
Размер штрафа зависит от вида нарушения и вида бизнеса. Например, для малого бизнеса действуют пониженные штрафы.
| Какое правило нарушили | Штраф | Основание |
|---|---|---|
| Обрабатывали данные с иными целями, чем указаны в согласии | За первое нарушение: |
для ИП — от 10 000 до 20 000 ₽;
для малых предприятий — от 30 000 до 50 000 ₽ ;
для средних и крупных компаний — от 60 000 до 100 000 ₽.
За повторное нарушение:
для ИП и малых предприятий — от 50 000 до 100 000 ₽;
для ИП — от 20 000 до 40 000 ₽;
для малых предприятий — от 15 000 до 75 000 ₽;
для средних и крупных компаний: от 30 000 до 150 000 ₽.
За повторное нарушение:
для ИП и малых предприятий — от 100 000 до 300 000 ₽;
для ИП и малых предприятий — от 20 000 до 40 000 ₽;
для средних и крупных компаний — от 50 000 до 90 000 ₽.
За повторное нарушение:
для ИП и малых предприятий — от 50 000 до 100 000 ₽;
для малых предприятий
— от 1500 до 2500 ₽;
Штрафы могут быть наложены за каждый факт нарушения. Размер штрафов зависит в том числе и от «злостности» нарушения. Например, если крупная компания неоднократно попадалась на незаконных практиках и умышленно идет на очередное нарушение в корыстных целях, скорее всего, штраф для нее будет больше, чем для ИП, который допустил нарушение по незнанию и сразу исправил свою ошибку. Точный размер штрафа определяет контролирующий орган в каждом случае индивидуально.
Чтобы избежать штрафов и недовольства клиентов, собирайте согласия и обрабатывайте персональные данные законно.
Чтобы помочь в этом, мы подготовили примерный шаблон клиентского согласия об обработке персональных данных. Скачайте его на свой гугл-диск и адаптируйте под свой бизнес.
Рекомендуем проконсультироваться с юристом, стандартная форма согласия может не учитывать особенности внутренних процессов в конкретной компании.
Главное
- Чтобы понять, нужно ли брать согласие у клиента на получение и обработку персональных данных, нужно ответить на два вопроса: «Оставил ли вам покупатель информацию, по которой вы можете его идентифицировать, даже косвенно?» и «Есть ли у вас другие основания для обработки персональных данных, кроме согласия?»
Как составить согласие на обработку персональных данных
Согласие на обработку персональных данных — обязательное условие Роскомнадзора для легального сбора, анализа, использования сведений в служебных целях. Руководители компаний и ИП должны соблюдать гарантии конфиденциальности, иначе им грозит штраф в размере до 18 млн рублей.
Рассказываем, когда требуется согласие на обработку персональных данных, как его составить и в какой момент подписывать.
Что это такое
Согласие на обработку персональных данных — официальное разрешение сотрудников на использование работодателем своих данных. Это обязательный документ в трудовых правоотношениях, обладающий юридической и доказательственной силой.
Кадровое делопроизводство любой компании не обходится без работы с личными документами персонала. Эта информация защищена законом (ст. 14, 65 ТК РФ). Письменное одобрение работника защищает работодателя как оператора обработки конфиденциальных сведений от обвинений в неправомерных действиях.
Обязанность работодателя — исключить риски утраты, утечки, несанкционированной передачи и незаконной обработки информации о сотруднике. Охрана сведений предполагает их защиту от блокировки, копирования, корректировки, уничтожения.
Что относится к персональным данным
Персональные данные — любые сведения, которые прямо или косвенно идентифицируют физическое лицо. Они бывают:
- общедоступными: ФИО, место и дата рождения, резидентство, пол;
- специальными: религия, национальность, параметры здоровья, факты привлечения к ответственности, судимость, место работы, политическая позиция;
- биометрическими: параметры внешности, особенности физиологического строения и развития, отпечатки пальцев.
Нормы ФЗ № 152/2006 года конкретизируют, что только двум последним пунктам характерны конфиденциальность и закрытость. Например, электронный адрес и содержимое почты относятся к этой категории, а музыкальные предпочтения человека в социальных сетях — нет.
Согласие на обработку персональных данных имеет отношение ко всем сведениям, по которым можно опознать индивидуума, независимо от их очевидности и общедоступности.
Обезопасьте себя от недобросовестных подрядчиков и конкурентов, из-за которых ваши операторы обрабатывают нецелевые обращения. Подключите Антифрод Calltouch, чтобы сотрудникам контакт-центра больше не приходилось перезванивать на спам-номера. Система автоматически вычисляет их и помечает тегом «Сомнительные».
- Выявляет и тегирует сомнительные звонки от недобросовестных рекламных подрядчиков или спам
- Позволяет учитывать в отчетах только качественные обращения
- Упрощает контроль подрядчиков
Когда требуется согласие
Работодатели, кадровики и владельцы бизнеса повсеместно сталкиваются с необходимостью использования материалов о сотрудниках, особенно в финансовом и правовом документообороте:
- обрабатывают данные, составляют отчеты, заполняют анкеты, статистические материалы;
- размещают сведения на корпоративных порталах и общедоступных ресурсах;
- указывают идентифицирующую информацию сотрудника в официальных документах, контрактах, выписывают пропуски;
- проводят трансграничные передачи;
- заполняют бухгалтерскую, финансовую, внутреннюю документацию;
- составляют доверенности, публикуют приказы, информационные материалы в прессе.
Подписанное согласие на обработку персональных данных актуально при трудоустройстве, заключении коллективных соглашений, договоров с банками и страховыми компаниями, работе с правоустанавливающей документацией. Фактически сегодня без этого документа никого нельзя принять на работу и невозможен никакой автоматизированный учет на предприятиях.
Руководители без разрешения сотрудника не могут делиться материалами личных дел. Игнорирование этого правила — самая распространенная причина штрафов по статье 13.11 КоАП. Исключение — передача сведений личного характера в налоговую службу или ответ на запрос правоохранительных органов.
Бизнес 
Список документов для регистрации ООО
Список документов для регистрации ООО
Как составить соглашение
Согласие на обработку персональных данных можно составить в произвольной форме или использовать готовый утвержденный шаблон организации. Чем конкретнее прописано содержание соглашения, тем выше гарантии соблюдения законности и минимизации рисков.
Текст разрешения должен соответствовать принципам конкретности, информативности и однозначности. Это значит, что ответственное лицо четко указывает, для каких целей берутся данные и кем они будут обработаны.
Сотрудник вправе отказаться предоставлять биометрические сведения. Закон на его стороне (ст. 11 ФЗ № 152/2006 года), поэтому у работодателя нет права уволить или не допустить его на работу по таким основаниям.
Содержание
Согласие на обработку персональных данных сотрудника должно максимально детально излагать возможности работодателя как оператора таких сведений. Документ условно состоит из трех частей:
- Вводная:
- наименование предприятия, организации, ИП;
- дата и место подписания документа;
- идентифицирующая информация о сотруднике (действующий паспорт, СНИЛС, ИНН,аттестаты и дипломы об образовании, свидетельство о браке/разводе, военный билет, медицинская книжка, справка о несудимости и другие).
- Основная:
- подробная конкретизация данных, которые охватывает согласие;
- цели использования;
- допустимый объем и способы работы с личной информацией;
- срок действия разрешения, указание права на его отзыв и изменение по согласованию обеих сторон.
- Заключительная:
- отметка о добровольном решении без принуждения;
- личная подпись сотрудника.
Содержание документа предопределено форматом трудовых правоотношений, статусом работника, целями использования материала. Для его легализации достаточно простой письменной формы и личной подписи, нотариальное заверение не требуется.