Запрос на обработку персональных данных

Содержание

Обработка персональных данных в 2018: как избежать штрафа

Запрос на обработку персональных данных

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы 

ОснованиеРазмер штрафа
ФизлицаДолжностные лицаЮрлицаИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДнпредупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до 10 000 руб.предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб.от 10 000 до 20 000 руб.от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДнот 700 до 1500 руб.от 3000 до 6000 руб.от 15 000 до 30 000 руб. от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработкепредупреждение или штраф — от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 6000 руб.предупреждение или штраф — от 20 000 до 40 000 руб.предупреждение или штраф — от 10 000 до 15 000 руб. 
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)предупреждение или наложение штрафа в размере от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 10 000 руб.предупреждение или штраф — от 25 000 до 45 000 руб.  предупреждение или штраф — от 10 000 до 20 000 руб. 
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копированияот 700 до 2000 руб.от 4000 до 10 000 руб.от 25 000 до 50 000 руб.от 10 000 до 20 000 руб. 
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДнпредупреждение или наложение административного штрафа — от 3000 до 6000 руб. 

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:  

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?  

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан. 

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора  

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально.

 На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.         

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.

1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft.

 Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда.

 За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн. 

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;  
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

5 базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов 

Источник: https://kontur.ru/articles/4816

Как владельцам сайтов работать с персональными данными, чтобы избежать штрафа

Запрос на обработку персональных данных

С 1 июля 2017 г. возбуждать дела об административных правонарушениях будут органы Роскомнадзора, а не прокуратура, как это делается сегодня. Уже сейчас понятно, что данные дела будут возбуждаться проще и быстрее, так как это будет делать сам орган, выявивший правонарушение.

В настоящее время за нарушение закона №152 ФЗ «О защите персональных данных» (сколько бы таких нарушений за 1 раз не было выявлено) можно привлечь только 1 раз. Начиная с 1 июля 2017 г. Роскомнадзор за один «визит» может составить сколько угодно протоколов об административном правонарушении по каждому нарушению. О размере возможно штрафа в таком случае можно только догадываться.

Расположение хостинга сайта

В соответствии с ФЗ № 152, все интернет-ресурсы, на которых хранятся и обрабатываются персональные данные, должны быть расположены на территории Российской Федерации.

С учётом того, что контролирующие органы считают персональными данными также и данные о поведении пользователя на сайте, то это касается практически любого интернет-ресурса.

За нарушение этого требования Роскомнадзор их блокирует.

Под расположением хостинга подразумевается физическое местонахождение ЦОДа, на котором размещен ваш сайт. То есть, если хостинг-провайдер зарегистрирован в России, а его ЦОДы расположены, к примеру, в Эстонии, вы нарушаете закон и попадаете под блокировку сайта.

Что нужно сделать на сайте, чтобы избежать штрафов

Мы составили список работ, которые стоит сделать на своём сайте прямо сейчас. Это тот необходимый минимум, который позволит вам избежать проблем в случае проверок Роскомнадзора.

1.    Добавить текст согласия на обработку персональных данных

Под каждой формой ввода данных на сайте (регистрация, заявки на услугу, обратный звонок) разместить текст «Нажимая на кнопку «Название кнопки», я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на документ. Примеры документов вы можете посмотреть на федеральных сайтах, например, ozon.ru и tinkoff.ru. 

Вместо согласия можно использовать единую публичную оферту, но в ней будет нужно прописать, в каких целях, какие данные обрабатываются, то есть указать всё, согласно ч.4 ст.9 152-ФЗ. В этом случае обязательно хранить логи, чтобы, в случае чего, доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и оставлял там свои персональные данные.

2.    Составить документ “Политика в отношении обработки персональных данных”

Этот документ нужно разместить на сайте в свободном доступе. В данном документе должны быть описаны процедуры сбора, обработки и хранения персональных данных пользователей сайта. Хорошо проработанный документ о политике в отношении обработки персональных данных есть на ikea.com. При этом с данным документом регистрирующийся не должен соглашаться при заполнении формы.

3.    Узнать, где находится хостинг сайта

Узнать у хостинг-провайдера, где физически находится ЦОД, в котором расположен ваш сайт и, в случае, если он расположен не на территории РФ, перенести сайт на другой хостинг. Сделать это вы можете, отправив запрос в техническую поддержку сайта.

4.    Указать email для обращений пользователей по персональным данным

Укажите email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы и вообще, куда он может задать вопрос по персональным данным. Email можно указать в документах, описанных выше.

Важно, чтобы указанный email был рабочим, информация на нем регулярно проверялась, чтобы не пропустить запрос пользователя на удаление персональных данных с сайта.

5.    Подать уведомление об обработке персональных данных в Роскомнадзор

Вам или агентству-разработчику сайта необходимо подать уведомление об обработке персональных данных в Роскомнадзор, для этого нужно перейти по ссылке и помимо всего прочего указать там адреса местонахождения баз персональных данных и перечень персональных данных, которые в них содержатся.

6.    Заключить соглашение о безопасности персональных данных с разработчиком сайта

В случае если агентство-разработчик сайта имеет доступ к персональным данным из заявок или базы данных сайта (например, сайт находится на технической поддержке), вам необходимо заключить соглашение с агентством об обеспечении безопасности персональных данных. В соглашении должно быть указано, какие персональные данные агентство может обрабатывать, в каких целях и какие действия с ними выполнять. Также там должны быть требования по защите персональных данных.

7.    Поставить на сайте дисклеймер

До 1 июля 2017 года поставить на сайте дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и, если он не согласен, то должен покинуть сайт. Примеры дисклеймеров вы можете посмотреть на сайтах marykay.ru и bmw.ru. В противном случае это будет являться согласием на обработку его персональных данных.

Мы оказываем эту услугу как нашим клиентам в рамках технического обслуживания, так и сторонним сайтам

Источник: https://makeagency.ru/blog/kak-vladeltsam-saytov-rabotat-s-personalnymi-dannymi-chtoby-izbezhat-shtrafa

Руководство по заполнению уведомления оператора персональных данных

Запрос на обработку персональных данных

В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали подробнее рассказать о том, как заполнять каждое поле уведомления.

Казалось бы, по наименованиям многих полей интуитивно должно быть понятно, что именно в них писать. Но практика показывает, что у многих операторов персональных данных возникает уйма вопросов, а некоторые впадают в самый настоящий ступор при попытке заполнить все поля. Мы решили здесь написать подробную инструкцию, чтобы много раз не рассказывать одно и то же нашим клиентам, а также, чтобы она просто была всегда доступна для всех желающих.
Уведомление оператора персональных данных заполняется на портале персональных данных Роскомнадзора. Теперь давайте посмотрим на каждое из полей. С первыми позициями никаких проблем быть не должно. Выбираем территориальное управление Роскомнадзора, в которое должно быть отправлено уведомление. Затем выбираем тип оператора. Вводим полное и сокращенное наименование оператора в соответствии с учредительными документами. Указываем фактический и юридический адреса организации. Выбираем регион (или регионы), в которых организация осуществляет свою деятельность. Заполняем реквизиты организации (обязательными являются только ИНН и ОГРН, остальные можно не заполнять). Если у организации есть филиалы, добавляем информацию о них. Здесь вроде все просто и понятно, а вот со следующими полями уже могут быть вопросы. В графе «Правовое основание обработки персональных данных» можно указывать все нормативно-правовые и внутренние документы, которые так или иначе могут быть связаны с обработкой ПДн. Начинают обычно со 152-ФЗ и ТК РФ, продолжают законодательством, относящимся к сфере деятельности организации (например, если это медицинское учреждение, то пишем сюда же 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и другие нормативные акты, как федерального, так и регионального масштаба, относящиеся к здравоохранению) и заканчивают уставом предприятия. Графа «Цель обработки персональных данных» является одной из самых коварных. Заполняя это поле нужно не забывать, что часть 2 статьи 5 Федерального закона «О персональных данных» говорит нам о том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Приведем один пример, как делать не нужно. Некоторые работодатели, приглашая к себе на собеседование кандидата на вакантную должность, просят заполнить анкету, в которой, в том числе, просят внести свои паспортные данные. Однако с точки зрения 152-ФЗ это не законно. Так как цель обработки персональных данных – подбор кандидата на вакантную должность и попробуйте придумать правдоподобное обоснование, зачем для этого нужны паспортные данные. Стаж работы? Да. Сведения об образовании? Да. Возраст? А вот тут уже дискриминацией попахивает, но мы же не собираемся эксплуатировать детский труд. А вот паспортные данные для подбора персонала не нужны. Нет, мы не такие наивные и понимаем, что зачастую паспортные данные кандидата нужны работодателю, чтобы «пробить» кандидата, например на закредитованность или на участие в других неприятных историях. Но еще раз – с точки зрения закона так делать нельзя. Вернемся к заполнению поля «Цель обработки персональных данных». Здесь мы должны корректно и адекватно сформулировать эти цели. А адекватно чему? Адекватно перечню категорий персональных данных, которые мы будем заполнять далее. Ведь мы же не хотим, чтобы уже перед проверкой у РКН на основании нашего уведомления были причины для выписки предписания? Тут у нас рисуется замкнутый круг – напишем, что обрабатываем паспортные данные соискателей, накажут за нарушение законодательства о персональных данных, скажем, что «паспортные данные» случайно попали в уведомление, напишут в протоколе проверки «указаны неполные/недостоверные сведения в уведомлении оператора персональных данных». Как вы уже поняли, графа «Цель обработки персональных данных» для разных организаций может сильно отличаться, но для большинства коммерческих организаций будет корректно написать «Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности, оказание услуг [перечень услуг]». Следующий раздел один из самых сложных и непонятных. Роскомнадзор хочет, чтобы мы описали принятые меры, предусмотренные статьями 18.1 и 19 закона «О персональных данных». Но на деле этот раздел один из самых простых, просто берем положения указанных статей закона и пишем, что все это у нас выполнено. У нас же выполнено – правда? Пример заполнения поля «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных»

Назначено лицо, ответственное за организацию обработки персональных данных. Утверждены документы, определяющие политику организации в отношении обработки персональных данных и устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства.

К таким документам в частности относятся: план мероприятий по обеспечению безопасности персональных данных в ИСПДн «Бухгалтерия и кадры»; перечень персональных данных, подлежащих защите; перечень информационных систем персональных данных; положение о разграничении доступа к персональным данным; приказ об утверждении перечня лиц, допущенных к обработке персональных данных; положение об обработке и защите персональных данных; политика в отношении обработки персональных данных; правила обработки персональных данных без использования средств автоматизации; приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении. Устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратору безопасности персональных данных и в соответствии с порядком резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации. Внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности и положением об обработке и защите персональных данных. Для информационной системы персональных данных разработана модель угроз безопасности персональных данных, в которой при определении опасности угроз проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства. На сайте www.example.ru опубликована политика в отношении обработки персональных данных. Для информационной системы персональных данных разработано техническое задание на создание системы защиты информации и эскизный проект системы защиты информации, предусматривающий выполнение определенных законодательством мер для информационной системы третьего уровня защищенности, а также мер, направленных на нейтрализацию угроз, определенных как актуальные в модели угроз безопасности. Эскизный проект полностью реализован, что говорит о выполнении определенных законодательством мер и о нейтрализации актуальных угроз безопасности в информационной системе персональных данных. Проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных. Учет машинных носителей производится в соответствующем журнале. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер осуществляется с помощью используемых средств защиты информации в соответствии с инструкцией администратора безопасности. Правила доступа к персональным данным утверждены в соответствующем положении, технически реализуются с помощью средств защиты информации. Сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, подписывают соглашение о неразглашении персональных данных, ознокамливаются с документами по защите персональных данных под роспись.

В сведениях об обеспечении безопасности персональных данных указывается перечень средств защиты информации, применяемых в ИСПДн. К счастью, эти сведения не публикуются в открытом доступе для всех желающих, в отличие от других полей, поэтому можно указывать все фактически используемые СЗИ. Дата начала обработки ПДн обычно совпадает с датой основания компании (регистрации). В следующем пункте обычно выбирается «Условие окончания обработки ПДн» и в качестве условия указывается «Прекращение деятельности организации». В разделе «Категории персональных данных» сначала отмечаем чекбоксами обрабатываемые категории, а потом в поле «Другие категории персональных данных, не указанные в данном перечне» указываем те ПДн, которых в списке нет, причем лучше это сделать раздельно для различных категорий субъектов, например: «Другие категории ПДн работников: [перечень ПДн работников]. Другие категории ПДн клиентов: [перечень ПДн клиентов]». В разделе «Категории субъектов, персональные данные которых обрабатываются» указываем перечень категорий лиц, чьи данные у нас хранятся или обрабатываются, например: «Сотрудникам, соискателям на вакантные должности, контрагентам, клиентам». Обратите внимание, что в названии поля добавляется пояснение, указывающее в каком падеже должны быть указаны сведения. В поле «Перечень действий с персональными данными» проще всего процитировать определение обработки ПДн из 152-ФЗ: «сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение». Естественно, действия, которые не актуальны для вашей организации (например, обезличивание) нужно убрать из этого списка. И не забываем про падеж. Далее указываем способ обработки ПДн, обычно это «смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет». Затем от нас хотят узнать, передаем ли мы ПДн за границу. Если нет, то декларируем отсутствие трансграничной передачи. Если да, придется еще и указать все страны, в которые передаются данные. И последнее в этом блоке — использование криптографии. Если она не используется, то идем дальше. Если отвечаем утвердительно, то нас попросят написать наименования таких средств защиты и их класс. Все эти данные можно узнать из документации на криптосредство. Скажем здесь лишь, что криптосредства классов КВ и КА используются как правило для гостайны, а гостайна 152-ФЗ не регулируется, поэтому в обычных ИСПДн чаще всего выбирать приходится из 3 вариантов используемого криптосредства — КС1, КС2 или КС3. Если используются разные крпитосредства разных классов, то форма позволяет указать все необходимые сведения. Следующий раздел формы появился с 1 сентября 2015 года. Всем, кто заполнял уведомление давно, необходимо внести в него изменения и дополнить его данными о ЦОДе. Да, не удивляйтесь, локальная база 1С-Бухгалтерии, развернутая на компьютере главбуха это в понимании Роскомнадзора тоже ЦОД… Выбираем страну, в которой располагается наш «ЦОД» и указываем его адрес. Дальше снужно указать является ли «ЦОД» нашей собственностью или нет и если нет, то указать данные владельца площадки. Если у вас несколько ИСПДн, то данные «ЦОДа» нужно указать для каждой отдельно. Даже если речь идет об одной единственной серверной.

Далее заполняем данные человека, которого на предприятии назначили ответственным за организацию обработки персональных данных. ВАЖНО! ФИО ответственного, его контактный телефон и e-mail будут доступны всем желающим в реестре операторов ПДн. Имейте это ввиду и, конечно же, лучше предупредить об этом назначаемого человека.

В самом конце указываем данные исполнителя. Исполнитель, это лицо, заполнявшее это уведомление. Это может быть не ответственный, а совсем другой человек. Но, как мы видим, поля эти тоже не обязательные, поэтому, видимо, если исполнителя не указывать, то им автоматически становится ответственный.

Затем ставим галочки «на все согласен», вводим капчу и жмем большую кнопку «Отправить электронное уведомление и подготовить форму к распечатке». Затем форму необходимо распечатать, подписать, поставить печать организации (если есть) и отправить аналоговой почтой в свое управление Роскомнадзора. Через некоторое время, ваши данные внесут в реестр.

Источник: https://habr.com/ru/company/ic-dv/blog/454690/

Согласие на обработку персональных данных – Документы делопроизводства предприятия

Запрос на обработку персональных данных

Руководителю _____________________
_________________________________

От ______________________________                            (Ф.И.О.) _________________________________

                (должность, подразделение)

_________________________________ __________________________________

                                (дата рождения)

Проживающего ___________________

по адресу:_________________________

_________________________________

паспорт:__________________________

выдан: ___________________________

_________________________________

Согласие  на обработку моих  персональных данных

Я, ____________________________________________________________, настоящим

(Ф.И.О. сотрудника)

выражаю своё согласие на обработку (действия (операции) с персональными данными) моих персональных данных, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ООО «Микрофон» и его представителями моих персональных данных, переданных мною лично при поступлении в ООО «Микрофон», также полученных ООО «Микрофон» с моего письменного согласия от третьей стороны в частности, следующих моих персональных данных:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • гражданство;
  • сведения о знании иностранных языков;
  • образование (наименование учебного заведения, год окончания, документ об образовании, квалификация специальность),
  • профессия; стаж работы (общий, непрерывный, дающий право на выслугу лет);
  • семейное положение;
  • состав семьи (степень родства (ближайшие родственники, Ф.И.О. родственников, год их рождения);
  • паспорт (номер, дата выдачи, кем выдан);
  • адрес места жительства (по паспорту, фактический), дата регистрации по месту жительства;
  • номер телефона (домашний, сотовый);
  • сведения о воинском учёте;
  • сведения о состоянии здоровья, необходимые работодателю для определения пригодности для выполнения поручаемой работы и предупреждения профессиональных заболеваний, предусмотренные действующим законодательством Российской Федерации;
  • содержание заключённого со мной контракта или трудового договора;
  • сведения об аттестации, повышении квалификации, профессиональной переподготовке;
  • сведения об использованных отпусках;
  • сведения об имеющихся наградах (поощрениях), почётных званиях;
  • сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
  • сведения об идентификационном номере налогоплательщика;
  • сведения о социальных льготах (в соответствии с действующим законодательством Российской Федерации);
  • дополнительные сведения, представленные мною по собственному желанию (сведения о национальности, о пребывании за границей, о членстве в общественных организациях, выборных органах и др.), биометрические персональные данные (личные фотографии); другие персональные данные, необходимые работодателю в соответствии с действующим законодательством Российской Федерации в области персональных данных.

ООО «Микрофон» может обрабатывать мои персональные данные в следующих целях: обеспечение соблюдения законов и иных нормативных правовых актов в области персональных данных; содействие в трудоустройстве; обучение и продвижении по службе; обеспечение моей личной безопасности; контроль количества и качества выполняемой работы; обеспечение сохранности имущества.

Обработка (на бумажных носителях; в информационных системах персональных данных и без использования средств автоматизации, а также смешанным способом) ООО «Микрофон» моих персональных данных должна осуществляться в соответствии с требованиями Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных», главы 14 Трудового кодекса РФ, Положением «Об обработке и защите персональных данных» ООО «Микрофон».

Срок действия настоящего согласия с ООО «Микрофон» начинается с даты подписания и заканчивается в соответствии с требованиями Положения «Об обработке и защите персональных данных» ООО «Микрофон» или в связи с увольнением согласно ТК РФ.

Настоящее согласие может быть отозвано представленным письменным заявлением начальнику отдела кадров Положением «Об обработке и защите персональных данных» ООО «Микрофон».

«__» ___________ 20__ г.               ___________            _________________

                                                                                                     (подпись)                               (расшифровка)

Руководителю _____________________

_________________________________

От ______________________________

                           (Ф.И.О.)

_________________________________

                (должность, подразделение)

_________________________________

_________________________________

                                (дата рождения)

Проживающего ___________________

по адресу: ________________________

паспорт:__________________________

выдан: ___________________________

Согласие на получение моих персональных данных у третьей стороны

Я ________________________________________________________________________ в соответствии со ст.86 ТК РФ согласен / не согласен (нужное подчеркнуть) на получение моих персональных данных у третьей стороны, а именно:

________________________________________________________________________________ ________________________________________________________________________________

________________________________________________________________________________

       (указать Ф.И.О. физического лица или наименование организации, у которых получается информация)

О целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение предупрежден.

“____” ______________20___г.

(подпись)(Ф.И.О. работника)

Примечание:

  1. Вместо паспорта могут указываться данные иного основного документа, удостоверяющего личность работника.
  2. Письменное согласие работника заполняется и подписывается им собственноручно, в присутствии сотрудника отдела кадров.
  3. Перечень персональных данных уточняется исходя из целей получения согласия.

Руководителю _____________________

_________________________________

От ______________________________

                           (Ф.И.О.)

_________________________________

                (должность, подразделение)

_________________________________

_________________________________

                                (дата рождения)

Проживающего  __________________

по адресу:_______________________

_________________________________

паспорт:__________________________

выдан: ___________________________

_________________________________

Согласие на передачу моих персональных данных третьей стороне

Я _____________________________________________________________________________

в соответствии со ст.86 ТК РФ согласен / не согласен (нужное подчеркнуть) на передачу моих персональных данных  третьей стороне, а именно:

  1. фамилия, имя, отчество;
  2. паспортные данные;
  3. год, месяц, дата и место рождения;
  4. домашний адрес (по регистрации) и телефон;
  5. адрес фактического проживания;
  6. семейное, социальное, имущественное положение;
  7. образование;
  8. профессия;
  9. сведения о трудовом и общем стаже;
  10. доходы, полученные мной в данном учреждении;
  11. сведения о воинском учёте;
  12. сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
  13. сведения об идентификационном номере налогоплательщика;

для обработки в целях: осуществления функций ООО «Микрофон» и предоставления отчётных форм  по вопросам социального страхования, медицинского страхования, воинского учёта и.т.д.

, оказания мне содействия в трудоустройстве, обучении, повышении квалификации, продвижения по службе, а также в целях осуществления аккредитации на различные мероприятия (коллегии, совещания, форумы и т.п.

) следующим лицам: по распоряжению руководителя и на усмотрение лиц, ответственных за защиту  персональных данных               ______________________________________________________________________________

       (указать Ф.И.О. физического лица или наименование организации, у которых получается информация)

Согласие на передачу персональных данных третьей стороне действительно в течение всего срока действия трудового договора.

Подтверждаю, что ознакомлен с Положением «Об обработке и защите персональных данных» в ООО «Микрофон», права и обязанности в области защиты персональных данных мне разъяснены, а также право работодателя обрабатывать (в том числе и передавать) часть моих персональных данных без моего согласия, в соответствии с законодательством РФ.

Подтверждаю, что отзыв согласия производится в письменном виде в соответствии с действующим законодательством. Всю ответственность за неблагоприятные последствия отзыва согласия беру на себя.

“____” ______________20___г.

(подпись)(Ф.И.О. работника)

Примечание:

  1. Вместо паспорта могут указываться данные иного основного документа, удостоверяющего личность работника.
  2. Письменное согласие работника заполняется и подписывается им собственноручно, в присутствии сотрудника отдела кадров.
  3. Перечень персональных данных не является исчерпывающим и уточняется исходя из целей получения согласия.

Источник: https://dogovor-urist.ru/%D0%B4%D0%BE%D0%B3%D0%BE%D0%B2%D0%BE%D1%80%D1%8B/%D0%BE%D0%B1%D1%80%D0%B0%D0%B7%D0%B5%D1%86-%D1%81%D0%BE%D0%B3%D0%BB%D0%B0%D1%81%D0%B8%D0%B5_%D0%BD%D0%B0_%D0%BE%D0%B1%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%BA%D1%83_%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85/

Согласие на обработку персональных данных. Можно ли не давать?

Запрос на обработку персональных данных

Обработка наших с вами персональных данных осуществляется в соответствии с Федеральным законом РФ “О персональных данных” от 27.07.2006 года № 152-ФЗ.  Можно сказать, что личные данные граждан охраняет государство.

Что такое персональные данные?

Персональные данные – это любая информация, относящаяся прямо или косвенно к физическому лицу. Т.е. это ваше ФИО, ваш телефон, ваш адрес, не говоря уже о паспортных данных. Даже электронная почта или ip-адрес компьютера относится к персональным данным.

Согласие на обработку персональных данных физическое лицо сейчас дает всегда, когда сообщает какому-то юридическому лицу свои личные данные.

Такое лицо называется оператор. Ваши данные нужны, например, при получении кредита, при оформлении на работу, при заказе пропуска. Значит, оператором, обрабатывающим личные данные, будет работодатель, магазин, банк и т.д. 

Вы даете согласие конкретному оператору на конкретное действие. Если какое-то действие повторяется в течение долгого времени, вы даете согласие единожды.

Например,  вы открыли в банке личный счет и, несмотря на то, что постоянно обращаетесь в банк по поводу своего счета, согласие на обработку своих данных вы даете только в момент открытия счета.

А вот, если заходите взять кредит в том же банке, то с вас попросят новое согласие. Потому что оно будет на другие действия.

По закону согласие на обработку персональных должно включать в себя, в частности:

  • ваши фамилию, имя, отчество, адрес, а также реквизиты вашего паспорта;
  • данные оператора, получающего это согласие;
  • цель обработки ваших данных, например, заключение договора;
  • перечень личных данных, на обработку которых дается согласие, например, ваши ФИО и паспортные данные;
  • перечень действий с данными, например, их запись, хранение, передачу;
  • срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено законом. При заключении договора, например, кредитного, обычно срок действия согласия не меньше срока договора.

Согласие должно быть подписано вами, иначе оно недействительно.

Подпись должна быть либо в письменной форме на бумажном документе, либо в электронном виде. Электронная подпись может быть разная, усиленная или простая.

Простая электронная подпись это, например, когда вам при заполнении своих данных на сайте направляют на телефон определенный код, который вы должны ввести в форму, чтобы ее отправить.

Так обычно делается при заполнении электронной анкеты на получение кредита.

На сайтах банков, интернет-магазинов и т.д. зачастую присутствует полный текст согласия на обработку персональных данных. Правда, практически никто его не читает, автоматически ставя “галку” в соответствующем поле. А между прочим, сами не догадываясь, вы порой разрешаете оператору передачу ваших данных третьим лицам, а потом удивляетесь, почему к вам на телефон постоянно приходит реклама.

Согласие обычно присутствует в тексте анкеты на получение кредита, в тексте кредитного договора и в других документах.

Вы часто обращаете на внимание на то, что там написано?

С чем вы обычно соглашаетесь, подписывая бумаги в банке:

Собственно, согласие на обработку своих персональных данных

Под персональными данными понимаются любые ваши личные данные, которые каким-либо образом вы сообщаете банку. Они передаются либо электронном виде либо в виде бумажных документов (или их копий).

Согласие на получение информации из бюро кредитных историй

Если вы не берете кредит, а в анкете это присутствует, можно галку в этом поле не ставить и отказаться. А вот при получении кредита отказаться уже не получится.

Согласие на получение от банка и его партнеров всяких коммерческих предложений

Речь про рекламу по телефону или в СМС. Теоретически, можно отказаться.

Можно ли не соглашаться?

Можно. Но, скорее всего, банковскую услугу тогда не получите.

Может ли оператор отправлять кому-нибудь мои персональные данные без моего согласия?

По закону, например, банк может (а точнее, обязан) при рассмотрении вашей заявки на кредит без вашего согласия отправлять ваши персональные данные в бюро кредитных историй (БКИ). И, кстати, вне зависимости от решения по этой заявке. Даже, если вам отказали, информация об этом уйдет в БКИ.

Есть еще другие обстоятельства, установленные законом, при которых ваше согласие никто и не спросит.

Можно ли отозвать свое согласие на обработку персональных данных?

Вы можете отозвать свое согласие в любое время, направив оператору письменное заявление об этом.

Но, несмотря на ваш отзыв, оператор, которому вы ранее дали согласие, вправе продолжить обработку ваших персональных данных. Это возможно, например, когда данные нужны для осуществления правосудия, исполнения судебного акта, или, например, обработка данных нужна для исполнения обязательств, взятых на себя вами по договору, например, по кредитному договору.

Что еще почитать:

Нужен ли риэлтор для покупки квартиры? ТОП-3 фактов про риэлторов

Опасные квартиры. Рассказываем, какие не стоит покупать

Источник: https://zen.yandex.ru/media/ipotekahouse.ru/soglasie-na-obrabotku-personalnyh-dannyh-mojno-li-ne-davat-5d702f36e3062c00ada5d0f5

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.