Правовое регулирование согласия на обработку персональных данных

Согласию на обработку персональных данных (далее — ПД) посвящена ст. 9 закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — закон № 152-ФЗ). Также вопросы дачи согласия на обработку затронуты в Трудовом кодексе РФ (далее — ТК РФ) и иных нормативных актах.

С 01.07.2017 увеличились размеры штрафов за нарушения в области обработки сведений о гражданах. При этом если до указанной даты максимальный размер штрафа для организаций составлял 10 000 руб., то после вступления в силу изменений в Кодекс РФ об административных правонарушениях (далее — КоАП РФ) ранее единый состав нарушения разделен на 7, а ответственность за обработку данных без согласия граждан на эти действия установлена:

• для организаций в размере от 15 000 до 75 000 руб.;
• должностных лиц — от 10 000 до 20 000 руб. (п. 2 ст. 13.11 КоАП РФ).

Помимо привлечения к ответственности операторам выдаются предписания, которые могут касаться, в частности, уточнения формы согласия на обработку ПД (например, дополнения формы указанием цели обработки, постановление ФАС СКО от 27.04.2011 по делу № А32-12882/2010).

Форма согласия на обработку персональных данных: бланк

При оформлении согласия на обработку ПД важно следующее:

• согласие должно быть конкретным, информированным и сознательным (ч. 1 ст. 9 закона № 152-ФЗ, Обзор судебной практики…, утв. Президиумом ВС РФ 27.09.2017);
• форма выражения согласия должна быть такая, чтобы было возможно подтвердить его получение организацией (лицом), обрабатывающей сведения (ч. 1 ст. 9 закона № 152-ФЗ);
• если согласие выражает не само лицо, чьи ПД будут обрабатываться, а его представитель, необходимо проверить, уполномочен ли он на дачу такого согласия (ч. 1 ст. 9 закона № 152-ФЗ);
• в установленных законодательством случаях согласие должно быть выражено письменно или посредством электронной подписи (ч. 4 ст. 9 закона № 152-ФЗ);
• согласие должно содержать перечисленные в ч. 4 ст. 9 закона № 152-ФЗ элементы, в частности то, какие действия с ПД можно совершать;
• за недееспособных физических лиц согласие дают представители (ч. 6 ст. 9 закона № 152-ФЗ), так считывание биометрических данных детей (например, рисунка вен руки для расчета в безналичной форме в столовой) осуществляется после получения письменного согласия их родителей (постановление 8-го арбитражного апелляционного суда от 14.09.2017 № 08АП-10047/2017, 08АП-10109/2017 по делу № А70-2034/2017);
• согласие на использование ПД умершего дают его наследники (ч. 7 ст. 9 закона № 152-ФЗ).

Образец формы согласия на обработку персональных данных можно скачать по ссылке: Согласие на обработку персональных данных - образец .

Заявление работника о согласии на обработку персональных данных

Заявление о согласии на обработку персональных данных оформляется с учетом особенностей, установленных соответствующей отраслью права. Так, в трудовых отношениях оно оформляется в качестве отдельного документа или включается в текст трудового договора (в том числе в виде приложения).

При этом согласно п. 3 ч. 1 ст. 86 Трудового кодекса РФ (далее — ТК РФ):

• вся информация о сотруднике получается непосредственно от него;
• для получения информации о сотруднике от третьих лиц необходимо заблаговременное получение письменного согласия сотрудника;
• при запросе согласия сотрудника на получение информации о нем у сторонних субъектов организация-работодатель должна сообщить сотруднику, что это за информация, каковы цели получения, откуда она будет получена и каковы последствия того, что работник откажется соглашаться на получение указанной информации от третьих лиц.

Также законодательством установлены особенности получения согласия на обработку ПД для представителей отдельных профессий (например, для спортсменов такие особенности определены в ст. 348.2 ТК РФ).

Итак, в настоящей статье был представлен для скачивания образец согласия на обработку персональных данных, а также отмечены некоторые существенные законодательные положения о получении такого согласия, в частности о необходимости указания в согласии всех установленных законом № 152-ФЗ элементов.

Хотите иметь дело с проверкой Роскомнадзором своего ИТ-продукта или сайта? А потом ещё платить штраф, нести ответственность?

В закладки

Думаю, что нет. Поэтому, давайте, начнём разбирать что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов.

Немного теории

Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

1) нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

Физическое лицо: предупреждение или штраф в размере 1 000 - 3 000 рублей;

Должностное лицо: штраф в размере от 5 000 - 10 000 рублей;

Юридическое лицо: штраф в размере 30 000 - 50 000 рублей;

2) Обработка персональных данных без согласия гражданина приведет:

Физическое лицо: штраф в размере 3 000 - 5 000 рублей;

Должностное лицо: штраф в размере от 10 000 - 20 000 рублей;

Юридическое лицо: штраф в размере 15 000 - 75 000 рублей;

3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:

Физическое лицо: штраф в размере 700 - 1 500 рублей;

Должностное лицо: штраф в размере от 3 000 - 6 000 рублей;

Индивидуальный предприниматель: штраф в размере от 5 000 - 10 000 рублей

Юридическое лицо: штраф в размере 15 000 - 30 000 рублей;

Первоначально определимся с основными понятиями и поймём, что же они значат (неформальное объяснение по тексту будет обозначаться “Д”, это от слова description):

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Д: это любая совокупность информации, через которую можно определить определенного человека. К примеру, абстрактная электронная почта, допустим [email protected] - не относится к ПД, однако электронная почта с рабочим адресом допустим, [email protected] с подписью в письме “Главный инженер” - относятся к персональным данным, т.к. мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации “Ромашка”.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Д: это вы, собирающий персональные данные. Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека - и вот вы уже владелец персональных данных в лице оператора.

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Д: это любые действия, которые вы совершаете как оператор.

Самый большой штраф как вы видите - это за сбор ПД гражданина без согласия, поэтому в статье будем говорить в основном об этом.

Определим сразу случаи, когда согласие на обработку ПД не надо собирать в соответствии с законодательством Российской Федерации:

1. Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.

Д: когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.

2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Д: когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные. Сюда подходит и оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент когда собираете ПД - наступает раньше.

3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.

Д: вы обезличиваете данные физического лица и “размываете” их в море других данных, соответственно определить кому что принадлежит - невозможно даже вам.

4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

Д: данный пункт не относится к интернет-проектам, но для понимания ситуации, пример, когда приезжает частная медицинская бригада и оказывает помощь.

5. Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.

Д: если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги - нет необходимости требовать согласия на обработку ПД.

6. Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

7. Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Д: не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством Российской Российской Федерации.

Во всех остальных случаях, при контакте и сборе ПД от физического лица - вы должны получать его согласие и иначе никак - закон есть закон!

Что делать

Теперь разберём как собирать ПД и получать согласие.

Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных. Если у вас юридическое лицо или вы - индивидуальный предприниматель - вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии. Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах - относится не только к работе с потребителями, но и с работниками.

Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.

Самое главное по теме. Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.

При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!

Немного юридического обоснования чекбоксов, а как называет Роскомнадзор - “галочек”:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:

“4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью...”.

Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:

“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.

Вариативно, ещё шаг 4.

Подать уведомление об обработке ПДн в Роскомнадзор.

В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется:

- политика обработки персональных данных;

- приказ об утверждении вышеуказанной политики;

- согласие на обработку персональных данных;

И зачем всё это вообще?

Для чего же это вообще нужно? Зачем нужно беспокоиться о персональных данных и о получении согласия пользователя на их обработку?

Конечно, это прежде всего административная (штрафы, блокировка) и гражданская (причинение вреда) ответственность - такие вещи могут очень серьёзно повлиять на бизнес. Но есть ещё такая штука как частная жизнь граждан, как злоупотребление правом и недобросовестная реклама продавцов. Я на 100% уверен, что каждый из нас не любит, когда на телефон приходит спам, реклама, а посередине ночи будит смс или звонок с просьбой “срочно перевести деньги, а то в тюрьму посадят”. А всё это происходит из-за ненадлежащего исполнения лицами, осуществляющими сбор персональных данных, своих обязательств. И согласие на обработку ПД - всего лишь часть механизма, который должен обеспечивать нашу с вами защиту как граждан и повышать социальную ответственность. К сожалению, такие полезные институты и механизмы могут превратиться в инструмент для давления… И мы как юристы должны эффективно использовать законы и максимально обезопасить бизнес от этого.

Так что, если вы выполнили все условия и шаги из настоящей статьи, то поздравляем - вы не только уменьшили вероятность быть оштрафованным и привлеченным к ответственности (работа с ПД физических лиц лишь небольшая часть правовой политики ИТ-продукта), но и сделали шаг к социально-ориентированному Интернет-пространству, уважающему личные данные пользователей!

Спасибо за внимание!

Персональными данными физического лица являются любая информация о нем (паспортные сведения, семейное положение и место работы, возраст и прочее). Часто такая информация разглашается со стороны работодателя в процессе осуществления его деятельности. Несмотря на то, что по закону это не является нарушением, многие люди заинтересованы в защите информации о себе, и такое предохранение работодателя обязывает производить российское законодательство.

ФЗ «О персональных данных» № 152-ФЗ был принят еще 27 июля 2006 года, последние изменения и дополнения в документ вносились 1 сентября 2015. Согласно этому документу персональные данные могут обрабатываться, храниться и передаваться третьим лицам только с согласия субъекта.

Но при этом сохранять такую информацию в тайне закон обязывает не всегда, разделяя все персональные данные на три категории:

1. Специальные (национальность и вероисповедание, взаимоотношения с законом, сведения о состоянии здоровья и частично – информация о работе).
2. Биометрические (данные, касающиеся внешности и физиологии).
3. Общедоступные основные анкетные данные (Ф.И.О., дата рождения, пол и другие паспортные данные).

Для обработки информации третьей категории согласия носителя не требуется. Не требуется оно и при обработке, хранении и передаче данных первых двух категорий в таких исключительных случаях, как установление личности человека при отсутствии у него документов, а еще в ходе любых оперативно-розыскных работ.

Согласно закону в каждом предприятии имеется внутренний документ, в котором было бы оговорено, что именно относить к персональным сведениям, в каких случаях они могут передаваться и разглашаться, а поступающего на работу в организацию сотрудника необходимо с такой бумагой ознакомить и он должен дать свое согласие на обработку данных.

Сотрудникам не стоит относиться к этой информации как к материалам, которые могут как-то применяться против них, так как за суровой фразой «обработка персональных данных» фактически подразумевает лишь использование анкетных сведений (3 категория) для оформления:

• зарплатной карты или счета сотрудника;
• доверенности на предоставление интересов компании или на получение материальных ценностей;
• счетов;
• договоров;
• исходящих писем различного характера.

Но в то же время работодатель обязан ограничивать доступ к таким данным, обеспечивая его только ответственным за хранение и обработку этих сведений лицам. В компетенции таких сотрудников еще должно быть заполнение соответствующих бланков, которые являются формальным разрешением работника на использование информации. Этот документ должен составляться при каждом использовании данных и действует на протяжении прописанного в нем срока.

Пример заполнения бланка согласия

Бланк согласия на обработку персональных данных можно составить по приведенному на нашем сайте образцу, но при необходимости в него допускается внесение небольших поправок и изменений в оформлении. В верхней правой части бланка пишется Ф.И.О. и должность человека, на имя которого составляется документ, а также указывается название организации.

Читайте также:

Личная карточка работника, образец заполнения (форма Т 2)

Далее пишется заголовок «Согласие на обработку моих персональных данных», после которого указываются паспортные сведения сотрудника и прописываются реквизиты организации, дающей разрешение. Обязательна ссылка на федеральный закон № 152-ФЗ.

После этого перечисляются цели, в которых организация намерена использовать персональную информацию, а также сами сведения (это могут быть как анкетные данные, так и специфические факты относительно сферы деятельности сотрудника). В некоторых ситуациях личные данные могут предоставляться в несколько разных учреждений, и в таком случае не стоит перечислять их в одном документе: для каждого составляется отдельный бланк.

В конце бланка указывается срок, в течение которого документ считается действительным, а также упоминание о том, что сотрудник имеет право отозвать свое разрешение. После этого вписывает должность сотрудника, его Ф.И.О., подпись и дата составления бланка.

В отдельных случаях (например – по запросу из государственных органов) работодатель имеет право обойтись без составления такого документа. Если же сотрудник считает, что сведения о нем были переданы третьим лицам неправомерно, он имеет право подать в жалобу в Роскомнадзор. Если незаконная передача персональной информации подтвердится – работодателя может ждать наказание (штраф или лишение свободы).

Все организации собирают, хранят и используют сведения о своих сотрудниках. Информация личного характера сейчас имеет высокую ценность, а при попадании в руки мошенников она становится средством для совершения преступлений. В этой статье мы расскажем, как и с какой целью компании обрабатывают персональные данные и должны ли они получать на это согласие работников.

Что такое обработка персональных данных

Понятие «обработка персональных данных» включает любые действия, совершаемые оператором с индивидуальной информацией. Среди них:

1. сбор;
2. уточнение;
3. систематизация;
4. использование;
5. удаление;
6. хранение.

Все организации и предприятия являются операторами персональных данных, поскольку обрабатывают их. В ст. 22 закона № 152-ФЗ дается правовое основание обработки персональных данных. Исходя из текста статьи, работодатель вправе совершать действия с личной информацией работников без уведомления об этом намерении органов Роскомнадзора.

Для совершения действий с личной информацией применяются несколько способов. Автоматизированная обработка персональных данных - это обработка на компьютере. Неавтоматизированный способ предполагает использование бумажных носителей. Сейчас в большинстве случаев применяется смешанная обработка, которая сочетает в себе элементы автоматизированной и неавтоматизированной.

Цели обработки персональных данных на предприятии

Выделяют следующие цели обработки персональных данных в организации:

1. Заключение, исполнение и прекращение гражданско-правовых договоров с гражданами, юридическими лицами, ИП и другими лицами в ситуациях, предусмотренных законодательством и Уставом предприятия.
2. Организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам.
3. Ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами.
4. Исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физлиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование.
5. Заполнение первичной статистической документации в соответствии с Трудовым, Налоговым кодексом и федеральными законами.

Что такое согласие на обработку персональных данных

Вместе с предоставлением необходимых документов при заключении трудового договора подписывается согласие работника на обработку персональных данных работника. Согласно ст. 3 ФЗ №152 , к таким данным относятся все сведения о человеке - от имени и фамилии до записей в трудовой книжке.

Персональные данные делятся на 3 категории:

• Общедоступные - основные анкетные данные, включая ФИО, пол, дату и место рождения.
• Биометрические - информация о внешности и некоторых физиологических особенностях, если они определяются визуально.
• Специальные - национальность, вероисповедание, состояние здоровья, судимости, частично - сведения о работе (причины увольнения и др.).

Персональные данные конфиденциальны (за исключением общедоступных), поэтому для их обработки необходимо получать согласие человека.

В обязательном порядке устанавливается срок действия согласия на обработку персональных данных. Моментом его окончания становится либо конкретная дата, либо определенное событие, в том числе отзыв работником своего согласия. Это требование указано в п. 4 ст. 9 ФЗ №152.

В каких случаях нужно согласие на обработку персональных данных

Согласие требуется на обработку специальных и биометрических данных. Общедоступную информацию разрешается свободно использовать, если только это не противоречит закону, а также общепринятым нормам морали и этики.

Ситуации, когда согласие на обработку персональных данных не требуется

Исключение составляют случаи, когда расследуется уголовное дело, проводятся оперативно-розыскные мероприятия. Биометрические данные могут понадобиться, чтобы установить личность при отсутствии у человека документов. В таких ситуациях не требуется согласие на обработку личной информации.

Примерная форма оформления согласия и описание документа

Заявление о согласии на обработку личной информации подается на имя руководителя организации в письменной форме. В шапке документа указываются:

1. должность руководителя и наименование организации, которую он возглавляет;
2. ФИО руководителя;
3. должность работника;
4. ФИО работника;
5. дата;
6. место составления.

Примерный текст документа следующий:
«Данным заявлением я подтверждаю свое согласие на сбор, обработку, использование и хранение моих персональных данных в пределах, необходимых для обеспечения моих трудовых и социальных прав, уплаты установленных налогов, сборов и иных обязательных платежей, отчисления обязательных взносов в государственные фонды и для других целей, вытекающих из трудовых и смежных с ними правоотношений между мной и работодателем в рамках действующего законодательства. Работодатель вправе предоставлять мои персональные данные третьим лицам только в установленных законом случаях».
Под текстом заявления работник ставит свою подпись.

Возможен ли отказ от обработки персональных данных с позиции закона

По закону, отказ от согласия на обработку персональных данных не несет юридических последствий. В ч. 1 ст. 9 ФЗ №152 указано, что само согласие выражается свободно и добровольно.

Ч. 5 ст. 6 того же закона допускает отсутствие согласия на обработку личной информации в случае, если это требуется для исполнения договора, в том числе трудового. Поэтому работодатели, выполняя свои обязанности, в интересах сотрудников могут обрабатывать их персональные данные без получения на то согласия. Это касается только работников, которые уже числятся в штате. Принять человека на работу при его отказе от обработки персональных данных нельзя. В таком случае еще не заключен трудовой договор. Раз этого документа нет, то и обязанности исполнять его у работодателя не возникает.

Иногда отказ от обработки личной информации чреват негативными последствиями. Если на предприятии действует пропускной режим, то при таких обстоятельствах работнику нельзя будет оформить либо заменить пропуск - такое действие выйдет за рамки служебных целей. Поэтому отсутствие согласия повлечет за собой невозможность выполнения трудовых функций.

Задавайте вопросы в комментариях к статье и получите ответ специалиста

С 01.07.2017 г. действуют изменения в ст. 13.11 КоАП РФ об административной ответственности за нарушение законодательства о персональных данных физлиц. Поскольку поправки касаются всех, кто использует персональные данные, рассмотрим эти новшества в нашей статье.

Обработка персональных данных – 2017

Персональные данные – это любая информация, прямо или косвенно относящаяся к конкретному физлицу (имя, адрес проживания, дата рождения, паспортные данные, номер телефона, фото, адрес электронной почты, и т.д.). Организация, госорган или физлицо, собирающее и обрабатывающее персональные данные, именуется оператором (Закон о персональных данных от 27.07.2006 № 152-ФЗ). К таковым относятся работодатели, а также все, кто получает личные данные от граждан – медучреждения, учебные заведения, интернет-магазины и т.д.

Для работодателя такие данные необходимы в связи с трудовыми отношениями. Получить их можно только лично от самого работника, а от третьих лиц - с его письменного согласия. Физлицо дает письменное согласие на обработку персональных данных. Бланк законодательством не утвержден, составить его можно самостоятельно, с учетом требований п. 4 ст. 9 закона № 152-ФЗ(п. 3 ч. 1 ст. 86 ТК РФ, п. 1 ст. 9 закона 152-ФЗ).

Согласие на обработку персональных данных (образец)

Недопустимо собирать и обрабатывать персональные данные работника, не относящиеся к его трудовой деятельности, например, об участии в общественных объединениях, вероисповедании, личной жизни и т.п. Это же касается и прочих операторов, которые запрашивают данные, не имеющие отношения к цели их обработки (например, указание паспортных данных в анкете об оценке работы сайта). Полученные данные не должны раскрываться третьим лицам или распространяться без согласия физлица (ст. 7 закона № 152-ФЗ).

Оператор обязан обеспечить данным надлежащую защиту, для чего закрепляет порядок их получения, обработки и хранения в Положении о персональных данных или ином внутреннем нормативном акте. В документе определяются необходимые меры, а также назначается ответственный за обработку. Доступ к таким данным должен разрешаться только уполномоченным на то лицам, причем они вправе получать только сведения, необходимые для осуществления конкретных функций (ст. 88 ТК РФ, ст. 18.1 закона № 152-ФЗ).

Положение о персональных данных либо иной документ о политике их обработки, находятся в открытом доступе и предъявляются по запросам уполномоченных органов - это касается и работодателей, и прочих операторов (ч. 2 и 4 ст. 18.1 закона № 152-ФЗ).

Персональные данные – 2017: новое в административной ответственности

Законом от 07.02.2017 № 13-ФЗ была принята новая редакция статьи 13.11 КоАП РФ. Если ранее статья содержала один единственный состав – нарушение ФЗ о персональных данных, теперь это целый перечень из семи оснований административной ответственности и, соответственно, разные штрафы. Вероятно, что при обнаружении нескольких нарушений у одного оператора, ему грозит несколько штрафов, а не один.

Также претерпели изменения статьи 28.3 и 28.4 КоАП РФ, упростив процесс привлечения операторов к ответственности: с 01.07.2017 г. протоколы о нарушениях закона 152-ФЗ о персональных данных составляют сотрудники Роскомнадзора, а не прокурор, как раньше. Срок для привлечения к ответственности остался прежним – 3 месяца.

За что теперь штрафуют

Итак, вот по каким основаниям теперь могут привлекаться к административной ответственности предприниматели и организации, обрабатывающие персональные данные:

• Данные обрабатываются в случаях, не предусмотренных ФЗ о персональных данных либо их обработка несовместима с целями сбора (ч. 1 ст. 13.11 КоАП РФ) . Незаконное использование личных данных, если оно не влечет уголовной ответственности, грозит предупреждением, или штрафом: физлицам в 1000-3000 руб., должностным лицам – 5000-10 000 руб., организациям – 30 000-50 000 руб.
• Обработка данных без письменного согласия, необходимого по закону (п. 2 ст. 13.11 КоАП РФ). Согласие на обработку должно содержать информацию, указанную в ч. 4 ст. 9 закона 152-ФЗ о персональных данных. Изменения 2017 г. предусматривают с 1 июля штраф за его отсутствие в следующем размере: для нарушителей физлиц – 3000-5000 руб., для должностных лиц – 10 000-20 000 руб., для организаций – 15 000-75 000 руб.
• Отсутствие неограниченного доступа к политике оператора в области обработки персональных данных (п. 3 ст. 13.11 КоАП РФ). Обязанность обеспечения доступа установлена п. 2 ст. 18.1 закона 152-ФЗ о персональных данных. Невозможность ознакомиться с таким документом на бумаге либо на сайте, если данные собираются через интернет, обойдется операторам: в 700-1500 руб. - физлицам, 3000-6000 руб. – должностным лицам, 5000-10 000 руб. – ИП, 15 000-30 000 руб. – организациям, а в лучшем случае все обойдется предупреждением.
• Непредоставление лицу информации, касающейся обработки его персональных данных (п. 4 ст. 13.11 КоАП РФ). Порядок запроса такой информации прописан в статье 14 закона 152-ФЗ. Изменения с 01.07.2017 следующие: за нарушение полагается предупреждение, либо штраф 1000-2000 руб. – физлицам, 4000-6000 руб. - должностным лицам, 10 000-15 000 руб. – ИП, 20000-40000 руб. – организациям.
• Невыполнение в установленные сроки требования о блокировании, изменении или уничтожении персональных данных (п. 5 ст. 13.11 КоАП РФ) . Физлицо или его представитель могут заявить такие требования, если данные неполные, неточные, получены с нарушением закона, либо устарели, это установлено статьей 21 закона о персональных данных № 152-ФЗ. Нарушителей ждет предупреждение, или штраф: 1000-2000 руб. физлицам, 4000-10 000 руб. должностным лицам, 10 000-20 000 руб. – ИП, 25 000-45 000 руб. организациям.
• Несоблюдение условий, обеспечивающих сохранность персональных данных при неавтоматизированной обработке (п. 6 ст. 13.11 КоАП РФ). Это касается «бумажных» данных, несанкционированный доступ к которым стал причиной их уничтожения, повреждения, незаконного распространения и т.п. Не обеспеченная защита персональных данных в 2017 г. влечет штраф 700-2000 руб. для граждан, 4000-10 000 руб. для должностных лиц, 10 000-20 000 руб. для ИП и 25 000-50 000 руб. для организаций.

Таковы изменения в защите персональных данных 2017 г., заработавшие с 1 июля. Как видим, составы правонарушений стали более конкретными, а штрафы для операторов заметно ужесточились.