Здравствуйте, в этой статье мы постараемся ответить на вопрос: «КАК И ЗАЧЕМ ОБРАБАТЫВАТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ?». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Оформление пользовательского соглашения для сайта имеет ряд юридических особенностей. В пользовательском соглашении должно быть указано правило, по которому в него вносятся изменения, а также в какой момент новая версия вступает в силу – с помощью повторного согласия или автоматически.
Общедоступные данные по-новому
С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).
При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.
К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.
Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.
Требования к согласию
Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.
Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).
В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.
Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.
Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.
Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.
Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.
Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.
Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.
Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:
-
в течение трех рабочих дней с момента обращения;
-
или в срок, указанный в постановлении суда;
-
или в течение трех рабочих дней с момента вступления решения суда в законную силу.
Какие данные относятся к персональным?
Все правила обращения с личной информацией регулирует Федеральный закон №152-ФЗ «О персональных данных». Согласно статье 3 этого закона, персональными данными можно назвать любую информацию, которая касается непосредственно физического лица — субъекта этих данных. К информации личного характера следует отнести все паспортные данные: Ф. И. О., дату и место рождения, возраст, место проживания, семейный статус.
В этом же законе есть статья 10, которая вносит в список персональной информации подробности о расе, национальности, моральных убеждениях человека, личной жизни, а также сведения о его здоровье.
В статье 11 понятие «персональные данные» расширяется: под термином понимают любые сведения, фото- или видеоматериалы, по которым можно определить личность человека.
Чтобы предупредить неправомерные действия, личная информация каждого человека должна надежно сохраняться. Многие люди бережно относятся к сведениям о себе, и это оправдано. Поэтому, согласно действующим законам РФ, нельзя обрабатывать личную информацию без согласия субъекта (в некоторых случаях — письменного).
Образец заполнения бланка
Согласие на обработку персональных данных — это документ свободной формы, поэтому в каждой организации разрабатывают подходящий вариант шаблона. Но условия согласия на обработку персональных данных говорят о том, что в документе обязательно должна быть такая информация:
- наименование компании;
- место и дата оформления документа;
- Ф. И. О., паспортные данные субъекта;
- Ф. И. О. человека, который представляет интересы компании;
- Ф. И. О. и должность сотрудника, который будет производить обработку данных;
- объяснение цели работы с предоставленными данными;
- перечисление конкретных сведений о работнике, которые будут обрабатывать;
- срок, в течение которого документ считается актуальным;
- способ отказа от согласия;
- подпись сотрудника.
Что сделать для того, чтобы правильно работать с персональными данными?
Необходимо подготовить текст политики обработки и защиты персональных данных. Также необходимо утвердить данный текст приказом. После, обязательно, надо разместить данную политику в общем доступе. Если на вашем сайте есть какие-либо формы обратной связи – вам необходимо под каждой такой формой написать что-то вроде «я согласен на обработку персональных данных» и оставить чекбокс.
Так же необходимо сделать при первом входе в ваше мобильное приложение, если данное приложение имеет доступ к персональным данным. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним. Так же необходимо, чтобы пользователь мог ознакомиться с политикой обработки и с пользовательским соглашением, соответственно надо оставить ссылку на них.
Юридическое обоснование чекбоксов звучит так:
Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:
“В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью…”.
Понятное дело, что сделать это сложно и долго. Поэтому Роскомнадзор пошёл навстречу людям и дал разъяснения:
“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.
Последним шагом является уведомление Роскомнадзора о том, что вы обрабатываете персональные данные. В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.
Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).
Что такое обработка персональных данных?
Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
- работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
- продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
- покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.
Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.
Ответственность за нарушение законодательства
Согласно ч. 1 ст. 6 закона № 152 для обработки личных сведений необходимо получить согласие лица, которому они принадлежат. Использование персональных данных без согласия по общему правилу является нарушением закона и влечет за собой привлечение ответственного за их обработку к дисциплинарной, административной и даже уголовной ответственности (ч. 1 ст. 24 закона № 152).
Так, работодатель может объявить должностному лицу — работнику организации выговор за ненадлежащее исполнение им своих должностных обязанностей или уменьшить размер стимулирующей выплаты (премии), при условии что такой вид наказания предусмотрен действующим на предприятии коллективным договором или иным локальным документом.
Административная ответственность за обработку данных без согласия лица, которому они принадлежат, предусматривает наложение на нарушителя штрафа в размере (ч. 2 ст. 13.11 КоАП РФ):
- 6–10 тыс. руб. — на граждан;
- 20–40 тыс. руб. — на должностных лиц;
- 30–150 тыс. руб. — на юридических лиц.
ВНИМАНИЕ! С 27.03.2021 года выросли штрафы за нарушения при работе с персональными данными. Подробности см. здесь.
Уголовная ответственность наступает за незаконный сбор сведений о частной жизни человека (в том числе о личной или семейной тайне), а также за неправомерный доступ к компьютерной информации, содержащей такие сведения (ст. 137, 272 УК РФ).
Кроме того, субъект персональных данных может потребовать от нарушителя возмещения причиненного ему морального вреда (ч. 2 ст. 24 закона № 152).
Суть охраны персональных данных в 2020 году
Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных”.
Обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (статья 3 Закона).
В силу п. 1 ст. 6, ст. 9 Закона о персональных данных обработка персональных данных осуществляется с согласия работника.
Поскольку в случае возникновения спора доказать получение согласия работника на обработку его персональных данных должен работодатель (ч. 3 ст. 9 Закона о персональных данных), лучше оформить такое согласие письменно.
Если у работодателя уже есть согласие работника на обработку персональных данных, то получать новый документ на 2019-2020 год не нужно.
В силу абз. 11 п. 5 Разъяснений Роскомнадзора получать согласие на обработку персональных данных нужно не только у работника, но и у соискателя. Однако если от имени соискателя действует кадровое агентство, с которым он заключил соответствующий договор, либо соискатель сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц, то согласие на обработку его персональных данных не требуется.
Кто такие операторы и что они делают
В статье 3 закона № 152-ФЗ сказано, что оператором является лицо, которое организует и осуществляет обработку персональных данных. Все работодатели, как юрлица, так и ИП, являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус, практически не ограничен. Это любое лицо, которому человек доверил информацию о себе, подписав согласие на обработку персональных данных на сайте или в бумажном варианте. Отдельное внимание уделим понятию обработки личной информации. О ней везде говорят, но никто толком не знает, что это такое. Тогда как часть 3 все той же статьи 3 закона № 152-ФЗ регламентирует это понятие как любое действие (или их совокупность), совершаемое с личной информацией. Под действиями законодатели понимают:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление или уничтожение данных.
Когда и зачем нужно согласие на обработку персональных данных
Согласие на обработку персональных данных в интернете потребуется для исполнения условий договора между клиентом (пользователем, чьи персональные данные интересуют) и сервисом (которым пользуется клиент). Например, интернет-магазину (сервису) требуется адрес заказчика (клиента), чтобы доставить заказанный товар и провести операцию по оплате при безналичном или даже при наличном расчете. Также персональные данные клиента используют для рассылки информационных и рекламных объявлений по согласию клиента.
Необходимо учесть, что в понятие «обработка данных» включают сбор, систематизацию, сохранение, накопление, применение, уточнение/изменение, запись, извлечение, передачу и даже обезличивание, удаление из системы и полное уничтожение информации о клиенте. Поэтому интернет-сервису, не относящемуся к муниципальным или государственным учреждениям, необходимо взять согласие клиента на любые действия с персональными данными. Третьим лицам сведения передаются в ситуациях, указанных в законодательстве РФ. Регулируется это федеральным законом «О персональных данных» (N 152-ФЗ).
Соглашения на обработку персональных данных на разных интернет-ресурсах
Как правило, в интернете используются схожие пользовательские соглашения, в которые включен пункт о согласии на обрабатывание сведений.
Однако формулировки, обозначения, количество статей и пр. различаются в зависимости от ресурса, на котором заключается то или иное соглашение.
Можно ли отозвать согласие
Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает. Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.
Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).
Это требование должно быть выполнено не позже чем через месяц после написания отзыва.
Когда не нужно получать согласие на обработку персональных данных
Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях, когда обработка ПД:
- осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПД и круг субъектов, данные которых подлежат обработке, а также определяющего полномочия оператора;
- осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД;
- осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПД;
- необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия невозможно;
- необходима для доставки почтовых отправлений, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги, а также для рассмотрения претензий пользователей услугами связи;
- осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
- осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, ПД кандидатов на выборные государственные или муниципальные должности.
Для чего нужно письменное согласие работника на обработку его данных
Получение письменного согласия человека на обработку его персональных данных становится необходимо юридическому или физлицу, которое получает доступ к этим данным. Основные вопросы, связанные с персональными сведениями о человеке, регулируются законом «О персональных данных» от 27.07.2006 № 152-ФЗ. В их число входит:
- определение круга сведений, являющихся персональными;
- установление условий обработки, хранения и уничтожения данных их получателем;
- описание ситуаций, как требующих, так и не требующих согласия лица на обработку сведений о нем;
- перечисление прав носителя персональных данных на ознакомление с результатами их обработки;
- определение ответственности лиц, разгласивших персональную информацию.
Наиболее частым случаем получения и обработки персональной информации о человеке является сбор и анализ работодателем сведений о своем работнике (уже работающем или вновь принимаемом на работу).
Помимо общедоступных сведений, к которым закон № 152-ФЗ относит данные о Ф. И. О., принадлежности к определенному полу, дате рождения, работодателю оказывается нужна и иная информация, содержащаяся в документах, предъявляемых при трудоустройстве (ст. 65 ТК РФ):
- в удостоверении личности (паспорте);
- трудовой книжке;
- свидетельстве ПФР;
- документах об обучении;
- документах воинского учета;
- дополнительных справках (в частности, об отсутствии судимости) или документах, наличие которых является условием приема на определенную работу.
Сбор и обработка таких данных требуют от работодателя получения предварительного письменного согласия работника на эти действия (п. 1 ст. 9 закона № 152-ФЗ). Согласие является добровольным и может быть отозвано работником.
Пункт 43 четко указывает на то, что вряд ли государственные органы могут полагаться на Согласие, поскольку когда контролером данных является государство, часто наблюдается явный дисбаланс в отношениях между ним и субъектом данных. Кроме того, в большинстве случаев ясно, что субъект данных не имеет никаких реальных альтернатив принятию условий такого контролера. WP29 считает, что существуют и другие законные основания, которые в принципе более подходят деятельности государственных органов.
Тем не менее, применение Согласия в качестве законного основания для обработки данных государственными органами не является исключением в GDPR. Следующие примеры показывают, что Согласие может быть уместным при определенных обстоятельствах.
Пример 2
Муниципалитет планирует проведение ремонтных работ на дорогах. Поскольку дорожные работы могут нарушить движение транспорта в течение длительного времени, муниципалитет предлагает жителям возможность подписаться на рассылку электронной почты, чтобы получать обновленную информацию о ходе работ и ожидаемых заторах. Муниципалитет ясно дает понять, что подписка не обязательна, и запрашивает Согласие на использование адресов электронной почты исключительной для этой цели. Жители, которые не дают своего Согласия, не потеряют доступ к другим услугам и не будут ущемлены правах, поэтому имеют возможность добровольно решать, давать или не давать Согласие на такое использование их данных. Вся информация о дорожных работах также будет доступна на сайте муниципалитета.Пример 3
Физическое лицо, владеющее землей, нуждается в разрешениях как от своего муниципалитета, так и от руководства провинции, которому муниципалитет подчинен. Оба государственных органа требуют одну и ту же информацию для выдачи своего разрешения, но не имеют доступа к базам данных друг друга. Поэтому обе стороны запрашивают одну и ту же информацию, и землевладелец рассылает свои данные обоим органам. Муниципалитет и руководство провинции просят Согласия на объединение дел, чтобы избежать дублирования процедур и переписки. Оба государственных органа следят за тем, чтобы Согласие было факультативным, и чтобы запросы на получение разрешения по-прежнему обрабатывались отдельно, если лицо решит не соглашаться на слияние данных. Землевладелец добровольно может дать Согласие властям на объединение дел, или отказаться.Пример 4
ВУЗ запрашивает у студентов Согласие на использование их фотографий в студенческом журнале. Согласие считается добровольным, если учащимся не будет отказано в образовании или других услугах без какого-либо ущерба, если они решат не давать его.
Дисбаланс также проявляется в контексте занятости. Учитывая зависимость между работодателем и работником, маловероятно, что субъект данных может отказать своему работодателю в Согласии на обработку персональных данных, не испытывая страха или риска негативных последствий в результате отказа. Маловероятно, что работник может добровольно согласиться, например, активировать системы мониторинга, такие как камеры наблюдения на рабочем месте, или заполнить оценочные формы, не испытывая никакого давления. Таким образом, WP29 считает проблематичным для работодателей обрабатывать персональные данные работников на основе Согласия, поскольку оно вряд ли может считаться добровольно данным. Для большинства случаев обработки данных на производстве Согласие работников (статья 6(1)(а) GDPR) не может быть законным основанием в силу характера отношений.
Однако это не означает, что работодатели не могут полагаться на Согласие в качестве законного основания для обработки персональных данных. Могут возникать ситуации, когда работодатель может продемонстрировать, что Согласие фактически дается добровольно. Учитывая дисбаланс между работодателем и его сотрудниками, работники могут давать Согласие добровольно только в обстоятельствах, когда оно не будет иметь никаких негативных последствий независимо от того, дают они Согласие или нет.
Пример 5
Съемочная группа будет снимать в определенной части офиса. Работодатель просит всех сотрудников, которые работают в этой зоне, дать свое Согласие на съемку, поскольку они могут появиться на заднем плане видео. Те, кто не хочет сниматься, ни в коем случае не наказываются, а вместо этого получают эквивалентные рабочие места в другой части офиса на время съемок.
Дисбаланс не ограничивается лишь государственными органами и работодателями, он может возникать и в других ситуациях. WP29 подчеркивает, что Согласие законно только в том случае, если субъект данных способен осуществлять реальный выбор, без риска обмана, запугивания, принуждения или негативных последствий. Согласие не будет добровольным, когда существует какой-либо элемент принуждения, давления или невозможности осуществлять свободную волю.