Особенности согласия на обработку персональных данных в интернете и не только

Лаборатория информационной безопасности

Особенности согласия на обработку персональных данных в интернете и не только

В современном бурно развивающемся IT-мире широкое распространение приобретает мир электронной коммерции: интернет-магазины / банки / сервисы, которые предоставляют пользователю множество полезных и удобных возможностей.

А ещё, в этом же бурно развивающемся мире живёт, развивается и здравствует 152-ой федеральный закон и всё его множественное окружение в лице 1119 Постановления Правительства, 21-го приказа ФСТЭК, 66-ого — ФСБ и многие другие насущные представители целого мира под названием «защита персональных данных».

Отсюда сразу возникает злободневный вопрос: как защищать персональные данные интернет-магазинов (в частности) в контексте всего этого поезда и маленькой тележки документов? О порядке действия оператора ПДн в общем случае, я писал в этой статье.

Эти два направления нашей реальности — интернет-коммерция и защита ПДн — вступают в глубокий конфликт.

В особенности, в части таких, например, вещей, как получение от интернет-клиента согласия на обработку его персональных данных в письменной, как того требует закон, форме или обеспечение сертифицированного крипто-канала.

Как же быть в таких ситуациях рядовым интернет-магазинам и прочим коммерческим web-сервисам? Рассмотрим эти вопросы подробнее.

Согласие на обработку персональных данных через «галочку» в форме. Законно ли?

Касательно получения согласия на обработку персональных данных посредством проставления «галочки» в электронной форме на сайте, в ФЗ-152 есть замечательная статья 9, п.4: «В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:<\p>

9) подпись субъекта персональных данных.»

Из описанного видно, что кроме как через подписанное клиентской ЭП (в соответствии с 63-ФЗ «Об электронной подписи»), согласие в электронной форме законным являться никак не будет.

Да и понятно: «галочка на сайте» никак не может являться аналогом собственноручной подписи, потому что поставить её может каждый и доказать, что её ставил клиент, а не Вы сами (имея полный доступ ко всему сайту и его средствам обработки данных ;)), вбив его данные, просто невозможно. Поэтому чтобы мы ни внедряли: коды активации, пароли и т.д. — всё равно соответствия не будет.

Но есть и, что называется, вторая сторона медали. Согласно ст.9 152-ФЗ, цитата: «субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.

Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом».

Положения законодательства не ограничивают возможность получения согласия субъекта персональных данных исключительно в письменной форме.

При этом в законе чётко не прописано, в какой форме (кроме письменной) физическое лицо может дать свое согласие на обработку.

Вопрос о возможности выражения согласия на сайте при заполнении заявки не урегулирован нормативными актами и официальными разъяснениями контролирующих органов.

На первый взгляд — противоречие. Но не всё так драматично. Дело в том, что 152-ФЗ устанавливает случаи, когда согласие субъекта на обработку персональных данных должно быть исключительно в письменной форме: при обработке специальных категорий персональных данных, поименованных в ч. 1 ст. 10 Закона N 152-ФЗ, и биометрических данных (п. 1 ч. 2 ст. 10, ч. 1 ст. 11 152-ФЗ).

Рассматривая реальную судебную практику, ситуация оказывается интереснее. Судебные прецеденты бывают самые разные. Есть реальные случаи, в которых «галочка на сайте» признаётся действительным согласием. Рассмотрим пример. 

В судебном споре (Постановление ФАС Северо-Западного округа от 13 декабря 2010 г.

N Ф07-13220/2010 по делу N А56-73636/2009) рассматривалась ситуация получения ипотечного кредита через заполнение электронной анкеты, выводы суда были следующими: «Физические лица — потенциальные клиенты на получение ипотечного кредита, заполняя анкету-запрос в письменном электронном виде на веб-ресурсах www.kredituem.

com и www.creditsbrf.ru, последовательно отвечали на вопросы анкеты, содержащей сведения о персональных данных; цель предоставления данных — получение ипотечного кредита и обработка персональных данных, поскольку в анкете было указано, что кредит предоставляется банком…

Затем данные физические лица отправляли анкету в электронном виде ООО «Кредитмарт», которое непосредственно имело доступ в административную часть порталов указанных веб-ресурсов под профилем «Руководитель офиса»…

Отправив свои данные по указанному алгоритму заполнения анкеты, физические лица фактически выразили свое согласие на передачу своих персональных данных, то есть при обработке персональных данных указанных лиц ООО «Авторим» получало их письменное согласие в смысле, определенном пунктом 4 статьи 9 Закона о персональных данных (той самой, что приводилась выше и где говорится об ЭП :))».

Тем не менее есть и другие прецеденты, где выводы суда прямо противоположны. Так что нарушение закона тут будет в любом случае, но риски сводятся к реальной судебной практике в конкретном регионе и однозначно их определить возможным не представляется.

Тут также важно отметить, что предоставление гос. услуг и деятельность муниципальных учреждений подпадает под совсем другие требования и коммерческим организациям равняться на них никак не стоит: ст. 9, п.

5 152-ФЗ об этом прямо говорят: «Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг устанавливается Правительством Российской Федерации».

А правил этих много и разных. Они нас не особенно сейчас интересуют, потому и останавливаться на них не будем. 

Таким образом, если организовать ЭП или получить от клиента (субъекта ПДн) оперативное письменное согласие почти нереально (т.к. часто это губит всё удобство, рентабельность и прелесть рассматриваемой системы), то принять риски придётся. Остаётся лишь уменьшить их.

Сделать это можно, к примеру, путём введения смс-кодов подтверждения в качестве закрытого ключа к простой ЭП: да, это не квалифицированная ГОСТовая ЭП из 63-ФЗ, но реальное подтверждение получения клиентом согласия, а судебная практика в России такова, что часто смотрит на семантику закона (логику), а не синтаксис (букву). Процедуры получения письменного согласия тех субъектов, что приходят после принятия положительного решения, наверняка предусмотрены, так что код подтверждения смс ввести, и в этом отношении всё более менее нормально.

Что же касается защищённого канала связи, который в соответствии с ПП-1119 входит в перечень обязательных мер по защите ПДн, то обеспечить ГОСТ-овую криптографию на произвольном сайте — это что-то слабо реальное (хотя и выполнимое в виде развёртывания Trusted SSL ГОСТ).

А вот обычный SSL внедрить можно, это решает фактическую проблему с защитой канала и на лояльность суда и регуляторов рассчитывать с таким решением вполне можно. С учётом того, что на первый раз штрафов по опыту практически не бывает риски здесь минимальны.

И дождаться первой проверки ФСТЭК можно без особого беспокойства.

Такие вот дела.

Есть ещё множество важных вопросов, таких как нужна ли оператору ПДн лицензия на деятельность по технической защите конфиденциальной информации, обязательно ли использовать сертифицированные криптосредства или как снизить уровень защищённости ИСПДн?

Об этом всём я написал новую статью, которую можно прочитать, перейдя по этой ссылке. 🙂

С уважением,
Александр Лысяк

Источник: http://inforsec.ru/normative-base/ur-security/92-pdn-4

Почему опасно подписывать соглашение на использование и обработку персональных данных в России?

В последнее время нам все чаще предлагают поставить свою подпись под фразой «О согласии на использование и обработку персональных данных»: в любых социальных и финансовых учреждениях, коммунальных службах, при приеме на работу.

Требуют наши «добровольные согласия» сегодня в ВУЗах, школах, детских садах, поликлиниках и даже библиотеках! Не отстают магазины, гостиничные и ресторанные комплексы – для получения дисконтной карты вы обязаны заполнить и подписать анкету, где внизу мелким шрифтом обозначено ваше согласие на обработку персональных данных.

Для чего это нужно: с целью безобидного учета или для превращения человека в бесправное приложение к мировой электронной системе? Давайте разбираться.

Что представляют собой персональные данные человека и кому они нужны?

Итак, понятие «персональные данные человека» включает в себя не только его имя, отчество, фамилию и адрес регистрации, как мы привыкли понимать.

Это полностью вся информация, которая прямо или косвенно касается конкретного физического лица: биометрические данные, сведения о состоянии здоровья и физиологические особенности, национальность, вероисповедание, состав семьи, наличие судимости, информация о сфере занятости, финансовые доходы и прочее.

В 2005 году Россия утвердила Конвенцию Совета Европы «О защите физических лиц при автоматической обработке персональных данных». После чего был принят Федеральный закон (ФЗ-№152) «О персональных данных», основные положения которого повторяет вышеуказанный международный акт. Большая часть людей думает, что закон предусматривает защиту личных данных человека. Но так ли это на самом деле?

Особенно настораживает в документе такое понятие как «автоматическая обработка данных», которое предусматривает как накопление и хранение данных личности, так и передачу их третьим лицам и использование в различных целях. Право выполнять эти действия принадлежит так называемому оператору, выступать в роли которого могут юридические или физические лица, государственные структуры, коммерческие организации.

Но главным нашим оператором является коммерческая структура ОАО «Универсальная электронная карта». Именно она обладает правом определять состав персональных данных, цели их обработки и совершать над ними любые действия.

Что скрывается за понятиями «использование» и «обработка» персональных данных?

Казалось бы, зачем больницам, учебным заведениям, ЖЭКам, работодателям стало необходимо предоставлять такую полную информацию о себе, своей семье, материальном положении, если совсем недавно еще не было этой надобности? Такой жестких сбор всех личных данных начался с принятием Федерального закона № 210 «Об организации предоставления государственных и муниципальных услуг», после чего во всю и заработали ранее принятый закон «О персональных данных».

Кому это нужно? Безусловно, не социальным и коммерческим структурам – они только инструмент для сбора информации. Все данные будут фиксироваться непосредственно у главного оператора – ОАО «УЭК», который планирует в скором времени обеспечить всех граждан электронными документами и запустить активную тщательную обработку каждого человека.

А что подразумевается под словом «обработка» и «использование»? Граждане понимает под этим понятием банальный сбор и хранение информации. А на что на самом деле соглашается человек?

В п. 3 ч. 1 ст. 3 ФЗ № 152 это обозначено следующим образом:

Таким образом, люди добровольно передают в чужие руки разрешение распоряжаться своей личной жизнью.

Теперь главный оператор, в будущем обеспечив вас электронным биометрическим документом, будет обладать всей полной информацией, касающейся вашего здоровья, наличия родственников, социальных выплат, совершенных сделок, налогах, хозяйственных покупок и даже передвижения! И, если вы, как обладатель универсальной электронной карты, будете не согласны с некоторыми действиями оператора, тогда все ваши данные он может просто заблокировать или вовсе уничтожить, как полноправный хозяин вашей персональной информации. Вы ведь заранее согласились на возможность применения к себе подобных мер!

Как это работает уже сегодня?

Активный процесс по обработке персональных данных только начинает внедряться в нашу повседневную жизнь, но некоторые граждане уже успели почувствовать на себе последствия таких законных действий.

Так, обязательное согласие на обработку персональных данных требуют некоторые образовательные учреждения страны.Согласно комментариям студентов, в случае отказа давать свое согласие, их просто не допустят к экзаменам и не выдадут дипломы.

Также обстоят дела и с частью государственных лечебных заведений, где гражданин обязан предоставить больнице не только информацию о здоровье и номер медицинского полиса, но и страховой номер индивидуального лицевого счета в Пенсионном фонде (СНИЛС) – основной ключ доступа к информационным базам ОАО «УЭК». В бланке «Согласие пациента на обработку персональных данных» существует пометка, что в случае отказа в согласии, клиника вправе отказать в медицинских услугах пациенту.

То же касается любых других государственных и коммерческих учреждений, требующих от своих клиентов обязательное согласие на обработку и использование персональной информации, аргументируя это необходимостью бухгалтерского, кадрового или воинского учета. Как себя вести в таких ситуациях — читайте далее.

Согласно закону, любые действия, касающиеся персональной информации сотрудника, могут осуществляться только с его согласия в письменном виде.

Работодатель обязан довести под роспись будущему сотруднику, с какой целью и в каком порядке будут храниться и использоваться предоставленные им сведения, а также о возможности отказаться либо в будущем написать отзыв своего согласия на обработку персональных данных.

Согласно ст. 5.27 и ст. 5.39 КоАП России предусматривается административная ответственность за нарушение норм хранения и обработки личных данных работников. В случае нарушения законодательства руководство компании обязано возместить материальный ущерб сотруднику за незаконное использование его персональной информации.

Если вы по незнанию когда-то подписали разрешение на использование ваших личных данных, то теперь знайте, что имеете право его отозвать. Отзыв может быть составлен в свободной форме, но с обязательной ссылкой на действующие законы. Предлагаем образец такого заявления:

Некоторые юристы считают, что отзыв на обработку персональных данных ничего не решает, ведь к моменту его написания все информация о человеке уже занесена в нужные электронные базы для дальнейшего использования. Но, по крайней мере, вы выполните свой долг с позиции православного христианина, и, возможно, притормозите процесс дальнейшего обновления ваших личных данных.

Как законно отказаться от сбора персональных данных в детских садах и школах?

В последнее время большую тревогу забили родители, ведь администрация дошкольных и общеобразовательных учреждений фактически принуждает их подписывать согласие на обработку и использование персональной информации о ребенке и членах его семьи. Это получается, что вы должны добровольно отказаться от права на неприкосновенность вашей частной и семейной жизни? Ведь автоматическая обработка персональных данных предусматривает передачу собранной информации третьим лицам без ограничений.

Помните, что давать или не давать свое согласие – это ваше право, а не обязанность. Ниже мы приводим пример заявления об отказе предоставления личных сведений о ребенке для дальнейшей их обработки:

Безусловно, следует понимать, что школе необходимо иметь базовую персональную информацию о каждом учащемся с целью организации воспитательно-образовательного процесса.

По закону, в момент нахождения детей в школе, за них несет ответственность администрация этого учебного учреждения.

Поэтому, если уж возникла необходимость передать конкретные сведения о ребенке, то оформите этот процесс грамотно, используя приведенный пример заявления:

Образец согласия на обработку персональных данных школой, который не создает опасности нарушения прав семьи.

Как мы уже выяснили, целью автоматизированного учета личной информации граждан является не гарантия прав людей, а исключительная власть над ними. Так происходит очередной этап построения системы управления человеком.

В феврале 2014 года на сайте Московской Патриархии была опубликована информация об обращении Патриарха Московского и всея Руси Кирилла к Президенту Российской Федерации Владимиру Путину с просьбой принять законодательные меры, которые обеспечивали бы право человека на использование традиционных удостоверений личности и способы их учета на бумажных носителях, а также предоставить правовые гарантии существования, технического оснащения и финансирования традиционной системы учета.

Администрация Президента Российской Федерации направила ответ на обращение Патриарха следующего содержания:

Еще давно православные Старцы и священнослужители предупреждали о том, что людей будут обольщать с помощью «многохитростной лжи и чудовищного обмана».

Если вы желаете самостоятельно распоряжаться своей жизнью, а не давать это право чужим лицам, то вместо подписания согласия на обработку своих персональных данных советуем оформить заявление, образец которого представлен ниже:

Источник: http://megapoisk.com/obrabotka-personalnyh-dannyh-grazhdan-rossii-pochemu-nuzhno-otkazatsja

Как владельцам сайтов работать с персональными данными, чтобы избежать штрафа

Как владельцам сайтов работать с персональными данными, чтобы избежать штрафа

С 1 июля 2017 г. возбуждать дела об административных правонарушениях будут органы Роскомнадзора, а не прокуратура, как это делается сегодня. Уже сейчас понятно, что данные дела будут возбуждаться проще и быстрее, так как это будет делать сам орган, выявивший правонарушение.

В настоящее время за нарушение закона №152 ФЗ «О защите персональных данных» (сколько бы таких нарушений за 1 раз не было выявлено) можно привлечь только 1 раз. Начиная с 1 июля 2017 г. Роскомнадзор за один «визит» может составить сколько угодно протоколов об административном правонарушении по каждому нарушению. О размере возможно штрафа в таком случае можно только догадываться.

Расположение хостинга сайта

В соответствии с ФЗ № 152, все интернет-ресурсы, на которых хранятся и обрабатываются персональные данные, должны быть расположены на территории Российской Федерации.

С учётом того, что контролирующие органы считают персональными данными также и данные о поведении пользователя на сайте, то это касается практически любого интернет-ресурса.

За нарушение этого требования Роскомнадзор их блокирует.

Под расположением хостинга подразумевается физическое местонахождение ЦОДа, на котором размещен ваш сайт. То есть, если хостинг-провайдер зарегистрирован в России, а его ЦОДы расположены, к примеру, в Эстонии, вы нарушаете закон и попадаете под блокировку сайта.

Что нужно сделать на сайте, чтобы избежать штрафов

Мы составили список работ, которые стоит сделать на своём сайте прямо сейчас. Это тот необходимый минимум, который позволит вам избежать проблем в случае проверок Роскомнадзора.

1.    Добавить текст согласия на обработку персональных данных

Под каждой формой ввода данных на сайте (регистрация, заявки на услугу, обратный звонок) разместить текст «Нажимая на кнопку «Название кнопки», я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на документ. Примеры документов вы можете посмотреть на федеральных сайтах, например, ozon.ru и tinkoff.ru. 

Вместо согласия можно использовать единую публичную оферту, но в ней будет нужно прописать, в каких целях, какие данные обрабатываются, то есть указать всё, согласно ч.4 ст.9 152-ФЗ. В этом случае обязательно хранить логи, чтобы, в случае чего, доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и оставлял там свои персональные данные.

2.    Составить документ «Политика в отношении обработки персональных данных»

Этот документ нужно разместить на сайте в свободном доступе. В данном документе должны быть описаны процедуры сбора, обработки и хранения персональных данных пользователей сайта. Хорошо проработанный документ о политике в отношении обработки персональных данных есть на ikea.com. При этом с данным документом регистрирующийся не должен соглашаться при заполнении формы.

3.    Узнать, где находится хостинг сайта

Узнать у хостинг-провайдера, где физически находится ЦОД, в котором расположен ваш сайт и, в случае, если он расположен не на территории РФ, перенести сайт на другой хостинг. Сделать это вы можете, отправив запрос в техническую поддержку сайта.

4.    Указать email для обращений пользователей по персональным данным

Укажите email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы и вообще, куда он может задать вопрос по персональным данным. Email можно указать в документах, описанных выше.

Важно, чтобы указанный email был рабочим, информация на нем регулярно проверялась, чтобы не пропустить запрос пользователя на удаление персональных данных с сайта.

5.    Подать уведомление об обработке персональных данных в Роскомнадзор

Вам или агентству-разработчику сайта необходимо подать уведомление об обработке персональных данных в Роскомнадзор, для этого нужно перейти по ссылке и помимо всего прочего указать там адреса местонахождения баз персональных данных и перечень персональных данных, которые в них содержатся.

6.    Заключить соглашение о безопасности персональных данных с разработчиком сайта

В случае если агентство-разработчик сайта имеет доступ к персональным данным из заявок или базы данных сайта (например, сайт находится на технической поддержке), вам необходимо заключить соглашение с агентством об обеспечении безопасности персональных данных. В соглашении должно быть указано, какие персональные данные агентство может обрабатывать, в каких целях и какие действия с ними выполнять. Также там должны быть требования по защите персональных данных.

7.    Поставить на сайте дисклеймер

До 1 июля 2017 года поставить на сайте дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и, если он не согласен, то должен покинуть сайт. Примеры дисклеймеров вы можете посмотреть на сайтах marykay.ru и bmw.ru. В противном случае это будет являться согласием на обработку его персональных данных.

Список внушительный, но не стоит бояться этих изменений. Специалисты Мэйка в течение 5 рабочих дней внесут изменения, которые обезопасят ваш сайт от штрафов Роскомнадзора

Мы оказываем эту услугу как нашим клиентам в рамках технического обслуживания, так и сторонним сайтам

Источник: https://makeagency.ru/blog/kak-vladeltsam-saytov-rabotat-s-personalnymi-dannymi-chtoby-izbezhat-shtrafa

Персональные данные: обработка, защита, согласие на обработку

Персональные данные: обработка, защита, согласие на обработку

Под персональными данными, как следует из ст. 3 №152- ФЗ, подразумевается любая информация, имеющая отношение к физлицу: информация, указанная в паспорте (ФИО, дата рождения, адрес регистрации, семейное положение и др.), а также сведения об образовании, занимаемой должности, зарплате и даже росте, весе, цвете глаз и др.

Закон распространяется абсолютно на все организации. Поскольку в каждой организации есть работники, то их данные так или иначе используются при заключении трудового договора, начислении зарплаты и в других случаях. Персональные данные вносятся в личные дела сотрудников, которые хранятся у кадровиков.

Под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных.

Распространение персональных данных — это действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2. Компании могут использовать данные различных категорий субъектов

С каждой из категорий субъектов персональных данных компанию связывает определенный тип правоотношений. Некоторые компании обрабатывают персональные данные не только работников, но и клиентов, например, производственные компании.

Так, компании из сферы услуг (автошколы, салоны красоты, парикмахерские, туристические агентства и др.) взаимодействуют с клиентами-физлицами, обрабатывая их персональные данные с целью предоставления, например, дисконтных карт.

Интернет-магазины собирают данные физлиц, чтобы осуществлять доставку товаров.

Существует определенная категория лиц, которая не является ни клиентами, ни работниками компании, однако она передает свои данные в организацию, где они хранятся и обрабатываются. К такой категории относятся соискатели, принимающие участие в конкурсе на вакансию и передающие потенциальному работодателю свои персональные данные в виде резюме или анкеты на сайте компании.

Сотрудники могут работать в организации по договору подряда. Оформляя человека по такому договору, компания может не запрашивать у него сведений о семейном положении или ограничений по здоровью. В случае с работником, оформленным по трудовому договору, компания должна это делать.

У товариществ собственников жилья нет ни работников, ни клиентов. Это сообщество, в котором состоят члены. Существуют и другие виды организаций с подобной структурой и без трудовых или гражданских правоотношений: общественные организации, политические партии, религиозные организации и др.

3. Обработке подлежат персональные данные, отвечающие целям их обработки

Важно понимать, какие данные каких субъектов используются, чтобы устанавливать цель обработки персональных данных.

Организациям необходимо иметь представление не только о том, данные каких категорий субъектов они обрабатывают, но и с какой целью они это делают, исходя из специфики деятельности. Например, у интернет-магазина и автошколы цель обработки данных может заключаться в выполнении условий договора с клиентами.

4. Необходимо знать, какие именно данные нужно использовать

Закон требует от компаний понимания, какие именно персональные данные в отношении каждой категории субъектов они обрабатывают.

Очевидно, что если в случае с работником необходимо знать об ограничениях по здоровью для начисления социальных выплат, имеются ли у него дети до 18 лет, чтобы предоставить ему налоговый вычет, то в отношении клиента интернет-магазина, который заказал товар, эти сведения не нужны. В этом случае достаточно знать имя, адрес и телефон покупателя.

Достигнув цели обработки данных, компания должна прекратить обработку этих данных. Так, если интернет-магазин осуществил доставку товара клиенту, то в дальнейшем ему уже не потребуются его номер мобильного телефона и адрес доставки.

5. Необходимо понимать, когда требуется согласие на обработку данных

Для каждой категории субъектов (работников, клиентов, соискателей и др.) определяется цель обработки данных. Порой эта цель заключается в выполнении требований определенных законов.

В этом случае организация может абсолютно спокойно собирать данные соответствующей категории и обрабатывать их.

Так, в отношении работников организации выполняют трудовое законодательство, многие кредитные и финансовые организации обязаны на своем официальном сайте публиковать сведения об аффилированных лицах, ОАО должно размещать у себя на сайте информацию о структуре акционеров.

Если цель обработки данных какой-то категории субъектов установлена компанией самостоятельно, исходя из специфики деятельности, то она должна взять согласие об обработке персональных данных у субъекта данных (ст. 9 №152- ФЗ).

Например, если компания принимает на работу сотрудника по трудовому договору, то по трудовому законодательству она должна знать, как его зовут, где он прописан, какое у него образование. И эти сведения компания может получать у человека без его согласия.

Если же компания собралась выплачивать сотруднику зарплату на банковскую карту и планирует передавать сведения о нем в банк, то она обязана взять на это согласие, так как прямого требования передавать персональные данные в банк для выплаты заработной платы в законе нет.

Если интернет-магазин после доставки товара планирует рассылать клиентам SMS-сообщения о скидках, то он должен заранее сформулировать эту цель и взять с клиентов согласие на использование данных именно с этой целью. В ч.1 ст.15 №152- ФЗ есть упоминание о том, что рекламные контакты с клиентами совершаются только с их согласия.

Закон отдельно выделяет требования для данных, неправомерные действия с которыми могут нанести вред субъекту персональных данных. Речь идет о специальной категории персональных данных (ст. 10 №152- ФЗ) и биометрических персональных данных (ст. 11 №152-ФЗ).

К биометрическим данным относятся сведения, которые отражают физиологические особенности человека и необходимы для установления его личности (например, если в компании используются системы контроля доступа).

К специальной категории данных относятся сведения о национальной, расовой принадлежности, философских, политических и религиозных убеждениях, состоянии здоровья и интимной жизни.

Эти данные выделяются в отдельную категорию, так как закон прямо запрещает их использовать, за исключением ряда случаев (один из них — если субъект дал на то свое письменное согласие).

Отдельно закон говорит о передаче данных за границу (ст. 12 №152- ФЗ).

С учетом всех базовых принципов, описанных выше, требования к обработке данных можно разделить на три больших блока (ст. 19 №152- ФЗ):

1. Правовые меры

Организация решает, как будет соблюдать законодательство, оформляет решение в виде внутренних документов, например, «Политики в отношении обработки персональных данных», издает приказ, в котором назначает ответственного за организацию процесса обработки персональных данных и т д.

2. Организационные меры

Эти меры связаны с деятельностью компании. Закон требует, чтобы «Политика в отношении обработки персональных данных» была доступна для всех категорий субъектов персональных данных. Ее рекомендуется размещать на информационном стенде, где с ней смогут ознакомиться не только работники, но и клиенты.

Рассмотрение этого письма и подготовка ответа на него — деятельность, относящаяся к организационным мерам. О том, как отвечать на такие письма, уточняется в ст. 20-21 №152-ФЗ.

3. Технические меры

Связаны с использованием средств защиты информации. Это могут быть как примитивные средства — сургучовые печати, решетки на окнах, так и высокотехнологичные способы — антивирусы, межсетевые экраны, средства защиты от несанкционированного доступа, средства криптографической защиты и др.

При обработке персональных данных организации следует:

  1. Разобраться, с данными каких категорий субъектов она имеет дело, на каком основании и с какой целью она их использует.
  2. Ознакомиться с законом и решить, как будут выполняться требования, отразить это в локальных нормативных актах.
  3. Принять соответствующие организационные меры.

    Например, опубликовать «Политику в отношении обработки персональных данных» и  быть готовой выполнять те организационные требования, которые необходимы в ходе операционной деятельности.

  4. Позаботиться о технических мерах, понять, какие технические меры должны быть приняты, обеспечить принятие этих мер.

Существенное дополнение: в рамках текущего законодательства ни у одного контролирующего органа нет полномочий на то, чтобы контролировать выполнение технических мер у коммерческих частных организаций.

Роскомнадзор может контролировать только выполнение правовых и организационных мер у частных компаний. Поэтому о четвертом шаге можно говорить формально: закон предоставляет возможность коммерческим компаниям большую свободу в выборе технических мер. Что касается государственных организаций, то для них требования по использованию средств защиты информации четко определены и подробно описаны.

Игорь Луканин, руководитель продукта «Контур.Персональные данные»

Источник: https://kontur.ru/articles/1293

Обработка персональных данных работников без их согласия

Обработка персональных данных работников без их согласия

«Кадровик. Кадровое делопроизводство», 2013, N 5

ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ БЕЗ ИХ СОГЛАСИЯ

Статья рассказывает, что существуют ситуации, в которых у работодателя существует обязанность по обработке или публикации персональных данных работника без его согласия.

Обработка персональных данных работника, государственного служащего не требует получения соответствующего согласия указанных лиц при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством, законодательством Российской Федерации о государственной гражданской службе.

Объем и цели обработки персональных данных

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.

Обработке подлежат только персональные данные, которые отвечают целям этой обработки.

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях — и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

Хранение персональных данных

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Обработка без согласия

Работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися, как правило, приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 ТК РФ.

Кроме того, получения работодателем согласия на обработку персональных данных не требуется в специально указанных случаях:

— если существует обязанность по обработке персональных данных, предусмотренная законодательством РФ;

— обработка персональных данных предусмотрена унифицированными формами;

— передача данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника;

— обработка персональных данных необходима при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя.

Требования законодательства

Обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет, может быть предусмотрена законодательством Российской Федерации.

Источник: http://hr-portal.ru/article/obrabotka-personalnyh-dannyh-rabotnikov-bez-ih-soglasiya

Этот материал был подготовлен группой православных юристов города Смоленска и выполнен в форме ответов на наиболее часто задаваемые вопросы. Сегодня предлагаем ознакомиться с разъяснением смоленского православного юриста Алексея Синицына на тему обработки персональных данных.

– В последнее время практически во всех государственных и муниципальных организациях стали требовать согласие на обработку персональных данных. Имею ли я право отказаться от подписания такого согласия и не лишат ли меня в этом случае государственных или муниципальных услуг (например, возможности оформления детского пособия)?

– Действительно, согласие на обработку персональных данных сейчас стали требовать почти повсеместно. Однако следует отметить, что в большинстве случаев указанное согласие берется без каких-либо правовых оснований, под прикрытием формальной ссылки на Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных».

В действительности пункт 1 статьи 6 указанного Закона содержит 11 оснований для обработки персональных данных, которые можно разделить на две группы: случаи, когда обработка персональных данных допускается с согласия субъекта персональных данных (т.е.

с Вашего согласия), и случаи, когда согласия субъекта персональных данных на обработку не требуется.

Причем перечень случаев, когда соответствующий орган вправе обрабатывать Ваши персональные данные без Вашего согласия, указанный в данной статье, является исчерпывающим и какому-либо расширенному толкованию не подлежит. Давайте перечислим здесь все эти случаи полностью:

– обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
– обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта);

– обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обезпечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;– обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

– обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

– обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

– обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Закона «О персональных данных», при условии обязательного обезличивания персональных данных;

– осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Во всех остальных случаях обработка персональных данных осуществляется только при наличии согласия субъекта персональных данных (т. е. с Вашего согласия).

Таким образом, в случае если обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, получение согласия на обработку персональных данных не требуется (п. 2 ч. 1 ст. 6 Федерального закона «О персональных данных»). Также согласие не требуется и при обращении за получением государственных и муниципальных услуг, к которым относится выплата ежемесячного пособия на ребенка (п. 4 ч. 1 ст. 6 вышеуказанного Закона).

В случае отказа подписать такое согласие оператор (орган или лицо, обрабатывающее персональные данные) не вправе ограничить Вас в получении услуги. При этом обработка персональных данных будет осуществляться в силу полномочий, предоставленных ему вышеприведенными нормами Закона.

Следует отметить, что если по каким-либо причинам вы даете согласие на обработку персональных данных, обратите внимание на их перечень. Дело в том, что в соответствии с п. 5 ст.

5 ФЗ «О персональных данных» содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.

Обрабатываемые персональные данные не должны быть избыточными по отношению к этим целям.

И если в перечне персональных данных, согласие на обработку которых Вам предлагают дать, находятся сведения, не относящиеся, на Ваш взгляд, к целям обработки, попросите сотрудника оператора обосновать их включение.

При отсутствии обоснования, а также в случае, если обоснование покажется Вам неубедительным, потребуйте исключения указанных сведений из перечня либо Выше своей подписи поставьте пометку «кроме следующих персональных данных:..

» и перечислите данные, от согласия на обработку которых Вы отказываетесь.

http://gazeta-pkrest.livejournal.com/250169.html

Источник: http://protivkart.org/main/3247-o-soglasiyah-na-obrabotku-personalnyh-dannyh-i-nashih-pravah.html

Ссылка на основную публикацию