Для чего дают согласие на обработку персональных данных
Согласие на обработку персональных данных: зачем оно нужно
На vc.ru автор Nikita Zhurlov рассказал про важный документ — согласие на обработку персональных данных.
Хотите иметь дело с проверкой Роскомнадзором своего ИТ-продукта или сайта? А потом ещё платить штраф, нести ответственность?
Думаю, что нет. Поэтому, давайте, начнём разбирать что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов.
Немного теории
1) нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:
— Физическое лицо: предупреждение или штраф в размере 1 000 — 3 000 рублей;
— Должностное лицо: штраф в размере от 5 000 — 10 000 рублей;
— Юридическое лицо: штраф в размере 30 000 — 50 000 рублей;
2) Обработка персональных данных без согласия гражданина приведет:
— Физическое лицо: штраф в размере 3 000 — 5 000 рублей;
— Должностное лицо: штраф в размере от 10 000 — 20 000 рублей;
— Юридическое лицо: штраф в размере 15 000 — 75 000 рублей;
3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:
— Физическое лицо: штраф в размере 700 — 1 500 рублей;
— Должностное лицо: штраф в размере от 3 000 — 6 000 рублей;
— Индивидуальный предприниматель: штраф в размере от 5 000 — 10 000 рублей
— Юридическое лицо: штраф в размере 15 000 — 30 000 рублей;
Первоначально определимся с основными понятиями и поймём, что же они значат (неформальное объяснение по тексту будет обозначаться «Д», это от слова description):
Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Д: это любая совокупность информации, через которую можно определить определенного человека. К примеру, абстрактная электронная почта, допустим posledni_kaktus_naokne@bk.ru — не относится к ПД, однако электронная почта с рабочим адресом допустим, ivan.ivanov@romashka.ru с подписью в письме «Главный инженер» — относятся к персональным данным, т.к. мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации «Ромашка».
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Д: это вы, собирающий персональные данные. Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека — и вот вы уже владелец персональных данных в лице оператора.
Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Д: это любые действия, которые вы совершаете как оператор.
1. Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.
Д: когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.
2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
Д: когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные. Сюда подходит и оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент когда собираете ПД — наступает раньше.
3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.
Д: вы обезличиваете данные физического лица и «размываете» их в море других данных, соответственно определить кому что принадлежит — невозможно даже вам.
4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
Д: данный пункт не относится к интернет-проектам, но для понимания ситуации, пример, когда приезжает частная медицинская бригада и оказывает помощь.
5. Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.
Д: если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги — нет необходимости требовать согласия на обработку ПД.
6. Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
7. Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Д: не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством Российской Российской Федерации.
Во всех остальных случаях, при контакте и сборе ПД от физического лица — вы должны получать его согласие и иначе никак — закон есть закон!
Что делать
Шаг 1.
Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных. Если у вас юридическое лицо или вы — индивидуальный предприниматель — вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии. Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах — относится не только к работе с потребителями, но и с работниками.
Шаг 2.
Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.
Шаг 3.
Самое главное по теме. Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.
При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!
Немного юридического обоснования чекбоксов, а как называет Роскомнадзор — «галочек»:
Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» устанавливает обязательство собирать персональные данные:
«4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. ».
Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:
«Получение согласия на обработку персональных данных может быть получено посредством проставления „галочки“ пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме».
Вариативно, ещё шаг 4.
Подать уведомление об обработке ПДн в Роскомнадзор.
В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.
Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).
Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется:
— политика обработки персональных данных;
— приказ об утверждении вышеуказанной политики;
— согласие на обработку персональных данных;
— чекбокс с гиперссылкой на вышеуказанное согласие.
Всё это требуется опубликовать на сайте и / или в приложении.
ВНИМАНИЕ!
Завтра на «Клерке» стартует обучение на онлайн-курсе повышения квалификации для получения удостоверения, которое попадет в госреестр. Тема курса: управленческий учет.
Повысьте свою ценность как специалиста в глазах директора. Смотреть полную программу
Что нужно знать о согласии на обработку персональных данных
Каждый человек сообщает свои Ф.И.О., реквизиты паспорта, адрес, информацию о здоровье и т.п. множеству организаций. В большинстве случаев на обработку данных нужно согласие физлица. Разберемся, что это такое, в какой форме его можно дать, как происходит получение согласия.
1. Что такое согласие на обработку персональных данных и когда оно нужно
Согласие на обработку персональных данных — это ваше разрешение совершать с персональными данными любые действия. Например, собирать данные, хранить их, изменять, использовать, распространять, удалять (абз. 6 ст. 1, п. 1 ст. 5 Закона о защите персональных данных).
Примечание
Персональные данные — это любая информация, касающаяся физлица. В первую очередь, это данные паспорта: Ф.И.О., пол, дата и место рождения, идентификационный номер, адрес регистрации. К персональным данным также относится информация о родителях/детях, образовании, роде занятий, здоровье, национальности, религиозных убеждениях и др.( п. 1 ст. 8, п. 1 ст. 10 Закона N 418-З, абз. 12 ст. 1 Закона о защите персональных данных).
Ваше согласие должно быть (п. 1 ст. 5 Закона о защите персональных данных):
Ваши данные могут обрабатывать, в частности, при:
— приеме на работу и в процессе трудовой деятельности;
— обращении в медучреждения;
— заключении договора в банке, страховой компании;
— заказе товаров в интернет-магазине;
— регистрации на сайтах различных организаций.
Обратите внимание!
Объем данных, которые вас просят предоставить, должен соответствовать целям их обработки (п. 2, ч. 1 п. 4 ст. 4 Закона о защите персональных данных). Иными словами, от вас не могут потребовать больше данных, чем нужно в конкретном случае. Например, информация о состоянии вашего здоровья нужна медцентру для оказания медуслуг, но не нужна интернет-магазину для доставки вам товаров.
По общему правилу ваши персональные данные можно получать и обрабатывать с вашего согласия (ч. 1 п. 3 ст. 4 Закона о защите персональных данных). Исключение составляют случаи, прямо установленные законодательством.
Примечание
Подробнее о случаях, когда согласие на обработку персональных данных не нужно, см. в разделе 5.
2. В какой форме можно дать согласие
Согласие может быть дано в одной из следующих форм (п. 2 ст. 5 Закона о защите персональных данных):
1) в письменной форме, т.е. вы подпишете «бумажный» документ, в котором выражено ваше согласие на обработку персональных данных;
2) в форме электронного документа. Такой документ создают с помощью специальных программ. Подписать его можно только электронной цифровой подписью, если она у вас есть (ст. 16, 17 Закона об электронном документе и ЭЦП);
3) в другой электронной форме. Такое согласие вы можете дать (п. 3 ст. 5 Закона о защите персональных данных):
— путем введения кода, полученного в СМС-сообщении или в письме на электронную почту.
Пример
При регистрации на сайте интернет-магазина нужно заполнить анкету, указав в ней персональные данные: Ф.И.О., пол, дату рождения. Чтобы зарегистрироваться, пользователям сайта предлагается получить код по СМС и ввести его в специальное окошко. При этом на сайте указано, что введение кода является согласием на обработку персональных данных физлица. Ввод кода физлицом будет выражением его согласия на обработку данных;
— путем проставления соответствующей отметки на интернет-сайте.
Пример
На сайте интернет-магазина размещено согласие покупателя сообщить свой адрес для доставки товаров. Если вы проставите галочку в графе «Согласен», это будет считаться согласием, которое получено в электронной форме;
— другими способами. Главное, чтобы такой способ позволял установить факт получения согласия.
Типовой формы или бланка согласия законодательство не содержит. Полагаем, организации, которые хотят получить ваши данные, будут самостоятельно разрабатывать формы согласия. Следовательно, вам составлять согласие не придется, достаточно будет подписать или проставить отметку в предложенной организацией форме.
3. Какие права есть у физлица в связи с обработкой персональных данных
В отношении своих данных вы вправе:
1) в любое время отозвать свое согласие на обработку данных. При этом вы не должны объяснять причины отзыва согласия (п. 1 ст. 10 Закона о защите персональных данных);
2) получить информацию об обработке ваших данных. В частности, вы можете узнать, какие из ваших персональных данных обрабатывает организация, откуда они получены и с какой целью обрабатываются (ч. 1 п. 1 ст. 11 Закона о защите персональных данных);
3) требовать внести изменения в ваши данные, если они неточные, неполные или устарели (ч. 1 п. 4 ст. 11 Закона о защите персональных данных).
Примечание
Для внесения изменений в данные нужно предоставить документ, который подтверждает, что данные не верны. Вместо оригинала такого документа можно предоставить его заверенную копию (ч. 1 п. 4 ст. 11 Закона о защите персональных данных);
4) получить информацию о предоставлении ваших данных третьим лицам (ч. 1 п. 1 ст. 12 Закона о защите персональных данных).
Обратите внимание!
Вы вправе получить информацию о передаче ваших данных третьим лицам бесплатно один раз в календарном году (ч. 1 п. 1 ст. 12 Закона о защите персональных данных);
5) требовать прекратить обработку ваших данных и/или удалить их. Такое требование вы можете заявить, если для обработки ваших данных нет законных оснований (ч. 1 п. 1 ст. 13 Закона о защите персональных данных). В этом требовании вам могут отказать, если обработка данных производится на законном основании (п. 3 ст. 13 Закона о защите персональных данных).
Пример
Цветков М.М. сообщил свой адрес и Ф.И.О. интернет-магазину для доставки товара. После доставки Цветков М.М. вправе потребовать, чтобы магазин удалил его данные, ведь цель, для которой они были предоставлены, уже выполнена. В этом случае интернет-магазин обязан удалить персональные данные Цветкова М.М.
Чтобы воспользоваться указанными правами, вам нужно подать заявление в организацию, которая работает с вашими данными. Заявление можно подать в письменной форме или в форме электронного документа (п. 1 ст. 14 Закона о защите персональных данных).
В заявлении вам нужно (п. 2 ст. 14 Закона о защите персональных данных):
— указать ваши Ф.И.О., адрес, дату рождения и идентификационный номер.
Примечание
Если идентификационного номера нет, нужно указать номер документа, удостоверяющего личность, который вы указывали при даче согласия (абз. 4 п. 2 ст. 14 Закона о защите персональных данных);
— изложить суть ваших требований, например, указать, что вы отзываете свое согласие или требуете удалить ваши данные;
— проставить личную подпись или электронную цифровую подпись, если она у вас есть и вы подаете заявление в форме электронного документа (п. 2 ст. 14 Закона о защите персональных данных).
После получения заявления организация должна выполнить ваше требование и сообщить вам об этом или сообщить о причинах невыполнения требования. Срок ответа на заявление зависит от сути ваших требований (ч. 1 п. 2 ст. 10, п. 2, ч. 2 п. 4 ст. 11, п. 2 ст. 12, ч. 1 п. 2 ст. 13 Закона о защите персональных данных):
| Суть требования | Срок ответа |
| Отзыв согласия | 15 дней после получения заявления |
| Получение информации об обработке данных | 5 дней после получения заявления |
| Внесение изменений в персональные данные | 15 дней после получения заявления |
| Получение информации о предоставлении данных третьим лицам | 15 дней после получения заявления |
| Прекращение обработки данных/их удаление | 15 дней после получения заявления |
Примечание
Организация обязана ответить на ваше заявление в той же форме, в которой оно было подано, если в самом заявлении вы не указали другой способ ответа (п. 3 ст. 14 Закона о защите персональных данных).
Решение организации вы вправе обжаловать. Для этого нужно подать жалобу в Национальный центр защиты персональных данных (далее — НЦЗПД). В свою очередь решение НЦЗПД можно обжаловать в суд (ст. 15 Закона о защите персональных данных, п. 1, ч. 1 п. 27 Положения от 28.10.2021 N 422).
4. Каков порядок получения согласия
До получения ваших данных организация, которая хочет их получить, обязана:
1. Предоставить вам необходимую информацию.
Организация должна сообщить вам (ч. 1 п. 5 ст. 5 Закона о защите персональных данных):
— свое название и местонахождение;
— с какой целью будут обрабатываться ваши данные. Например, магазин может собирать данные покупателей для изучения спроса, а медучреждение — для формирования статистики;
— перечень персональных данных, на обработку которых вы даете согласие.
Обратите внимание!
У вас не вправе потребовать больше данных, чем нужно для указанной цели (ч. 1 п. 4 ст. 4 Закона о защите персональных данных). Например, чтобы изучать спрос на товары, магазину не нужна информация о состоянии здоровья покупателей. В то же время медцентр может попросить вас предоставить данные о перенесенных заболеваниях и т.п., чтобы точно поставить диагноз;
— срок, на который вы даете согласие. Законодательством такой срок не определен. На практике он будет зависеть от цели, для которой обрабатываются данные.
Пример
Ромашкин А.А. заключил кредитный договор с банком сроком на 5 лет. Для исполнения этого договора банку нужны персональные данные Ромашкина А.А. Срок согласия, которое Ромашкин А.А. дал банку, равен сроку договора.
Интернет-магазин попросил у Ромашкина А.А. согласие на обработку его данных с целью организации доставки товара. Срок согласия — 3 месяца, т.к. магазин осуществляет доставку в трехмесячный срок;
— действия, которые организация будет совершать с вашими данными. Например, данные можно собирать, хранить, систематизировать, изменять, распространять, предоставлять, блокировать и т.п.
Пример
Магазин получает данные покупателей для организации рекламной СМС-рассылки. Он проинформирует покупателей, что их данные будут собираться и систематизироваться и уничтожаться. Это значит, что других действий магазин с данными совершать не будет, например, не передаст их другим организациям;
— общее описание способов обработки персональных данных в этой организации. Например, данные могут обрабатываться вручную или автоматизированно;
— информацию о лицах, которым организация поручила обработку ваших данных по договору, если такой договор заключен;
— другую информацию, если это необходимо.
Обратите внимание!
Указанную информацию вам должны предоставить в той же форме, в которой вы будете давать согласие на обработку персональных данных (абз. 1 ч. 1, ч. 2 п. 5 ст. 5 Закона о защите персональных данных). Например, если согласие будет дано путем проставления отметки на сайте, то информация или ссылка на нее должна быть размещена на этом же сайте.
2. Разъяснить вам ваши права.
Вам должны пояснить, какие у вас есть права и что нужно делать, чтобы их реализовать. Также вам обязаны разъяснить последствия дачи согласия на обработку данных или отказа в даче согласия (ч. 2 п. 5 ст. 5 Закона о защите персональных данных).
Примечание
Такое разъяснение должно быть изложено простым и понятным языком (ч. 2 п. 5 ст. 5 Закона о защите персональных данных).
Форма разъяснения должна соответствовать форме, в которой будет дано согласие (ч. 2 п. 5 ст. 5 Закона о защите персональных данных). Иными словами, если ваше согласие будет дано в виде документа на бумажном носителе, разъяснение должно быть изложено на бумаге. Если согласие будет оформлено в электронном виде, например, на сайте интернет-магазина, то и разъяснение должно быть размещено на этом сайте.
5. В каких случаях персональные данные можно обрабатывать без согласия физлица
Такие случаи прямо установлены законодательством. Ваше согласие не нужно, если ваши персональные данные используют при (ст. 6 Закона о защите персональных данных):
— оформлении трудовых отношений и в процессе работы у нанимателя;
— ведении персонифицированного учета застрахованных лиц;
— назначении и выплаты пенсий и пособий;
— начислении платы за жилищно-коммунальные услуги, в т.ч. при предоставлении льгот на оплату таких услуг;
— обращении к нотариусу за совершением нотариальных действий;
— рассмотрении уголовных и административных дел;
— исполнении судебных постановлений и других исполнительных документов;
— проведении выборов и референдумов;
— в научных целях и при сборе и обработке статистических данных;
— защите жизни, здоровья, жизненно важных интересов ваших или других лиц, если получение согласия невозможно;
— в других случаях, прямо предусмотренных законодательством. Например, при работе журналистов и СМИ, если такая работа направлена на защиту общественных интересов.
В любом случае объем данных, которые обрабатывают без вашего согласия, должен соответствовать целям их обработки (п. 2, ч. 1 п. 4 ст. 4 Закона о защите персональных данных). Иными словами, без вашего согласия можно обрабатывать только те данные, которые необходимы в конкретном случае.
Пример
При трудоустройстве на должность инженера наниматель затребовал у Ромашкина А.А. информацию о его образовании. Наличие образования обязательно для работы инженером, поэтому на получение этих данных согласие Ромашкина А.А. не нужно.
Одновременно у Ромашкина А.А. затребовали данные о его детях для вручения новогодних подарков. Для работы инженером такие данные не являются необходимыми, следовательно, для их получения нужно согласие Ромашкина А.А.