Отказ от предоставления персональных данных

О чем всегда забывают при подготовке документации?

Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных. Дело в том, что для полного соответствия требованиям Закона № 152-ФЗ и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться. Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:

• отсутствует большая часть необходимой документации;
• документация не актуализируется на постоянной основе (например, при изменениях процессов обработки персональных данных);
• не заполняются типовые формы документов (перечни, журналы и др.) в соответствии с внутренней документацией организации.

Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики. При ее разработке полезно изучить рекомендации Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 г.

Среди документов второго уровня в иерархии можно выделить следующие:

1. Положение об обработке персональных данных. Его можно разработать как отдельно для работников и остальных субъектов данных, так и в виде единого документа. Я рекомендую выбирать второй вариант и не забывать, что с документом нужно ознакомить каждого работника под подпись;
2. Регламент обработки обращений от субъектов персональных данных / Роскомнадзора;
3. Регламент проведения внутренних проверок в части соблюдения требований Закона № 152-ФЗ и подзаконных актов в области обработки персональных данных;
4. Методика оценки вреда субъектам персональных данных. По моей практике, компании крайне редко разрабатывают этот документ, хотя он необходим для успешного прохождения проверки Роскомнадзора;
5. Иные документы.

Для наглядности иерархическая структура необходимых документов представлена на схеме:

Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных

Список внушительный, не говоря о том, что в этой колонке я не рассматриваю документы по защите персональных данных по требованиям ФСТЭК и ФСБ России

Но и это еще не все: организациям, в которых планируется проверка Роскомнадзора, также следует обратить внимание на подготовку справок по различным вопросам. Например, это может быть информация по обработке данных уволенных работников, справка об обработке биометрических данных и не только

Например, в моей практике был случай, когда компании пришлось подготовить суммарно порядка 200 справок по разным вопросам обработки персональных данных. Так что этот вопрос лучше продумать заранее.

Как подать заявление в Роскомнадзор?

Для того, чтобы подать заявление в Роскомнадзор, необходимо осуществить последовательные действия.

1. Составьте заявление.
2. Сформируйте пакет необходимых документов.
3. Заплатите государственную пошлину, приобщите квитанцию к перечню бумаг.
4. Явитесь в отделение Роскомнадзора.
5. Запишитесь на приём.
6. Передайте пакет документов сотруднику вместе с заявлением.
7. Дождитесь, когда сотрудник ознакомиться с вашими данными.
8. В случае, если сотрудник не принимает документ, он выносит отказ.
9. В случае, если вынесено положительное решение, то Роскомнадзор примет все ваши документы, взамен выдаст вам справку.

Кто имеет право обрабатывать сведения о лице?

Чтобы передать персональные сведения работника другому оператору, необходимо, чтобы руководство учреждения обязательно получило согласие от работника.

Как заполнить согласие на обработку персональных данных в 2021 году

Когда происходит оформление на работу, регистрируясь на каком-либо официальном сайте государственного ведомства или заполняя, например, визу за рубеж, физлицо предоставляет свои личные данные. Распространение такой информации допускается лишь с согласия ее собственника. Для выдачи такого согласия достаточно расписаться на предоставленных документах. В более серьезных ситуациях, например, при оформлении визы, разрешение на использование личной информации составляется на отдельном бланке.

Такой бланк заполняется в произвольном виде или на бланке, разработанном учреждением. Однако, в любом варианте в документе понадобиться отобразить следующие сведения:

1. Название фирмы-работодателя.
2. Место и дата оформления разрешения.
3. Ф.И.О. гражданина, его паспортные реквизиты и данные о прописке.
4. Затем в основном разделе бланка детально отражается:

• Какие, именно, личные сведения можно использовать.
• Для каких целей допустимо их использование.
• Период действия разрешения и условия его отзыва.

1. Непременно понадобиться отметить, что разрешение предоставлено не принудительно.
2. В завершение нужно будет подписать документ.

Отказ от предоставления персональных данных

По большому счету, согласие на предоставление персональных данных требуется только в отношении специальных и биометрических сведений. Если говорить проще, общедоступная информация, т.е. информация из паспорта, ИНН, СНИЛС, может использоваться совершенно свободно, конечно, в рамках закона и без нарушения этических и моральных норм.

А вот если кому-либо понадобились данные, касаемые религии или национальности человека, его здоровья или судимостей, взаимоотношений с работодателями (текущим и бывшими) и т.п. очень личные сведения – их можно получать только с согласия гражданина, оформленного в письменном виде.

В соответствии с законодательством РФ, любой человек имеет полное право отказаться от предоставления подобного рода информации, если считает, что она может привести к ущемлению его прав и интересов или даже вовсе без объяснения причин. Никакого наказания за такой отказ не предусмотрено.

И даже если представитель какого-либо учреждения требует предоставления таких сведений, угрожая отказом в предоставлении необходимых услуг (образовательных, медицинских и т.д.), его действия легко можно обжаловать как на уровне руководства, так и в прокуратуре или суде.

Единственное, что нужно помнить, что при обращении в различные муниципальные и бюджетные структуры, а также при трудоустройстве существует установленный законом перечень документов, а значит и персональных сведений, без которых заключение договоров (гражданско-правовых, трудовых и т.д.) будет просто-напросто невозможно.

Если есть сомнения в том, что работник той или иной организации требует документы сверх установленного законом списка, следует обратиться за разъяснениями к юристам или ознакомиться с соответствующими статьями российского законодательства.

С того момента, как персональные данные попадают во «вторые» руки, вся ответственность за их огласку возлагается на того, кто их получил.

При этом закон в отношении лиц, разгласивших чью-либо личную информацию довольно суров – он предусматривает наказание, начиная от крупного административного штрафа и вплоть до возбуждения уголовных дел.

Ответственность если разглашены персональные данные

За то, что произошло разглашение персональных данных 137 ук рф устанавливает следующие виды наказаний.

Если производится сбор и распространение информации и лице без получения у него согласия на данный шаг, это может быть наказано:

• Штрафом до 200 000 руб.;
• Зарплатой либо иным заработком за период до 18 месяцев;
• Выполнение обязательных работ сроком до 360 часов;
• Выполнение исправительных работ сроком до 1 года;
• Осуществление принудительных работ сроком до 2 лет с лишением возможности находиться на должности на период до 3 лет;
• Осуществление ареста на срок до 4 месяцев;
• Лишение свободы на период до 2 лет с лишением возможности находиться на должности на срок до 3 лет.

В случае, когда такое нарушение было произведено с использованием полученного служебного положения:

• Штрафом от 100 000 до 300 000 руб.;
• Зарплатой либо иным заработком за период от 1 до 2 лет;
• Лишение права находиться на должности на срок от 2 до 5 лет;
• Осуществление принудительных работ сроком до 4 лет с лишением возможности находиться на должности на период до 5 лет;
• Осуществление ареста на срок до 6 месяцев;
• Лишение свободы на период до 4 лет с лишением возможности находиться на должности на срок до 5 лет.

Похожие документы

• Выписка из решения профсоюзного комитета о мнении профсоюза в связи с предлагаемым увольнением работника
• Пример приказа об изменении структуры штатного расписания
• Пример уведомления профкома о проведении мероприятий по сокращению штата работников организации
• Пример уведомления работника об увольнении по сокращению штата работников организации
• Пример уведомления службы занятости о сокращении штата работников организации
• Примерная форма предупреждения работника об увольнении в связи с сокращением численности или штата работников
• Уведомление о предстоящем увольнении в связи с сокращением численности или штата работников
• Акт ввода оборудования в эксплуатацию
• Акт о браке по результатам обследования объекта
• Акт о возврате бракованного товара
• Акт о недостаче и(или) пересортице товара
• Акт об установлении расхождений в количестве при приемке товара
• Акт приема — передачи оборудования. Акт ввода в эксплуатацию оборудования
• Акт приёмки продукции по качеству (Акт о браке)
• Ведомость начисления и выдачи зарплаты
• Макет коллективного договора
• Ответ работодателя на предложение о начале коллективных переговоров
• Предложение профсоюзной организации о начале коллективных переговоров
• Предложение работников о начале коллективных переговоров
• Приказ о проведении коллективных переговоров по подготовке и заключению коллективного договора

Что нужно знать о сборе персональных данных, чтобы не нарушить закон?

Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:

• компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
• объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
• форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки

С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения». Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется

Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (), специальных категорий персональных данных () и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.

По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы: 

Требования к содержанию согласия на распространение персональных данных

Роскомнадзор планирует запустить единую информационную систему для управления согласиями персональных данных, разрешенных для распространения. Пока этой системы нет, единственным возможным способом получения согласия является предоставление согласия непосредственно оператору.

Письменная форма согласия требуется в случаях, если распространяются персональные данные, для обработки которых требуется письменная форма.

Каждый оператор должен разработать свой бланк согласия или веб-форму, предусмотрев в нем обязательные сведения, которые утвердил Роскомнадзор. Единой формы нет, Роскомнадзор утвердил лишь требования к содержанию согласия

Вот краткий чек-лист содержания согласия:

1. Фамилия, имя, отчество субъекта.
2. Контакты субъекта: номер телефона, адрес электронной почты или почтовый адрес субъекта.
3. Наименование оператора персональных данных, ИНН, ОГРН и адрес, указанный в ЕГРЮЛ.
4. Сведения об информационных ресурсах, где будут распространятся персональные данные.
5. Цель или цели распространения персональных данных.
6. Категории и перечень персональных данных, распространение которых субъект разрешает.
7. Категории и перечень персональных данных, для распространение которых субъект устанавливает условия и запреты. Заполняется по желанию субъекта.
8. Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников. Заполняется по желанию субъекта.
9. Четко определенный срок действия согласия.

Подробнее о каждом пункте читайте ниже. Читайте обязательно, потому что если согласие будет получено с нарушением или будет указана не вся информация, то считайте, что согласия нет. А за обработку персональных данных без согласия — новые штрафы и блокировка сайта.

Что такое согласие на обработку персональных данных

Уже достаточно давно личная информация является собственностью человека. Любые действия с ней без согласия являются нарушением закона. Сегодня активную деятельность ведет Государственная служба, занимающаяся контролем сохранности информации. Если оператор специально или случайно разгласит полученные данные, ему грозит дисциплинарная или административная ответственность. В зависимости от обстоятельств, ответственность может быть и уголовной.

Такую информацию «просят» предоставить в различных учреждениях, с которыми людям приходится сталкиваться на протяжении своей жизни. Если человек не против использования своих данных в каких-то определенных целях, он дает разрешение в письменном виде.

Однако ставить свою подпись следует далеко не на каждом документе. Сначала необходимо тщательно ознакомиться с его текстом. Если с правильным анализом документов возникают сложности, рекомендуется обратиться за помощью к квалифицированному юристу. С его помощью вы определите, не превышает ли организация, требующая данные, свои полномочия. Также специалист подскажет, можно ли давать разрешение на использование запрашиваемых данных. К примеру, если у гражданина имеется судимость, а он хочет устроиться, например, продавцом, эту информацию он может не предоставлять. Данная информация указывается только в том случае, если на желаемую должность можно устроиться только при отсутствии судимости.

Для чего необходимо согласие на обработку данных

Закон о персональных данных с 1 июля 2017 года, ужесточивший наказание за их разглашение, устанавливает, что каждый работодатель является оператором по их обработке. Поэтому он должен осуществлять специальные мероприятия по их защите.

С этой целью он разрабатывает и использует Положение о защите персональных данных работников. Обязательным приложением к нему должно идти согласие работника на использование сведений о нем.

Этот документ составляется сразу же, как только осуществляется прием на работу сотрудника в компанию. Так как при трудоустройстве он в организацию предоставляет значительный объем информации о себе, который не должен подлежать разглашению.

Однако, работа компании предполагает взаимодействия с широким кругом лиц, с которыми отношения устанавливаются через сотрудников компании. Поэтому некоторую информацию фирме приходится разглашать, например, данные работника, указанные в доверенности и т.д..

Чтобы это она могла делать, ответственные работники должны при каждом подобном случае у соответствующих сотрудников брать согласие на разглашение. Причем в согласии обязательно указывается – какие именно данные подлежат передаче. Человек, работающий на предприятии, имеет право отменить свое согласие в любое время.

Очень часто зарплата сотрудников перечисляется на их карт-счета, которые открываются в банках. Для этого обязательно необходимо взять у персонала компании соответствующие согласия.

Внимание! В любом случае согласие у работника предприятия должно получаться в добровольном порядке, без принуждения человека к этому.

Вся информация, полученная компанией о работнике, может использоваться с его разрешения только в хозяйственных целях, а именно:

• Повышение образования работника;
• Для целей создания для работника безопасных условий работы;
• Для обеспечения учета и контроля результатов трудовой деятельности работника.

Администрация должна в обязательном порядке объяснить своему работнику каким образом она собирается применять предоставленную им информацию, как осуществляется хранение и защита личных данных сотрудников.

Также субъекты должны знать, что если запрос о предоставлении личных данных исходит от государственных органов по запросам, то в этом случае допускается их разглашение, и получать на это согласие работника не нужно.

Если работник откажется предоставить согласие на использование его личных данных, администрация сможет осуществить их обработку в рамках выполнения своих обязанностей по трудовому договору с работником (например, при осуществлении обязательного страхования и т. д.).

Внимание! Однако, существуют такие последствия отказа работника от передачи согласия, когда он не сможет выполнять своих трудовых обязанностей. Например, на предприятии существует контрольно-пропускной режим

Без согласия сотрудника на разглашение его данных, руководство не сможет оформить ему пропуск, а поэтому он не сможет ходить на работу.

Подробные требования к содержанию согласия

Согласие должно включать в себя следующую информацию:

1) Фамилия, имя, отчество (при наличии) субъекта персональных данных.

2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)

3) Сведения об операторе персональных данных

Если оператором является юридическое лицо, то указывается: наименование, ИНН, ОГРН, а также адрес, указанный в ЕГРЮЛ

Если оператором является физическое лицо, то указывается: фамилия, имя, отчество (при наличии), место жительства или место пребывания.

Если оператором является индивидуальный предприниматель, то указывается: фамилия, имя, отчество (при наличии), ИНН, ОГРНИП. Адрес указывать не надо, как это следует из приказа, что странно. Я рекомендую указывать и адрес ИП.

4) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных

5) Цель (цели) обработки персональных данных

Формулировки цели или целей обработки персональных данных должны соответствовать положениям законодательства Российской Федерации, устанавливающим функции, полномочия и обязанности оператора, и (или) документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных.

6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных

Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу:

• общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
• специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
• биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).

Указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку персональных данных, согласия на обработку персональных данных в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов

Указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных.

Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению персональных данных неограниченному или определенному кругу лиц соответственно.

Дополнительно в Согласии могут быть указаны условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.

8) Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников

9) Срок действия согласия

Должен быть отражен конкретный срок его действия: определенный период времени или дата окончания срока действия.

Не допускается указание на автоматическую пролонгацию срока действия Согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.

Для чего нужно давать согласие на обработку персональных данных детей

Зачастую разрешение обрабатывать данные, которые касаются детей, просят многие службы и организации:

• военкомат;
• медицинские учреждения;
• школьные и дошкольные заведения;
• охранные организации;
• санитарные службы;
• управления образования;
• различные структуры органов внутренних дел.

Практика показывает, данные о ребенке нужны практически в любой организации, в которую граждане обращаются за различными услугами. Если представитель ребенка откажет в предоставлении разрешения, могут возникнуть затруднения с оказанием определенных услуг.

Кто составляет

Разрешить использовать персональные данные о детях могут только законные представители. Это могут быть не только родители, но и опекуны. Грамотно составленное согласие имеет юридическую силу. Главное предназначение данного документа – это защитить ребенка от незаконных действий. При составлении разрешения обязательным пунктом является цель сбора и использования данных. Оператор, обрабатывающий информацию, должен применять ее строго в тех целях, которые были указаны в согласии.