Обязательно ли согласие на обработку персональных данных работника

Персональные данные: ответы на популярные вопросы


Партнер юридической компании «Гареев, Махно и Касьян» 08 Мая 2020 Кто и как может получить доступ к персональным данным, в каких случаях не нужно разрешение на их использование и передачу, могут ли не продать товар или не оказать услугу при отказе дать согласие на обработку данных, какие данные собирают владельцы сайтов и как отказаться от рекламной рассылки? Персональные данные (ПД) – это любая информация о человеке.

ПД бывают трех видов: общие, специальные и биометрические. 1. Общие ПД Это Ф.И.О., паспортные данные, СНИЛС, ИНН, дата и место рождения, e-mail, адрес, семейное, социальное и имущественное положение, место учебы и работы, образование, профессия, доходы и т.д. С номером телефона сложнее. Сам по себе номер как набор цифр – это не ПД, поскольку он не может персонифицировать субъекта данных, он обезличен.

Но ситуация меняется, когда помимо номера есть информация о человеке.

В этом случае он может быть признан ПД. То есть записанный номер телефона без указания на человека, которому он принадлежит, не относится к персональным данным.

Но если, например, на сайте вы нашли номер телефона и Ф.И.О.

его владельца, он будет считаться ПД.

Не являются персональными данными: госномер транспортного средства, так как он относится не к человеку, а к автомобилю; лицевой счет ЖКХ, поскольку он относится к квартире. Перечисленные выше ПД могут обрабатываться только с вашего согласия и лишь в некоторых случаях без него (об этом ниже).

2. Специальные ПД Это данные о расовой и национальной принадлежности, политических, религиозных и философских убеждениях, состоянии здоровья, интимной жизни и т.д.

Обработка таких ПД не допускается, за исключением следующих случаев:

  1. вы дали письменное согласие на обработку, т.е. подписали документ, в котором выразили свое согласие;
  2. обработка в целях страхования;
  3. обработка в целях оказания медицинской помощи; при этом вам не могут отказать в медпомощи, если вы отказываетесь подписать согласие на обработку специальных ПД;
  4. обработка ПД госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности, а также иные исключения, предусмотренные ч. 2 ст. 10 Закона о персональных данных.

3. Биометрические ПД Это данные о физиологических и биологических особенностях человека, которые позволяют установить его личность.

К биометрическим ПД относятся: ДНК, голос, радужная оболочка глаза, отпечатки пальцев, изображение лица, рост, вес и т.д.

Такие ПД могут обрабатываться только с письменного согласия, за исключением случаев, когда обработка осуществляется госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности; а также в иных случаях, предусмотренных ч. 2 ст. 11 Закона о персональных данных.

Например, следуя в свой офис, вы проходите пункт охраны.

Там вас просят приложить к сканеру палец, что позволяет службе охраны на компьютере видеть ваши ПД на основании взятого отпечатка. Так они могут установить вашу личность.

Для использования отпечатка пальца охранная организация должна взять у вас письменное согласие на обработку биометрических ПД.

Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Примеры:

  1. работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
  2. работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
  3. продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
  4. покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.

Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.

Оператор ПД – любой человек, ИП, компания, органы и учреждения государственной и муниципальной власти, которые осуществляют действия с ПД. Примеры:

  1. госорганы, обрабатывающие ПД граждан при предоставлении государственных услуг;
  2. владельцы сайтов, собирающие ПД пользователей сайта.
  3. продавец, обрабатывающий ПД клиентов-граждан;
  4. работодатель, обрабатывающий ПД своих работников;

Главное условие – наличие вашего согласия.

При этом в ст. 6 Закона о персональных данных предусмотрены случаи, когда оператор может обрабатывать ПД при отсутствии согласия:

  1. обработка ПД, подлежащих опубликованию или обязательному раскрытию; например, чиновник раскрывает и публикует данные о своих доходах.
  2. в целях, предусмотренных законами РФ, когда на оператора возложены определенные обязанности; например, работодатель обязан передать ПД в налоговые органы;
  3. в целях получения госуслуг – в таких случаях мы всегда подписываем согласие на обработку ПД. В недавнем определении Верховный Суд РФ подтвердил, что отказ лица от подписания согласия не может являться основанием для отказа в предоставлении услуги органом власти1;
  4. обработка общедоступных ПД. Например, вы опубликовали свои данные на сайте по поиску работы – они будут являться общедоступными, поскольку работодатели могут свободно просматривать и обрабатывать их для изучения вашей кандидатуры;
  5. для осуществления профессиональной деятельности журналиста или СМИ либо научной, литературной или иной творческой деятельности, если при этом не нарушаются ваши права и законные интересы; например, у вас взяли интервью и опубликовали его, указав ваши Ф.И.О. и должность;
  6. в связи с вашим участием в суде; например, при подаче документов в суд вы должны указать свои Ф.И.О. и адрес;
  7. для исполнения договора, в котором вы являетесь стороной, выгодоприобретателем (например, в вашу пользу застраховано имущество) или поручителем.
  8. для защиты вашей жизни, здоровья или иных жизненно важных интересов, если получение от вас согласия невозможно; например, друг сообщает врачам ваши ПД, поскольку вы находитесь в бессознательном состоянии;
  9. в целях, предусмотренных международным договором России, например договором, позволяющим выдавать преступников другой стране (экстрадиция);
  10. в статистических или иных исследовательских целях – при условии обязательного обезличивания ПД. При этом собранные данные не могут быть использованы в рекламных и агитационных целях. Например, вы прошли опрос, а позже ответы были опубликованы без указания ваших ПД – сторонний читатель не сможет узнать, что ответы на вопросы дали именно вы;
  11. для исполнения судебного акт; например, суд по результатам рассмотрения дела выдает исполнительный документ, в котором указываются Ф.И.О., адрес, ИНН и иные данные должника;
  12. для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей – при условии, что тем самым не нарушаются ваши права и свободы. Обычно данное исключение используется для оправдания пропускного режима на территории здания, в виде цели при этом указывают обеспечение безопасности;

Согласие на обработку ПД – это добровольно принятое вами решение о предоставлении своих данных оператору для обработки в тех целях, которые им определены. Согласие на обработку ПД должно быть оформлено:

  1. в остальных случаях закон допускает оформление согласия в любой иной форме, позволяющей подтвердить факт его получения оператором, например проставление галочки напротив текста о предоставлении согласия на сайте при регистрации (☑).
  2. письменно, если того требует закон (см. выше);

Пункты, которые обязательно должно содержать письменное согласие:

  1. способ отзыва согласия;
  2. информация о лице, которое будет обрабатывать ваши ПД по поручению оператора. Например, работодатель передает ваши данные сторонней организации, которая оказывает бухгалтерские или кадровые услуги, – для этого вы должны предоставить свое согласие;
  3. подпись.
  4. перечень действий, которые будет осуществлять оператор, т.е.

    что конкретно он может делать с ПД: собирать и хранить или собирать, хранить и передавать и т.д.;

  5. срок, на который выдано согласие;
  6. Ф.И.О., адрес, реквизиты паспорта или иного документа, удостоверяющего личность;
  7. перечень ПД, которые будет обрабатывать оператор;
  8. название организации или Ф.И.О. и адрес оператора;
  9. цель обработки ПД – вы должны понимать, для чего вы даете согласие на обработку данных; если оператор станет обрабатывать ПД в иных целях, это будет считаться нарушением закона;

Можно.

Предоставление согласия – дело добровольное. Исключением являются те случаи, когда оператор может обрабатывать ПД без вашего согласия (см. выше). На практике отказывают довольно часто.

Насколько это законно? Рассмотрим конкретные ситуации.

  1. Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.
  2. в территориальный орган Федеральной антимонопольной службы с жалобой на действия предпринимателя, осуществляющего рассылку рекламных материалов без вашего согласия на их получение;
  3. в территориальный орган Роскомнадзора с жалобой на действия оператора;
  4. считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
  5. оператор не понимает или не знает о случаях, в которых не требуется получение согласия;
  6. не являются необходимыми для заявленной цели обработки. Например: продавец обрабатывает ваши паспортные данные, хотя получал ПД для направления рекламных материалов, для чего ему достаточно знать ваши имя и e-mail или номер телефона.
  7. блокировать ПД – временно прекратить обработку данных. Например: вы обратились к оператору с требованием уточнить ПД и, пока вносятся изменения, заблокировать их, чтобы приостановить обработку неточных данных;
  8. Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
  9. устаревшие, например если вы поменяли паспорт;
  10. осуществляет обработку ваших ПД с нарушением требований закона, например обрабатывает биометрические данные без письменного согласия;
  11. если ваши ПД обрабатываются оператором на основании договора, то укажите дату его заключения и номер;
  12. получены незаконно;
  13. оператор хочет получить возможность обрабатывать ПД в целях, не связанных с выполнением договора; самый распространенный случай – нужно согласие на рассылку рекламных материалов;
  14. паспортные данные;
  15. работодатель вправе передавать ваши ПД в ФСС, ПФР, налоговые органы, по запросу в суд, прокуратуру, правоохранительные органы и т.д.
  16. сроки обработки и хранения ПД;
  17. неточные, например ваша фамилия указана с ошибкой;
  18. о трансграничной передаче ПД – информация о том, передаются ли ваши ПД за границу;
  19. на получение рекламных материалов, т.е. вы должны разрешить ему высылать их;
  20. принятия условий публичной оферты, опубликованной на сайте; обычно оплата товара означает согласие с условиями.
  21. на обработку ПД в целях продвижения товаров, работ или услуг, т.е. вы должны разрешить ему обрабатывать ваши данные (Ф.И.О., номер телефона, e-mail) для получения рекламной рассылки.
  22. проставления галочки в специальном окне («Я даю свое согласите на обработку персональных данных» ☑);
  23. способы обработки ваших ПД – возможны два способа: автоматизированный – обработка с помощью средств вычислительной техники; без использования средств автоматизации – обработку осуществляет человек;
  24. в суд.
  25. сведения о лице, осуществляющем обработку ваших ПД вместо оператора, – например, сторонняя организация вместо работодателя обрабатывает ПД работников для предоставления кадровых и бухгалтерских услуг;
  26. перечень обрабатываемых ПД и источник их получения – оператор должен указать, какие именно ваши данные он обрабатывает и как их получил;
  27. наименование и место нахождения оператора; сведения о лицах (за исключением работников оператора), которые имеют доступ к ПД или которым эти данные могут быть раскрыты на основании договора с оператором или на основании федерального закона – здесь речь идет об органах госвласти, которым оператор передает ваши ПД, а также об иных третьих лицах, которым оператор передает ваши ПД на основании договора;
  28. иным образом нарушает ваши права, например игнорирует ваши требования об уничтожении ПД, отзыве согласия, отказе от обработки ПД в целях продвижения товаров, работ или услуг и т.д.
  29. считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.
  30. порядок осуществления вами прав, предусмотренных Законом о персональных данных, – информация о том, каким образом вы можете реализовать свои права у данного оператора;
  31. подтверждение факта обработки ваших ПД оператором – он должен подтвердить или опровергнуть информацию об этом;
  32. Вас могут не пустить в здание, особенно если это режимный объект. Если на территории организации установлен особый пропускной режим, то отказ в пропуске может считаться законным, в том числе если вы не желаете дать согласие на обработку ПД. Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:
    • считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
    • считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.

    Однако оба довода являются спорными.

    Причин может быть несколько:

    • оператор хочет получить возможность обрабатывать ПД в целях, не связанных с выполнением договора; самый распространенный случай – нужно согласие на рассылку рекламных материалов;
    • оператор не понимает или не знает о случаях, в которых не требуется получение согласия;
    • оператор хочет перестраховаться.

    Оператор может передавать ПД третьим лицам только с вашего согласия, если иное не предусмотрено законом. Примеры, когда согласие нужно: работодатель передает ваши ПД сторонней организации для бронирования отелей, покупки авиабилетов или оформления пропуска. Примеры, когда согласие не нужно:

    • управляющая организация или правление товарищества собственников жилья вправе предоставить ваши ПД (Ф.И.О., номер квартиры, сведения о размере доли) организатору созыва общего собрания собственников жилья;
    • работодатель вправе передавать ваши ПД в ФСС, ПФР, налоговые органы, по запросу в суд, прокуратуру, правоохранительные органы и т.д.

    Предоставление такого согласия является добровольным.

    Оператор не может принуждать вас это сделать. (Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? О том, как действовать в такой ситуации, читайте в статье .) ПД, которые могут быть собраны оператором через сайт, условно можно разделить на две группы.

    1. ПД, которые вы передаете сами, заполняя формы обратной связи на сайте: Ф.И.О., адрес, номер телефона, e-mail.

    В этом случае объем переданных ПД вы можете определить сами. Согласие на обработку таких данных обычно можно предоставить путем:

    • проставления галочки в специальном окне («Я даю свое согласите на обработку персональных данных» ☑);
    • принятия условий публичной оферты, опубликованной на сайте; обычно оплата товара означает согласие с условиями.

    2. ПД, которые оператор собирает без предоставления вами информации.

    В основном это файлы куки (cookie) – небольшие текстовые файлы со служебной информацией с сайта (сведения о программном обеспечении, которым вы пользуетесь, IP вашего компьютера, информация о вашем браузере). Ваше согласие на обработку этих ПД оператор получает, если вы остаетесь на сайте после того, как появилось всплывающее окно с информацией примерно следующего содержания: «Продолжая использовать настоящий сайт, вы даете согласие на обработку файлов cookie в целях функционирования сайта.
    Ваше согласие на обработку этих ПД оператор получает, если вы остаетесь на сайте после того, как появилось всплывающее окно с информацией примерно следующего содержания: «Продолжая использовать настоящий сайт, вы даете согласие на обработку файлов cookie в целях функционирования сайта. Если вы против обработки ваших данных, незамедлительно покиньте сайт».

    Владелец сайта вправе обрабатывать ваши ПД только в тех целях, которые были указаны при получении вашего согласия, чаще это направление вам рекламных материалов. Файлы куки обычно используются для сбора статистики и информации о ваших предпочтениях.

    Прежде чем направить вам рекламные материалы, оператор обязан взять у вас согласие:

    • на получение рекламных материалов, т.е. вы должны разрешить ему высылать их;
    • на обработку ПД в целях продвижения товаров, работ или услуг, т.е. вы должны разрешить ему обрабатывать ваши данные (Ф.И.О., номер телефона, e-mail) для получения рекламной рассылки.

    Обычно мы не замечаем, как даем эти согласия. Например, в магазине вы заполняете анкету для получения бонусной карты, что влечет согласие на рекламную рассылку; на сайте при заполнении формы обратной связи или при оформлении заказа вы ставите галочку напротив текста, который выражает ваше согласие (☑).

    Если вы не хотите сталкиваться со спамом, рекомендую внимательно следить за тем, что вы подписываете или оформляете на сайте. (Подробнее об этом в статье .) Обычно в конце рекламного сообщения есть активная ссылка, которая позволяет отказаться от рассылки. Если это не помогло, вы должны обратиться к оператору, от которого получаете рекламу, с требованием прекратить обработку ПД в целях продвижения товаров, работ или услуг.

    Вы можете обратиться к нему лично, придя в офис, направить по почте письменное требование или через e-mail отправить электронный документ, подписанный усиленной квалифицированной подписью.

    При оформлении отказа рекомендую указать свои контактные данные и четко сформулировать свое требование (отказ от получения рекламных материалов и от обработки ПД в целях продвижения товаров, работ, услуг). Тут же следует сослаться на ч. 2 ст. 15 Закона о персональных данных, в которой сказано, что по требования субъекта ПД оператор обязан немедленно прекратить обработку его данных.

    Лучше направить письменное требование обычной почтой (ценным письмом с описью вложения). Почтовая квитанция и опись будут являться подтверждением факта обращения к оператору.

    Получив такое требование, он обязан будет прекратить обработку ПД.

    Если вам направляют рекламу, несмотря на отказ от нее, вы можете обратиться:

    • в территориальный орган Роскомнадзора с жалобой на действия оператора;
    • в территориальный орган Федеральной антимонопольной службы с жалобой на действия предпринимателя, осуществляющего рассылку рекламных материалов без вашего согласия на их получение;
    • в суд.

    1.

    Право на получение у оператора информации, касающейся обработки ваших ПД. Вы можете обратиться к оператору с требованием о предоставлении следующей информации:

    • подтверждение факта обработки ваших ПД оператором – он должен подтвердить или опровергнуть информацию об этом;
    • правовые основания и цели обработки ваших ПД – если вы дали свое согласие на обработку, то оператор должен сослаться на него. Если он вправе осуществлять обработку без вашего согласия, то должен сослаться на конкретное положение закона. Также оператор должен перечислить цели, для которых осуществляется обработка ПД;
    • способы обработки ваших ПД – возможны два способа: автоматизированный – обработка с помощью средств вычислительной техники; без использования средств автоматизации – обработку осуществляет человек;
    • наименование и место нахождения оператора; сведения о лицах (за исключением работников оператора), которые имеют доступ к ПД или которым эти данные могут быть раскрыты на основании договора с оператором или на основании федерального закона – здесь речь идет об органах госвласти, которым оператор передает ваши ПД, а также об иных третьих лицах, которым оператор передает ваши ПД на основании договора;
    • перечень обрабатываемых ПД и источник их получения – оператор должен указать, какие именно ваши данные он обрабатывает и как их получил;
    • сроки обработки и хранения ПД;
    • порядок осуществления вами прав, предусмотренных Законом о персональных данных, – информация о том, каким образом вы можете реализовать свои права у данного оператора;
    • о трансграничной передаче ПД – информация о том, передаются ли ваши ПД за границу;
    • сведения о лице, осуществляющем обработку ваших ПД вместо оператора, – например, сторонняя организация вместо работодателя обрабатывает ПД работников для предоставления кадровых и бухгалтерских услуг;
    • иные сведения, предусмотренные законодательством.

    Право на получение такой информации не распространяется на случаи обработки ПД в целях обороны страны, безопасности государства, охраны правопорядка, в рамках законодательства о противодействии отмыванию доходов, полученных преступным путем, и т.д.

    Как получить от оператора необходимую информацию? Вы вправе обратиться к оператору лично, придя в офис.

    Можно направить запрос по почте в виде письменного документа или на e-mail в виде электронного документа, подписанного усиленной квалифицированной электронной подписью.

    Самый надежный способ обращения – направление по обычной почте ценного письма с описью вложения. Оставьте у себя почтовые квитанции и опись – так вы сможете подтвердить факт направления запроса оператору. В запросе обязательно нужно указать:

    • паспортные данные;
    • если ваши ПД обрабатываются оператором на основании договора, то укажите дату его заключения и номер;
    • если вы не заключали договор с оператором, укажите иные сведения, подтверждающие ваши взаимоотношения с ним; например, если вы купили товар на сайте оператора, можете сослаться на адрес сайта, номер вашего заказа и т.д.;
    • иные сведения, подтверждающие факт обработки ваших ПД оператором; например, ссылка на электронное письмо с рекламными материалами;
    • ваша подпись.

    При личном обращении информация об обработке ПД должна быть предоставлена вам незамедлительно.

    Если запрос был направлен по почте, то ответ должен поступить в течение 30 дней с даты получения оператором запроса.

    Повторно обратиться к оператору вы можете не ранее чем через 30 дней после первоначального обращения.

    Отправить второй запрос, не дожидаясь истечения 30-дневного срока, вы можете, только если оператор предоставил не всю информация, которую вы требовали. Но вы должны будете обосновать свое обращение.

    В случае несоблюдения этих условий оператор вправе отказать в выполнении повторного запроса. 2. Право на предъявление иных требований к оператору, обрабатывающему ваши ПД.

    Вы можете требовать от оператора:

    • уточнить ваши ПД;
    • блокировать ПД – временно прекратить обработку данных. Например: вы обратились к оператору с требованием уточнить ПД и, пока вносятся изменения, заблокировать их, чтобы приостановить обработку неточных данных;
    • уничтожить ПД. Например: вы просите оператора уничтожить паспортные данные, которые не нужны ему для направления вам рекламных материалов.

    Такие требования можно предъявить, если ПД, которые обрабатывает оператор:

    • неполные, например вместо Ф.И.О.

      указана только фамилия;

    • устаревшие, например если вы поменяли паспорт;
    • неточные, например ваша фамилия указана с ошибкой;
    • получены незаконно;
    • не являются необходимыми для заявленной цели обработки. Например: продавец обрабатывает ваши паспортные данные, хотя получал ПД для направления рекламных материалов, для чего ему достаточно знать ваши имя и e-mail или номер телефона.

    Как обратиться к оператору с одним из требований? Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см.

    выше пункт 1). При оформлении обращения рекомендую указать свои контактные данные и четко сформулировать свое требование (об уточнении, блокировании или уничтожении ПД). Тут же нужно сослаться на ч. 1 ст.

    14 и ч. 3 ст. 20 Закона о персональных данных. Отказать в выполнении требования оператор не может. Он обязан сделать это в течение 7 дней и уведомить об этом вас и тех, кому были переданы ваши ПД.

    Если оператор не выполнил ваши требования, имеет смысл обратиться в контролирующий орган – Роскомнадзор.

    3. Право на отзыв согласия на обработку ПД. После отзыва согласия оператор не может обрабатывать ваши ПД, за исключением случаев, когда обработка может быть продолжена по закону. Например: вы заключили с оператором договор оказания услуг и подписали согласие.

    После его отзыва оператор вправе продолжить обработку ваших ПД только в том объеме, который необходим для оказания вам услуг по договору.

    Как отозвать согласие на обработку персональных данных? Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см. выше пункт 1). При оформлении отзыва рекомендую указать свои контактные данные и четко сформулировать свое требование (отзыв ранее выданного согласия на обработку ПД).

    Сослаться нужно будет на ч. 2 ст. 9 и ч. 5 ст. 21 Закона о персональных данных.

    Оператор не может вам отказать и должен будет прекратить обработку ПД в течение 30 дней с даты поступления отзыва. 4. Право принимать предусмотренные законом меры по защите своих прав.

    Если вы считаете, что оператор:

    • осуществляет обработку ваших ПД с нарушением требований закона, например обрабатывает биометрические данные без письменного согласия;
    • иным образом нарушает ваши права, например игнорирует ваши требования об уничтожении ПД, отзыве согласия, отказе от обработки ПД в целях продвижения товаров, работ или услуг и т.д.

    В таких случаях вы можете обратиться:

    • в территориальный орган Роскомнадзора с жалобой на действия или бездействие оператора;
    • в суд с требованием о восстановлении нарушенных прав, а также с требованием о взыскании убытков (причиненный вам имущественный вред) и компенсации морального вреда (причиненные нравственные страдания).

    Вы можете обратиться за защитой своих прав в любой из этих органов. Однако наиболее быстрый и надежный способ – направление жалобы в территориальный орган Роскомнадзора.

    Это позволит сэкономить время и силы. При обращении в суд дело может рассматриваться очень долго, нужно будет посетить не одно судебное заседание, представить доказательства и т.д. 1 Кассационное определение Судебной коллегии по административным делам Верховного Суда РФ от 22 января 2020 г. № 5-КА19-56. Покупателям недвижимости и владельцам индивидуальных инвестиционных счетов не придется направлять в налоговые органы декларации и подтверждающие документы для получения вычетов.

    № 5-КА19-56. Покупателям недвижимости и владельцам индивидуальных инвестиционных счетов не придется направлять в налоговые органы декларации и подтверждающие документы для получения вычетов. Остается позаботиться о том, чтобы в их предоставлении не отказали Понятная схема поможет определить размер материнского капитала, если у вас несколько детей Правительство РФ расширило полномочия Фонда защиты прав дольщиков по завершению строительства проблемных домов и выплате возмещения обманутым гражданам С 1 марта 2022 г.

    компании и ИП обязаны соблюдать новые правила сбора и размещения персональных данных в открытом доступе. Нововведения способны ощутимо усложнить жизнь предпринимателей При передаче данных сотрудников в пределах компании или третьим лицам необходимо соблюдать требования Трудового кодекса и Закона о персональных данных, иначе компания может понести финансовые потери За ошибки при обработке персональных данных в рекламных целях организациям и ИП придется уплачивать штрафы Выбираем стратегии выполнения требований закона к обработке персональных данных и оцениваем риски их применения Своевременное принятие эффективных мер при нарушении конфиденциальности данных клиентов компании позволит снизить их отток и уменьшить размеры возмещаемого ущерба и санкций Какие потери могут понести предприниматели из-за несоблюдения требований Регламента о защите персональных данных и как этого избежать?

    © 2022 Оксана Оноприенко, редактор раздела «АГ-эксперт»

  33. ваша подпись.
  34. уничтожить ПД. Например: вы просите оператора уничтожить паспортные данные, которые не нужны ему для направления вам рекламных материалов.
  35. иные сведения, предусмотренные законодательством.
  36. в территориальный орган Роскомнадзора с жалобой на действия или бездействие оператора;
  37. уточнить ваши ПД;
  38. в суд с требованием о восстановлении нарушенных прав, а также с требованием о взыскании убытков (причиненный вам имущественный вред) и компенсации морального вреда (причиненные нравственные страдания).
  39. если вы не заключали договор с оператором, укажите иные сведения, подтверждающие ваши взаимоотношения с ним; например, если вы купили товар на сайте оператора, можете сослаться на адрес сайта, номер вашего заказа и т.д.;
  40. управляющая организация или правление товарищества собственников жилья вправе предоставить ваши ПД (Ф.И.О., номер квартиры, сведения о размере доли) организатору созыва общего собрания собственников жилья;
  41. неполные, например вместо Ф.И.О. указана только фамилия;
  42. правовые основания и цели обработки ваших ПД – если вы дали свое согласие на обработку, то оператор должен сослаться на него.

    Если он вправе осуществлять обработку без вашего согласия, то должен сослаться на конкретное положение закона. Также оператор должен перечислить цели, для которых осуществляется обработка ПД;

  43. оператор хочет перестраховаться.
  44. иные сведения, подтверждающие факт обработки ваших ПД оператором; например, ссылка на электронное письмо с рекламными материалами;

Как ужесточились требования к работе с персональными данными в 2022 году

П Пользователь Добрый день. Скажите, пожалуйста, а что следует после подачи уведомления об обработке персональных данных в Роскомнадзор, как орган будет проверять, что требования выполняются?

И нужно ли будет сдавать какие-либо отчеты? 0 Ответить Яна Аржанова, главный редактор Здравствуйте!

Про виды проверок можно почитать здесь: Отчеты не требуются. 0 Ответить SV Stas Volchkov Подскажите, пожалуйста, на каком основании «галочка» под веб-формой согласия на обработку персональных данных является электронной подписью? В соответствии с ФЗ-152

«Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.»

Спасибо.

0 Ответить ЯА Яна Аржанова Добрый день! По этому вопросу даются пояснения на сайте Роскомнадзора: «Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме» .

1 Ответить Д Данил , почему же у вас на сайте, на странице «Запросить цену» галочки нет? 1 Ответить ЭГ Эльдар Гайнутдинов В ч.

2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ говорится о праве осуществлять обработку ПДн без уведомления Роскомнадзора в определенных ситуациях, а о том, что операторы не должны обеспечивать конфиденциальность персональных данных, нет ни слова. 1 Ответить ДС Дмитрий Сухоруков Есть ли штраф за неуведомление Роскомнадзора, при том что остальные требования соблюдены?

0 Ответить Яна Аржанова, главный редактор В ст.

22 № 152-ФЗ содержится ряд исключений, при которых уведомлять Роскомнадзор не нужно. Если к вам они не относятся, то подавать уведомление нужно, иначе есть вероятность того, что Роскомнадзор сам пришлет вам письмо-напоминание: Ответственность предусмотрена ст. 19.7 КоАП РФ «Непредставление сведений (информации)»: Непредставление или несвоевременное представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), муниципальный контроль, сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), муниципальный контроль, таких сведений (информации) в неполном объеме или в искаженном виде, <.> влечет: предупреждение или наложение административного штрафа на граждан в размере от 100 до 300 рублей; на должностных лиц — от 300 до 500 рублей; на юридических лиц — от 3000 до 5000 рублей.

0 Ответить П Павел Согласно требованиям ч.5 ст.

2.1 54-ФЗ в случае расчетов в безналичном порядке в сети «Интернет» и невозможности прямого взаимодействия с клиентом, исполнитель (продавец) обязан обеспечить передачу клиенту кассового чека в электронной форме на абонентский номер либо адрес электронной почты.

Может ли исполнитель согласно п.2 и п.6 ч.1 ст. 6 152-ФЗ не получать согласие на обработку ПД, а именно абонентский номер и/или адрес электронной почты, для исполнения этих требований?

0 Ответить Яна Аржанова, главный редактор , добрый день.

Не совсем понятно, как вы будете передавать клиенту кассовый чек в электронной форме, если не собираетесь запрашивать у него номер телефона или адрес электронной почты.

Обычно клиент передает вам эти данные в момент регистрации на сайте и при создании личного кабинета.

В этом случае согласие на обработку ПД становится одним из этапов регистрации, то есть клиенту нужно обязательно поставить галочку о том, что он согласен на обработку ПД, чтобы завершить регистрацию.

0 Ответить П Павел , добрый день!

У нас на сайте отсутствует личный кабинет и в принципе какой-либо сбор данных. В этом собственно и вопрос: как запрашивать у него эти данные? 80% наших клиентов оплачивает услуги через мобильный банк (именно совершает оплату по QR на квитанции). Банк в реестре ПД не передаёт, только лицевой счёт и сумму оплаты.
Банк в реестре ПД не передаёт, только лицевой счёт и сумму оплаты.

0 Ответить Яна Аржанова, главный редактор , добрый день! Вы можете описать подробнее схему взаимодействия с клиентами? Как они заказывают у вас товар?

Как вы передаете им квитанции с QR-кодом? 0 Ответить П Павел , спасибо за обратную связь. Мы оказываем услуги по ежемесячному техническому обслуживанию оборудования физических лиц.

Практически в 100% случаев договора на обслуживание заключались ещё до вступления в силу 54-ФЗ, поэтому в договоре такие поля как номер мобильного телефона и адрес электронной почты были необязательными к заполнению. Квитанции передаём через почтовые ящики. Далее, как я уже описывал, клиенты оплачивают удобным им способом.

0 Ответить Яна Аржанова, главный редактор , поскольку в данном случае вопрос об обработке персональных данных связан с выдачей чеков, то пришлось привлечь эксперта Контура по ККТ Оксану Кобзеву. Давайте по порядку, чтобы было понятно.

Обработка ПД возможна с согласия субъекта ПД. Но, согласно , обработка ПД, необходимая для достижения целей, предусмотренных международным договором РФ или законом, для выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей допускается без согласия субъекта ПД.Согласие на обработку данных, разрешенных субъектом для распространения, оформляется отдельно от иных согласий на обработку данных, разрешенных субъектом для распространения ( ).Если клиент предоставил продавцу (пользователю ККТ) до момента расчета номер телефона или адрес электронной почты, продавец обязан отправить ему чек или БСО в электронной форме на один из указанных контактов, но при наличии технической возможности для этого. Об этом говорится в . Какой следует из этого вывод: Отправляя электронные чеки или БСО на электронную почту или номера телефонов, вы тем самым выполняете требования .

В таком случае согласие на обработку ПД не требуется, но при последующем использовании ПД или их использовании в целях, не связанных с исполнением договора, вам нужно будет получить согласие.

В есть отдельные положения для ситуаций, когда у поставщика услуг или продавца нет телефона или электронной почты клиента.

Это как раз ситуации, когда услуга оплачивается через кассира банка на расчетный счет продавца или, например, по QR-коду, сюда же можно отнести «магазины на диване», когда в лучшем случае у продавца есть почтовый адрес. Для таких ситуаций пользователь ККТ формирует чек до конца следующего рабочего дня после поступления оплаты на расчетный счет, чек уходит в этот момент в ФНС, а вот клиенту бумажный чек можно передать либо при первом контакте – это для услуг, либо вложить в посылку с товаром – это при оплате товаров.

Может так случиться, что контакта и не будет, главное – чек сформировать и передать в ФНС, а уж отправка клиенту в таких ситуациях – дело случая, особенно при услугах. 0 Ответить П Павел , огромное спасибо!

0 Ответить Л Леонид У нас турагентсво. При заключении договора, берем отдельное согласие на обработку ПД (в т.ч. трансграничную). Но в договоре помимо заказчика есть еще и туристы которые в офис не приходят, но сведения о них собираются и передаются.

Как быть в этом случае? 0 Ответить Яна Аржанова, главный редактор , если я правильно понимаю, то в вашем случае турагент передает вам, туроператору, данные туристов. И получается, что туристы передают свои данные через турагента третьему лицу, то есть туроператору.

Я вам советую ознакомиться с , которую составил Роскомнадзор. 0 Ответить Н Николай Добрый день, я работаю в ФКУКиИ «Культурный центр МВД России» как вольно наёмный сотрудник и меня ОБЯЗЫВАЮТ подписать согласие на обработку персональных данных субъектов персональных для нужд бухгалтерии.

Отказ от подписания грозил мне не выплату заработной платы.

Прочитав ФЗ № 152 от 27.07.2006 г. не нашёл п. в котором прописано, что я обязан подписывать согласие о ПД являясь вольно наёмный сотрудник, подскажите пожалуйста на какой закон и п. в нём я могу сослаться, что бы отказать от подписания согласия на обработку ПД без последствия не выплаты заработной платы или всё-таки какой-то закон обязывает меня подписать согласие на обработку ПД работая в ФКУКиИ «Культурный центр МВД России» как вольно наёмный сотрудник?

0 Ответить Яна Аржанова, главный редактор , добрый день. Согласно ст. 5 Закона № 152-ФЗ «обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.

Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных». В данном случае, как следует из описания ситуации, бухгалтерии нужны ваши персональные данные для выплаты зарплаты.

В противном случае вам просто не смогут выплатить деньги.

0 Ответить НЧ Наталья Чебаница Подскажите, не могу понять, если клиент просит отправить электронный чек на почту или телефон, нужно получать согласие на обработку ПД? 0 Ответить Яна Аржанова, главный редактор , добрый день. Согласие на обработку персональных данных вы получаете от клиента в тот момент, когда он создает личный кабинет в интернет-магазине, чтобы купить товар.
Согласие на обработку персональных данных вы получаете от клиента в тот момент, когда он создает личный кабинет в интернет-магазине, чтобы купить товар.

Обычно в форме для внесения данных есть пункт «Политика обработки персональных данных», напротив которого клиенту предлагается поставить галочку. 0 Ответить П Павел , а если речь не об интернет-магазине?

0 Ответить Яна Аржанова, главный редактор , если покупатель перед оплатой просит, помимо бумажного чека, прислать электронный, то, согласно п.

2 ст. 1.2 Закона № 54-ФЗ, кассир обязан это сделать. При этом отправка по номеру телефона — обязанность.

А на электронную почту чеки отправляют, если ККТ технически поддерживает такую опцию. Я не видела официальных разъяснений по вопросу о том, нужно ли получать согласие на обработку ПД в том случае, когда в момент офлайн-покупки клиент просит ему прислать электронный чек. Но можно рассуждать логически.

Если клиент просит это сделать, то кассир по закону обязан выполнить его просьбу.

В то же время, согласно Закону о персональных данных (ст. 6 Закона 152-ФЗ), один из принципов обработки ПД — это обработка, необходимая для достижения законных целей для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

В данном случае кассир как раз и выполняет ту обязанность, которую на него возлагает Закон о ККТ. И еще важная деталь: закон не обязывает кассира проверять, действительно ли названный имейл или номер телефона принадлежит конкретному покупателю.

Условно: покупатель-мужчина может назвать вам имейл своей жены, но вы знать об этом не можете.

0 Ответить ЕГ Елена Гейко Добрый день.

Простому человеку, не знакомому с бюрократическим языком, будет не понятны эти пространные формулировки.

Честно говоря это похоже на то, как если бы человек чихнул и отправил об этом отчетность в гос.орган. 1 Ответить Яна Аржанова, главный редактор , все законодательство написано таким языком.

Надо разбираться, чтобы избежать штрафов.

Особенно простым людям, которые имеют непосредственное отношение к исполнению требований закона. 0 Ответить П Пользователь Добрый день! если при оформлении трудового договора работник подписал согласие на обработку персональных данных, нужно ли сейчас в связи с новыми изменениями еще что то подписывать с ним?

2 Ответить Яна Аржанова, главный редактор , нет, последние изменения больше относятся к бизнесу, который планирует использовать эти данные в маркетинговых целях (например, банк передает ваши данные третьему лицу — партнеру, чтобы тот рассылал свои сообщения). Плюс еще изменения связаны с увеличением штрафов. Вообще по работе с ПД сотрудников (и даже кандидатов на этапе сбора резюме) у нас есть отдельная статья .

0 Ответить П Пользователь , спасибо за ответ) 0 Ответить Ю Юлия Доброе утро. Тоже интересует вопрос, если у нас есть Положение о ПД, согласия всех работников на обработку ПД, приказы по организации о назначении ответственных лиц, нужно ли сейчас что то еще дополнительно — согласия на распространение.

Также у нас нет Политики обработки ПД. И Роскомнадзор мы не уведомляли.

0 Ответить Яна Аржанова, главный редактор , я думаю, что на свои вопросы вы найдете ответы в отдельной статье . 0 Ответить Ю Юлия Про уведомление сама прочитала в законе). А вот нужно ли регистрироваться в информационной системе Роскомнадзора, если у нашей организации только трудовые отношения с работниками 0 Ответить Яна Аржанова, главный редактор , нет не нужно.

содержит ряд исключений, когда уведомление не требуется.

Регистрация в информационной системе Роскомнадзора, соответственно тоже не нужна (насколько я понимаю, в эту систему ведомство вносит организацию после того, как оно подает уведомление). Обработка ПД в рамках трудового законодательства как раз относится к исключениям. 0 Ответить Е Елена Вправе ли торговая сеть запрашивать ПД ( паспортные данные, адрес) в анкете при оформлении карты лояльности ( бонусной карты)?
0 Ответить Е Елена Вправе ли торговая сеть запрашивать ПД ( паспортные данные, адрес) в анкете при оформлении карты лояльности ( бонусной карты)?

0 Ответить Яна Аржанова, главный редактор , ст.

5 Закона о ПД гласит, что обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Следовательно, возникает вопрос: для чего магазину ваши паспортные данные?

Какую цель он преследует, запрашивая их? То же самое с адресом. Зачем он магазину?

Если, например, это магазин товаров для дома, который планирует присылать вам бумажные каталоги, а вы как раз хотите их получать, потому и оставляете свой адрес, то тогда цель сбора адресов обоснована.Вообще, мне кажется, сбором таких данных магазины занимались до 2017 года, когда еще не были введены ощутимые штрафы за нарушения. 0 Ответить ЕП Екатерина Пелевина Здравствуйте! Наша компания занимается электромонтажными работами.

Периодически участвует в аукционах на ЭТП, подавая для заказчика в аукционной заявке такие данные на сотрудников, как ФИО, образование, допуски к работам.

Согласие на обработку ПД берутся при поступлении на работу. Нужно ли в таком случае брать от работников согласия на передачу ПД и уведомлять Роскомнадзор?

0 Ответить Яна Аржанова, главный редактор , добрый день! На ваш вопрос отвечает эксперт в сфере закупок Елена Ежова:»Если закупка по 44-ФЗ, то участник еще при регистрации в ЕИС дает необходимые согласия на разглашение сведений. Когда процедура по 223-ФЗ или коммерческая, то тут необходимые формы согласий заказчик будет прикладывать в документации для обязательного заполнения участниками».

1 Ответить О Ольга Здравствуйте! В розничном магазине при возврате товара покупателем заполняется заявление на возврат, в нем указываются паспортные данные, ФИО покупателя. Нужно брать согласие у покупателя на сбор этих данных, регистрироваться как оператор ПД?

Еще такой вопрос: при продаже охотничьих патронов заполняется журнал продаж с ПД покупателя, а именно, ФИО, адрес, номер разрешения на хранение и ношение оружия. Нужно ли брать письменное согласие с покупателя и также регистрироваться как оператор ПД? Спасибо! 0 Ответить ЕК Елена Котова Здравствуйте.

При приеме на работу берем с сотрудников согласие на обработку перс. данных и там есть пункт для чего собираются эти данные:

«- предоставления сведений в кредитную организацию для оформления банковской карты и перечисления на нее заработной платы;»

. В таком случае Роскомнадзор так же не надо уведомлять?

1 Ответить ВМ Валерий Михайлов Добрый день ! Я как работник заключил бессрочный договор с работодателем (субъект с оператором), НО ! как выяснилось Работодатель по договору с аутсорсинговой компанией заключил договор на ведение кадровой и бухгалтерской деятельности.

Получается. Оператор незаконно распространяет ПДн ? Что в этом случае ? мне как субъекту необходимо оформить Согласие с аутсорсинговой компанией ?

И является ли данном случае аутсорсинговая компания Оператором с необходимостью уведомления в РКН ?Спасибо. 0 Ответить ЮГ Юрий Голубев «Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях.» Открыл Закон, там написано: «Обработка персональных данных допускается в следующих случаях:».

То есть эта статья про случаи, когда можно обрабатывать ПДн! О том, что не требуется согласие, там не сказано.

Наоборот, п.1. именно на согласие и указывает. 0 Ответить V Veronikabel А если сайт работает только с юридическими лицами, то что нам нужно иметь на сайте? 0 Ответить В Валерй в банке при получении дебетовой карты и подписании договора в п.п.

указано «согласен на обработку и передачу ПД третьим лицам» и «не согласен на обработку и передачу ПД третьим лицам» я выбрал пункт » не согласен .далее по тексту» банк отказал мне в выдачи карты и заключении договора.

Банк прав ? Мои права нарушены ? 0 Ответить ЕК Елена Карандашова Здравствуйте.

Есть ли необходимость разрабатывать в организации положение о работе с персданными работников или достаточно прописать в трудовом договоре?

или вообще не нужно ничего, т.к.

трудовые отношения? Спасибо. 0 Ответить А Андрей Добрый день. Мне управляющая компания послала письмо. Служба доставки требует вписать квитанцию о доставке: ФИО и паспортные данные.

Могу ли отказаться вписывать паспортные данные? Ведь я не давал им разрешение на обработку ПДн.

Доставка ,частная компания не Почта России. 0 Ответить АШ Александр Швецов Здравствуйте, сервисный центр по ремонту бытовой техники принимает в ремонт аппаратуру.

При этом для связи с клиентом требуется его ФИО, телефон и адрес (для информирования клиента о готовности аппарата, согласования стоимости ремонта и др.) Организация не собирается предоставлять ПД третьим лицам.Нужно ли в договоре о ремонте иметь пункт о том, что клиент согласен на обработку ПД? 0 Ответить Т Татьяна Здравствуйте, надо ли подписывать согласие на обработку своих персональных данных при заселении в гостиницу? 2 Ответить А Алёна Здравствуйте!

Оказываю услуги дизайнера. На сайте собираю исключительно ФИО, телефон и адрес электронной почты.

Статьей 9 Федерального закона № 152-ФЗ установлены требования к содержанию согласия на обработку персональных данных, среди которых адрес и номер документа, удостоверяющего личность.

Я правильно понимаю, что при получении согласия мной производится и сбор также и указанных сведений?