Инструкция: оформляем согласие на обработку персональных данных

Согласие на обработку персональных данных получают, если нужно собрать, проанализировать, хранить и использовать информацию о гражданине. С 01.09.2022 правила работы с персданными меняются.

Содержание

Невозможно жить и не рассказывать о себе. А сообщая о себе, человек становится субъектом персональных данных. И прежде чем обработать такую информацию, организация обязана получить письменное разрешение от владельца.

Что относится к персональным данным

Индивидуальные сведения о людях называются персональными данными. Они охраняются специальным Федеральным законом № 152-ФЗ от 27.07.2006. Говорится о них и в Конституции Российской Федерации. Актуальность повысилась с развитием информационных систем, баз данных, интернета в целом. Одна из целей закона о персданных — защитить людей от незаконных посягательств, предотвратить преступления в этой сфере.

Наличие закона не свело к нулю все проблемы, в частности, из-за человеческой невнимательности и попустительства, мы часто подписываем согласие на использование информации, не вникая в нюансы. Например, можем пропустить оговорку, которая позволяет компании разместить сведения на официальном сайте, а банку — передать информацию коллекторам.

Перечень того, что подпадает под определение персданных, таков:

  • паспорт (данные о самом документе);
  • дата и место рождения;
  • данные об имени и фамилии;
  • информация об отчестве (при наличии);
  • телефонные номера;
  • место жительства;
  • СНИЛС и ИНН;
  • размер зарплаты;
  • биометрические (вес, цвет волос, ДНК и т.д.).

Сюда же относится и специфическая информация, которая не всегда встречается в анкете психолога или в расширенном опроснике при трудоустройстве, но характеризует человека:

  • верит ли он в бога, и если да, то в какого (религиозные);
  • имеется ли собственная система философских убеждений и в чем ее особенность;
  • национальность.

Кто относится к операторам персданных

В законе говорится, что оператором становится любая организация (государственная, муниципальная, ООО, ОАО, ИП — не важно) и даже физическое лицо, если самостоятельно или при помощи третьего лица собирает и обрабатывает личные сведения.

Откуда берут информацию

Она хранится на бумажных и электронных носителях. Сведения доступны на сайте организации, на визитках, в документах бухгалтерии и отдела кадров, в личных документах человека, в заключенных с ним договорах. Совершая покупку или регистрируясь на каком-то форуме (не анонимном), вы автоматически даете согласие на обработку.

Что делают с персданными

В законе указано следующее:

  • использовать их для оформления бумаг, передачи другим лицам для исполнения ими своих обязанностей;
  • вносить в базы данных, в приказы и соглашения;
  • использовать при начислении и уплате налогов налоговым агентом, при отчислении в Пенсионный фонд.

Это не полный перечень. Под обработкой понимается любое действие с персданными. Но что бы ни делали операторы, владелец сведений обязан заранее одобрить работу с ними. Для этого подписывается форма согласия на обработку персональных данных, затем оператор уведомляет Роскомнадзор, что намерен работать с персданными, если правоотношения не подпадают под исключения, перечисленные в ч. 2 ст. 22 152-ФЗ.

Обязательно ли получать согласие на обработку

Да, в противном случае обработка неправомерна. С 2021 года вступили в силу поправки в КоАП РФ, и административная ответственность ужесточилась. Штрафы выросли (ст. 13.11 КоАП РФ):

  • для граждан — от 2000 до 6000 рублей;
  • на должностных лиц — от 10 000 до 20 000 рублей;
  • на юридических лиц — от 60 000 до 100 000 рублей.

За повторное нарушение взыскание существенно увеличивается. Чтобы избежать ответственности, строго контролируйте, что физлицо подписало соглашение.

Организация должна не только получить разрешение, но и уведомить Роскомнадзор о том, что она обрабатывает персданные. Требование прописано в статье 22 ФЗ-152. Там же указаны и исключения, среди которых:

  • работодатели, которые используют персданные для внутреннего использования;
  • лица, обрабатывающие сведения с целью обеспечения безопасности на транспорте.

В 2021 году появилось понятие персональных данных, разрешенных субъектом для распространения (519-ФЗ от 30.12.2020). К ним относится информация, для доступа неограниченному кругу лиц к которой необходимо предоставить отдельное согласие. Оператор обязан обеспечить такому субъекту возможность определить перечень сведений для распространения по каждой категории, указанной в соглашении на обработку. Если субъект бездействует или не отвечает на запрос оператора, это не является согласием на использование персданных, разрешенных для распространения.

Согласие на обработку данных, разрешенных для распространения оформляют отдельно от остальных разрешений (ч. 1 ст. 10.1 152-ФЗ). Требования к его заполнению строго регулируются (ч. 9 ст. 9, ч. 1 ст. 23 152-ФЗ, п. 1 Положения из ПП РФ № 228 от 16.03.2009). Порядок утвержден приказом Роскомнадзора № 18 от 24.02.2021.

В форму, разрешающую распространение персданных, включают:

  • ФИО субъекта персданных;
  • сведения оп операторе;
  • цель сбора информации;
  • категории и перечень сведений;
  • срок действия документа.

Гражданин вправе установить запрет передачи и обработки, условия обработки (кроме предоставления и получения доступа) сведений неограниченному кругу лиц (ч. 9 ст. 10.1 152-ФЗ). Отказывать в установлении запретов и условий гражданам нельзя.

ВАЖНО!

С 1 сентября 2022 года 152-ФЗ снова меняют. Теперь операторы обязаны подавать в Роскомнадзор уведомления об обработке личной информации (266-ФЗ от 14.07.2022). Уведомлять РКН надо в таких случаях:

  1. Когда персданные относятся к работникам.
  2. Когда персданные принадлежат контрагентам оператора, а он использует сведения для исполнения договоров или заключения новых соглашений с теми же гражданами. Информацию нельзя распространять и не передавать третьим лицам без согласия.
  3. Когда персданные требуются для оформления однократного пропуска.

Уведомление необходимо отправить еще до обработки личной информации. Операторы уведомляют Роскомнадзор в бумажной или электронной форме. Если работодатели-операторы получают сведения о субъекте персданных от третьих лиц, то необходимо перечислить полученную информацию работнику до начала обработки сведений.

Если информацию обрабатывают для защиты прав субъектов персданных, то уведомлять Роскомнадзор не требуется (п. 2 ст. 22 152-ФЗ). Это касается сведений, которые:

  • включены в государственные информационные системы персданных, созданные для защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации;
  • обрабатываются по закону о транспортной безопасности в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Операторы сообщают сведения по запросу РКН в течение 10 рабочих дней после получения такого требования. Кроме того, операторы начинают работать с Государственной информационной системой обнаружения, предупреждения и ликвидации последствий кибератак на информресурсы РФ (ГосСОПКА). В этой же системе сообщают об утечке личной информации.

Эксперты КонсультантПлюс разобрали, какие требования предъявляются к обработке персональных данных несовершеннолетних. Используйте эти инструкции бесплатно.

Как правильно оформить согласие

Единственное неукоснительное правило: письменно. Унифицированные бланки отсутствуют, организации сами разрабатывают шаблоны. Общие правила, как заполнить согласие на обработку персональных данных, таковы:

  1. Подробно перечислите информацию, которую вы собираете с лица.
  2. Укажите, что планируете делать со сведениями. Пропишите ограничения. Примерная фраза для заявки: «Любая предоставленная информация обрабатывается и используется по усмотрению организации в тех пределах, что позволяет законодательство».
  3. Включите информацию об отзыве разрешения. Такие права закреплены законом. Укажите, требуется ли заполнять письменное заявление и куда его направить.

В конце документ подписывается и ставится дата.