Как собирать персональные данные пользователей на сайте, не нарушая закон

Образец заполнения согласия на обработку персональных данных

В связи с тем, что для данного документа не закреплена какая-либо стандартная форма, его можно составить произвольно. Однако к его оформлению желательно подойти со всей ответственностью, чтобы показать организации серьезность своих намерений.

Заполнять согласие нужно начинать с верхней части листа слева. Там нужно написать название компании, куда отправляется документ, название должности руководителя и его Ф.И.О.

После этого надо немного отступить вниз, после чего записать название бланка – «Согласие на обработку моих персональных данных».

Гражданин заполняет согласие от своего имени, указывая полные Ф.И.О., домашний адрес, сведения о документе, при помощи которого он может подтвердить свою личность — обычно это паспорт. Необходимо указать серию и номер документа, его дату и место оформления.

Дальше необходимо сделать ссылку на статьи закона по защите персональных данных, для соблюдения которого оформляется это разрешение. После чего работник письменно дает свое согласие на использование данных о себе.

Чтобы указать, кому именно выдается это разрешение, записывается полное название хозяйственного субъекта, а также его юридические или фактический адрес.

Следующим шагом закон требует, чтобы в документе было конкретно указано для каких целей будет производиться разглашение данных, а также какие именно сведения могут передаваться третьим лицам. Все это лучше оформлять в виде единого списка.

Так, работник может давать согласие организации на передачу его Ф.И.О., даты рождения, сведений об удостоверяющем документе, адреса проживания или регистрации, телефона для связи, семейного положения, сведений о членах семьи, сведений о размере зарплаты, данных о стаже, полученных наградах и т. д.

Следом нужно указать, какими именно способами будет выполняться обработка, хранение и передача получаемой информации.

Если ожидается, что данные о сотруднике будут передаваться нескольким органам, организациям или лицам, то желательно получать отдельное согласие по каждому из них.

Дальше нужно обязательно указать период, в течение которого данное разрешение будет действительно.

В согласие должно быть включено уведомление о том, что выданное разрешение может быть отозвано, и указать порядок этой процедуры.

Также желательно в документ включать строку, путем которой работник сообщал бы о том, что проинформирован о своих правах, возникающих при передаче, обработке и защите личных сведений.

Составление согласия завершается проставлением работником своей должности, подписи и личных данных, а также даты его оформления.

Необходимые документы и общие положения

Необходимо составить и опубликовать документы, которые помогут заключать договор с клиентом. Это могут быть пользовательские соглашения, правила продажи, уведомления, политика конфиденциальности. Они должны быть доступны на всех страницах сайта. На сайте нужно утвердить политику в отношении обработки персональных данных и сделать ее общедоступной, то есть затвердить в положении. В документе следует указать:

  1. Общие положения (цель принятия данного Положения, вопросы, которые оно регулирует, дата, с которой вступает в силу, как может быть подвергнуто корректировке).
  2. Основные понятия и состав персональных данных (список документов, которые необходимо соблюдать при обработке персональных данных).
  3. Обработка персональных данных (условия, которые будут соблюдены).
  4. Порядок передачи (что понимается под передачей, как она происходит, как соблюдается хранение, ликвидация и т.п.).
  5. Доступ к ним (кто имеет на это право, в каких случаях может быть разрешен посторонним лицам).
  6. Обязанности сотрудников по работе с информацией, их права.
  7. Ответственность за нарушение норм, которые регулируют обработку и защиту сведений.
  • Скачать бланк положения об обработке персональных данных для сайта
  • Скачать образец положения об обработке персональных данных для сайта

От клиента необходимо получить согласие на обработку персональных данных. Требования к согласию на обработку данных имеются в части 1 статьи 9 Закона N 152-ФЗ.

В документ необходимо внести:

  1. ФИО человека, дающего личную информацию;
  2. адрес;
  3. номер, серия паспорта/другого документа, удостоверяющего личность;
  4. цель запроса персональной информации;
  5. перечисление данных, которые будут обработаны;
  6. сведения о компании или ИП, которые по поручению оператора будут работать с данными;
  7. перечисление того, чему подвергнутся персональные данные, а также опись способов использования и хранения;
  8. продолжительность периода согласия на обработку;
  9. способ для клиента отозвать согласие;
  10. подпись заявителя.
  • Скачать бланк согласия на обработку персональных данных на сайте
  • Скачать образец согласия на обработку персональных данных на сайте

Всю вышеперечисленную информацию подает и законный представитель, если именно он действует от лица гражданина.

За нарушение Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» предусмотрена уголовная ответственность:

  • ст. 140 УК РФ – за отказ в предоставлении гражданину информации о его персональных данных грозит штраф от 200 000 рублей или лишение права заниматься определенной деятельностью;
  • ст. 272 УК РФ – за неправомерный доступ к охраняемой законом компьютерной информации -наказание от штрафа в 500 000 рублей до лишения свободы до 7 лет.

Административная ответственность:

  • ч.1 ст. 13.11 КоАП РФ – за незаконную обработку данных – штраф 50 000 рублей;
  • ч.2 ст. 13.11 КоАП РФ – за обработку без согласия человека – штраф 75 000 рублей.

Штраф за ненадлежащее хранение данных в 50 000 рублей предусмотрен ст. 13.11 ч.6 КоАП РФ.

За передачу данных третьим лицам без согласия предусмотрен отзыв лицензии (п.6, ч.3, ст. 23 ФЗ – №152), за обработку информации, взятой незаконно – блокировка (ч.3, ст. 23 ФЗ – №152).

Что такое персональные данные?

В соответствии с определением вышеупомянутого закона: «Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)». 

То есть, к персональным данным (далее ПД) можно отнести: ФИО, дату рождения, телефон, адрес, ИНН, сведения о работе, ссылки на аккаунты в соцсетях или личный сайт и другую подобную информацию. 

На любые данные найдётся тот, кто их обрабатывает — то есть делает все те вещи, которые описаны в соглашениях на обработку ПД (вы наверняка это знаете, если когда-нибудь читали подобные документы). А именно сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Человек, обрабатывающий ПД, называется оператором персональных данных. Он несёт ответственность за незаконную обработку ПД и может быть как юридическим, так и физическим лицом.

Вас можно считать оператором персональных данных, если на вашем сайте есть формы:

  • подписки на рассылку;
  • регистрации личного кабинета;
  • заявки или обратной связи;
  • системы онлайн-чата или онлайн-консультанта;
  • размещения комментариев.

Поэтому определить, являетесь ли вы оператором ПД, можно в зависимости от того, какие именно данные вы собираете через формы обратной связи на сайте.

Для корпоративного сайта

Предоставляя свои персональные данные Пользователь даёт согласие на обработку, хранение и использование своих персональных данных на основании ФЗ № 152-ФЗ «О персональных данных» от 27.07.2006 г. в следующих целях:

  • Осуществление клиентской поддержки
  • Получения Пользователем информации о маркетинговых событиях
  • Проведения аудита и прочих внутренних исследований с целью повышения качества предоставляемых услуг.

Под персональными данными подразумевается любая информация личного характера, позволяющая установить личность Пользователя/Покупателя такая как:

  • Фамилия, Имя, Отчество
  • Дата рождения
  • Контактный телефон
  • Адрес электронной почты
  • Почтовый адрес

Персональные данные Пользователей хранятся исключительно на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства.

Компания обязуется не передавать полученные персональные данные третьим лицам, за исключением следующих случаев:

  • По запросам уполномоченных органов государственной власти РФ только по основаниям и в порядке, установленным законодательством РФ
  • Стратегическим партнерам, которые работают с Компанией для предоставления продуктов и услуг, или тем из них, которые помогают Компании реализовывать продукты и услуги потребителям. Мы предоставляем третьим лицам минимальный объем персональных данных, необходимый только для оказания требуемой услуги или проведения необходимой транзакции.

Компания оставляет за собой право вносить изменения в одностороннем порядке в настоящие правила, при условии, что изменения не противоречат действующему законодательству РФ. Изменения условий настоящих правил вступают в силу после их публикации на Сайте.

Порядок действий

Если владелец сайта является оператором персональных данных, то необходимо предпринять следующие действия:

  1. До начала сбора и обработки данных уведомить Роскомнадзор о своих намерениях. Информация о компании будет внесена в соответствующий реестр.
  2. Запрашивать и иметь письменное согласие с посетителей сайта.
  3. Сообщить о политике ресурса в отношении личных сведений граждан.
  4. Следить за целевым использованием информации.
  5. Если от клиента (подписчика, покупателя) поступил запрос о том, какие данные получены и для чего они обрабатываются, необходимо дать ответ.
  6. Нести ответственность за хранение сведений, обезопасить их от утечки.

Что нового

Изменения сводятся к одному важному моменту — понятия общедоступных персональных данных больше не будет. Не путайте с общедоступными источниками персональных данных

Из части 1 статьи 6 исключается пункт 10 — важное условие обработки персональных данных без согласия:

«10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных);»

Этот принцип так или иначе охватывал возможность публикации персональных данных пользователей соцсетей. Да, была и иная точка зрения, но сейчас в этих спорах поставлен восклицательный знак:

Исключения сделаны только для случаев, где есть государственный, общественный и публичный интерес. Уважаемые журналисты, аккуратно выдыхайте

Персональные данные, разрешенные для распространения — это персональные данные, к которым возможен доступ любых лиц. Теперь это так называется.

Это означает, что пока человек не даст согласия, публиковать его данные нельзя. Нельзя даже на корпоративных сайтах в разделах, аналогичным «О команде», «Наши сотрудники».

Требования к содержанию для специального согласия на обработку персональных данных, будет определять Роскомнадзор. Пока их нет, конечно же. Ждем весны.

Обновление от 27.01.2021. Опубликован приказ Роскомнадзора о требованиях с содержанию согласия.

Плохо, что новое согласие оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

Хорошо, что новое согласие не обязательно должно быть письменным. Допускается любая форма, позволяющая подтвердить факт его получения.

Придется получать новые согласия на публикацию персональных данных

ТРЕБОВАНИЯ К СОДЕРЖАНИЮ СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ, РАЗРЕШЕННЫХ СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ РАСПРОСТРАНЕНИЯ

Согласие должно содержать следующую информацию:

1) фамилия, имя, отчество (при наличии) субъекта персональных данных;

2) контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных);

3) сведения об операторе-организации — наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);

сведения об операторе-физическом лице — фамилия, имя, отчество (при наличии), место жительства или место пребывания;

сведения об операторе-гражданине, являющимся индивидуальным предпринимателем, — фамилия, имя, отчество (при наличии), идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);

4) сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;

5) цель (цели) обработки персональных данных;

6) категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:

персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);

специальные категории персональных данных <1> (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);

<1> Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

биометрические персональные данные <2>;

<2> Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

7) категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов <3> (заполняется по желанию субъекта персональных данных);

<3> статьи 10.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

8) условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных) <4>;

<4> статьи 10.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

9) срок действия согласия.

Подробные требования к содержанию согласия

Согласие должно включать в себя следующую информацию:

1) Фамилия, имя, отчество (при наличии) субъекта персональных данных.

2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)

3) Сведения об операторе персональных данных

Если оператором является юридическое лицо, то указывается: наименование, ИНН, ОГРН, а также адрес, указанный в ЕГРЮЛ

Если оператором является физическое лицо, то указывается: фамилия, имя, отчество (при наличии), место жительства или место пребывания.

Если оператором является индивидуальный предприниматель, то указывается: фамилия, имя, отчество (при наличии), ИНН, ОГРНИП. Адрес указывать не надо, как это следует из приказа, что странно. Я рекомендую указывать и адрес ИП.

4) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных

5) Цель (цели) обработки персональных данных

Формулировки цели или целей обработки персональных данных должны соответствовать положениям законодательства Российской Федерации, устанавливающим функции, полномочия и обязанности оператора, и (или) документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных.

6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных

Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу:

  • общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
  • специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
  • биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).

Указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку персональных данных, согласия на обработку персональных данных в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов

Указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных.

Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению персональных данных неограниченному или определенному кругу лиц соответственно.

Дополнительно в Согласии могут быть указаны условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.

8) Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников

9) Срок действия согласия

Должен быть отражен конкретный срок его действия: определенный период времени или дата окончания срока действия.

Не допускается указание на автоматическую пролонгацию срока действия Согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.

Что является личной информацией граждан

Конкретные указания на то, какая информация о человеке является его индивидуальными и охраняемыми данными, в законодательстве отсутствуют. По сложившейся практике под ней обычно скрывается:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес проживания (место регистрации);
  • семейное, социальное и имущественное положение;
  • образование, профессия;
  • доходы, имущество и обязательства.

Обычно такие сведения человек сообщает о себе сам во многих государственных органах, медицинских и образовательных учреждениях, кредитных организациях и даже в коммерческих структурах (при трудоустройстве). Кроме вышеперечисленных сведений, которые являются общими, есть еще специальные личные данные, такие как национальность, вероисповедание, политические взгляды, состояние здоровья и прочая информация подобного рода.

Случаи передачи персональных данных третьим лицам

В пункте 3 статьи 6 закона «О персональных данных» говорится о том, что оператор в ряде случаев может поручить обработку персональных данных, доверенных ему правообладателем, третьим лицам. 

При такой передаче соблюдаются следующие условия:

  • если она предусмотрена законом, между сторонами не заключаются соглашение или договор об условиях обработки;
  • если передача происходит по соглашению, стороны заключают договор, раскрывающий условия соглашения;
  • согласие на передачу сведений у правообладателя получает только лицо, передающее данные;
  • лицо, получающее информацию для обработки, не обязано получать отдельное согласие у субъекта персональных данных;
  • в рамках реализации договора оформляется поручение оператора, в котором содержатся сведения о перечне действий, совершаемых доверенным лицом, о целях обработки, а также требования обеспечивать конфиденциальность и защиту ПД;
  • в соглашении (договоре) указываются требования к защите персональных данных, определяемых их категорией (общедоступные, биометрические, иные) и требованиями ФСТЭК РФ.

Ответственность за то, как третье лицо выполняет обязательства по защите персональных данных, всегда несет передавший их оператор. Если осуществляется трансграничная передача информации, на это потребуется оформить отдельное согласие. 

На практике персональные данные передаются на обработку третьим лицам в следующих случаях:

  • анализ клиентской базы. В этой ситуации требуется их обезличивание;
  • предоставление сведений банку при реализации зарплатной программы для открытия карточных счетов;
  • передача статистических данных государственным организациям – Росстату, Пенсионному фонду, ФНС;
  • передача информации из ЖКХ организациям биллинговых услуг или управляющим организациям;
  • продажа кредитной задолженности банками;
  • взыскание задолженности операторами связи, организациями ЖКХ.

В ряде случаев такая передача оказывается незаконной, и оператор привлекается к гражданской или административной ответственности, выплачивая штраф или компенсируя убытки правообладателю. Но чаще суды встают на сторону более сильного с состязательной точки зрения субъекта, например, ПАО «Ростелеком», и отказывают в возмещении морального вреда даже при явном нарушении закона оператором персональных данных (дело 2-7574/19 Набережночелнинского суда).

Для интернет-магазинов

Предоставляя свои персональные данные Покупатель даёт согласие на обработку, хранение и использование своих персональных данных на основании ФЗ № 152-ФЗ «О персональных данных» от 27.07.2006 г. в следующих целях:

  • Регистрации Пользователя на сайте
  • Осуществление клиентской поддержки
  • Получения Пользователем информации о маркетинговых событиях
  • Выполнение Продавцом обязательств перед Покупателем
  • Проведения аудита и прочих внутренних исследований с целью повышения качества предоставляемых услуг.

Под персональными данными подразумевается любая информация личного характера, позволяющая установить личность Покупателя такая как:

  • Фамилия, Имя, Отчество
  • Дата рождения
  • Контактный телефон
  • Адрес электронной почты
  • Почтовый адрес

Персональные данные Покупателей хранятся исключительно на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства.

Продавец обязуется не передавать полученные персональные данные третьим лицам, за исключением следующих случаев:

  • По запросам уполномоченных органов государственной власти РФ только по основаниям и в порядке, установленным законодательством РФ
  • Стратегическим партнерам, которые работают с Продавцом для предоставления продуктов и услуг, или тем из них, которые помогают Продавцу реализовывать продукты и услуги потребителям. Мы предоставляем третьим лицам минимальный объем персональных данных, необходимый только для оказания требуемой услуги или проведения необходимой транзакции.

Продавец оставляет за собой право вносить изменения в одностороннем порядке в настоящие правила, при условии, что изменения не противоречат действующему законодательству РФ. Изменения условий настоящих правил вступают в силу после их публикации на Сайте.

В каких случаях нужно уведомлять Роскомнадзор?

К персональным данным закон относит всякую информацию, которая прямо или косвенно относится определяемому лицу. Но что именно считается такой информацией – нужно выяснять в каждом отдельном случае.

Так, чаще всего, сочетание имени, фамилии, отчества, физического адреса, электронной почты, номера телефона, даты или места рождения, изображения или фото человека, информация о его профессиональной деятельности, уровне зарплаты, даты и места рождения, а также семейном положении дают не только исчерпывающие сведения о человеке, но и делают его уязвимым.

Нужно задаться вопросом: можно ли по собранной информации определить личность? Если ответ положительный, то владелец сайта, требующий эти сведения, уже является оператором

И не важно, в какой форме происходит запрос – обратная связь, регистрация, размещение объявлений

Важно! Одного имени для наступления юридической ответственности мало. Номер телефона тоже может быть запрошен анонимно

Но сведения, в сумме дающие конкретное представление о человеке, могут считаться персональными данными.

Например, просто имя или электронная почта не учитываются, а соединение этих сведений уже дает представление о человеке и, значит, обязывает соблюдать закон.

Статья 22 Федерального закона «О персональных данных» предписывает операторам уведомить уполномоченный орган, а именно – Роскомнадзор. И сделать это нужно до того, как заработала непосредственно форма сбора.

Кто является оператором персональных данных?

Согласно ст. 3 Закона № 152-ФЗ оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.

Общим признаком оператора персональных данных для всех организаций является обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают еще и персональные данные клиентов. То есть, по сути, операторами персональных данных являются все без исключения организации.

Однако не все операторы должны исполнять требования Закона № 152-ФЗ в полном объеме. Так, не все операторы должны исполнять обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных согласно ст. 22 Закона № 152-ФЗ. Исключения, в частности, установлены для организаций, осуществляющих обработку персональных данных:

  • обрабатываемых в соответствии с трудовым законодательством;

  • полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются, не предоставляются третьим лицам без согласия субъекта данных используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

  • относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

  • сделанных субъектом персональных данных общедоступными;

  • включающих в себя только фамилии, имена и отчества субъектов персональных данных;

  • необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

  • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

  • обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

  • обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Все остальные операторы такие уведомления направляют, после чего включаются в реестр операторов.

Соответственно, организации, не подающие уведомления, в реестр операторов не включаются.

Что же касается обязанности по составлению Политики и других локальных документов, здесь исключений никаких не установлено. Соответственно документ, определяющий политику в отношении обработки персональных данных, должен быть в каждой организации.

Если органы контроля установят, что оператор не опубликовал или не обеспечил иным образом неограниченный доступ к своей Политике или сведениям о реализуемых требованиях к защите персональных данных, организация будет оштрафована в соответствии с КоАП РФ, предусматривающей штраф для должностных лиц от 3 000 до 6 000 руб., а для юридических – от 15 000 до 30 000 руб.

Для чего формируется согласие на обработку при трудоустройстве

Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д. Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).

В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.

Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.

Что это такое?

Персональными данными называют любые сведения, которые относятся к соответствующему или определяемому на основании этих сведений физлицу. Передача персональных данных регламентируется ст.88 ТК РФ.

Об особенностях трансграничной передачи персональных данных читайте тут.

Официальные получатели личных сведений

Официально являющиеся получатели персональных сведений гражданина (кому можно передавать без согласия) считаются следующие учреждения:

  1. ФСС РФ (Фонд соцстрахования): на основании ФЗ № 125 «Об обязательном соцстраховании от несчастных случаев на производстве и профзаболеваний».
  2. Пенсионный фонд России: регламентируется ФЗ № 27 «О персонифицированном учете в системе обязательного пенсионного страхования».
  3. Налоговые службы: согласно закону № 146 ч.1 НК РФ.
  4. Службы занятости: в соответствии с ФЗ № 1032-1 «О занятости населения в России».
  5. Органы министерства внутренних дел: ФЗ №3 «О полиции», ФЗ № 40 «О федеральной службе безопасности», ФЗ №144 «Об оперативно-розыскной деятельности».
  6. Военные комиссариаты: регламентируются ФЗ № 53 «О воинской обязанности и военной службе», Постановление Правительства РФ № 719 «Положение о воинском учете», Указ Президента России № 1132 «Об утверждении Положения о военных комиссариатах».
  7. Иные службы государственного контроля и надзора за соблюдением законодательства о труде.

Разглашение постороннему субъекту

ФЗ «О защите прав потребителей» включает в себя обработку с последующей передачей своих личных данных, если есть согласие сотрудника. При этом составляется в письменной форме документ, который хранится у работодателя. При возникшем споре бумага становится доказательством наличия согласия на передачу личных сведений сотрудника постороннему субъекту.

Каждая компания может столкнуться с необходимостью периодической отправки личных данных служащего из 1 структурного подразделения в другое. Эти сведения отправляются кадровой службой в бухгалтерию или службу безопасности. В этом случае учреждение должно ознакомить сотрудника с актом с получением подписи, подтверждающей его согласие.

Каким организациям позволяется получать личные сведения работника при его согласии? К примеру, такими учреждениями может стать банк для оформления безналичного счета, куда Наниматель будет перечислять зарплату и другие доходы сотрудника. Или кредитные организации, куда гражданин обращался за оформлением кредита или ссуд.

Пример составления документа

Согласие на передачу персональных данных третьим лицам

Я, Громова Ульяна Викторовна, 18.11.2000 года рождения, паспорт серия 48 98 № 46941364, выдан Территориальным отделом полиции Кировского района г. Ульяновска 15.12.2020 г., зарегистрированная по адресу: Россия, Ульяновская область, г. Ульяновск, ул. Свердлова, 13-59,

даю согласие Обществу с ограниченной ответственностью «КонсалтингКадр», ИНН 469851314684, юридический адрес: Россия, Ульяновская область, г. Ульяновск, ул. Казакова, д. 19,

на передачу моих персональных данных третьим лицам:

  • фамилия, имя, отчество
  • сведения об образовании
  • сведения о стаже работы, должности
  • паспортные данные
  • сведения о регистрации по месту жительства

в целях подбора вакансий с целью дальнейшего трудоустройства у работодателей-юридических лиц или индивидуальных предпринимателей, осуществляющих свою деятельность на территории города Ульяновска или города Москвы, состоящих в базе данных ООО «КонсалтингКадр» в качестве работодателей.

Настоящее согласие выдано на срок до 01.01.2022 года. По истечении срока действия настоящего согласия персональные данные отзываются.

Громова У.В. 10.10.2021 г.

Сноска к форме обратной связи

Нужно поместить под формой регистрации, заявкой, под формой обратной связи текст «Я согласен на обработку персональных данных на следующих условиях», где к “условиям” привязать ссылку на документ. Главное – сделать так, чтобы человек смог узнать, зачем и на каких условиях собираются персональные данные и поставить свое согласие под документом (например, галочку в форме регистрации «даю согласие»).

Ужесточение закона в 2017 году уже привело к увеличению числа дел, связанных с незаконным сбором, хранением и разглашением персональных данных. Поэтому, даже если кажется, что сайт собирает минимальное число сведений, лучше перестраховаться и совершить все нужные действия для законной работы с персональными данными. Это не только поможет избежать штрафов, но и упрочит репутацию компании.