Top.Mail.Ru

Как оформить согласие на обработку персональных данных

Что изменилось с 1 марта 2021 г. В какой форме может быть оформлено согласие на обработку персональных данных: отдельный документ; включение в анкету, заявление, договор; подписание на сайте путем нажатия кнопки и введения полученного пароля. В каких случаях и какой форме необходимо получать согласие на распространение персданных. Приводим образцы согласий работников, в т.ч. для ситуации, когда данные передаются сторонней организации при аутсорсинге бухгалтерского и кадрового учета. Показываем, что стоит включить в согласие, если оно оформляется на этапе проведения собеседований с кандидатами.

В условиях глобализации мировой экономики и проникновения Интернета во все сферы человеческой жизни особое значение приобретает защита персональных данных. С одной стороны, доверяя государству и бизнесу свою персональную информацию, человек получает более удобный и качественный сервис, а также комфортную коммуникацию. С другой же стороны, повсеместное и избыточное оставление на каждом шагу персональной информации чревато рисками.

Правила ст. 9 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» 1 устанавливают, что любой субъект персональных данных самостоятельно принимает решение о предоставлении согласия на обработку персданных, действуя своей волей и в своем интересе. Например, регистрируя на сайте личный кабинет и заполняя персональные данные, соискатель помимо принятия условий пользовательского (лицензионного) соглашения о порядке использования сервисов также дает согласие на обработку своих персональных данных, нажимая соответствующую электронную кнопку в интерфейсе сайта («принять», «согласен» и т. п.).

Такой порядок выражения согласия на обработку персональных данных широко распространен на практике и не противоречит п. 2 ст. 160, ст. 161, 432, 434 и 438 ГК РФ при условии, что согласие помимо собственно нажатия электронной кнопки подтверждается волевыми действиями пользователя, например, введением одноразового пароля, отправленного пользователю в сообщении, перечислением символического платежа на расчетный счет и т. п. Письменное согласие требуется только в особых случаях, предусмотренных ст. 10 и ст. 10.1 Закона № 152‑ФЗ, в частности при обработке специальных категорий 2 и при распространении персональных данных.

Пример 1

В нашей практике недавно был случай, когда медицинская клиника в связи с распространением коронавируса в Москве перешла на дистанционный формат работы со своими клиентами. При такой модели работы надо было решить задачу получения письменного согласия от клиентов на обработку их специальных персональных данных (о состоянии здоровья). Выходом стало обновление текста оферты на сайте, в которой был описан алгоритм действий клиента по заполнению формы анкеты с указанием своих персональных данных, нажатие электронной кнопки об отправке и перечисление на счет клиники символического платежа. В оферте содержалось указание на то, что выполнение данных действий в т.ч. выражает согласие на обработку специальных персональных данных. Присоединяясь к оферте, клиент принимал на себя обязательство направить текст согласия по электронной почте в адрес клиники.

В данной ситуации клиника могла быть привлечена к ответственности за нарушение порядка получения согласия на обработку специальных персональных данных. Однако было очевидно, что с учетом неблагоприятной санитарно-эпидемиологической обстановки в стране она предприняла все разумные и зависящие от нее меры по выполнению установленных требований, что, по нашему мнению, исключало наличие ее вины.

Письменное согласие на бумаге с собственноручной подписью как отдельный документ – это идеальный вариант, который сложнее оспорить.

Хотя распространена и другая практика – включение текста согласия в другой документ, например анкету или договор. Этот вариант законом не запрещен, но судьи расценивают его по-разному. Ведь согласие на обработку персданных должно быть конкретным, информированным, сознательным и добровольным, а не даваться между делом под давлением обстоятельств.

Судебная практика. Постановление Тринадцатого арбитражного апелляционного суда от 25.02.2020 № 13АП-35983/2019

Включение в типовой договор условия о заранее данном согласии на обработку персональных данных может послужить основанием для привлечения предпринимателя к административной ответственности на основании ч. 2 ст. 14.8 КоАП РФ.

Вы видите 20% этой статьи. Выберите свой вариант доступа

Купить эту статью
за 500 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Внимание! Стартовала скидка
на 1-е полугодие 2023 г.

Успейте воспользоваться!

Рекомендовано для вас

Защита персональных данных: новая порция изменений

С 1 сентября 2022 г. в 3 раза сократили срок ответа на обращения граждан об обработке их персональных данных, а также на выполнение ряда других действий организацией. Уточнили состав сведений, который в обязательном порядке должен быть указан в поручении при передаче персональных данных третьим лицам. Принципиально изменились правила трансграничной передачи данных. В утечке собранных персональных данных оператор теперь должен сам оперативно сознаваться госорганам. При этом обсуждается введение крупных штрафов за такие «оплошности». Изменили правила сбора биометрических данных населения и их передачи в государственную информационную систему. Усложнили доступ к данным о владельцах недвижимости в ЕГРН.

Персональные данные потребителей – изменения в законе

С 1 сентября 2022 г. вступают в силу изменения, призванные повысить защиту персональных данных, собираемых у потребителей. К чему надо успеть подготовиться организациям, которые собирают такие данные? На какие вопросы потребителя и за сколько дней надо отвечать? Как увеличили штраф за нарушения? Обратите внимание: дополнительную настройку порядка работы с персональными данными сейчас сделали не в законе о персональных данных, а в законе о защите прав потребителей. И уже прорабатывается новая порция изменений.

Об автоматической обработке персданных работников теперь надо уведомлять Роскомнадзор

Если раньше организация обрабатывала персональные данные своих работников только в целях осуществления трудовых отношений, то уведомлять Роскомнадзор об этом не требовалось. С 1 сентября 2022 г. это нужно делать всем работодателям, которые обрабатывают такие данные автоматически. С этим нововведением и поможем вам разобраться. Отсутствие специальной кадровой программы, но присутствие персональных данных работников, например, в бухгалтерской программе «1С:» считается их автоматической обработкой? До какого срока важно успеть уведомить Роскомнадзор? В какой форме это делать? Ну и конечно, какая ответственность грозит нарушителям? Уведомлять надо также о неправомерной или случайной передаче персональных данных, а также об их трансграничной передаче... и даже если вы просто выписываете пропуска на свою территорию, используя автоматизацию.

Как документировать применение средств контроля за работниками

Что изменится с 01.03.2022. Как правильно регламентировать применение технических средств контроля за работой. Приводим образцы приказа о введении системы учета рабочего времени и ЛНА, уведомления работников. В каких случаях потребуется оформить еще допсоглашение к трудовому договору (его образец тоже приводим). Что будет, если работник откажется его подписывать. Как собранные техническими средствами доказательства помогают отслеживать нарушения и подтверждать в суде правомерность дисциплинарных взысканий.

Об автоматической обработке персданных работников теперь надо уведомлять Роскомнадзор

Если раньше организация обрабатывала персональные данные своих работников только в целях осуществления трудовых отношений, то уведомлять Роскомнадзор об этом не требовалось. С 1 сентября 2022 г. это нужно делать всем работодателям, которые обрабатывают такие данные автоматически. С этим нововведением и поможем вам разобраться. Отсутствие специальной кадровой программы, но присутствие персональных данных работников, например, в бухгалтерской программе «1С:» считается их автоматической обработкой? До какого срока важно успеть уведомить Роскомнадзор? В какой форме это делать? Ну и конечно, какая ответственность грозит нарушителям? Уведомлять надо также о неправомерной или случайной передаче персональных данных, а также об их трансграничной передаче... и даже если вы просто выписываете пропуска на свою территорию, используя автоматизацию.

Реквизит ограничения доступа к документу

Оказывается, и при обращении общедоступной информации есть свои ограничения. А чтобы защитить конфиденциальную информацию, организация обязана предпринять ряд действий: даже если для своих документов она еще не включила режим тайны, получив «закрытые» документы извне (например, от контрагента или вышестоящей организации), она обязана обеспечить их защиту в силу закона. Вы узнаете о существующих видах тайн и какими нормативными документами они регулируются, что в них говорится о реквизите ограничения доступа. Покажем пример Перечня конфиденциальной информации, образцы оформления грифа ограничения доступа, его изменения и снятия. Объясним специфику сообщений о конфиденциальности электронных писем и нанесения грифа на документы с персональными данными.

Защита персональных данных: новая порция изменений

С 1 сентября 2022 г. в 3 раза сократили срок ответа на обращения граждан об обработке их персональных данных, а также на выполнение ряда других действий организацией. Уточнили состав сведений, который в обязательном порядке должен быть указан в поручении при передаче персональных данных третьим лицам. Принципиально изменились правила трансграничной передачи данных. В утечке собранных персональных данных оператор теперь должен сам оперативно сознаваться госорганам. При этом обсуждается введение крупных штрафов за такие «оплошности». Изменили правила сбора биометрических данных населения и их передачи в государственную информационную систему. Усложнили доступ к данным о владельцах недвижимости в ЕГРН.

Кого могут назначить ответственным за обработку персональных данных?

Каковы обязанности лица, назначенного ответственным за организацию обработки персональных данных? На кого чаще всего возлагают такую обязанность? Могут ли ее возложить на руководителя службы документационного обеспечения управления или ее рядового сотрудника? Кроме ответов на эти вопросы в статье вы найдете образец приказа о назначении ответственного.