Собственник поставил отказ в графе на согласие обработки пд в бюллетене осс

С 01 марта 2021 года любые персональные данные могут распространяться только с особого согласия субъекта.

Изменения в Закон “О персональных данных” внесены законом № 519-ФЗ и об особенностях распространения персональных данных я уже писал.

Роскомнадзор установил специальные требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

На момент публикации этого поста размещен лишь проект приказа. К финальному релизу возможны изменения, поэтому применяйте его пока для ориентира. Но как только приказ будет утвержден, я внесу в статью изменения. То есть, если вы читаете этот абзац, значит проект еще не утвержден.

Оперативные обновления узнавайте в моем Телеграм-канале.

Согласие на распространение персональных данных и согласие на обработку персональных данных — в чем разница

До принятия 519-ФЗ все виды обработки ПД могли быть прописаны в одном согласии. С 1 марта 2021 года правила изменились: человек может дать согласие на обработку персональных данных, но в тоже время не разрешить их распространять. Попробую на примерах и в схемах объяснить нюансы.

Обработка — это любое действие с персональными данными, в том числе:

• сбор, запись, систематизация;
• накопление, хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передача (распространение, предоставление, доступ);
• обезличивание;
• блокирование, удаление, уничтожение персональных данных.

Из этого следует, что распространение —  это один из случаев передачи персональных данных. Он отличается от предоставления и доступа к персональным данным. Соответственно и согласия для этих случаев обработки разные.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Основным отличием распространения от предоставления является определение получателей данных. 

Передача персональных данных

В одном случае круг получателей не определен и не известен заранее. В другом — это известный получатель или определенный круг лиц.

Примеры распространения персональных данных

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц. По сути — это их публикация:

• размещение профилей в соцсетях;
• публикация данных о сотрудниках на корпоративных сайтах, форумы;
• сайты с объявлениями, отзывами, вакансиями.

• публикации в газетах, журналах;
• печатные рекламные буклеты с контактами, ФИО и фото сотрудников;
• публикация результатов спортивных мероприятий на интерактивных мониторах;
• визитки, возможно.

Если вы планируете распространять персональных данные для неопределённой аудитории, то необходимо получать согласие на распространение персональных данных. В этом согласии субъект персональных данных должен прямо вам разрешить это делать.

Распространение персональных данных

Согласие на обработку персональных данных, разрешенных для распространения, в любом случае дается конкретному оператору. Такое согласие не разрешает другим лицам использовать персональные данные субъекта в своих целях. Случаи обработки персональных данных без согласия субъекта строго определены в пунктах 2-11 части 1 статьи 6 Закона “О персональных данных”.

Требования к содержанию согласия на распространение персональных данных

Роскомнадзор планирует в июле 2021 года запустить единую информационную систему для управления согласиями персональных данных, разрешенных для распространения. Пока этой системы нет, когда она появится и как будет работать — неизвестно. Поэтому единственным возможным пока остается предоставление согласия конкретному оператору.

Согласие не всегда должно быть в письменной форме. Допускается любая форма, позволяющая подтвердить факт его получения.

Письменная форма согласия требуется в случаях, если распространяются персональные данные, для обработки которых требуется письменная форма.

Каждый оператор должен разработать свой бланк согласия или веб-форму, предусмотрев в нем обязательные сведения, которые утвердил Роскомнадзор.

Вот краткий чек-лист содержания согласия:

1. Фамилия, имя, отчество субъекта.
2. Контакты субъекта.
3. Наименование оператора персональных данных.
4. Цели распространения персональных данных.
5. Категории и виды персональных данных, распространение которых субъект разрешает.

6. Категории и перечень персональных данных, распространение которых субъект запрещает, а также перечень устанавливаемых условий и запретов.
7. Четко определенный срок согласия.
8. Сведения о ресурсах, где будут распространятся персональные данные.

Подробнее о каждом пункте читайте ниже. Читайте обязательно, потому что если согласие будет получено с нарушением или полная информация не будет указана, считайте, что согласия нет.

А за обработку персональных данных без согласия — новые штрафы и блокировка сайта.

Подробные требования к содержанию согласия

Согласие должно включать в себя следующую информацию:

1) Фамилия, имя, отчество (при наличии) субъекта персональных данных на русском языке

Для иностранного гражданина и лица без гражданства указывается русская транскрипция его фамилии или имени/отчества.

2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)

Номер телефона должен представлять собой абонентский номер подвижной радиотелефонной или фиксированной связи. Номер телефона указывается в формате: код страны, код города или код мобильного оператора связи (до 3 знаков), номер телефона.

Адрес электронной почты должен состоять из двух частей, разделенных символом «@». В левой части указывается имя электронного почтового ящика, в правой части указывается доменное имя сервера, на котором располагается электронный почтовый ящик.

Почтовый адрес указывается в соответствии со сведениями, содержащимися в Государственном адресном реестре (ФИАС).

3) Наименование или фамилия, имя, отчество (при наличии) ‎и адрес оператора, получающего согласие субъекта персональных данных

Указывается полное и сокращенное (при наличии) наименование оператора, осуществляющего обработку персональных данных, индивидуальный номер налогоплательщика (ИНН), а также ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС) по направлениям деятельности.

Адрес оператора, осуществляющего обработку персональных данных, указывается в соответствии со сведениями, содержащимися в Государственном адресном реестре (ФИАС), с обязательным указанием субъекта Российской Федерации, населенного пункта (муниципального образования) в пределах которого находится адрес оператора, осуществляющего обработку персональных данных.

4) Цель (цели) обработки персональных данных

Формулировки цели или целей обработки персональных данных должны соответствовать положениям законодательства Российской Федерации, устанавливающим функции, полномочия и обязанности оператора, и (или) документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных.

5) Категории и перечень персональных данных, на обработку которых дается Согласие субъекта персональных данных

Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу:

• общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
• специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
• биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).

Указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку персональных данных, согласия на обработку персональных данных в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

6) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов

• Указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных.
• Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению персональных данных неограниченному или определенному кругу лиц соответственно.
• Дополнительно в Согласии могут быть указаны условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.

7) Срок, в течение которого действует Согласие

В указанном поле Согласия должен быть отражен конкретный срок его действия: определенный период времени или дата окончания срока действия.

Не допускается указание на автоматическую пролонгацию срока действия Согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.

8) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных

Сведения об информационных ресурсах оператора указываются в виде адреса, состоящего из наименования протокола (http или https), сервера (www), домена (персональные данные.ru), имя каталога на сервере и имя файла веб-страницы, на которой будут размещены персональные данные субъекта персональных данных.

Что делать со старыми согласиями

Ранее полученные согласия можно оставить и использовать до истечения срока их действия. Они сохранят свою силу для всех других случаев обработки персданных, кроме распространения.

Нужно только определить и составить список всех персональных данных, которые вы публикуете, и получить новые согласия. Легко сказать…

Остаюсь с вами на связи. Все вопросы по статье можно задать в чате Телеграм или в Я.Дзене. Следить за обновлениями контента удобнее в основном Телеграм-канале

Памятка: как действовать, если вас просят подписать согласие на обработку персональных данных | РВС

Первая часть. Согласие на обработку персональных данных: подписывать или нет?

Прежде чем разбирать сам алгоритм действий, хотелось бы оговорить один важный момент. Школа или любое другое учреждение в котором с вас могут попросить подписать согласие на обработку персональных данных (далее — ПД) скорее всего действует не по своей воле. И наверняка не желает вреда нашим детям.

Директор школы может вообще не понимать, чем чревато предоставление персональных данных вашего ребёнка широкому кругу «третьих лиц». Надо постараться с самых первых минут наладить сотрудничество с образовательным учреждением и его руководителем с тем, чтобы решить вопрос к обоюдному удовлетворению.

Только если руководство учреждения заняло позицию «так или никак» (позиция учреждения дополнительного образования может ещё быть выражена словами «не нравится — не ешьте»), приходится пререходить на официальный уровень общения и требовать положенного по закону.

В этом случае общение ведётся в форме переписки, причём каждое ваше обращение или заявление должно быть оформлено в двух экземплярах, один из которых вы отдаёте учреждению, а второй, с отметкой о том, когда этот документ был принят учреждением, оставляете себе.

Отметка учреждения должна представлять собой штамп или подпись от руки, в котором должно быть написано, когда и кем была принята копия документа (в случае, если на документ ставится официальная печать учреждения, запись о том, кто принял документ, необязательна).

Если в организации отказываются ставить отметку о принятии необходимо направить документ почтой заказным письмом (с описью вложения, если документ имеет существенное значение).

Алгоритм действий в этом случае следующий:
1. Необходимо официально запросить ответы на все свои вопросы, в том числе .запросить ссылку на закон, обязывающий вас предоставить персональные данные в запрошенном объёме и обоснование того, что для достижения цели обработки данных нужны именно эти данные.
2.

Если вы не согласны с целями обработки данных, набором данных, способами обработки или перечнем лиц, допущенных к обработке данных, требуйте внесения изменений в согласие или напишите свой вариант, который вас устраивает.  Чтобы организация, в которую вы обращаетесь за услугами и пр.

, не отказала в обслуживании, предоставьте согласие на данные, которые реально необходимы  (в т.ч. возможно вычёркивание из типовых заявлений лишнего).

!!!!! сфотографируйте или скоприруйте то заявление, которое вы подписывали или подавали (как правило такие заявления в одном экземпляре дают для заполнения и гражданин не может после объяснить, что подписывал).
3.

Если вас не устраивает ответ на ваш запрос, вы видите там какие-то нарушения законодательства, обращайтесь в орган, контролирующий соблюдение законодательства — Роскомнадзор. В обращении в свободной форме изложите, в чём, по вашему мнению состоит нарушение закона и приложите переписку с учреждением.

Можно также обратиться в прокуратуру с просьбой проверить соблюдение закона о ПД в конкретном учреждении (не исключено, что в соответствии с п. 3.5. Инструкции о порядке рассмотрения обращений и приема граждан в органах прокуратуры Российской Федерации, утверждённой приказом Генерального прокурора РФ № 45 от 30.01.2013 жалоба будет перенаправлена в специализированный контрольный орган, но может быть рассмотрена прокуратурой и по существу). 

(Образцы обращений и запросов будут размещены в конце статьи).

Отмечу, что последний шаг — мера достаточно сильная. Как правило, всё решается на предыдущих этапах.

Теперь немного подробнее о правовых основаниях действий по защите ПД. Действуем мы, опираясь, в основном на закон № 152-ФЗ «О персональных данных», от 27 июля 2006 года.

В статье 5 закона написано:
«п. 1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
п. 2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных».

— то есть, если данные собираются для обеспечения учебного процесса, то, например, сведения о доходе родителей — явно избыточны.

Ст. 5. п. 5: «Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.

Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки».

— Например, если в качестве цели заявлено «обеспечение учебного процесса», а требуют, скажем, данные о доходах родителей — налицо вопиющее несоответствие между целями и собираемыми данными.

В статье 9:
«п. 1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором».

— Именно согласно этой статье закона мы и запрашиваем всю информацию, которая необходима нам для принятия решения. Без полноты сведений наше решение нельзя будет назвать «информированным и сознательным».

Ст. 14:
«п. 7.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
«1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами».

— На случай, если Вы уже дали согласие на обработку ПД, а теперь засомневались, как будут использоваться ваши персональные данные, пошлите запрос с вот этим списком вопросов. Можно совместить такой запрос с отзывом согласия. Статья 18 обязывает оператора предоставлять эту информацию:

Статья 18:

«1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона».

Таким образом, действующее законодательство предоставляет немало возможностей для обеспечения собственной информационной безопасности. Осталось только ими воспользоваться.
 

Читать также: Подмосковье: персональные данные не такие уж персональные?

Владимир Васильев, РВС.

Отказ от предоставления персональных данных. Образец 2021 года

Составление отказа от предоставления персональных данных необходимо в случае, когда гражданин не имеет желания давать кому-либо личную информацию.

ФАЙЛЫ
Скачать пустой бланк отказа от предоставления персональных данных .docСкачать образец отказа от предоставления персональных данных .doc

Что относится к персональным данным

Персональные данные – понятие довольно широкое. В него обязательно включаются сведения из паспорта человека: фамилия, имя, отчество, пол, дата и место рождения, адрес проживания, номера ИНН, СНИЛС.

Кроме того, в персональные данные входит информация о национальной и религиозной принадлежности, семейном положении, здоровье, воинском учете, образовании, получаемых гражданином доходах, затратах, льготах, пособиях и субсидиях.

Сюда же причисляются сведения из трудового договора, дополнительных соглашений к нему, результаты профессиональных собеседований, анкет и тестов, заявления, объяснительные и т.п. документы, касаемые деятельности человека по месту работы.

Куда требуется предоставлять персональные данные

Сегодня передача личных сведений является широко распространенным явлением. Предоставлять персональные данные нужно, например, при устройстве на работу, подаче заявлений в садик, школу, другие учебные заведения, больницы, поликлиники, банковские, кредитные учреждения и т.д.

Отказ от предоставления персональных данных

По большому счету, согласие на предоставление персональных данных требуется только в отношении специальных и биометрических сведений. Если говорить проще, общедоступная информация, т.е. информация из паспорта, ИНН, СНИЛС, может использоваться совершенно свободно, конечно, в рамках закона и без нарушения этических и моральных норм.

А вот если кому-либо понадобились данные, касаемые религии или национальности человека, его здоровья или судимостей, взаимоотношений с работодателями (текущим и бывшими) и т.п. очень личные сведения – их можно получать только с согласия гражданина, оформленного в письменном виде.

В соответствии с законодательством РФ, любой человек имеет полное право отказаться от предоставления подобного рода информации, если считает, что она может привести к ущемлению его прав и интересов или даже вовсе без объяснения причин. Никакого наказания за такой отказ не предусмотрено.

И даже если представитель какого-либо учреждения требует предоставления таких сведений, угрожая отказом в предоставлении необходимых услуг (образовательных, медицинских и т.д.), его действия легко можно обжаловать как на уровне руководства, так и в прокуратуре или суде.

Единственное, что нужно помнить, что при обращении в различные муниципальные и бюджетные структуры, а также при трудоустройстве существует установленный законом перечень документов, а значит и персональных сведений, без которых заключение договоров (гражданско-правовых, трудовых и т.д.) будет просто-напросто невозможно.

• Если есть сомнения в том, что работник той или иной организации требует документы сверх установленного законом списка, следует обратиться за разъяснениями к юристам или ознакомиться с соответствующими статьями российского законодательства.
• С того момента, как персональные данные попадают во «вторые» руки, вся ответственность за их огласку возлагается на того, кто их получил.
• При этом закон в отношении лиц, разгласивших чью-либо личную информацию довольно суров – он предусматривает наказание, начиная от крупного административного штрафа и вплоть до возбуждения уголовных дел.

Как написать отказ

В том случае, если перед вами встала необходимость по составлению отказа от предоставления персональных данных, а вы не знаете, как сделать это правильно и без ошибок, прочитайте расположенные ниже рекомендации и посмотрите пример – на его основе у вас без особых усилий получится сформировать собственный документ.

Прежде всего, дадим общую информацию, которая касается всех подобного рода бумаг. Сейчас единого стандарта такого отказа нет, что фактически обозначает то, что писать его разрешается в свободной форме. Также можно сделать его по типу разработанного и утвержденного внутри учреждения шаблону документа, если конечно, таковой имеет место быть.

Для отказа подойдет как обычный лист бумаги любого удобного формата (предпочтительно А5 или А4) или фирменный бланк (как правило, если такое требование устанавливается внутри компании). Отказ допустимо набирать на компьютере (с обязательным последующим распечатыванием), либо же писать собственноручно – в случае необходимости доказать его подлинность этот фактор будет иметь значение.

Отказ нужно делать в двух одинаковых экземплярах, один из которых следует передать адресату, второй – оставить у себя, предварительно заручившись на нем отметкой о вручении копии представителю учреждения.

Образец отказа от предоставления персональных данных

По своему составу отказ должен отвечать некоторым нормам делопроизводства, а по тексту содержать ряд определенных сведений. К последним можно отнести:

• должность, ФИО руководителя;
• наименование организации;
• ФИО автора отказа;
• его паспортные и контактные данные (для связи).

Это будет «шапка» документа, которая всегда расположена вверху бланка, слева или справа.

В основной части следует обозначить:

• свое несогласие с предоставлением персональных данных;
• обоснование отказа (здесь нужно сослаться на норму закона или Конституции РФ, которые в равной степени дают такое право);
• если вы были ознакомлены с последствием своего отказа, об этом следует сделать соответствующую отметку;
• также дать отметку о том, что за вами остается возможность обжаловать возможные санкции в суде.

1. Остальную информацию можно вносить в зависимости от потребностей и индивидуальных обстоятельств.
2. Бланк должен быть обязательно датирован и подписан тем, кто его составил – без его автографа он не обретет законного статуса.
3. 

Скачать документбесплатно

Что делать, если сотрудник / соискатель / клиент отказывается от предоставления согласия на обработку ПД?

Видимо автор вопроса подразумевает отказ клиента от обработки ПД в интернет-магазине.

Согласно Закону о ПД, обработка ПД возможна только с письменного согласия носителя ПД. В том случае, если на странице интернет-магазина не установлено окно с предложением — согласием на обработку ПД, то оператор нарушает действие Закона о ПД.

Если же на сайте есть указанное окно, то при отказе проставить «галочку» или не согласиться с обработкой ПД, заказ просто не будет оформлен и отправлен клиенту. Так как дистанционный способ продажи возможен при получении данных клиента (ФИО, адрес, эл.почта), которые попадают под действие Закона о ПД, при отсутствии идентифицировать покупателя, не будет возможности отправить товар.

Или же рассмотрим пример при возврате денежных средств за товар в соответствии с Законом о защите прав потребителей. Покупателю предложено для возврата денег из кассы предоставить согласие на обработку ПД.

В данном случае, согласие необходимо, так как могут обрабатываться данные — ФИО, документ, удостоверяющий личность, телефон, электронная почта, те персональные данные, которые отвечают целям их обработки (ч. 4 ст.

 5 Закона № 152-ФЗ).

Поэтому в случае возврата денежных средств по заявлению необходимо заручиться согласием на обработку ПД. В противном случае продавец будет нести ответственность согласно КоАП.

Указанная позиция подтверждена выводами постановления Верховного Суда РФ от 15.06.2015 № 25-АД15-3.

В магазине потребителю, изъявившему желание вернуть товар продавцу, при наличии чека было предложено заполнить в обязательном порядке заявление, в котором требуется указать персональные данные гражданина для возврата денежных средств.

Однако, по мнению покупателя, в соответствии с частью 5 ст. 5 Закона № 152-ФЗ истребование персональных данных является избыточным.

Рассмотрев соответствующие нормативные акты, ВС РФ заключил, что возврат денег покупателю из кассы организации на основании письменного заявления покупателя с указанием фамилии, имени, отчества и данных документа, удостоверяющего личность, не противоречит требованиям законодательства, истребование указанных персональных данных избыточным не является.

Как видим, ситуаций много и каждая должна рассматриваться отдельно. Так как юридически отношения оператор — носитель персональных данных могут регулироваться не только Законом о ПД № 152-ФЗ, но и иными законами, нормативными актами. Поэтому для получения ответа, рекомендуем указывать конкретную ситуацию с описанием проблемы.

Если у Вас еще нет разработанной формы согласия на обработку персональных данных или же Вы ходите привести документы в соответствие с 152-ФЗ рекомендуем Вам обратиться к консультанту в форму ниже.

Ответы Роскомнадзора на вопросы о персональных данных

В сентябре Роскомнадзор дал разъяснения по закону о персональных данных в форме вопросов и ответов. Публикуем их.

Уполномоченный орган — федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи.

В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 года № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.

В соответствии с п. 2 ст.3 Федерального закона от 27.07.

2006 № 152-ФЗ «О персональных данных» оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

В соответствии с ч. 2 ст.7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обеспечения конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Согласно ч. 2 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;(п. 1.1 введен Федеральным законом от 25.11.2009 № 266-ФЗ)

• 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
• 3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
• 4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• 5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
• 6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• 7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Получить согласие работника на передачу его персональных данных для обработки другому оператору должна администрация предприятия, на котором работает субъект персональных данных.

В соответствии с ч.1 ст.22 Федерального закона от 27.07.

2006 № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Исключение составляют случаи, предусмотренные ч.2 комментируемой статьи, при обработке персональных данных:

1. 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2. 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3. 3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4. 4) являющихся общедоступными персональными данными;
5. 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6. 6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7. 7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8. 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации

.Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Роскомнадзора.

Кроме того, на портале Персональные данные реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.

Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.

Вы вправе обратиться в ближайшее территориальное управление Роскомнадзора. Адреса и контактные телефоны указаны на официальном сайте Роскомнадзора.

Ст.24 Федерального закона «О персональных данных» определяет ответственность за нарушение данного Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.Административная ответственность за нарушение настоящего Федерального закона наступает за:

— неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст.5.39 КоАП РФ);

— нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст.13.11 КоАП РФ);

— разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст.13.14 КоАП);

— непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст.19.7 КоАП РФ).

Кроме того, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность, предусмотренная ст.137, 272 УК РФ.

Персональные данные субъектов персональных данных, полученные кредитной организацией при рассмотрении заявок на получение кредита, в случае отрицательного решения кредитной организации подлежат уничтожению в срок, не превышающий трех рабочих дней с даты принятия соответствующего решения.

Обращаем Ваше внимание, что типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных, могут храниться в формате цифровых копий при соблюдении требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.

При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных, является файл электронной цифровой подписи.

Кроме того, предложение оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта. Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

В соответствии с ч.3 ст.10 Федерального закона «О персональных данных» обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

До начала осуществления трансграничной передачи персональных данных оператор, осуществляющий обработку персональных данных (далее — Оператор) на территории Российской Федерации, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

Критериев, определяющих адекватность защиты прав субъектов персональных данных на территории иностранного государства, действующим законодательством Российской Федерации не предусмотрено.

Оператору, осуществляющему трансграничную передачу персональных данных, необходимо руководствоваться законодательством иностранного государства, на территорию которого осуществляется передача персональных данных, законодательством Российской Федерации в области защиты прав субъектов персональных данных, а также международными нормативными актами, в том числе Конвенцией о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года ETS № 108 с учетом перечня стран, подписавших и ратифицировавших данную Конвенцию. Это Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония.

Вторая группа, которые могут претендовать на статус стран, обеспечивающих адекватную защиту персональных данных, это страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных. Это Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония.

Требования Федерального закона «О персональных данных» распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации.

Согласно пункту 9 статьи 3 Федерального закона «О персональных данных» информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.В случае соответствия веб-сайта указанным требованиям он является информационной системой.

Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора.

Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале.

Типовая форма акта и журнала утверждаются самим Оператором.

• Да, такие документы, разработанные отдельными представителями операторского сообщества, существуют:
• — стандарты и рекомендации в области стандартизации Банка России;
• — концепция защиты персональных данных в информационных системах персональных данных оператора связи;
• — методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости.

Источник: Информация Роскомнадзора от 25.09.2015