Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как оформить согласие на обработку персональных данных?». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Я даю разрешение Банку* на получение из бюро кредитных историй кредитного отчета, содержащего, в том числе, основную часть кредитной истории, определенную в ст. 4 Федерального закона от 30.12.2004 № хх8 — ФЗ «О кредитных историях», для целей проведения Банком проверки и анализа моей кредитоспособности, а также подбора условий кредитования, в которых я потенциально могу быть заинтересован. Автоматизированная и неавтоматизированная обработка персональных данных, указанных в настоящем Согласии, осуществляется Банком с целью получения кредитного отчета. Обработка включает в себя: сбор, запись, систематизацию, хранение, извлечение, использование, передачу (предоставление) третьим лицам**, их работникам и уполномоченным ими лицам, включая обезличивание, блокирование и уничтожение. Срок обработки персональных данных ограничивается достижением указанной выше цели.
Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:
- наименование компании-работодателя;
- место и дата составления документа;
- фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.
Далее в основной части подробно указывается:
- каких именно персональных данных касается документ;
- в каких целях и что именно допустимо с ними делать;
- срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).
Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.
Как происходит обработка персональных данных?
Понятие «обработка» подразумевает все действия, которые происходят с данными, начиная с момента их сбора. Передача, запись, распределение, хранение, применение, удаление — эти и многие другие действия входят в понятие «обработка персональных данных».
Все в том же законе №152-ФЗ указано, что обработка персональной информации должна происходить с соблюдением основных принципов:
- соблюдение требований актуального законодательства;
- цель обработки необходимо определить и озвучить субъекту заранее;
- собирать и обрабатывать можно только информацию, которая соответствуют указанной цели;
- оператор обязан обеспечить точность данных, предупредить их искажение, а ответственные лица должны периодически следить за актуальностью информации;
- после достижения финальной цели данные нужно уничтожить.
Пользовательское соглашение
Пользовательское соглашение – это документ, основным назначением которого является урегулирование договорных отношений между владельцем сайта и его посетителями. Оно необходимо всем, кто оказывает услуги или реализует товары в сети Интернет, собирает пользовательские данные, предоставляет доступ.
Разработка и опубликование на сайте пользовательского соглашения позволяет владельцу сайта:
- защититься от неправомерных действий пользователей;
- снизить юридические риски, связанные с претензиями от ФАС, Роскомнадзора, судебными исками и убытками;
- защитить права на контент, размещаемый на сайте;
- юридически закрепить права и обязанности посетителей сайта.
Пользовательское соглашение должно быть доступно для ознакомления на сайте до получения услуги. Пользователь также должен иметь возможность загрузить его. Оно обладает такой же силой, как и любые другие виды договоров. Невыполнение его условий может повлечь за собой негативные юридические последствия.
Пример. В 2020 г. Арбитражным судом уральского округа рассматривался иск от ООО «Трансхолдинг» к индивидуальному предпринимателю К.Е.Е. ООО предоставляет услуги по транспортировке грузов на сайте, работающем по принципу биржи. ИП зарегистрировался в данном информационном сервисе, получил договор-заявку и предоставил транспорт с водителем для осуществления грузоперевозки. После транспортировки грузополучатель обнаружил недостачу груза на сумму более 60 тысяч рублей. Ответчик – индивидуальный предприниматель К.Е.Е. отрицал в суде заключение договора на транспортировку. Однако регистрация на сайте, согласно условиям пользовательского соглашения этого Интернет-ресурса, является акцептом оферты. Поэтому суд пришел к выводу, что ИП выразил согласие со всеми условиями соглашения и должен возместить ответчику все убытки (дело № А60-44322/2020).
Что входит в заявление о согласии на обработку персональных данных
Примеры заполнения есть в свободном доступе в большом количестве. Документ составляют на основании положений пункта 4 статьи 9 Федерального закона №
- паспортные данные субъекта;
- сведения о представителе и его праве представлять интересы гражданина;
- сведения об операторе ПДн, которому дается разрешение на хранение, изменение, блокировку и прочие операции;
- перечисление информации, подлежащей передаче и обработке;
- технологию использования ПДн;
- лиц, которых компания либо ИП собираются привлечь для обработки;
- срок действия соглашения;
- порядок отзыва разрешения;
- оригинал подписи заявителя;
- дату подписания.
Общедоступные данные по-новому
С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).
При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.
К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.
Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.
- Персональные данные – конфиденциальная информация, которая идентифицирует конкретного человека (субъекта ПД).
- Оператор персональных данных – юридическое или физическое лицо, которое осуществляет их сбор, обработку и хранение. Он обязан обеспечить надежную защиту информации.
- Правила обработки ПД регламентируются законодательством (ГК, ТК, УК, КоАП). Нарушения влекут правовую ответственность – вплоть до уголовного преследования.
Согласие на обработку персональных данных – ключевой документ, который обеспечивает законность использования личных данных.
Для организаций (работодателей) важно убедиться, что они обладают необходимым согласием, когда речь идет о регистрации, использовании и хранении персональных данных сотрудников. В этом документе должно быть зафиксировано, на что именно согласен человек, вступающий в трудовые отношения.
Документ (согласие) начинается с описания того, какие стороны участвуют в сборе, хранении или использовании персональных данных, а также какие законы применяются к этой деятельности. Затем следует описание того, какой тип информации можно получать от отдельных лиц, чтобы их данные обрабатывались на законных основаниях и с соблюдением этических норм. Кроме того, в этом документе объясняется, как действовать, если человек передумает давать разрешение на определенные виды обработки.
Получается, что «согласие» это один из базовых документов рамках взаимодействия «работник-работодатель”. Однако этот документ также может потребоваться и в других сферах жизни (например, в при взаимодействии с клиентами).
Куда подавать заявление?
Как уже было сказано, заявление может быть направлено организации-оператору тремя способами: бумажное заявление, составленное в двух экземплярах можно отнести непосредственно в экспедицию (место, где принимают корреспонденцию), заказным письмом с уведомлением или по электронной почте, если это допускается функционалом страницы оператора. Обычно сейчас свои официальные электронные адреса есть у всех организаций.
Отдельно стоит коротко остановиться на таком аспекте работы с персональными данными, как их отзыв у коллекторов — профессиональных взыскателей долгов. Дело в том, что коллекторы могут работать с персональными данными, не запрашивая на это согласия должника. Это допускается нормами закона № 152-ФЗ. Коллекторы приобретают базу персональных данных заемщиков у банков или МФО вместе с портфелем кредитов (займов) по договору переуступки прав требования (цессии).
Тем не менее, отзыв согласия на обработку персональных данных возможен и в данной ситуации, причем тем же самым способом — письменным. После отзыва согласия коллекторы не будут иметь возможности активно работать с данными должника (звонить ему по имеющимся номерам, писать по имеющимся электронным адресам, слать смс-сообщения).
В этом случае отзыв персональных данных называется несколько иначе — отказ от взаимодействия. После подачи отказа от взаимодействия с коллекторами они имеют право общаться с должником обычными бумажными письмами через Почту России.
Однако следует помнить, что сам долг от этого никуда не денется. И коллекторы останутся при своем праве подать на вас в суд и получить судебный приказ или полноценное решение суда. А потом передать документы судебным приставам, которые проведут полноценное исполнительное производство по розыску вашего имущества, по аресту счетов и списания с них денег. Помните — судебная практика в этом вопросе всегда на стороне тех граждан или юр лиц, которым вы задолжали деньги.
А вот после того, как вы расплатитесь с коллекторами полностью, и получите на руки документ о погашении долга — вы сможете отозвать свои персональные данные у этих кровопийцев (или рыцарей плаща и кинжала, это как уж вам удобнее их называть).
После получения заявления на отзыв оператор обязан в течение 30 дней прекратить работу с указанными данными, изъять их отовсюду (из всех своих баз) и уничтожить. Но хотя закон и говорит, что отозвать согласие можно в любое время, на самом деле в нормативных актах предусмотрен целый перечень случаев, когда обработка персональных данных после отзыва согласия продолжается и без согласия гражданина.
Особенности работы с персональными данными
Работа с персональными данными предусматривает обязательность:
- наличия согласия лица, к которому эти данные относятся, на их обработку;
- выполнения обработки лишь для заранее определенных целей, разрешенных законодательством;
- соблюдения конфиденциальности информации о персональных сведениях;
- соблюдения сроков хранения, установленных для таких сведений;
- публикации и передачи сторонним лицам этих данных лишь с согласия их носителя (кроме ситуаций, когда такое согласие не требуется по законодательству).
Носитель персональных данных имеет право на:
- доступ к относящимся к нему сведениям;
- информацию о целях, порядке, ходе и результатах их обработки (кроме ситуаций, когда такое информирование запрещено законодательно);
- сведения об операторе, лицах, осуществляющих обработку от его имени, и сторонних источниках, из которых оператор получает сведения, относящиеся к персональным;
- отзыв выданного им согласия на обработку персональных данных;
- судебную защиту своих интересов при осуществлении оператором неправомерных действий с информацией персонального характера.
Что собой представляет согласие на обработку ПД?
В соответствии с ч. 1 ст. 9 Закона № 152-ФЗ, согласие, о котором идет речь, может быть дано субъектом ПД в любой форме, позволяющей подтвердить факт его получения. Но на практике согласие обычно дается в письменном виде. Оно запрашивается и оформляется в письменном виде заинтересованной стороной, а затем подписывается самим гражданином. Данный документ представляет собой, таким образом, письменное разрешение физлица на обработку и использование персональной информации о себе. Правомерно говорить о том, что данный документ обуславливает появление у оператора персональных данных обязательства по обеспечению использования ПДстрого в определенных целях, недопущению ее незаконной передачив руки третьих лиц.
Согласие на обработку персональных данных применяется повсеместно, его оформляют во всех государственных и коммерческих организациях как для работников, так и для лиц, с которыми такие организации взаимодействуют, используя тем или иным способом персональные данные.
Что должны знать работодатели?
При оформлении согласия работника на обработку персональных данных работодатели должны руководствоваться нормами ст. 86 и 87 ТК РФ. Так, в соответствии с п. 3 ст. 86 ТК РФ, в случае, если ПД работника могут быть запрошены только у третьей стороны, то работника потребуется заранее уведомить о таком запросе, а также получить от него письменное согласие на получение соответствующих персональных данных. Работодатель сообщает работнику о целях, вероятных источниках и механизмах получения ПД, о характере таких данных, а также о последствиях отказа работника предоставить письменное согласие, о котором идет речь.
Предприятия обязаны самостоятельно составлять нормативные положения по обработке персональных сведений по работникам. Выбранный порядок необходимо закрепить в отдельном локальном акте.
Одна из обязанностей работодателя — защита персональных данных.
Услуга может включать в себя несколько операций обработки данных для более чем одной цели. В таких случаях субъекты данных должны иметь возможность выбора, для какой именно цели они дают Согласие, по отдельности. В соответствии с GDPR, для начала предоставления услуги может быть запрошено несколько Согласий.
В пункте 43 разъясняется, что Согласие не считается добровольным, если процесс получения не позволяет субъектам данных давать Согласие на отдельные операции. Пункт 32 гласит: “Согласие должно охватывать все способы обработки персональных данных, осуществляемые для достижения одной и той же цели. В случае, если обработка персональных данных имеет несколько целей, необходимо получить Согласие для каждой из них.”
Если контролер объединил несколько целей обработки и не попытался получить отдельное Согласие для каждой из них, это означает отсутствие свободы. Детализация тесно связана с необходимостью конкретизации Согласия, которая описывается в разделе 3.2. ниже. Когда обработка данных осуществляется в нескольких целях, условием законного Согласия является разделение этих целей и получение Согласия для каждой.
Пример 7
Одним запросом Согласия ритейлер запрашивает у своих клиентов разрешение на использование данных для отправки им маркетинговых сообщений по электронной почте, а также для обмена данными с другими партнерами группы. Такое Согласие не является детализированным, поскольку нет отдельных опций для этих двух целей и поэтому не считается законным. Необходимо получить Согласие на отправку данных партнерам группы. Такое Согласие будет считаться законным для каждого партнера (см. также раздел 3.3.1), перечисленного в Согласии, в той мере, в какой оно соответствует заявленной цели.
GDPR не описывает форму или вид, как именно должна предоставляться информация для выполнения требования об информированном Согласии. Это означает, что она может быть представлена различными способами, такими как письменные или устные заявления, аудио- или видео-сообщения. Тем не менее, в GDPR существует несколько требований к информированному Согласию, главным образом в статье 7(2) и пункте 32. Что повышает степень ясности и доступности.
Запрашивая Согласие, контролер всегда должен использовать ясный и простой язык. Это означает, что сообщение должно быть легко понятно обычному человеку, а не только юристу. Контролеры не должны использовать длинные политики конфиденциальности, которые трудно понять, или юридический жаргон. Согласие должно быть ясным, отличимым от других вопросов, и предоставляться в понятной и легкодоступной форме. Это требование означает, что сведения, имеющие отношение к принятию обоснованного решения о согласии или несогласии, не могут быть скрыты в общих условиях обслуживания.
Контролер обязан обеспечить получение Согласия на основе информации, позволяющей субъекту данных легко распознать, кто есть контролер и с чем именно они соглашаются. Контролер должен ясно описать цель обработки, для которой запрашивается Согласие.
Другие конкретные указания по обеспечению доступности включены WP29 в условия прозрачности. Если Согласие дается электронно, то запрос на него должен быть ясным и кратким. Всеобъемлющая и детализированная информация более подходит для двусторонних обязательств — точная и полная с одной стороны, и понятная с другой.
Контролер обязан оценить целевую аудитория, которая передает персональные данные. Например, если она включает несовершеннолетних, контролер должен убедиться, что информация понятна и им. После такой оценки контролер обязан определить, какую информацию и каким образом он должен предоставить субъектам данных.
Статья 7(2) рассматривает заранее подготовленные письменные заявления о Согласии, которые касаются и другие вопросов. Когда Согласие запрашивается в рамках (бумажного) договора, такой запрос должен быть четко отделен от других вопросов. Если бумажный договор содержит аспекты, не связанные с Согласием, то вопрос о нем должен рассматриваться так, чтобы он четко выделялся, либо предлагался отдельным документом. Аналогично, если Согласие запрашивается электронно, то запрос должен быть обособлен и не может быть лишь абзацем в условиях обслуживания, в соответствии с пунктом 32. При размещении на небольших экранах или в ограниченном пространстве, всесторонний способ предоставления информации может быть уместен во избежание чрезмерного взаимодействия с пользователем или нарушения дизайна продукта.
Контролер, который ссылается на Согласие, также обязан выполнять требования, изложенные в статьях 13 и 14, чтобы соответствовать GDPR. На практике, для соблюдения этих требований и соблюдения требования об информированном Согласии, можно применить комплексный подход. Однако этот раздел Руководства написан в том контексте, что законное “информированное” Согласие может быть получено, даже если не все элементы статей 13 и/или 14 упоминаются в процессе получения (эти пункты, конечно, должны быть упомянуты в другом месте, например, в политике конфиденциальности). WP29 выпустила отдельные рекомендации, касающиеся прозрачности.
Пример 12
Компания X является контролером, получившим жалобы на то, что субъектам данных неясно, для каких целей запрашивают их Согласие . Компания видит необходимость проверить, является ли ее информация в запросе понятной для субъектов данных. X организует добровольные тестовые панели для нескольких категорий своих клиентов и представляет новые положения о Согласии этим группам, прежде чем передавать ее вовне. Отбор респондентов осуществляется с учетом принципа независимости и на основе стандартов, обеспечивающих репрезентативный, непредвзятый результат. Группа получает анкету и указывает, что респонденты понимают из информации и как они оценивают ее с точки зрения ясности и релевантности. Контролер продолжает тестирование до тех пор, пока панели не покажут, что информация стала ясна. X составляет отчет о тестах и сохраняет его для дальнейшего использования. Этот пример показывает возможный способ для X продемонстрировать, что субъекты данных получали ясную информацию, прежде чем дать Согласие на обработку.Пример 13
Компания занимается обработкой данных на основании Согласия. Компания использует всестороннее уведомление о конфиденциальности, которое включает в себя запрос Согласия. Компания раскрывает все главные сведения о контролере и методах обработки данных. Однако компания не указывает, как можно связаться с ее сотрудником по защите данных на первом уровне уведомления. Как указано в статье 6, этот контролер получил законное “информированное” Согласие, даже если контактные данные сотрудника не были сообщены в соответствии со статьей 13(1)(b) или 14(1)(b) GDPR.
Рекомендации по заполнению
Хотя образцы немного отличаются, правила остаются одни для всех:
- Заполняем верхнюю строчку (сразу под названием). В левом углу – населённый пункт. Наименование сокращенно, название – полностью. В правом – дата заполнения в формате: дд.мм.гггг.
- Ф.И.О. пишется полностью.
- Название удостоверения личности – паспорт или свидетельство о рождении. Серию и номер вписываем соответственно данным.
- Место и дата выдачи переписываются полностью из документов.
- Место жительство указывается фактическое, даже если оно не совпадает с пропиской. По адресу могут направить информацию о готовности визы, поэтому важно не допустить ошибок.
- Внизу снова полностью пишем ФИО и ставим подпись, как в паспорте. Если с момента получения документа почерк изменился, стоит потренироваться дома, чтобы подпись была максимально похожу на ту, что в паспорте.
При самостоятельной подаче документов заполняется только первая часть, вторая при этом остаётся незаполненной. Никаких прочерков и прочих знаков ставить не нужно, достаточно оставить пустые строчки.