Как взять согласие на обработку персональных данных

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как взять согласие на обработку персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Я даю разрешение Банку* на получение из бюро кредитных историй кредитного отчета, содержащего, в том числе, основную часть кредитной истории, определенную в ст. 4 Федерального закона от 30.12.2004 № хх8 — ФЗ «О кредитных историях», для целей проведения Банком проверки и анализа моей кредитоспособности, а также подбора условий кредитования, в которых я потенциально могу быть заинтересован. Автоматизированная и неавтоматизированная обработка персональных данных, указанных в настоящем Согласии, осуществляется Банком с целью получения кредитного отчета. Обработка включает в себя: сбор, запись, систематизацию, хранение, извлечение, использование, передачу (предоставление) третьим лицам**, их работникам и уполномоченным ими лицам, включая обезличивание, блокирование и уничтожение. Срок обработки персональных данных ограничивается достижением указанной выше цели.

Какие данные относятся к персональным?

Все правила обращения с личной информацией регулирует Федеральный закон №152-ФЗ «О персональных данных». Согласно статье 3 этого закона, персональными данными можно назвать любую информацию, которая касается непосредственно физического лица — субъекта этих данных. К информации личного характера следует отнести все паспортные данные: Ф. И. О., дату и место рождения, возраст, место проживания, семейный статус.

В этом же законе есть статья 10, которая вносит в список персональной информации подробности о расе, национальности, моральных убеждениях человека, личной жизни, а также сведения о его здоровье.

В статье 11 понятие «персональные данные» расширяется: под термином понимают любые сведения, фото- или видеоматериалы, по которым можно определить личность человека.

Чтобы предупредить неправомерные действия, личная информация каждого человека должна надежно сохраняться. Многие люди бережно относятся к сведениям о себе, и это оправдано. Поэтому, согласно действующим законам РФ, нельзя обрабатывать личную информацию без согласия субъекта (в некоторых случаях — письменного).

Образец заполнения бланка

Согласие на обработку персональных данных — это документ свободной формы, поэтому в каждой организации разрабатывают подходящий вариант шаблона. Но условия согласия на обработку персональных данных говорят о том, что в документе обязательно должна быть такая информация:

• наименование компании;
• место и дата оформления документа;
• Ф. И. О., паспортные данные субъекта;
• Ф. И. О. человека, который представляет интересы компании;
• Ф. И. О. и должность сотрудника, который будет производить обработку данных;
• объяснение цели работы с предоставленными данными;
• перечисление конкретных сведений о работнике, которые будут обрабатывать;
• срок, в течение которого документ считается актуальным;
• способ отказа от согласия;
• подпись сотрудника.

Пользовательское соглашение

Пользовательское соглашение – это документ, основным назначением которого является урегулирование договорных отношений между владельцем сайта и его посетителями. Оно необходимо всем, кто оказывает услуги или реализует товары в сети Интернет, собирает пользовательские данные, предоставляет доступ.

Разработка и опубликование на сайте пользовательского соглашения позволяет владельцу сайта:

• защититься от неправомерных действий пользователей;
• снизить юридические риски, связанные с претензиями от ФАС, Роскомнадзора, судебными исками и убытками;
• защитить права на контент, размещаемый на сайте;
• юридически закрепить права и обязанности посетителей сайта.

Пользовательское соглашение должно быть доступно для ознакомления на сайте до получения услуги. Пользователь также должен иметь возможность загрузить его. Оно обладает такой же силой, как и любые другие виды договоров. Невыполнение его условий может повлечь за собой негативные юридические последствия.

Пример. В 2020 г. Арбитражным судом уральского округа рассматривался иск от ООО «Трансхолдинг» к индивидуальному предпринимателю К.Е.Е. ООО предоставляет услуги по транспортировке грузов на сайте, работающем по принципу биржи. ИП зарегистрировался в данном информационном сервисе, получил договор-заявку и предоставил транспорт с водителем для осуществления грузоперевозки. После транспортировки грузополучатель обнаружил недостачу груза на сумму более 60 тысяч рублей. Ответчик – индивидуальный предприниматель К.Е.Е. отрицал в суде заключение договора на транспортировку. Однако регистрация на сайте, согласно условиям пользовательского соглашения этого Интернет-ресурса, является акцептом оферты. Поэтому суд пришел к выводу, что ИП выразил согласие со всеми условиями соглашения и должен возместить ответчику все убытки (дело № А60-44322/2020).

На обработку какой информации нужно согласие?

К ПДн причисляют абсолютно все сведения, касающиеся человека (физического лица) и позволяющие отличить его от других граждан, а именно:

• имя, фамилия, отчество;
• день, месяц, год и место рождения;
• регистрационный адрес;
• семейное и финансовое положение;
• социальный статус;
• уровень доходов;
• имеющиеся обязательства (алиментные выплаты, кредиты и т.д.);
• образование;
• место работы и профессия, стаж;
• вероисповедание и национальность;
• состояние здоровья;
• вес, рост;
• фотографии, видео, голос;
• политические взгляды.

Информация может быть общедоступной, биометрической и специальной, а источниками и одновременно местами хранения ПДн являются различные документы:

• справки НДФЛ;
• паспорт (как российский, так и заграничный);
• военный билет;
• трудовая книжка;
• паспорт моряка;
• водительское удостоверение;
• карточка сотрудника (форма Т-2);
• заполненные анкеты;
• документы, подтверждающие состав семьи, образование и т.д.

Сколько согласий запрашивать?

В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.

Это согласие работодатели уже давно должны были запросить у работников.

К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).

В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.

Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.

Как получить согласие на обработку персональных данных

Обработка ПД – любые действия с личной информацией о человеке:

• получение (сбор персональных данных);
• структуризация;
• хранение на любых носителях (в электронных и бумажных архивах);
• анализ;
• использование в коммерческой, социальной, государственной деятельности;
• передача другим владельцам или предоставление доступа к базе;
• обезличивание – устранение очевидной связи между человеком и его ПД;
• блокировка – временная остановка работы с информацией по запросу граждан или регулятора;
• удаление и обновление;
• ликвидация без возможности восстановления.

Врачебная тайна как элемент персональных данных

При оказании медицинских услуг производится непосредственная работа с гражданином и информацией о его здоровье, то есть с врачебной тайной (ч. 1 ст. 13 ФЗ «Об основах охраны здоровья граждан в РФ»). Врачебная тайна является одним из элементов персональных данных, следовательно, и требования в отношении персональных данных распространяются на работу с такой информацией. Одновременно с этим отмечаем, что в случае передачи информации о врачебной тайне третьему лицу необходимо предварительно получить отдельное согласие в отношении врачебной тайны гражданина (ч.3 ст. 13 ФЗ «Об основах охраны здоровья граждан в РФ»).

Нередко возникают случаи, когда при подписании согласий на обработку персональных данных граждане корректируют/изменяют согласие, вычеркивая операции с персональными данными, с которыми они не согласны. Такие действия порождают проблемы как у организаций ввиду отсутствия технической возможности исключения отдельных операций, так и у таких граждан в случае возникновения необходимости совершения вычеркнутой операции с персональными данными.

Когда можно отозвать согласие на обработку данных?

В любое время. Так написано в законодательстве. Например, в банк можно обратиться при расторжении или исполнении договора: закрытия в нем счетов или погашения имевшегося кредита. Зачем отзывать, если отношения и так завершены? Для того, чтобы кредитная организация не донимала в дальнейшем бывшего клиента рекламными предложениями.

Но помните — отозвать свои данные из банка можно только тогда, когда у вас закончились с ним все отношения, и вы ему больше ни копейки не должны.

Менее очевидным видится отзыв персональных данных у работодателя после увольнения. Если трудовые отношения между сторонами прекращены, то у работодателя не остается необходимости работать с этими данными. Они списываются в архив и хранятся там. Срок хранения — три года. Но самое главное, что хранятся они там в течение тех же трех лет, даже если гражданин отзовет свое согласие на их обработку. Работать с ними в этом случае нельзя, но и уничтожить тоже.

Отозвать согласие можно при переводе ребенка в другое учебное заведение или после завершения его учебы. Также личные данные имеются у сотовых операторов. И при смене такового можно также потребовать назад свое разрешение на работу с ними.

Подавать заявление на отзыв согласия необходимо в организацию-оператор. Сделать это можно в письменном виде или по электронной почте. Лучше всего такое заявление подавать тем же путем, каким вы давали и свое согласие на обработку персональных данных.

Если согласие давалось в электронном виде, то и отзывайте его по электронным каналам общения. Или, например, если вы пытаетесь отозвать свои данные из банка и вам не лень до него прогуляться, то можете и зайти в отделение с листом бумаги формата А4 и шариковой ручкой.

• Персональные данные — сведения, прямо или косвенно относящиеся к конкретному человеку. Иметь с ними дело время от времени приходится самым разным лицам, а работодателям — всегда. Все действия, производимые с персональными данными, называются их обработкой.
• Работу с персональными данными характеризует ряд особых к ней требований, в число которых входят согласие носителя персональных сведений на обработку данных о нем, обязательное соблюдение конфиденциальности получателем этих сведений, а также заблаговременное определение целей и сроков их использования.
• Работодателю вменяется в обязанность получать персональные сведения непосредственно от работника, а письменное согласие на обработку требуется лишь в ситуациях получения сведений от иных лиц или передачи им данных. Поскольку многие операции, осуществляемые работодателем, требуют сопровождения персональными сведениями работников данных, направляемых третьим лицам (ИФНС, внебюджетные фонды, банки, контролирующие органы), наличие письменного согласия для них становится обязательным.
• Утвержденной формы у бланка согласия на обработку персональных данных не имеется. Но законодательно определен перечень сведений, которые должны быть в нем отражены. Допускается оформление согласия не только на бумаге, но и в виде электронного документа.

Что должны знать работодатели?

При оформлении согласия работника на обработку персональных данных работодатели должны руководствоваться нормами ст. 86 и 87 ТК РФ. Так, в соответствии с п. 3 ст. 86 ТК РФ, в случае, если ПД работника могут быть запрошены только у третьей стороны, то работника потребуется заранее уведомить о таком запросе, а также получить от него письменное согласие на получение соответствующих персональных данных. Работодатель сообщает работнику о целях, вероятных источниках и механизмах получения ПД, о характере таких данных, а также о последствиях отказа работника предоставить письменное согласие, о котором идет речь.

Предприятия обязаны самостоятельно составлять нормативные положения по обработке персональных сведений по работникам. Выбранный порядок необходимо закрепить в отдельном локальном акте.

Одна из обязанностей работодателя — защита персональных данных.

Пункт 43 четко указывает на то, что вряд ли государственные органы могут полагаться на Согласие, поскольку когда контролером данных является государство, часто наблюдается явный дисбаланс в отношениях между ним и субъектом данных. Кроме того, в большинстве случаев ясно, что субъект данных не имеет никаких реальных альтернатив принятию условий такого контролера. WP29 считает, что существуют и другие законные основания, которые в принципе более подходят деятельности государственных органов.

Тем не менее, применение Согласия в качестве законного основания для обработки данных государственными органами не является исключением в GDPR. Следующие примеры показывают, что Согласие может быть уместным при определенных обстоятельствах.

Пример 2
Муниципалитет планирует проведение ремонтных работ на дорогах. Поскольку дорожные работы могут нарушить движение транспорта в течение длительного времени, муниципалитет предлагает жителям возможность подписаться на рассылку электронной почты, чтобы получать обновленную информацию о ходе работ и ожидаемых заторах. Муниципалитет ясно дает понять, что подписка не обязательна, и запрашивает Согласие на использование адресов электронной почты исключительной для этой цели. Жители, которые не дают своего Согласия, не потеряют доступ к другим услугам и не будут ущемлены правах, поэтому имеют возможность добровольно решать, давать или не давать Согласие на такое использование их данных. Вся информация о дорожных работах также будет доступна на сайте муниципалитета.

Пример 3
Физическое лицо, владеющее землей, нуждается в разрешениях как от своего муниципалитета, так и от руководства провинции, которому муниципалитет подчинен. Оба государственных органа требуют одну и ту же информацию для выдачи своего разрешения, но не имеют доступа к базам данных друг друга. Поэтому обе стороны запрашивают одну и ту же информацию, и землевладелец рассылает свои данные обоим органам. Муниципалитет и руководство провинции просят Согласия на объединение дел, чтобы избежать дублирования процедур и переписки. Оба государственных органа следят за тем, чтобы Согласие было факультативным, и чтобы запросы на получение разрешения по-прежнему обрабатывались отдельно, если лицо решит не соглашаться на слияние данных. Землевладелец добровольно может дать Согласие властям на объединение дел, или отказаться.

Пример 4
ВУЗ запрашивает у студентов Согласие на использование их фотографий в студенческом журнале. Согласие считается добровольным, если учащимся не будет отказано в образовании или других услугах без какого-либо ущерба, если они решат не давать его.

Дисбаланс также проявляется в контексте занятости. Учитывая зависимость между работодателем и работником, маловероятно, что субъект данных может отказать своему работодателю в Согласии на обработку персональных данных, не испытывая страха или риска негативных последствий в результате отказа. Маловероятно, что работник может добровольно согласиться, например, активировать системы мониторинга, такие как камеры наблюдения на рабочем месте, или заполнить оценочные формы, не испытывая никакого давления. Таким образом, WP29 считает проблематичным для работодателей обрабатывать персональные данные работников на основе Согласия, поскольку оно вряд ли может считаться добровольно данным. Для большинства случаев обработки данных на производстве Согласие работников (статья 6(1)(а) GDPR) не может быть законным основанием в силу характера отношений.

Однако это не означает, что работодатели не могут полагаться на Согласие в качестве законного основания для обработки персональных данных. Могут возникать ситуации, когда работодатель может продемонстрировать, что Согласие фактически дается добровольно. Учитывая дисбаланс между работодателем и его сотрудниками, работники могут давать Согласие добровольно только в обстоятельствах, когда оно не будет иметь никаких негативных последствий независимо от того, дают они Согласие или нет.

Пример 5
Съемочная группа будет снимать в определенной части офиса. Работодатель просит всех сотрудников, которые работают в этой зоне, дать свое Согласие на съемку, поскольку они могут появиться на заднем плане видео. Те, кто не хочет сниматься, ни в коем случае не наказываются, а вместо этого получают эквивалентные рабочие места в другой части офиса на время съемок.

Дисбаланс не ограничивается лишь государственными органами и работодателями, он может возникать и в других ситуациях. WP29 подчеркивает, что Согласие законно только в том случае, если субъект данных способен осуществлять реальный выбор, без риска обмана, запугивания, принуждения или негативных последствий. Согласие не будет добровольным, когда существует какой-либо элемент принуждения, давления или невозможности осуществлять свободную волю.

В GDPR введено требование о том, что Согласие должно быть информированным. Основываясь на статье 5 GDPR, требование прозрачности является одним из основополагающих принципов, тесно связанных с принципами справедливости и законности. Предоставление информации субъектам данных до получения их Согласия имеет важное значение для принятия ими обоснованного решения, для понимания с чем именно они соглашаются, и, скажем, пониманием права отозвать свое Согласие. Если контролер не предоставляет доступную информацию, субъект данных не получает фактического контроля, и такое Согласие считается незаконным основанием для обработки.

Следствием несоблюдения требования об информированном Согласии является его незаконность, и контролер, возможно, нарушает статью 6 GDPR.

Как отозвать согласие на обработку персональных данных?

Точный порядок действий в законе не прописан, но здесь и нет принципиальных хитростей. Чтобы правильно отозвать данные, напишите заявление в свободной форме. Для отказа от взаимодействия можно подать заявление заказным письмом или в электронном виде.

Желательно делать это тем же способом, что оформляли согласие на ОПД. Если, например, вы подписывали анкету в банке, то лучше дойти до отделения и составить письменный отзыв.

Универсальный бланк отзыва согласия на обработку персональных данных — 15 КБ

Отзыв согласия на обработку персональных данных для МФО — 17 КБ

Заявление об отзыве персональных данных из банка — 19 КБ

Куда подать заявление? Обращайтесь непосредственно к оператору — к организации, которой вы свои данные и передавали.

Отправьте письмо в бумажном виде или электронным способом — в этом случае придет обратное письменное уведомление о получении. Также можно лично посетить канцелярию организации — но тогда сделайте 2 экземпляра (один — для отметки о получении, он останется при вас).

Важно зафиксировать и подтвердить дату получения, поскольку с этого момента начинается 30-дневный период, до истечения которого работа с данными должна быть остановлена.

Похожие записи:

• Как платит алименты ИП
• Способы подтверждения гражданства РФ: где взять справку о его наличии
• Способы переработки и применения природного газа в России