Заявление на передачу личных данных

*Согласие на передачу персональных данных, в том числе медицинских данных, и отказ от вакцинации

Ответ:

Согласно п. 1 ч.1 ст. 86 ТК РФ обработка персональных данных работника может осуществляться работодателем исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

При передаче персональных данных работника работодатель должен соблюдать следующие требования: не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами (ст.88 ТК РФ).

В таких условиях огласие работника на передачу органам власти Московской области его персональных данных в части информации о вакцинации против короновируса, наличия антител IgG, снилс, номера полиса омс и т.п. не требуется.

По вопросу отстранения от работы необходимо иметь в виду следующее.

Абзацем 8 части первой статьи 76 Трудового кодекса Российской Федерации (далее — Кодекс) предусмотрена обязанность работодателя по отстранению от работы в случаях, предусмотренных Кодексом, другими федеральными законами и иными нормативными правовыми актами Российской Федерации.

Вопросы отстранения от работы в связи с отсутствием прививок регулируются законодательством об иммунопрофилактике.

Так, согласно письму Роспотребнадзора (письмо от 12 января 2021 г. N 02/276-2021-23) профилактические прививки проводятся гражданам в целях предупреждения возникновения и распространения инфекционных заболеваний в соответствии со статьей 35 Федерального закона от 30 марта 1999 г. N 52-ФЗ «О санитарно-эпидемиологическом благополучии населения» (далее — Закон N 52-ФЗ).

Профилактические прививки против новой коронавирусной инфекции проводятся добровольно.

В соответствии с пунктом 2 статьи 5 Федерального закона от 17 сентября 1998 г. N 157 «Об иммунопрофилактике инфекционных болезней» (далее — Закон N 157-ФЗ) отсутствие профилактических прививок влечет отказ в приеме на работы или отстранение граждан от работ, выполнение которых связано с высоким риском заболевания инфекционными болезнями.

Перечень работ, выполнение которых связано с высоким риском заболевания инфекционными болезнями и требует обязательного проведения профилактических прививок (далее — Перечень), утвержден постановлением Правительства Российской Федерации от 15 июля 1999 г. N 825.

При отсутствии осложненной эпидемиологической обстановки категория лиц, не предусмотренная Перечнем , имеет право на отказ от профилактических прививок ( пункт 1 статьи 5 Закона N 157-ФЗ). Отказ оформляется в письменной форме ( пункт 3 статьи 5 Закона N 157-ФЗ, пункт 7 статьи 20 Федерального закона от 21 ноября 2011 г. N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»).

Таким образом, при наличии отказа работника от вакцинации в плановом порядке (в соответствии с национальным календарем профилактических прививок, утвержденным приказом Минздрава России от 21 марта 2014 г. N 125н) работодатель не вправе отстранить его от работы или принудить гражданина к проведению профилактических мероприятий.

При угрозе возникновения и распространения инфекционных заболеваний, представляющих опасность для окружающих, главные государственные санитарные врачи субъектов Российской Федерации и их заместители наделяются полномочиями выносить мотивированные постановления о проведении профилактических прививок гражданам или отдельным группам граждан по эпидемическим показаниям ( подпункт 6 пункта 1 статьи 51 Закона N 52-ФЗ). В случае вынесения постановления Главного государственного санитарного врача субъекта Российской Федерации или его заместителей о проведении профилактических прививок гражданам или их отдельным группам граждане могут отказаться от прививок, но в этом случае они должны быть отстранены от выполняемых работ на период эпиднеблагополучия.

Граждане, юридические лица, индивидуальные предприниматели обязаны выполнять требования санитарного законодательства, а также постановлений, предписаний должностных лиц, осуществляющих федеральный государственный санитарно-эпидемиологический надзор, статей 10 и 11 Закона N 52-ФЗ.

Правовое обоснование:

Согласно пп. 2 п. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обработка персональных данных допускается в случае, если обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

Согласно п. 2 ст. 5 Федерального закона от 17.09.1998 № 157-ФЗ «Об иммунопрофилактике инфекционных болезней» отсутствие профилактических прививок влечет:

запрет для граждан на выезд в страны, пребывание в которых в соответствии с международными медико-санитарными правилами либо международными договорами Российской Федерации требует конкретных профилактических прививок;

временный отказ в приеме граждан в образовательные организации и оздоровительные учреждения в случае возникновения массовых инфекционных заболеваний или при угрозе возникновения эпидемий;

отказ в приеме граждан на работы или отстранение граждан от работ, выполнение которых связано с высоким риском заболевания инфекционными болезнями.

Перечень работ, выполнение которых связано с высоким риском заболевания инфекционными болезнями и требует обязательного проведения профилактических прививок, устанавливается уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти.

Согласно пп. 6 п. 1 ст. 51 Федерального закона от 30.03.1999 № 52-ФЗ «О санитарно-эпидемиологическом благополучии населения» главные государственные санитарные врачи и их заместители наряду с правами, предусмотренными статьей 50 указанного федерального закона, наделяются следующими полномочиями:

при угрозе возникновения и распространения инфекционных заболеваний, представляющих опасность для окружающих, выносить мотивированные постановления о:

проведении профилактических прививок гражданам или отдельным группам граждан по эпидемическим показаниям.

Согласно ч. 1 ст. 76 Трудового кодекса РФ работодатель обязан отстранить от работы (не допускать к работе) работника:

появившегося на работе в состоянии алкогольного, наркотического или иного токсического опьянения;

не прошедшего в установленном порядке обучение и проверку знаний и навыков в области охраны труда;

не прошедшего в установленном порядке обязательный медицинский осмотр, а также обязательное психиатрическое освидетельствование в случаях, предусмотренных ТК РФ, другими федеральными законами и иными нормативными правовыми актами Российской Федерации;

при выявлении в соответствии с медицинским заключением, выданным в порядке, установленном федеральными законами и иными нормативными правовыми актами Российской Федерации, противопоказаний для выполнения работником работы, обусловленной трудовым договором;

в случае приостановления действия на срок до двух месяцев специального права работника (лицензии, права на управление транспортным средством, права на ношение оружия, другого специального права) в соответствии с федеральными законами и иными нормативными правовыми актами Российской Федерации, если это влечет за собой невозможность исполнения работником обязанностей по трудовому договору и если невозможно перевести работника с его письменного согласия на другую имеющуюся у работодателя работу (как вакантную должность или работу, соответствующую квалификации работника, так и вакантную нижестоящую должность или нижеоплачиваемую работу), которую работник может выполнять с учетом его состояния здоровья. При этом работодатель обязан предлагать работнику все отвечающие указанным требованиям вакансии, имеющиеся у него в данной местности. Предлагать вакансии в других местностях работодатель обязан, если это предусмотрено коллективным договором, соглашениями, трудовым договором;

по требованию органов или должностных лиц, уполномоченных федеральными законами и иными нормативными правовыми актами Российской Федерации;

в других случаях, предусмотренных ТК РФ, другими федеральными законами и иными нормативными правовыми актами Российской Федерации.

Новые правила обработки и распространения персональных данных с 1 марта 2021 года

Изменения в законе о персональных данных с 1 марта 2021 года

Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.

Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. С 1 марта 2021 года изменился порядок обработки персональных данных, разрешенных гражданами для распространения.

2. Согласие на распространение персональных данных теперь оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных.

3. Получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. Нужно заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

4. Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора.

5. Гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц.

6. По новым правилам физлицо в любое время может обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа.

7. Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет штраф для ИП и должностных лиц организаций от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Существующий правовой пробел позволял любым третьим лицам осуществлять сбор и последующее бесконтрольное использование общедоступных персональных сведений, в том числе и в социальных сетях. Причем собранные таким образом сведения зачастую используются третьими лицами в целях, отличных от цели их первоначального распространения, – для рассылки рекламы, предложения услуг и т.д.

Новые правила исключают для операторов персданных и третьих лиц подобную возможность и устанавливают четкие правила дачи согласия на распространение и обработку общедоступных личных сведений.

Одновременно вступившие в силу поправки регламентируют процедуру отзыва согласия на распространение общедоступных персональных данных, а также определяют последствия несоблюдения операторами порядка получения согласия на их обработку и распространение.

Все это позволит избежать бесконтрольного использования третьими лицами общедоступных сведений о гражданах вопреки целям их первоначального получения и обработки.

Согласие на обработку данных, разрешенных к распространению

Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя.

Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.

Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).

В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.

Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.

Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.

Отзыв согласия на обработку и распространение общедоступных персональных данных

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.

При этом требование о прекращении передачи общедоступных данных должно содержать следующие сведения (п. 12 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ):

• ФИО заявителя;
• контактную информацию заявителя (номер телефона, адрес электронной почты или почтовый адрес);
• перечень персональных данных, обработка которых подлежит прекращению.

Причем все вышеуказанные персональные данные могут обрабатываться только оператором, которому было направлено требование. С момента получения оператором персданных указанного требования действие согласия физлица на обработку его общедоступных сведений считается прекращенным.

Получив от физлица требование о прекращении передачи общедоступных сведений, оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа (п. 14 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). В противном случае он понесет административную ответственность по ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных).

Новые штрафы за нарушение правил обработки персональных данных

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

Как взять согласие на обработку персональных данных

Блочный редактор писем, готовые шаблоны email, формы подписки и автоматизация. Запускайте email-рассылки, чтобы быть на связи со своими клиентами.

Где взять базу? Как сделать красивое письмо? Какие показатели смотреть? Расскажем об этом в бесплатном курсе из 16 писем. Татуировка в каждом письме!

Рассказываем про инструменты для email-рассылок. Обсуждаем лучшие примеры и механики. Говорим о деньгах. Публикуем вакансии.

Почти каждый владелец бизнеса или маркетолог собирает персональные данные пользователей. Это могут быть имена, email, номера телефонов, дни рождения и другая информация.

Персональные данные помогают персонализировать общение с клиентами и настроить рекламу в разных каналах. В большинстве случаев предоставлять персональную информацию выгодно пользователям — так они могут автоматически авторизовываться на сайте и получать уникальные предложения.

Проблемы возникают в том случае, если персональные данные собираются, хранятся или используются не по правилам. В таком случае пользователь может пожаловаться, а компания получит штраф.

Разберемся, что такое согласие на обработку персональных данных и как правильно собирать, хранить и обрабатывать информацию о пользователях.

Что считается персональными данными

Закон РФ №152-ФЗ «О персональных данных» объясняет, как компаниям собирать информацию о пользователях. Даже если владелец сайта сразу удаляет пользовательские данные после получения, он всё равно является оператором по их обработке и несёт ответственность.

Уведомления о сборе cookies на сайтах появились после введения Регламента об использовании персональных данных жителей Европейского Союза — GDPR (General Data Protection Regulation).

GDPR требует, чтобы все европейские компании прозрачно показывали пользователю, как они обрабатывают информацию о его поведении на сайте. В целом мало отличается от российского закона о персональных данных и похожих законов в других странах: Украине, Беларуси, Казахстане.

Под персональными данными понимают любую информацию, по которой можно идентифицировать человека. Это может быть:

• email;
• ФИО;
• номер телефона;
• дата рождения;
• фотография;
• IP-адрес пользователя;
• ссылка на профиль в социальной сети.

Сбором данных клиентов будет считаться любая форма на сайте: подписка на рассылку, регистрация в личном кабинете, отправка заявки или обратного звонка.

Владелец сайта несёт ответственность за работу с персональными данными. Он должен:

• предупредить, какую информацию и с какой целью собирает;
• изменять или удалять информацию по запросу от пользователя;
• обеспечить конфиденциальность и сохранность информацию для других организаций и пользователей.

За пользователем остаётся право отказаться и не оставлять данные.

За невыполнение требований ФЗ №152 организациям грозит штраф от 30 000 до 75 000 рублей и блокировка сайта. Если нарушений несколько, сумма штрафа может составить несколько десятков или сотен тысяч рублей.

Например, сайт Linkedin заблокировали на территории РФ и оштрафовали за нарушение сбора cookie и данных пользователей без их уведомления.

Facebook и Twitter вслед за Linkedin получили предупреждение за хранение данных россиян не на территории России. В январе 2020 года Роскомнадзор возбудил уже административное дело. Facebook и Twitter получили штраф в размере 4 млн рублей.

Как получить согласие пользователей на сайте

Требования ФЗ 152 относятся и к юридическим лицам, и к физическим. Как получить согласие на обработку персональных данных на сайте:

1. Составьте соглашение о работе с персональными данными клиентов.
2. Разместите соглашение на сайте в общем доступе.
3. Разместите уведомление о сборе cookies и данных незарегистрированных пользователей.
4. Добавьте в каждую форму на сайте пустой чек-бокс для согласия на передачу данных.
5. Настройте работу с персональными данными внутри компании.
6. Локализуйте хостинг и хранение данных на российских ресурсах.

Дальше я расскажу о каждом из этих пунктов подробнее.

Составьте соглашение о работе с персональными данными клиентов . Соглашение разрешает вам собирать, хранить и использовать персональные данные. В этом документе пользователь может прочитать ваши правила работы с контактной информацией и узнать, как отозвать свое согласие на обработку.

Закон не предусматривает устного соглашения сторон. Сайт обязательно должен хранить логи, чтобы, в случае чего, доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и соглашался на передачу персональных данных.

Чтобы составить грамотное соглашение, лучше обратиться к юристу. Я приведу обязательные пункты соглашения о работе с персональными данными на сайте.

• Контакты оператора: наименование компании или ФИО для физического лица, адрес местонахождения.
• Цели обработки. Обычно это информирование пользователя посредством отправки электронных писем и SMS-уведомлений или предоставление доступа пользователю к информации, сервисам и материалам, содержащимся на веб-ресурсе.
• Перечень персональных данных, которые поддаются сбору. Учтите, что данные и цели сбора должны совпадать. Например, если в цели обозначено только информирование по электронной почте, то берём у пользователя только email и имя.
• Перечень действий по работе с персональными данными: что планируется делать с полученной информацией. По закону, данные можно собирать, записывать, систематизировать, накапливать, хранить, уточнять (обновлять, изменять), извлекать, использовать, передавать (распространять, предоставлять доступ), обезличивать, блокировать, удалять, уничтожать.
• Срок действия согласия пользователя, а также условия отзыва. Как пользователь может изменить или отозвать согласие на обработку.
• Если в процессе работы с персональными данными принимает участие другое юридическое лицо, в соглашении указывается его наименование и адрес.

Соглашение составляется с соблюдением ФЗ-152. Если какой-то из пунктов будет ему противоречить, документ считается незаконным. В Тильде создали шаблон , чтобы составить пользовательское соглашение. Вбиваете нужную информацию, а на выходе получаете готовый документ для сайта.

Примеры соглашений об обработке персональных данных:

Разместите соглашение на сайте в общем доступе . Когда соглашение будет готово, разместите его на сайте. Обычно это делается ссылкой в подвале в виде отдельного документа и в каждой форме, где вы собираете персональные данные.

Разместите уведомление о сборе cookies и данных незарегистрированных пользователей . Cookies — служебная информация о поведении пользователей на сайте. Ее расценивают как персональные данные. Если у вас установлены системы аналитики сайта, следует предупредить всех новых пользователей, что вы собираете их данные: тип устройства, геоположение, браузер, IP-адрес.

Порядок работы с cookies пользователей можно добавить к соглашению .

Добавьте в каждую форму на сайте пустой чек-бокс для согласия на передачу данных . Любая форма, включающая пользовательскую информацию, должна содержать похожий текст: «Нажимая на кнопку, вы подтверждаете согласие на обработку персональных данных» . Текст также должен содержать ссылку на документ, где вы описываете порядок работы с персональными данными. Такой документ может называться «Политика конфиденциальной информации » , «Пользовательское соглашение » или «Оферта » — с юридической точки зрения разницы нет. Все эти документы регулируют обработку персональных данных пользователей.

Настройте работу с персональными данными внутри компании. Если сайт принадлежит компании, следует:

• ознакомить сотрудников с правилами работы с персональными данными и взять подписи об их неразглашении;
• подписывать соглашения при передаче данных третьим лицам, например с рекламными агентствами;
• добавить пункты о согласии на обработку персональных данных в договоры с физическими лицами;
• не игнорировать запросы пользователей об изменении данных или отказе от согласия.

Обычно пользователи хотят отозвать согласие, если компания нарушает обязательства по работе с персональными данными. Например, вы поделились базой подписчиков с партнёрской компанией и она отправила им письма.

Заявление делается в свободной форме и направляется по электронному адресу компании. Если вы получили такое письмо, выполнить требования следует в течение 30 дней. Когда вы обработаете запрос, напишите пользователю ответное сообщение.

Локализуйте хостинг и хранение информации на российских ресурсах . Роскомнадзор запрещает компаниям хранить персональные данные в зарубежных дата-центрах и облачных системах. Уточните у своего хостинга готовые решения на такой случай или выберите другого провайдера с местными дата-центрами.

Разглашение персональных данных

Вся информация о жизнедеятельности человека, неразрывно связанные с личностью и идентифицирующие данные лица отдельно охраняются законом. Подобные сведения могут быть получены в строгом соответствии с определенном порядком.

Содержание статьи:

Несоблюдение законного процесса получения и дальнейшей работы с такими данными влечет наступление соответствующих негативных последствий для нарушителя.

Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ регулирует данные вопросы, а наш адвокат готов помочь разобраться в вопросе ответственности за разглашение персональных данных, объяснит как выстроить защиту виновному и как защитить права потерпевшей стороне: профессионально, сотрудничество на выгодных условиях и в срок.

В перечень персональных данных включается следующее:

1. Сведения о дате и месте рождения
2. Паспортные данные, а равно сведения, содержащиеся в любом ином удостоверении личности
3. Уровень образования
4. Трудоустройство и стаж
5. Наличие / отсутствие судимости
6. Кредитные данные
7. Информация о родственниках
8. Место жительства (регистрации) лица
9. Переписка в любой ее форме
10. Состояние здоровья
11. Образ жизни и иные биографические данные
12. И так далее.

По общему правилу получение всех перечисленных данных допустимо исключительно с согласия самого человека. В отсутствие необходимого одобрения их разглашение также не допускается.

Для решения вопроса об ответственности первоначально следует разобраться, что является разглашением персональных данных о личности. Под этим законодательство понимание совершение действий, в результате которых иные лица получают доступ к персональной информации гражданина. Обязательным условием незаконности распространения выступает неполучение согласия на разглашение сведений от самого обладателя персональных данных.

Что делать при незаконном разглашении персональных данных?

Способы защиты данного нарушенного права различны. Жалоба на незаконное использование персональных данных может быть подана в правоохранительные органы либо непосредственно в суд.

В зависимости от выбранного способа существуют различные последствия для нарушителя. Результатом направлении жалобы в адрес правоохранителей является привлечение виновника к административной либо уголовной ответственности. Обращение в полицию с соответствующим заявлением особенно актуально в случае, если сведения о распространителе не известны. Иными словами – не достаточно данных виновника нарушения прав для определения его в суде в качестве ответчика. В таком случае задачей государственного органа будет установление лица, допустившего незаконное распространение данных о личности.

Целью подачи заявления в суд, в отличие от обращения в полицию, выступает предъявление денежного требования к ответчику в качестве компенсации за незаконное распространение личных данных. При этом, такое заявление обязательно должно отвечать установленным процессуальным кодексом требованиям к исковому порядку.

Немаловажно отметить, что при решении вопроса куда жаловаться на разглашение персональных данных, необходимо знать – оба рассмотренных способа не противоречат друг другу и могут быть реализованы одновременно. Применение всевозможных процедур защиты нарушенного права напротив имеет максимальный положительный эффект. По сути жалоба в правоохранительные органы и иск в суд будут дополнять друг друга. Установленные фактические данные в полиции будут дополнительным доказательством в суде и упростят рассмотрение гражданского иска.

Каким образом возможно законное использование персональных данных?

Несмотря на ответственность за разглашение сведений о личности, получение и дальнейшая работа с такого рода информацией возможна в правовом поле. Соблюдение обязательных требований получения, сбора и обработки данных гражданина позволит их применять совершенно законно без страха наступления ответственности. При этом, передача персональных данных третьим лицам должна происходить только в случае согласии лица. Такое одобрение должно быть зафиксировано в электронном виде либо на бумажном носителе.

В соответствующем соглашение на персональные данные должно быть отмечено:

1. Сведения о лице, которое дает согласие. Подобное право принадлежит исключительно самому человеку и неразрывно с ним связано. Поэтому согласие следует получить у самого лица непосредственно. Передача этого права. например по доверенности не допустима.
2. Перечень информации, согласие на получение и дальнейшие действия с которой одобряет лицо. Круг вопросов, входящих в персональные данные, крайне обширен. В этой связи, согласие на получение одних сведений, например, паспортных данных, очевидно не позволяет получать и распространять всю оставшуюся информацию о личности.
3. Список лиц, которым разрешен доступ к информации. Законный порядок передачи персональных данных третьим лицам обуславливает наличие ограничений в части круга лиц, которые вправе обрабатывать личные данные. По этой причине следует отметить перечень доверенных лиц, получивших право на обработку персональных данных.
4. Срок действия согласия. Соглашением на обработку персональных данных может быть предусмотрен период, в течение которого допускается возможность использования данных о личности. Применение полученных от человека сведений за пределами оговоренного срока в равной степени признается незаконным распространением персональных данных с соответствующими последствиями.
5. Порядок отзыва согласия. По общему правилу отозвать разрешение в части персональных данных возможно в любой момент. Для этого требуется подача соответствующего письменного заявления с указанием на прекращение действия разрешения на персональные данные. Вместе с тем, дополнительно в соглашении допустимо предусмотреть каким именно образом и способом возможно сообщить об отзыве согласия на обработку персональных данных.

Последствия незаконного распространения персональных данных

Итогом нарушения любого из требований закона о персональных данных помимо денежной компенсации и возмещения возможных убытков является наличие публичной санкции в виде административного или уголовного наказания. При этом, ответственность возможна как за сбор, так и дальнейшую обработку, и распространение данных о личности.

Применение административная ответственность за разглашение персональных данных допускается в том случае, если не наступают последствия, связанные с уголовным преследованием. Размер санкции статьей 13.11 административного кодекса определяется в зависимости от того, кто выступает распространителем – физическое (в т.ч. должностное) либо юридическое лица. Также на размер штрафа влияет конкретный вид совершенного нарушения – выбор части приведенной статьи закона напрямую связан именно с объективной стороной нарушения.

Наступление уголовная ответственность за разглашение персональных данных происходит при незаконных действиях именно с сведениями о личной жизни. Примером в этой части может служить информация об образе жизни, здоровье человека и тому подобное. Читайте по ссылке, как наш адвокат по уголовным делам будет отстаивать ваши интересы в случае привлечения к ответственности за данное нарушение.

Наказание по рассматриваемому преступлению непосредственно зависит от исполнителя (отдельная санкция содержится для должностных лиц), а также от способа разглашения информации. Поскольку распространение сведений в СМИ или при публичном выступлении очевидно наносит больший вред, то и ответственность аналогична закреплена законом более суровая.

Помимо указанных наказаний по 137 статье УК РФ, штраф за нарушение 152 ФЗ предусмотрен и в следующей – 138 статье. Преступлением в таком случае также будет признаваться нарушение в области переписки лиц. Вид полученной переписки между гражданами не имеет значения. При решении вопроса какое наказание за разглашение персональных данных в случае переписки равнозначно нарушением тайны будет считаться сведения телефонного разговора, электронных или почтовых писем.

Образец жалобы на незаконное использование персональных данных

В Федеральную службу по надзору в сфере защиты прав потребителей и благополучия человека

В Центральный банк Российской Федерации

От П.

Жалоба на использование персональных данных

Между мной, П., и ОАО «Уралвнешторгбанк» был заключен кредитный договор который был исполнен путем фактического исполнения в 2006 году. 2 месяца назад в мой адрес постоянно начали поступать звонки от лиц, представляющихся сотрудниками организации «Первое коллекторское бюро» с требованием оплатить задолженность по указанному выше кредиту 2 700 рублей. Однако кредит мной давно погашен, задолженности, в том числе пени я не имею, об указанных обстоятельствах я неоднократно сообщал звонившим мне работникам коллекторского агентства, однако никакого результата не последовало.

В настоящее время ОАО «Уралвнешторгбанк» не существует, поэтому обратиться в банк для урегулирования данного вопроса не представляется возможным.

В результате неправомерных действий сотрудников НАО «Первое коллекторское бюро» нарушается покой и благополучие моей семьи.

Кроме того, звонки поступают мне на работу, сотрудники коллекторского агентства в ходе этих телефонных разговоров вводят в заблуждение моих коллег и начальство, передавая им информацию, не соответствующую действительности, таким образом дискредитируя меня.

Звонки поступают со следующих номеров телефонов: …

Таким образом, необходимо сделать вывод что ПАО «Бинбанк», являющееся правопреемником ОАО «Уралвнешторгбанк» нарушило закон о банковской тайне и сообщило мои конфиденциальные данные третьим лицам.

В связи с давностью получения и выплаты кредита у меня не сохранилось никаких документов, ни кредитного договора, ни графика платежей, ни документов подтверждающих погашение кредита. В связи с вышеизложенным, считаю необходимым запросить ПАО «Бинбанк», сведения об отсутствии у меня задолженности по кредиту.

Ст. 26 Федерального закона о банках и банковской деятельности гласит, Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.

За разглашение банковской тайны Банк России, руководители (должностные лица) федеральных государственных органов, перечень которых определяется Президентом Российской Федерации, высшие должностные лица субъектов Российской Федерации (руководители высших исполнительных органов государственной власти субъектов Российской Федерации), организация, осуществляющая функции по обязательному страхованию вкладов, кредитные, аудиторские и иные организации, уполномоченный орган, осуществляющий функции по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, орган валютного контроля, уполномоченный Правительством Российской Федерации, и агенты валютного контроля, а также должностные лица и работники указанных органов и организаций несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном федеральным законом.

Операторы платежных систем не вправе раскрывать третьим лицам информацию об операциях и о счетах участников платежных систем и их клиентов, за исключением случаев, предусмотренных федеральными законами.

Исходя из вышеизложенного, мои конфиденциальные данные, которыми являются сведения о моем кредите, не должны были попасть к третьим лицам, т.е. к ООО «Первое коллекторское бюро», таким образом необходимо сделать вывод о существенном нарушении моих право ПАО «Бинбанк».

На основании изложенного и руководствуясь нормами действующего законодательства,

ПРОШУ:

• провести проверку в отношении ПАО «Бинбанк» по факту разглашения конфиденциальных данных третьим лицам;
• привлечь лиц ответственных за разглашение к предусмотренной законом ответственности.

Автор статьи:

© адвокат, управляющий партнер АБ «Кацайлиди и партнеры»

Памятка для получения информации о персональных данных в электронном виде

1. Для получения информации, содержащей персональные данные [1] , по каналам электронной почты [2] либо посредством телефонной связи необходимо представить в ПФР [3] либо его территориальный орган [4] , осуществляющий выплату гражданину пенсии:

• копию действующего документа, удостоверяющего личность;
• оригинал заявления о согласии на трансграничную передачу персональных данных в электронном виде [5] либо посредством телефонной связи с указанием адреса электронной почты, сведений о фамилии, имени, отчестве, страховом номере индивидуального лицевого счета (при наличии), документе, удостоверяющем личность (в том числе иностранном паспорте), и подписи субъекта персональных данных.

Для получения информации, относящейся к персональным данным, при обращении в ПФР (его территориальный орган) посредством телефонной и иных средств телекоммуникационной связи, с целью идентификации личности гражданина необходимо сообщить фамилию, имя, отчество (при наличии), страховой номер индивидуального лицевого счета (при наличии), данные документа, удостоверяющего личность, а также контрольную информацию [6] , указанную в пункте 4 вышеназванного заявления.

При направлении названного заявления посредством почтовой либо курьерской связи личная подпись в заявлении заверяется в установленном порядке нотариусом [7] или консульским учреждением Российской Федерации.

Примерная форма заявления о согласии на трансграничную передачу персональных данных в электронном виде либо посредством телефонной связи прилагается.

2. Для получения информации о персональных данных в Личном кабинете гражданина, размещенном на официальном сайте ПФР, необходимо пройти регистрацию в Единой системе идентификации и аутентификации (ЕСИА) или на «Едином портале государственных и муниципальных услуг» [8] .

Подробная информация по регистрации на портале Госуслуг (в том числе подтверждение упрощенной, стандартной и подтвержденной учетной записи) размещена на сайте gosuslugi.ru [9] .

[1] В соответствии с положениями пункта 1 статьи 3 и статьи 7 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) информация о пенсионном обеспечении (размере и выплате пенсии) относится к персональным данным, сохранность и конфиденциальность которых должен обеспечивать ПФР, являющийся оператором, обрабатывающим эти данные.

[2] Передача информации на адрес электронной почты осуществляется с использованием общедоступной сети Интернет, т.е. отсутствует гарантия, что доступ к этой информации не получат третьи лица, которые смогут использовать ее в своих целях.

[3] Почтовый адрес Пенсионного фонда Российской Федерации: ул. Шаболовка, 4, ГСП-1, г. Москва, 119991.

[4] Контактные данные которого можно найти на интернет – сайте ПФР: www.pfr.gov.ru → Выбрать свой регион→ Контакты отделения и клиентских служб.

[5] В соответствии со статьей 12 Закона № 152-ФЗ трансграничная передача персональных данных в электронном виде может быть осуществлена при условии наличия на это согласия в письменной форме субъекта персональных данных.

[6] В качестве ответа на секретный вопрос в заявлении выбирается и заполняется соответствующая отметка (девичья фамилия матери, кличка домашнего питомца, любимое блюдо, любимый писатель, номер школы, которую закончил заявитель), указание секретного кода состоит из букв и (или) цифр (не более 20 символов).

[7] Если заверение осуществляется иностранным нотариусом, то его удостоверительная надпись должна быть составлена (переведена) на русском языке. При этом печать на иностранном языке, которой удостоверена запись нотариуса, также должна быть переведена на русский язык. Если иное не установлено международным договором Российской Федерации, полномочия иностранного нотариуса удостоверяются посредством консульской легализации либо апостилирования – для государств участников Гаагской конвенции, отменяющей требование легализации иностранных официальных документов от 05.10.1961.

[8] Далее – портал Госуслуг.

[9] Регистрация на портале государственных услуг не отнесена к компетенции ПФР.