Персональные данные с 1 сентября 2022: какие требования теперь предъявляет закон
Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные с 1 сентября 2022: какие требования теперь предъявляет закон». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).
Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:
- наименование компании-работодателя;
- место и дата составления документа;
- фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.
Далее в основной части подробно указывается:
- каких именно персональных данных касается документ;
- в каких целях и что именно допустимо с ними делать;
- срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).
Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.
Требования к согласию
Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.
Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).
В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.
Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.
Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.
Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.
Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.
Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.
Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.
Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:
-
в течение трех рабочих дней с момента обращения;
-
или в срок, указанный в постановлении суда;
-
или в течение трех рабочих дней с момента вступления решения суда в законную силу.
Требования к согласию
Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.
Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).
В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.
Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.
Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.
Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.
Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.
Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.
Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.
Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:
в течение трех рабочих дней с момента обращения;
или в срок, указанный в постановлении суда;
или в течение трех рабочих дней с момента вступления решения суда в законную силу.
Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.
К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).
Что такое обработка персональных данных?
Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
- работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
- продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
- покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.
Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.
Какие требования предъявляются к согласию на обработку персональных данных
Имеется конкретный список обязательных данных владельца персональной информации, которые должны быть в согласии:
- ФИО;
- контактные данные (телефон, электронная почта, адрес);
- информация об операторе-компании;
- информация об операторе-физлице;
- информация об операторе-ИП;
- информация об информационных ресурсах оператора, через которые неограниченному числу лиц дается доступ к информации и осуществляются иные операции с персональной информацией;
- цель обработки сведений;
- категории и перечень сведений, на обработку которых оформляется согласие — персональные данные (ФИО, дата и место рождения, адрес, семейное положение и т.п.), специальные категории персональных сведений, биометрические данные;
- срок действия согласия.
Если владелец персональных данных захочет, то можно заполнить и такую информацию:
- категории и перечень данных, для обработки которых владелец указывает условия и запреты, а также список этих условий и запретов;
- условия, с учетом которых полученная информация может направляться оператором лишь по его локальной сети, обеспечивающей доступ к сведениям только для конкретных работников, либо с применением определенных телекоммуникационных сетей, либо без передачи персональной информации.
Что входит в заявление о согласии на обработку персональных данных
Примеры заполнения есть в свободном доступе в большом количестве. Документ составляют на основании положений пункта 4 статьи 9 Федерального закона №
- паспортные данные субъекта;
- сведения о представителе и его праве представлять интересы гражданина;
- сведения об операторе ПДн, которому дается разрешение на хранение, изменение, блокировку и прочие операции;
- перечисление информации, подлежащей передаче и обработке;
- технологию использования ПДн;
- лиц, которых компания либо ИП собираются привлечь для обработки;
- срок действия соглашения;
- порядок отзыва разрешения;
- оригинал подписи заявителя;
- дату подписания.
Образец заполнения бланка
Согласие на обработку персональных данных — это документ свободной формы, поэтому в каждой организации разрабатывают подходящий вариант шаблона. Но условия согласия на обработку персональных данных говорят о том, что в документе обязательно должна быть такая информация:
- наименование компании;
- место и дата оформления документа;
- Ф. И. О., паспортные данные субъекта;
- Ф. И. О. человека, который представляет интересы компании;
- Ф. И. О. и должность сотрудника, который будет производить обработку данных;
- объяснение цели работы с предоставленными данными;
- перечисление конкретных сведений о работнике, которые будут обрабатывать;
- срок, в течение которого документ считается актуальным;
- способ отказа от согласия;
- подпись сотрудника.
Отзыв согласия на обработку и распространение общедоступных персональных данных
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.
Пользовательское соглашение
Пользовательское соглашение – это документ, основным назначением которого является урегулирование договорных отношений между владельцем сайта и его посетителями. Оно необходимо всем, кто оказывает услуги или реализует товары в сети Интернет, собирает пользовательские данные, предоставляет доступ.
Разработка и опубликование на сайте пользовательского соглашения позволяет владельцу сайта:
- защититься от неправомерных действий пользователей;
- снизить юридические риски, связанные с претензиями от ФАС, Роскомнадзора, судебными исками и убытками;
- защитить права на контент, размещаемый на сайте;
- юридически закрепить права и обязанности посетителей сайта.
Пользовательское соглашение должно быть доступно для ознакомления на сайте до получения услуги. Пользователь также должен иметь возможность загрузить его. Оно обладает такой же силой, как и любые другие виды договоров. Невыполнение его условий может повлечь за собой негативные юридические последствия.
Пример. В 2020 г. Арбитражным судом уральского округа рассматривался иск от ООО «Трансхолдинг» к индивидуальному предпринимателю К.Е.Е. ООО предоставляет услуги по транспортировке грузов на сайте, работающем по принципу биржи. ИП зарегистрировался в данном информационном сервисе, получил договор-заявку и предоставил транспорт с водителем для осуществления грузоперевозки. После транспортировки грузополучатель обнаружил недостачу груза на сумму более 60 тысяч рублей. Ответчик – индивидуальный предприниматель К.Е.Е. отрицал в суде заключение договора на транспортировку. Однако регистрация на сайте, согласно условиям пользовательского соглашения этого Интернет-ресурса, является акцептом оферты. Поэтому суд пришел к выводу, что ИП выразил согласие со всеми условиями соглашения и должен возместить ответчику все убытки (дело № А60-44322/2020).
Для чего нужно письменное согласие работника на обработку его данных
Получение письменного согласия человека на обработку его персональных данных становится необходимо юридическому или физлицу, которое получает доступ к этим данным. Основные вопросы, связанные с персональными сведениями о человеке, регулируются законом «О персональных данных» от 27.07.2006 № 152-ФЗ. В их число входит:
- определение круга сведений, являющихся персональными;
- установление условий обработки, хранения и уничтожения данных их получателем;
- описание ситуаций, как требующих, так и не требующих согласия лица на обработку сведений о нем;
- перечисление прав носителя персональных данных на ознакомление с результатами их обработки;
- определение ответственности лиц, разгласивших персональную информацию.
Наиболее частым случаем получения и обработки персональной информации о человеке является сбор и анализ работодателем сведений о своем работнике (уже работающем или вновь принимаемом на работу).
Помимо общедоступных сведений, к которым закон № 152-ФЗ относит данные о Ф. И. О., принадлежности к определенному полу, дате рождения, работодателю оказывается нужна и иная информация, содержащаяся в документах, предъявляемых при трудоустройстве (ст. 65 ТК РФ):
- в удостоверении личности (паспорте);
- трудовой книжке;
- свидетельстве ПФР;
- документах об обучении;
- документах воинского учета;
- дополнительных справках (в частности, об отсутствии судимости) или документах, наличие которых является условием приема на определенную работу.
Сбор и обработка таких данных требуют от работодателя получения предварительного письменного согласия работника на эти действия (п. 1 ст. 9 закона № 152-ФЗ). Согласие является добровольным и может быть отозвано работником.
Ответственность за разглашение
Федеральный закон не предусматривает единых требований по хранению персональных данных, однако, организация обязана обеспечить их сохранность. Как и за любые противоправные деяния, за разглашение персональных данных предусмотрена ответственность в соответствии с российским законодательством.
Для нарушителей, возглавивший персональную информацию предусмотрено четыре вида наказания:
- Дисциплинарное. Дисциплинарное взыскание, неполное служебное соответствие с занесением всего этого в трудовую книжку.
- Административное. Виновное лицо может понести ответственность в виде назначения штрафа в размере 300-500 рублей для физических лиц, 500-1000 для должностных, 5000- 10000 для ЮЛ.
- Материальное. Если человеку было нанесен материальный ущерб, виновное лицо может выплатить ущерб, назначенный время судебного заседания.
- Уголовное. Если распространение персональных данных подпадает под уголовную ответственность, то виновному может грозить реальный тюремный срок.
Некоторые организации могут запрашивать персональную информацию неправомерно. Бывают случаи, когда на должность, например, торгового представителя в обязательном порядке требуется предоставить справку о наличии или отсутствии судимости. Такие неправомерные требования также подпадают под ответственность перед законом.
Согласно нормам российского законодательства, уполномоченные лица в организации обязаны сообщать Роскомнадзору о данных, которые поступают в распоряжение предприятия (статья 22 закона № 152-ФЗ). Проверить исполняет ли организация эту норму можно на сайте этой госструктуры.
Отказ предоставить персональные данные
Находящаяся в открытом доступе информация из личных удостоверяющих, первичных и иных документов физического лица, используется предприятиями и организациями без его согласия, так как находится в открытом доступе. Цель её использования – реализация положений трудового договора. Главное условие – действовать в рамках моральных, этических норм и законодательства РФ.
Согласие оформляется в отношении информации специального и биометрического характера. Гражданин РФ вправе не предоставлять такие данные, если это ущемляет его права, интересы и моральные принципы. Российским законодательством наказание за это не предусмотрено. Нарушения, допущенные при получении согласия, можно обжаловать в суде. Ответственность за использование данных лежит на стороне, получившей разрешение. Нарушение ведёт к административной или уголовной ответственности.
Законодательством не установлена единая форма письменного отказа физического лица от предоставления своих данных. Отказ оформляется в двух идентичных экземплярах. Один из них направляется адресату, второй с отметкой о дате вручения остаётся в распоряжении «отказника». В тексте следует указать следующие данные:
- наименование предприятия, организации, учреждения;
- реквизиты руководителя;
- данные гражданина РФ, который оформляет отказ.
В описательной части необходимо указать причину отказа от предоставления информации, перечислить законодательные акты и другие документы, как основания для этого. В тексте должна быть сделана отметка об ознакомлении, и указание на то, что физическое лицо имеет право обжаловать в суде санкции противоположной стороны.
Согласие на распространение персональных данных и согласие на обработку персональных данных — в чем разница
До принятия 519-ФЗ все виды обработки ПД могли быть прописаны в одном согласии. С 1 марта 2021 года правила изменились: человек может дать согласие на обработку персональных данных, но в тоже время не разрешить их распространять. Попробую на примерах и в схемах объяснить нюансы.
Обработка — это любое действие с персональными данными, в том числе:
- сбор, запись, систематизация;
- накопление, хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (распространение, предоставление, доступ);
- обезличивание;
- блокирование, удаление, уничтожение персональных данных.
Особенности составления заявления о согласии на обработку персональных данных
Общераспространен нижеследующий алгоритм составления заявления о согласии на обработку ПД (с учетом требований Закона № 152-ФЗ и приказа № 18):
- В «шапке» документа указывают название организации и Ф.И.О. руководителя (или Ф.И.О. индивидуального предпринимателя), Ф.И.О. гражданина, адрес, реквизиты документа, удостоверяющего личность (паспорта).
- Далее надо указать полное название документа.
- После этого от имени гражданина следует перечислить, для каких целей предоставляются персональные данные и кому именно (название организации или ИП, адрес).
- Далее надо привести перечень персональных данных.
- Затем следует прописать, что документ начинает действовать со дня его подписания до дня отзыва в письменной форме. Также можно указать, что согласие написано в добровольном порядке.
- Заявление на согласие на обработку персональных данных (образец, приведенный ниже, можно взять за основу) в обязательном порядке должен подписать сам гражданин.
Что является личной информацией граждан?
Понятие информации о гражданине, относящейся к персональной, дано в ст.3 Закона 152. Это любые сведения, связанные с субъектом (физическим лицом) прямо или косвенно:
- ФИО, пол, возраст;
- семейное положение, а также родственные связи и наличие детей;
- сведения об образовании и наличии квалификационных навыков;
- адрес места жительства и прописки;
- любые фото- и видеоматериалы, используемые оператором и позволяющие точно установить личность гражданина;
- биографические данные, включая наличие судимости, прохождения службы в армии, предыдущих мест работы и т.д.);
- сведения о заработке и финансовом положении;
- иные сведения, позволяющие идентифицировать физическое лицо.
Стоит перечислить и документы, в которых эти сведения содержатся:
- гражданский паспорт, свидетельства о браке, рождении детей;
- документы об образовании, повышении квалификации и т.д.;
- трудовая книжка;
- военный билет.
Остальные документы, содержащие сведения о гражданах, хранятся у работодателя и необходимы для кадрового учета. Это, например, характеристики, личные карточки, анкеты и т.д.
В ряде ситуаций требуется предоставление справки о доходах, полученных в определенный временной период. Гражданину следует знать, что без его согласия эти сведения не подлежат обработке.