Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как оформить согласие на обработку персональных данных в 2022 году». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Я даю разрешение Банку* на получение из бюро кредитных историй кредитного отчета, содержащего, в том числе, основную часть кредитной истории, определенную в ст. 4 Федерального закона от 30.12.2004 № хх8 — ФЗ «О кредитных историях», для целей проведения Банком проверки и анализа моей кредитоспособности, а также подбора условий кредитования, в которых я потенциально могу быть заинтересован. Автоматизированная и неавтоматизированная обработка персональных данных, указанных в настоящем Согласии, осуществляется Банком с целью получения кредитного отчета. Обработка включает в себя: сбор, запись, систематизацию, хранение, извлечение, использование, передачу (предоставление) третьим лицам**, их работникам и уполномоченным ими лицам, включая обезличивание, блокирование и уничтожение. Срок обработки персональных данных ограничивается достижением указанной выше цели.
Согласие на получение кредитного отчета
* ПАО РОСБАНК, 107078, г. Москва, ул. Маши Порываевой, д. 34.
** Под третьими лицами понимаются лица, заключившие с Банком договор, обеспечивающий соблюдение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Приложение № 6
к согласию на обработку персональных данных
Как происходит обработка персональных данных?
Понятие «обработка» подразумевает все действия, которые происходят с данными, начиная с момента их сбора. Передача, запись, распределение, хранение, применение, удаление — эти и многие другие действия входят в понятие «обработка персональных данных».
Все в том же законе №152-ФЗ указано, что обработка персональной информации должна происходить с соблюдением основных принципов:
- соблюдение требований актуального законодательства;
- цель обработки необходимо определить и озвучить субъекту заранее;
- собирать и обрабатывать можно только информацию, которая соответствуют указанной цели;
- оператор обязан обеспечить точность данных, предупредить их искажение, а ответственные лица должны периодически следить за актуальностью информации;
- после достижения финальной цели данные нужно уничтожить.
Пользовательское соглашение
Пользовательское соглашение – это документ, основным назначением которого является урегулирование договорных отношений между владельцем сайта и его посетителями. Оно необходимо всем, кто оказывает услуги или реализует товары в сети Интернет, собирает пользовательские данные, предоставляет доступ.
Разработка и опубликование на сайте пользовательского соглашения позволяет владельцу сайта:
- защититься от неправомерных действий пользователей;
- снизить юридические риски, связанные с претензиями от ФАС, Роскомнадзора, судебными исками и убытками;
- защитить права на контент, размещаемый на сайте;
- юридически закрепить права и обязанности посетителей сайта.
Пользовательское соглашение должно быть доступно для ознакомления на сайте до получения услуги. Пользователь также должен иметь возможность загрузить его. Оно обладает такой же силой, как и любые другие виды договоров. Невыполнение его условий может повлечь за собой негативные юридические последствия.
Пример. В 2020 г. Арбитражным судом уральского округа рассматривался иск от ООО «Трансхолдинг» к индивидуальному предпринимателю К.Е.Е. ООО предоставляет услуги по транспортировке грузов на сайте, работающем по принципу биржи. ИП зарегистрировался в данном информационном сервисе, получил договор-заявку и предоставил транспорт с водителем для осуществления грузоперевозки. После транспортировки грузополучатель обнаружил недостачу груза на сумму более 60 тысяч рублей. Ответчик – индивидуальный предприниматель К.Е.Е. отрицал в суде заключение договора на транспортировку. Однако регистрация на сайте, согласно условиям пользовательского соглашения этого Интернет-ресурса, является акцептом оферты. Поэтому суд пришел к выводу, что ИП выразил согласие со всеми условиями соглашения и должен возместить ответчику все убытки (дело № А60-44322/2020).
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Требования к согласию
Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.
Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).
В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.
Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.
Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.
Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.
Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.
Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.
Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.
Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:
-
в течение трех рабочих дней с момента обращения;
-
или в срок, указанный в постановлении суда;
-
или в течение трех рабочих дней с момента вступления решения суда в законную силу.
Как получить согласие на обработку персональных данных
Обработка ПД – любые действия с личной информацией о человеке:
- получение (сбор персональных данных);
- структуризация;
- хранение на любых носителях (в электронных и бумажных архивах);
- анализ;
- использование в коммерческой, социальной, государственной деятельности;
- передача другим владельцам или предоставление доступа к базе;
- обезличивание – устранение очевидной связи между человеком и его ПД;
- блокировка – временная остановка работы с информацией по запросу граждан или регулятора;
- удаление и обновление;
- ликвидация без возможности восстановления.
Согласие на обработку персональных данных – ключевой документ, который обеспечивает законность использования личных данных.
Для организаций (работодателей) важно убедиться, что они обладают необходимым согласием, когда речь идет о регистрации, использовании и хранении персональных данных сотрудников. В этом документе должно быть зафиксировано, на что именно согласен человек, вступающий в трудовые отношения.
Документ (согласие) начинается с описания того, какие стороны участвуют в сборе, хранении или использовании персональных данных, а также какие законы применяются к этой деятельности. Затем следует описание того, какой тип информации можно получать от отдельных лиц, чтобы их данные обрабатывались на законных основаниях и с соблюдением этических норм. Кроме того, в этом документе объясняется, как действовать, если человек передумает давать разрешение на определенные виды обработки.
Получается, что «согласие» это один из базовых документов рамках взаимодействия «работник-работодатель”. Однако этот документ также может потребоваться и в других сферах жизни (например, в при взаимодействии с клиентами).
Куда подавать заявление?
Как уже было сказано, заявление может быть направлено организации-оператору тремя способами: бумажное заявление, составленное в двух экземплярах можно отнести непосредственно в экспедицию (место, где принимают корреспонденцию), заказным письмом с уведомлением или по электронной почте, если это допускается функционалом страницы оператора. Обычно сейчас свои официальные электронные адреса есть у всех организаций.
Отдельно стоит коротко остановиться на таком аспекте работы с персональными данными, как их отзыв у коллекторов — профессиональных взыскателей долгов. Дело в том, что коллекторы могут работать с персональными данными, не запрашивая на это согласия должника. Это допускается нормами закона № 152-ФЗ. Коллекторы приобретают базу персональных данных заемщиков у банков или МФО вместе с портфелем кредитов (займов) по договору переуступки прав требования (цессии).
Тем не менее, отзыв согласия на обработку персональных данных возможен и в данной ситуации, причем тем же самым способом — письменным. После отзыва согласия коллекторы не будут иметь возможности активно работать с данными должника (звонить ему по имеющимся номерам, писать по имеющимся электронным адресам, слать смс-сообщения).
В этом случае отзыв персональных данных называется несколько иначе — отказ от взаимодействия. После подачи отказа от взаимодействия с коллекторами они имеют право общаться с должником обычными бумажными письмами через Почту России.
Однако следует помнить, что сам долг от этого никуда не денется. И коллекторы останутся при своем праве подать на вас в суд и получить судебный приказ или полноценное решение суда. А потом передать документы судебным приставам, которые проведут полноценное исполнительное производство по розыску вашего имущества, по аресту счетов и списания с них денег. Помните — судебная практика в этом вопросе всегда на стороне тех граждан или юр лиц, которым вы задолжали деньги.
А вот после того, как вы расплатитесь с коллекторами полностью, и получите на руки документ о погашении долга — вы сможете отозвать свои персональные данные у этих кровопийцев (или рыцарей плаща и кинжала, это как уж вам удобнее их называть).
После получения заявления на отзыв оператор обязан в течение 30 дней прекратить работу с указанными данными, изъять их отовсюду (из всех своих баз) и уничтожить. Но хотя закон и говорит, что отозвать согласие можно в любое время, на самом деле в нормативных актах предусмотрен целый перечень случаев, когда обработка персональных данных после отзыва согласия продолжается и без согласия гражданина.
Что собой представляет согласие на обработку ПД?
В соответствии с ч. 1 ст. 9 Закона № 152-ФЗ, согласие, о котором идет речь, может быть дано субъектом ПД в любой форме, позволяющей подтвердить факт его получения. Но на практике согласие обычно дается в письменном виде. Оно запрашивается и оформляется в письменном виде заинтересованной стороной, а затем подписывается самим гражданином. Данный документ представляет собой, таким образом, письменное разрешение физлица на обработку и использование персональной информации о себе. Правомерно говорить о том, что данный документ обуславливает появление у оператора персональных данных обязательства по обеспечению использования ПДстрого в определенных целях, недопущению ее незаконной передачив руки третьих лиц.
Согласие на обработку персональных данных применяется повсеместно, его оформляют во всех государственных и коммерческих организациях как для работников, так и для лиц, с которыми такие организации взаимодействуют, используя тем или иным способом персональные данные.
Что должны знать работодатели?
При оформлении согласия работника на обработку персональных данных работодатели должны руководствоваться нормами ст. 86 и 87 ТК РФ. Так, в соответствии с п. 3 ст. 86 ТК РФ, в случае, если ПД работника могут быть запрошены только у третьей стороны, то работника потребуется заранее уведомить о таком запросе, а также получить от него письменное согласие на получение соответствующих персональных данных. Работодатель сообщает работнику о целях, вероятных источниках и механизмах получения ПД, о характере таких данных, а также о последствиях отказа работника предоставить письменное согласие, о котором идет речь.
Предприятия обязаны самостоятельно составлять нормативные положения по обработке персональных сведений по работникам. Выбранный порядок необходимо закрепить в отдельном локальном акте.
Одна из обязанностей работодателя — защита персональных данных.
Пункт 43 четко указывает на то, что вряд ли государственные органы могут полагаться на Согласие, поскольку когда контролером данных является государство, часто наблюдается явный дисбаланс в отношениях между ним и субъектом данных. Кроме того, в большинстве случаев ясно, что субъект данных не имеет никаких реальных альтернатив принятию условий такого контролера. WP29 считает, что существуют и другие законные основания, которые в принципе более подходят деятельности государственных органов.
Тем не менее, применение Согласия в качестве законного основания для обработки данных государственными органами не является исключением в GDPR. Следующие примеры показывают, что Согласие может быть уместным при определенных обстоятельствах.
Пример 2
Муниципалитет планирует проведение ремонтных работ на дорогах. Поскольку дорожные работы могут нарушить движение транспорта в течение длительного времени, муниципалитет предлагает жителям возможность подписаться на рассылку электронной почты, чтобы получать обновленную информацию о ходе работ и ожидаемых заторах. Муниципалитет ясно дает понять, что подписка не обязательна, и запрашивает Согласие на использование адресов электронной почты исключительной для этой цели. Жители, которые не дают своего Согласия, не потеряют доступ к другим услугам и не будут ущемлены правах, поэтому имеют возможность добровольно решать, давать или не давать Согласие на такое использование их данных. Вся информация о дорожных работах также будет доступна на сайте муниципалитета.Пример 3
Физическое лицо, владеющее землей, нуждается в разрешениях как от своего муниципалитета, так и от руководства провинции, которому муниципалитет подчинен. Оба государственных органа требуют одну и ту же информацию для выдачи своего разрешения, но не имеют доступа к базам данных друг друга. Поэтому обе стороны запрашивают одну и ту же информацию, и землевладелец рассылает свои данные обоим органам. Муниципалитет и руководство провинции просят Согласия на объединение дел, чтобы избежать дублирования процедур и переписки. Оба государственных органа следят за тем, чтобы Согласие было факультативным, и чтобы запросы на получение разрешения по-прежнему обрабатывались отдельно, если лицо решит не соглашаться на слияние данных. Землевладелец добровольно может дать Согласие властям на объединение дел, или отказаться.Пример 4
ВУЗ запрашивает у студентов Согласие на использование их фотографий в студенческом журнале. Согласие считается добровольным, если учащимся не будет отказано в образовании или других услугах без какого-либо ущерба, если они решат не давать его.
Дисбаланс также проявляется в контексте занятости. Учитывая зависимость между работодателем и работником, маловероятно, что субъект данных может отказать своему работодателю в Согласии на обработку персональных данных, не испытывая страха или риска негативных последствий в результате отказа. Маловероятно, что работник может добровольно согласиться, например, активировать системы мониторинга, такие как камеры наблюдения на рабочем месте, или заполнить оценочные формы, не испытывая никакого давления. Таким образом, WP29 считает проблематичным для работодателей обрабатывать персональные данные работников на основе Согласия, поскольку оно вряд ли может считаться добровольно данным. Для большинства случаев обработки данных на производстве Согласие работников (статья 6(1)(а) GDPR) не может быть законным основанием в силу характера отношений.
Однако это не означает, что работодатели не могут полагаться на Согласие в качестве законного основания для обработки персональных данных. Могут возникать ситуации, когда работодатель может продемонстрировать, что Согласие фактически дается добровольно. Учитывая дисбаланс между работодателем и его сотрудниками, работники могут давать Согласие добровольно только в обстоятельствах, когда оно не будет иметь никаких негативных последствий независимо от того, дают они Согласие или нет.
Пример 5
Съемочная группа будет снимать в определенной части офиса. Работодатель просит всех сотрудников, которые работают в этой зоне, дать свое Согласие на съемку, поскольку они могут появиться на заднем плане видео. Те, кто не хочет сниматься, ни в коем случае не наказываются, а вместо этого получают эквивалентные рабочие места в другой части офиса на время съемок.
Дисбаланс не ограничивается лишь государственными органами и работодателями, он может возникать и в других ситуациях. WP29 подчеркивает, что Согласие законно только в том случае, если субъект данных способен осуществлять реальный выбор, без риска обмана, запугивания, принуждения или негативных последствий. Согласие не будет добровольным, когда существует какой-либо элемент принуждения, давления или невозможности осуществлять свободную волю.
GDPR не описывает форму или вид, как именно должна предоставляться информация для выполнения требования об информированном Согласии. Это означает, что она может быть представлена различными способами, такими как письменные или устные заявления, аудио- или видео-сообщения. Тем не менее, в GDPR существует несколько требований к информированному Согласию, главным образом в статье 7(2) и пункте 32. Что повышает степень ясности и доступности.
Запрашивая Согласие, контролер всегда должен использовать ясный и простой язык. Это означает, что сообщение должно быть легко понятно обычному человеку, а не только юристу. Контролеры не должны использовать длинные политики конфиденциальности, которые трудно понять, или юридический жаргон. Согласие должно быть ясным, отличимым от других вопросов, и предоставляться в понятной и легкодоступной форме. Это требование означает, что сведения, имеющие отношение к принятию обоснованного решения о согласии или несогласии, не могут быть скрыты в общих условиях обслуживания.
Контролер обязан обеспечить получение Согласия на основе информации, позволяющей субъекту данных легко распознать, кто есть контролер и с чем именно они соглашаются. Контролер должен ясно описать цель обработки, для которой запрашивается Согласие.
Другие конкретные указания по обеспечению доступности включены WP29 в условия прозрачности. Если Согласие дается электронно, то запрос на него должен быть ясным и кратким. Всеобъемлющая и детализированная информация более подходит для двусторонних обязательств — точная и полная с одной стороны, и понятная с другой.
Контролер обязан оценить целевую аудитория, которая передает персональные данные. Например, если она включает несовершеннолетних, контролер должен убедиться, что информация понятна и им. После такой оценки контролер обязан определить, какую информацию и каким образом он должен предоставить субъектам данных.
Статья 7(2) рассматривает заранее подготовленные письменные заявления о Согласии, которые касаются и другие вопросов. Когда Согласие запрашивается в рамках (бумажного) договора, такой запрос должен быть четко отделен от других вопросов. Если бумажный договор содержит аспекты, не связанные с Согласием, то вопрос о нем должен рассматриваться так, чтобы он четко выделялся, либо предлагался отдельным документом. Аналогично, если Согласие запрашивается электронно, то запрос должен быть обособлен и не может быть лишь абзацем в условиях обслуживания, в соответствии с пунктом 32. При размещении на небольших экранах или в ограниченном пространстве, всесторонний способ предоставления информации может быть уместен во избежание чрезмерного взаимодействия с пользователем или нарушения дизайна продукта.
Контролер, который ссылается на Согласие, также обязан выполнять требования, изложенные в статьях 13 и 14, чтобы соответствовать GDPR. На практике, для соблюдения этих требований и соблюдения требования об информированном Согласии, можно применить комплексный подход. Однако этот раздел Руководства написан в том контексте, что законное “информированное” Согласие может быть получено, даже если не все элементы статей 13 и/или 14 упоминаются в процессе получения (эти пункты, конечно, должны быть упомянуты в другом месте, например, в политике конфиденциальности). WP29 выпустила отдельные рекомендации, касающиеся прозрачности.
Пример 12
Компания X является контролером, получившим жалобы на то, что субъектам данных неясно, для каких целей запрашивают их Согласие . Компания видит необходимость проверить, является ли ее информация в запросе понятной для субъектов данных. X организует добровольные тестовые панели для нескольких категорий своих клиентов и представляет новые положения о Согласии этим группам, прежде чем передавать ее вовне. Отбор респондентов осуществляется с учетом принципа независимости и на основе стандартов, обеспечивающих репрезентативный, непредвзятый результат. Группа получает анкету и указывает, что респонденты понимают из информации и как они оценивают ее с точки зрения ясности и релевантности. Контролер продолжает тестирование до тех пор, пока панели не покажут, что информация стала ясна. X составляет отчет о тестах и сохраняет его для дальнейшего использования. Этот пример показывает возможный способ для X продемонстрировать, что субъекты данных получали ясную информацию, прежде чем дать Согласие на обработку.Пример 13
Компания занимается обработкой данных на основании Согласия. Компания использует всестороннее уведомление о конфиденциальности, которое включает в себя запрос Согласия. Компания раскрывает все главные сведения о контролере и методах обработки данных. Однако компания не указывает, как можно связаться с ее сотрудником по защите данных на первом уровне уведомления. Как указано в статье 6, этот контролер получил законное “информированное” Согласие, даже если контактные данные сотрудника не были сообщены в соответствии со статьей 13(1)(b) или 14(1)(b) GDPR.
Как отозвать согласие на обработку персональных данных?
Точный порядок действий в законе не прописан, но здесь и нет принципиальных хитростей. Чтобы правильно отозвать данные, напишите заявление в свободной форме. Для отказа от взаимодействия можно подать заявление заказным письмом или в электронном виде.
Желательно делать это тем же способом, что оформляли согласие на ОПД. Если, например, вы подписывали анкету в банке, то лучше дойти до отделения и составить письменный отзыв.
Универсальный бланк отзыва согласия на обработку персональных данных — 15 КБ
Отзыв согласия на обработку персональных данных для МФО — 17 КБ
Заявление об отзыве персональных данных из банка — 19 КБ
Куда подать заявление? Обращайтесь непосредственно к оператору — к организации, которой вы свои данные и передавали.
Отправьте письмо в бумажном виде или электронным способом — в этом случае придет обратное письменное уведомление о получении. Также можно лично посетить канцелярию организации — но тогда сделайте 2 экземпляра (один — для отметки о получении, он останется при вас).
Важно зафиксировать и подтвердить дату получения, поскольку с этого момента начинается 30-дневный период, до истечения которого работа с данными должна быть остановлена.