Образец оформления согласия на обработку персональных данных по новым правилам — пример заявления

Содержание

С 01 марта 2021 года любые персональные данные могут распространяться только с особого согласия субъекта.

image

Изменения в Закон “О персональных данных” внесены законом № 519-ФЗ и об особенностях распространения персональных данных я уже писал.

Роскомнадзор установил специальные требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

UPD от 22 апреля 2021 Опубликован Приказ Роскомнадзора “Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения № 18 от 24.02.2021 г., зарегистрирован в Министерстве Юстиции 21 апреля 2021 г.

Приказ вступает в силу с 1 сентября 2021 года и действует до 1 сентября 2027 года.

Оперативные обновления узнавайте в моем Телеграм-канале.

Согласие на распространение персональных данных и согласие на обработку персональных данных — в чем разница

До принятия 519-ФЗ все виды обработки ПД могли быть прописаны в одном согласии. С 1 марта 2021 года правила изменились: человек может дать согласие на обработку персональных данных, но в тоже время не разрешить их распространять. Попробую на примерах и в схемах объяснить нюансы.

Обработка — это любое действие с персональными данными, в том числе:

  • сбор, запись, систематизация;
  • накопление, хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование, удаление, уничтожение персональных данных.

Из этого следует, что распространение —  это один из случаев передачи персональных данных. Он отличается от предоставления и доступа к персональным данным. Соответственно и согласия для этих случаев обработки разные.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Основным отличием распространения от предоставления является определение получателей данных. 

image
Передача персональных данных

В одном случае круг получателей не определен и не известен заранее. В другом — это известный получатель или определенный круг лиц.

Примеры распространения персональных данных

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц. По сути — это их публикация:

  • размещение профилей в соцсетях;
  • публикация данных о сотрудниках на корпоративных сайтах, форумы;
  • сайты с объявлениями, отзывами, вакансиями.
  • публикации в газетах, журналах;
  • печатные рекламные буклеты с контактами, ФИО и фото сотрудников;
  • публикация результатов спортивных мероприятий на интерактивных мониторах;
  • визитки, возможно.

Если вы планируете распространять персональных данные для неопределённой аудитории, то необходимо получать согласие на распространение персональных данных. В этом согласии субъект персональных данных должен прямо вам разрешить это делать.

Распространение персональных данных

Согласие на обработку персональных данных, разрешенных для распространения, в любом случае дается конкретному оператору. Такое согласие не разрешает другим лицам использовать персональные данные субъекта в своих целях. Случаи обработки персональных данных без согласия субъекта строго определены в пунктах 2-11 части 1 статьи 6 Закона “О персональных данных”.

Требования к содержанию согласия на распространение персональных данных

Роскомнадзор планирует запустить единую информационную систему для управления согласиями персональных данных, разрешенных для распространения. Пока этой системы нет, единственным возможным способом получения согласия является предоставление согласия непосредственно оператору.

Согласие не всегда должно быть в письменной форме. Допускается любая форма, позволяющая подтвердить факт его получения.

Письменная форма согласия требуется в случаях, если распространяются персональные данные, для обработки которых требуется письменная форма.

Каждый оператор должен разработать свой бланк согласия или веб-форму, предусмотрев в нем обязательные сведения, которые утвердил Роскомнадзор. Единой формы нет, Роскомнадзор утвердил лишь требования к содержанию согласия

  1. Фамилия, имя, отчество субъекта.
  2. Контакты субъекта: номер телефона, адрес электронной почты или почтовый адрес субъекта.
  3. Наименование оператора персональных данных, ИНН, ОГРН и адрес, указанный в ЕГРЮЛ.
  4. Сведения об информационных ресурсах, где будут распространятся персональные данные.
  5. Цель или цели распространения персональных данных.
  6. Категории и перечень персональных данных, распространение которых субъект разрешает.
  7. Категории и перечень персональных данных, для распространение которых субъект устанавливает условия и запреты. Заполняется по желанию субъекта.
  8. Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников. Заполняется по желанию субъекта.
  9. Четко определенный срок действия согласия.

Подробнее о каждом пункте читайте ниже. Читайте обязательно, потому что если согласие будет получено с нарушением или будет указана не вся информация, то считайте, что согласия нет. А за обработку персональных данных без согласия — новые штрафы и блокировка сайта.

Подробные требования к содержанию согласия

Согласие должно включать в себя следующую информацию:

1) Фамилия, имя, отчество (при наличии) субъекта персональных данных.

2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)

Согласие может предусматривать указание либо адреса электронной почты, либо почтового адреса. Конечно, можно указать и то, и другое, но зачем лишняя информация?

3) Сведения об операторе персональных данных

Если оператором является юридическое лицо, то указывается: наименование, ИНН, ОГРН, а также адрес, указанный в ЕГРЮЛ

Если оператором является физическое лицо, то указывается: фамилия, имя, отчество (при наличии), место жительства или место пребывания.

Если оператором является индивидуальный предприниматель, то указывается: фамилия, имя, отчество (при наличии), ИНН, ОГРНИП. Адрес указывать не надо, как это следует из приказа, что странно. Я рекомендую указывать и адрес ИП.

4) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных

Сведения об информационных ресурсах оператора указываются в виде адреса, состоящего из наименования протокола (http или https), сервера (www), домена (персональные данные.ru), имя каталога на сервере и имя файла веб-страницы, на которой будут размещены персональные данные субъекта персональных данных.

5) Цель (цели) обработки персональных данных

Формулировки цели или целей обработки персональных данных должны соответствовать положениям законодательства Российской Федерации, устанавливающим функции, полномочия и обязанности оператора, и (или) документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных.

6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных

Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу:

  • общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
  • специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
  • биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).

Указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку персональных данных, согласия на обработку персональных данных в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов

Указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных.

Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению персональных данных неограниченному или определенному кругу лиц соответственно.

Дополнительно в Согласии могут быть указаны условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.

8) Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников

Заполняется по желанию субъекта персональных данных.

9) Срок действия согласия

Должен быть отражен конкретный срок его действия: определенный период времени или дата окончания срока действия.

Не допускается указание на автоматическую пролонгацию срока действия Согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.

Что делать со старыми согласиями

Ранее полученные согласия можно оставить и использовать до истечения срока их действия. Они сохранят свою силу для всех других случаев обработки персданных, кроме распространения.

Нужно только определить и составить список всех персональных данных, которые вы публикуете, и получить новые согласия. Легко сказать…

Остаюсь с вами на связи. Все вопросы по статье можно задать в чате Телеграм или в Я.Дзене. Следить за обновлениями контента удобнее в основном Телеграм-канале

Поделитесь в соцсетях

  •  
  • 6
  •  
  •  
  •  
  •  
  •  

Многие действия, связанные с ведением документации, невозможно осуществлять без согласия на обработку персональных данных лица. Совершеннолетний гражданин РФ может дать разрешение на взаимодействие с личными сведениями и данными своего ребенка, не достигшего возраста 18 лет.

Содержание

Нужно ли работодателю получать согласие работника на обработку персональных данных?

Правовую сторону вопроса регулирует Федеральный закон №152-ФЗ, в который с марта 2021 года внесено ряд важных изменений. В том числе добавлена новая статья 10.1, где говорится о дополнительной обязанности по получению отдельных согласий на случай распространения персональных данных. То есть с 2021 года нужно отдельно получать разрешающее заявление на обработку личных сведений и на передачу этих данных третьим лицам или их публикацию в СМИ, на интернет-порталах, сайтах.

Подробнее об обязанности получать отдельное согласие на распространение персональных данных работников.

В пункте 1 статьи 6 Закона 152-ФЗ указано, что работодатель обязан запрашивать разрешение у подчиненного на обработку персональных сведений. Сам пункт не указывает наличие трудового договора как обязательство передавать личные данные, однако работодатель вправе попросить у работника любую информацию, которая обеспечит нормальную реализацию обязанностей обеих сторон трудового договора.

Сам факт разрешения, которое дает работник, должно оформляться документально — в письменном виде в форме заявления. Данное согласие является для лица гарантом того, что его личные данные будут использованы строго по назначению сотрудниками работодателя и не «направятся в другую сторону». Согласие в письменном виде считается одним из видов защиты работника от нарушения его прав.

Информация, которую вправе затребовать работодатель, можно условно разделить на три группы:

  • «общие» данные – те, что находятся в открытом доступе (ФИО, пол, гражданство, дата и место рождения);
  • «числовые параметры» – номера ИНН, СНИЛС, серия и номер паспорта с датой его выдачи;
  • дополнительные биографические сведения – национальная принадлежность, вероисповедание, наличие судимости и прочее.

Статья 14 ТК РФ регламентирует, что специалисты отдела кадров несут ответственность за сохранение конфиденциальности персональных данных работников.

Если сотрудник отказывается подписывать согласие, работодатель не имеет права принуждать к этому. Но нужно учитывать, что при этом наниматель не сможет официально оформить соискателя на работу.

Как написать заявление?

Типовые формы, по которым должно проводиться написание заявлений на обработку данных, можно найти на официальном сайте Роскомнадзора. Там же можно ознакомиться с примером согласия. Документ может быть составлен также в свободном виде, главное включить в него реквизиты, указанные в ст. 9 Закон 152-ФЗ.

В общем виде нужно соответствовать общим требованиям оформления деловой документации:

  1. В «шапке» в верхнем правом углу указать наименование компании-работодателя, имя и должность ее руководителя.
  2. Строкой ниже следует информация о подателе заявления (ФИО, место постоянной регистрации с почтовым индексом, серия и номер паспорта с датой и местом выдачи).
  3. Заголовком указать «Согласие на обработку персональных данных».
  4. В самом теле заявления нужно по установленной форме сослаться на действующие законодательные акты, написав «Я, ФИО, в соответствии со ст. 9 Федерального закона №152-ФЗ, даю согласие на…» После нужно перечислить все требуемые сведения и то, для чего они могут использоваться работодателем.
  5. Внизу документа заверить его подлинность датой написания и личной подписью с расшифровкой.

Заявление должно подаваться руководителю предприятия, а после отправляться в отдел кадров для создания личной карточки нового сотрудника. Как правило, заявление пишется только один раз во время приема на работу, но может подаваться и в дальнейшем, если это потребуется, или изменятся паспортные данные сотрудника.

Иногда в заявлении можно указывать срок действия разрешения. Закон 152-ФЗ разрешает отозвать согласие в любой момент по желанию сотрудника, для этого работнику нужно написать соответствующее заявление об отзыве.

Подразумевается, что согласие пишется добровольно, поэтому дополнительных отметок об отсутствии принуждения со стороны работодателя можно не делать.

Скачать образец для 2021 года

Скачать пример согласия на обработку персональных данных.

Скачать образец заявления о согласии на распространение личных сведений.

Штрафы за отсутствие разрешения сотрудника

Сотрудник, уже состоящий в штате, может отказаться от написания нового согласия на ОПД, и это зачастую не сильно повлияет на его дальнейшую работу. Но вот новый работник без такой бумаги не сможет устроиться на работу, потому что его данные будут необходимы для отдела кадров, бухгалтерии и канцелярии.

За нарушение законодательства в области взаимодействия с персональными данными и отсутствие письменных разрешений физических лиц работодатель может понести административную и даже уголовную ответственность.

Размеры штрафов устанавливаются  ст. 13.11 КоАП РФ:

  • ОПД в случаях, не предусмотренных законом – штраф в размере от 1 тысячи для граждан до 50 тысяч для юрлиц;
  • за обработку без письменно оформленного согласия субъекта – административный штраф для граждан от 3 до 5 тысяч рублей, для должностных лиц – от 10 до 20 тысяч, для юридический лиц – от 15 до 75 тысяч рублей;
  • невыполнение оператором неограниченного доступа к политике ОПД – от 700 до 1000 рублей на граждан, от 3000 до 6000 на должностных лиц, от 5000 до 10000 на ИП, от 15000 до 30000 на юрлиц;
  • несвоевременная передача личных данных в государственные учреждения – взыскание в размере от 100 рублей до 5 тысяч рублей;
  • незаконный сбор персональных данных – штраф до 200 тысяч рублей и до 360 часов исправительных работ;
  • незаконное публичное распространение личных данных сотрудников – штраф до 300 тысяч рублей и принудительные работы на срок до 5 лет.

В менее тяжелых случаях работодатель может понести дисциплинарное или гражданско-правовое наказание.

Выводы

Работодатель обязан получить письменное разрешение от сотрудника на обработку персональных данных. Согласие оформляется в свободной форме с учетом реквизиты, установленных ст. 9 Закона 152-ФЗ.

В теле заявления следует перечислить необходимые личные данные и цель, для которой они могут использоваться работодателем. За нарушение законодательства работодателю грозит административная или уголовная ответственность. Так, за обработку данных без согласия предприятие будет оштрафовано на сумму до 75 тысяч рублей.

«Клерк»

Рубрика

Бухгалтеры и специалисты по кадровому учету уже давно привыкли, что при приеме на работу нового сотрудника у него нужно брать Согласие на обработку персональных данных. А если сотрудник отказывается подписывать его? Какие штрафы ждут организацию за отсутствие этого документа? Да и как показывает судебная практика по таким вопросам, не все так просто, как кажется на первый взгляд. В этой статье мы подробно разберем все нюансы и расскажем о нововведениях в работе с личными данными в 1С: Бухгалтерии предприятия ред. 3.0.

В рамках трудовых отношений компании — работодателю необходимо обладать личными данными физ. лица для корректного оформления кадровых документов и выполнения работником своих трудовых функций.

Персональные данные (по тексту далее ПДн) — это информация, которую можно отнести к конкретному физ. лицу (Закон от 27.07.2006 № 152-ФЗ). Как правило, такими данными является Ф.И.О., сведения о предыдущих местах работы, паспортные данные, и прочие.

Стоит заметить, что работодатель вправе запрашивать только те сведения, которые нужны для выполнения должностных обязанностей. Это значит, что информацию, касающуюся национальной принадлежности, политических взглядов, вероисповедания и другие подобные сведения работодатель запрашивать не имеет права.

Форма согласия

Форма документа не регламентирована, а значит может составляться по шаблону, разработанному фирмой самостоятельно. Но следует помнить, что статья 9 ФЗ от 27.07.2006 № 152-ФЗ содержит перечень обязательных требований.

Новые правила с 2021 года

1 марта произошли изменения в ФЗ от 27.07.2006 № 152-ФЗ, которые внес ФЗ от 30.12.2020 № 519-ФЗ.

Рассмотрим основные нововведения.

1. Появился документ «Согласие на распространение ПДн сотрудника».

Теперь, получив от сотрудника согласие на обработку ПДн, компания не может их распространять. Для этих целей необходимо получить от физ. лица отдельный документ, который позволяет оператору распространять данные, например, размещать их на сайте компании, на доске почета, передавать банку и другое. В этом документе важно предоставить сотруднику возможность указать какую именно информацию он разрешает распространять работодателю.

2. Молчание субъекта ПДн не может быть расценено, как согласие на распространение ПДн. Это актуально и для бездействия сотрудника (п. 8 ст. 10.1 Закона № 152-ФЗ).

3. Любые ПДн о физ. лице можно публиковать только при наличии его письменного согласия, даже если лицо самостоятельно их разместило в общедоступном месте (интернет или социальные сети). Раньше такие личные данные можно было распространять без получения согласия от их владельца (п. 2 ст. 10.1 Закона № 152-ФЗ).

Отказ от согласия

В случае, если сотрудник не дал согласия на распространение ПДн, но при этом дал согласие на обработку, то работодатель не в праве передавать информацию третьим лицам (п. 4 ст. 10.1 Закона № 152-ФЗ).

Правило не распространяется на передачу ПДн гос. органам (ИФНС, ФСС, ПФР, полиции и другим).

Стоит отметить, что сотрудник и вовсе может отказаться от дачи согласия на обработку ПДн. Но это не значит, что работодатель не вправе обрабатывать такие данные. Это возможно в случаях, указанных в ч. 2 ст. 9 Закона № 152-ФЗ. Одним из которых является выполнение возложенных законом обязанностей на компанию.

Как работодателю получить согласие?

Получить согласие на распространение ПДн можно двумя способами:

1. Непосредственно у физ. лица, то есть с личной подписью на бумаге;

2. Через информационную систему Роскомнадзора. Любое физ. лицо может подключиться к системе для того, чтобы указать какие ПДн и кому он разрешает распространять.

Оператор, в свою очередь, также имеет возможность подключиться к данной системе и не получать от конкретного физического лица письменное согласие, а использовать информацию, содержащуюся в системе Роскомнадзора. Это возможность станет доступной с 1 июля 2021 года.

Форма документа

Требования к содержанию согласия на распространение персональных данных утверждены Приказом Роскомнадзора от 24.02.2021 N 18. Стоит заметить, что не нужно уведомлять Роскомнадзор о своем намерении распространять персональные данные, имея на это разрешение субъекта.

Можно ли получить одно согласие от работника, прописав в нем все возможные цели обработки/распространения?

Зачастую документ «Согласие» содержит в себе не одну цель обработки и не одно третье лицо, которому распространяется информация, а сразу несколько, что по мнению Роскомнадзора противоречит действующему законодательству.

Согласно позиции ведомства, на каждую цель и на каждое третье лицо, которому разглашается информация о физическом лице, должно быть свое согласие. Это следует из ч. 4 ст. 9, ч. 5 ст. 18 Закона от 27.07.2006 № 152-ФЗ.

В этих статьях «цель обработки» и третье лицо указаны в единственном числе, следовательно, совмещать несколько целей и несколько третьих лиц в одном документе неправомерно.

Данное правило применимо ко всем случаям, когда необходимо получить письменное согласие работника.

Судебная практика на данный момент не на стороне работодателя (Постановление от 15 января 2018 г. по делу № А40-81171/2017). В связи с этим компаниям придется оформлять большое количество согласий от работников, чтоб соблюсти нормы законодательства.

Отзыв согласия

Работник организации в любой момент имеет право отозвать свое согласие на обработку и распространение персональных данных.

Для этого ему достаточно будет подтвердить свое решение письменным требованием в произвольной форме.

В документе следует указать:

  • ФИО заявителя;
  • контакты заявителя;
  • ПДн, обработку и распространение которых необходимо прекратить.

Работодатель должен прекратить пользоваться информацией в течение трех рабочих дней. Иначе сотрудник имеет право обратиться в суд (п. 14 ст. 10.1 Закона № 152-ФЗ).

Не стоит забывать, что есть ПДн, на обработку которых согласие сотрудника не требуется, например, те, что нужны для исполнение трудового договора. Все остальные данные компании-работодателю стоит уничтожить.

Штрафы

Компаниям и ИП однозначно стоит уделить внимание новшествам, описанным выше, так как штрафные санкции увеличились вдвое.

Начиная с 27 марта 2021 г. за работу с ПДн сотрудников без их письменного согласия ИП ждет штраф от 20 000 до 40 000 руб., организации, при аналогичном нарушении должны будут уплатить от 30 000 до 150 000 руб.

Если же ИП нарушит законодательство повторно, то штраф будет составлять от 100 000 до 300 000 руб., а для компаний — от 300 000 до 500 000 руб. (ч. 2 ст. 13.11 КоАП). Наказание за такое правонарушение может последовать в течение года (ст. 4.5 КоАП РФ).

Подведем итог: правила обработки личных данных касаются абсолютно всех физических и юридических лиц.

В этой связи, работодателям целесообразно брать с сотрудников:

1. согласия на обработку персональных данных;

2. согласия на распространение персональных данных.

Документы составляются в соответствии с требованиями действующего законодательства.

Игнорирование правил обработки и распространения данных может привести к серьезным финансовым потерям.

Учет персональных данных в 1С: Бухгалтерии предприятия ред. 3.0

В программах 1С новый документ «Согласие на распространение персональных данных» на данный момент не реализован. Но и о наличии согласия на обработку персональных данных знают далеко не все бухгалтеры.

Первое, что необходимо знать — это то, что все данные хранятся в карточках физ. лиц. При приеме на работу личные данные субъекта в справочнике «Физические лица» заполняются автоматически на основании справочника «Сотрудники».

Не заметить кнопку, выводящую на печать нужный нам документ сложно, ведь она располагается прямо на панели инструментов

Рассмотрим подробнее алгоритм заполнения Согласия на обработку ПНд.

Основные сведения о физ. лице и о компании заполняются автоматически.

Следует проверить отраженные программой информации и заполнить следующие строки:

1. Ответственный за обработку — выбираем работника организации, на которого возложена ответственность за обработку данных;

2. ФИО ответственного лица для печати.

Самая частая ошибка в этом документе — это дата получения согласия.

Зачастую документ печатают позже необходимой даты и уделяют внимание лишь полю «дата», меняя значение на корректное, но забывают сменить дату в поле «согласие получено».

В итоге показатели в этих полях существенно различаются и могут не соответствовать действительности.

Поле «Срок действия» заполняется только в том случае, если согласие предоставлено на определенные период времени, иначе конечную дату устанавливать не нужно, согласие будет бессрочным.

Распечатать документ можно в формате Word или в табличном формате 1С.

При получении от сотрудника письменного заявления на отзыв согласия на обработку ПДн, есть возможность сформировать одноименный документ из «Согласие на обработку ПДн».

Нужная для этого кнопка располагается на панели инструментов.

В отзыве снова заполняем ответственное лицо и его ФИО.

Особое внимание стоит уделить полям «Дата» и «Согласие отзывается». Они должны соответствовать дате заявления работника. Документ оповещает нас о том, что ранее у субъекта было получено Согласие.

В нашем примере оно было бессрочным. Данный документ не имеет печатной формы, но в 1С сведения регистрируются.

Все полученные и отозванные физическими лицами согласия можно найти в отчетах по кадрам.

Здесь интересны сразу два отчета, выделенные на скриншоте ниже. Они позволяют отследить действующие согласия и согласия, по которым истекает срок действия.

Также возможно увидеть отзывы согласий сотрудников.

Сформируем отчет по действующим согласиям.

У Васильева К.М. дата получения согласия и дата документа основания совпадают, чего нельзя сказать о Березовском А.

Двойным щелчком мыши по документу основанию можно открыть Согласие на обработку ПДн.

Дата получения согласия существенно отличается от даты создания документа. Если различие дат является ошибкой, то это необходимо исправить.

Обратим внимание, что в документе установлена дата, до которой будет действовать согласие, т.е. данное согласие не бессрочно.

Теперь сформируем отчет «Согласие на обработку ПДн, срок действия которых истекает».

По этому отчету легко проследить сроки действия согласий. Если данное поле пустое, значит согласие действует бессрочно. Также с помощью этого отчета можно увидеть отзывы согласий.

В соответствии с ФЗ от 27.07.2006 No 152-ФЗ работодатели обязаны сохранять конфиденциальность персональных данных, полученных от физических лиц.

В 1С можно отследить информацию по работе пользователей с данными.

Для этого необходимо произвести следующие настрой программы. Переходим в «Администрирование» — «Настройки пользователей и прав».

Раскрываем группу «Защита персональных данных».

Сначала зайдем в «Настройки регистрации событий доступа к персональным данным».

По умолчанию здесь не проставлены галочки, но для того, чтобы программа регистрировала события доступа к ПДн, необходимо проставить галочки вручную.

Список данных предопределен. Пользователю надо выбрать ту информацию, по которой предполагается отслеживание изменений.

После того, как в программе будут установлены необходимые галочки, станет доступен журнал «Защита персональных данных».

Данный журнал позволяет отследить действия сотрудников в программе.

Важно, чтоб каждый из них заходил под своим именем и паролем. Регистрация в программе происходит в режиме реального времени. В журнале удалить данные нельзя. Все необходимые кнопки по отбору вынесены на панель инструментов.

Таким образом программа 1С позволяет регистрировать события доступа к персональным данным физических лиц.

Ближайшие бесплатные вебинары

  • 16.09.2021 Все новое про ЭЦП для бухгалтера и директора
  • 17.09.2021 Патент вместо ЕНВД: практический опыт внедрения
  • 20.09.2021 Возмещение НДС: погашение ущерба и защита от уголовного преследования

Подборка полезных мероприятий

Несмотря на постоянное усовершенствование законодательной базы в сфере обработки и защиты ПДн, на практике у операторов из-за нечеткости формулировок и противоречащих друг другу требований возникает масса сложностей. Есть ли необходимость получать согласие на обработку биометрических персональных данных? Что делать в случае отзыва? Как не быть оштрафованным из-за нарушения ФЗ-152? На каком этапе интегрировать механизм заполнения заявления при ведении бизнеса онлайн? На все перечисленные вопросы обязательно нужно найти ответы, чтобы грамотно организовать работу предприятия, завоевать доверие клиентов и избежать штрафов.

Зачем нужен документ и кто его должен подписывать?

В Федеральном законе № 

152-ФЗ

четко прописано, что для осуществления любых операций с биометрическими ПДн компании или предпринимателю необходимо получить согласие на обработку, хранение биометрических данных. При отсутствии разрешения на использование личной информации оператора могут оштрафовать, заблокировать его интернет-ресурс, а в отдельных случаях привлечь к гражданской ответственности, например, в случае причинения вреда гражданину. Помимо этого, наличие подписанных субъектами заявлений является свидетельством того, что вы нацелены на ведение бизнеса в рамках правового поля, что, в свою очередь, увеличивает лояльность целевой аудитории и улучшает имиджевую составляющую.

Но нужно помнить, интеграция механизма заполнения бланка согласия — это только часть мероприятий, направленных на обеспечение защиты ПДн на предприятии. Важно не только подтвердить законность хранения, копирования, изменения, распространения сведений, но и сделать так, чтобы биометрия использовалась в соответствии с поставленными целями и не дольше, чем нужно для их достижения.

Действующими нормативами российского законодательства предусмотрена необходимость заполнения заявления о согласии на обработку биометрических персональных данных во всех случаях, за исключением:

  • операций на основе реализации международных соглашений РФ о реадмиссии;
  • когда передача ПДн происходит в рамках выполнения государственных регистрационных действий в рамках оформления заграничных паспортов нового поколения;
  • судебного производства, оперативно-разыскных и следственных действий;
  • при проведении обязательной государственной дактилоскопической регистрации;
  • а также в случаях, предусмотренных законами о государственной безопасности, об обороне, о борьбе с терроризмом и т.п.

Правовые нюансы

В 2018 году Правительством России была утверждена форма согласия на использование биометрических персональных данных, которая определила новые требования к операторам. В документе предписаны следующие моменты:

  • подписание заявления осуществляется в отношении сразу 2 систем: Единой ИСПДн и ЕСИА;
  • перечень ПДн, на использование которых нужно согласие;
  • полученные сведения автоматически передаются в Ростелеком и непосредственному оператору (ИП, ООО и т.д.);
  • максимальный срок хранения — 50 лет;
  • предусматривается как автоматизированная, так и неавтоматизированная обработка информации, а также разрешение на выполнение проверки для подтверждения её правдивости и полноты;
  • у гражданина есть возможность отозвать документ — для этого следует лично обратиться или переслать соответствующее заявление почтой (при наличии ЭЦП это можно сделать в электронном формате);
  • даже после отзыва оператор вправе продолжать обработку, если имеются основания, прописанные во второй части 9 статьи ФЗ-152.

В 2019 году в изначальные правила были внесены изменения после вступления в силу правительственного Распоряжения № 

2063-р.

Наиболее существенными среди них можно назвать следующие:

  1. Список обрабатываемых ПДн, как и предусмотрено ФЗ № 152, стал закрытым.
  2. Вместо размытой формулировки, описывающей биометрические данные, на обработку которых дается согласие, появилось конкретное объяснение видов ПДн и целей их получения.
  3. Сообщать идентификационный номер налогоплательщика нужно только в том случае, если он у субъекта есть.
  4. В документе исчез пункт, где прописывалось применение информации для предоставления муниципальных, государственных услуг.
  5. В новой версии отсутствует временное ограничение хранения сведений — это значит, что без отзыва владельца ПДн можно сохранять вечно.
  6. Присутствует упоминание о разрешении обрабатывать контактные данные.
  7. Предусмотрено делегирование полномочий по сбору, блокировке, уточнению, коррекции, копированию и уничтожению другим лицам (на основании договора либо поручения).

Как действовать, если нужно согласие на обработку персональных и биометрических данных

Озаботиться вопросом легализации процессов, связанных с использованием ПДн, на практике приходится всем ИП и предприятиям. Но не все понимают, что нужно подготовить целый пакет документов и осуществить ряд организационных действий, чтобы защитить личную информацию работников и клиентов. Сократить время и избежать ошибок удастся, доверившись специалистам нашего центра, которые досконально разбираются в законодательстве и могут оказать профессиональную помощь на любом этапе формирования и оптимизации СЗПДн.

Основные действия, которые необходимо выполнить для того, чтобы деятельность была организована в соответствии со статьями ФЗ-152 и подзаконными актами:

  • составление текста политики обработки и защиты информации, а также согласия на обработку персональных биометрических данных;
  • разработка внутренних распоряжений относительно заполнения и хранения документов (приказ об утверждении), назначения ответственных за защиту ПДн лиц;
  • публикация на официальном сайте и/или в мобильном приложении, распечатка для предоставления по запросу проверяющих служб;
  • включение в каждую онлайн-форму, где нужно вводить сведения о себе, ссылки на пользовательское соглашение и графу с подтверждением согласия на использование ПДн.

Отдельно следует продумать систему защиты, чтобы избежать несанкционированного доступа.

Образец согласия на обработку биометрических данных: основные пункты документа

Пример установленной законодательством формы можно найти на официальных сайтах государственных органов, также в Сети есть множество заполненных примеров. Чтобы документ имел юридическую силу, подавать на подпись его необходимо до факта передачи ПДн, при этом в его структуре обязательно должны присутствовать следующие пункты:

  • полное Ф.И.О. и собственноручная подпись заявителя;
  • год, месяц и число подписания;
  • нормативно-правовая база;
  • серия, номер, орган и дата выдачи гражданского паспорта (для детей предоставляются сведения из свидетельства о рождении);
  • место проживания (не обязательно то, где зарегистрирован гражданин);
  • представитель (при наличии) и реквизиты документа, подтверждающего его права действовать от имени субъекта ПДн;
  • информация об операторах, которым на обработку передаются личные данные;
  • цели обработки ПДн и биометрии;
  • список сообщаемой информации;
  • описание действий с передаваемыми сведениями;
  • срок действия согласия и механизм отзыва документа;
  • подтверждение об ознакомлении с ФЗ-152 и разъяснение способов защиты биометрических данных.

Оцените статью
Рейтинг автора
4,8
Материал подготовил
Максим Коновалов
Наш эксперт
Написано статей
127
А как считаете Вы?
Напишите в комментариях, что вы думаете – согласны
ли со статьей или есть что добавить?
Добавить комментарий