Образец согласия на проведение проверок и обработку пер сональных данных на получение паспорта днр

Обновлено: 08.05.2024

Обработкой личных данных законодатель считает любые действия, которые вы проводите с ними. А персональные данные — это всевозможные сведения о гражданах.
Таким образом, даже если вы, например, всего лишь получаете паспортные реквизиты своих клиентов или создаете базу их телефонных номеров, вы обрабатываете личную информацию и признаетесь их оператором. Это значит, что вы обязаны под риском ответственности соблюдать требования, которые предъявляются к обработке личной информации. Так, вы должны определить цель обработки и строго ей следовать, при необходимости получать согласие на обработку и уведомлять о ней Роскомнадзор, а также принимать меры по защите информации.

По общему правилу обрабатывать персональные данные гражданина можно лишь с его согласия (п. 1 ч. 1 ст. 6 закона о персональных данных). Причем субъект данных имеет право в любой момент такое согласие отозвать (тогда продолжать обрабатывать данные можно лишь в строго установленных законом случаях). Согласие на действие с личными данными должно быть конкретным, информированным и сознательным. Обязанность доказать наличие такого согласия или обстоятельств, в силу которых это согласие не требуется, возлагается на оператора. Из данной нормы видно, что действует презумпция отсутствия согласия у гражданина, поэтому разрешение не должно быть устным.

Самыми распространенными ситуациями, когда потребуется согласие на обработку персданных, это сбор данных (заявок) клиентов и прием новых сотрудников на работу (это включает в себя даже этап рассмотрения резюме, ведь там содержатся персональные данные).

Во всех остальных случаях согласие обязательно. Обработка персданных без согласия субъекта грозит внушительными штрафами, о которых мы расскажем ниже.

В марте 2021 вступил в силу Федеральный закон от 30.12.2020 № 519-ФЗ. Теперь на персданные, которые будут передаваться третьим лицам или открыто публиковаться для распространения (например, на сайте), нужно дополнительное отдельное согласие помимо основного разрешения на обработку. При этом из текста закона исключено понятие персональных данных, ставших общедоступными.

Уточняется, что для нового вида персданных будут действовать отдельные требования:

• одобрение на работу с новой категорией данных фиксируется в письменном виде исключительно отдельно от общего согласия;
• лицо, распространившее личную информацию, обязано доказать законность совершенных действий;
• безмолвие субъекта не считается одобрением на распространение;
• субъект персданных может потребовать закончить распространение когда угодно;

Также 27.03.2021 вступил в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который внес изменения в КоАП РФ в части штрафов за нарушения в работе с персданными. За обработку личных данных в незаконных случаях должностных лиц и ИП теперь штрафуют на сумму от 10 до 20 тыс. рублей, а компании — от 60 до 100 тыс. рублей. Наказание ждет также в том случае, если персданные обрабатывались в целях, не заявленных гражданину. До этого штраф был на 100 процентов меньше, а за нарушение могли всего лишь предупредить.

Приказом Роскомнадзора от 24.02.2021 № 18 утверждены обязательные требования к согласию на обработку персональных данных разрешенных для распространения. В согласии среди прочего должны указывать такие сведения:
— Ф.И.О. субъекта персданных, его контактную информацию;
— данные оператора, его информационные ресурсы;
— цель обработки, категории и перечень персданных;
— срок действия согласия.
Документ вступил в силу 1 сентября 2021 года и будет действовать до 1 сентября 2027 года.

С 1 июля 2021 года заработал новый интернет-сервис для операторов персональных данных. Он поможет правильно подготовить шаблон формы согласия на обработку данных, которые лицо разрешило распространять. В нем учтены обязательные с 1 сентября требования.
Оператор заполнит необходимые поля в формате конструктора. Шаблон рассмотрит специалист Роскомнадзора и при необходимости даст рекомендации по доработке. Форму согласия оператор сможет использовать в своей деятельности.

Кроме того, вдвое увеличены штрафы за обработку персональных данных без письменного согласия гражданина, если оно обязательно. Должностные лица и ИП заплатят от 20 до 40 тыс. рублей, а компании — от 30 до 150 тыс. рублей.
Появился состав о повторном нарушении. Он предусматривает штраф:
— для должностных лиц — от 40 до 100 тыс. рублей;
— для ИП — от 100 до 300 тыс. рублей;
— для компаний — от 300 до 500 тыс. рублей.

По ссылке ниже вы можете скачать образец уже заполненного согласия. Учтите, что заполнение данного документа зависит от целей обработки данных и типа организации. В данном примере приведено согласие от работника по трудовому договору: образец заполнения согласия на обработку персональных данных

По ссылке ниже вы можете скачать пустой бланк согласия на обработку персданных. Вам необходимо будет самостоятельно заполнить пустые поля в соответствии с законом о персональных данных: бланк согласия на обработку персональных данных

Как мы уже упоминали, в 2021 году были существенно увеличены штрафы за обработку персданных без согласия субъекта. Ответственность за данное нарушение установлена ч. 2 и п. 2.1 ст. 13.11 КоАП РФ. ИП могут быть оштрафованы до 20 тыс. рублей за первое нарушение (до 40 тыс. рублей за повторное), а юридические лица — до 100 тыс. рублей за первое нарушение (до 300 тыс. рублей — за повторное). Оспорить такой штраф в суде очень сложно. Приведем лишь один недавний пример из судебной практики.


Согласие на обработку персональных данных - бланк 2020 - 2021 годов, который можно использовать для заполнения, мы приводим в нашей статье. Иметь такой документ необходимо лицу, получившему персональные сведения. Персональная информация о конкретном человеке не относится к общедоступной, поэтому одновременно с ее передачей этот человек должен разрешить и работу с ней.

Как составить согласие на обработку персональных данных, смотрите в нашем видео:

Для чего нужно письменное согласие работника на обработку его данных

  • определение круга сведений, являющихся персональными;
  • установление условий обработки, хранения и уничтожения данных их получателем;
  • описание ситуаций, как требующих, так и не требующих согласия лица на обработку сведений о нем;
  • перечисление прав носителя персональных данных на ознакомление с результатами их обработки;
  • определение ответственности лиц, разгласивших персональную информацию.

Наиболее частым случаем получения и обработки персональной информации о человеке является сбор и анализ работодателем сведений о своем работнике (уже работающем или вновь принимаемом на работу).

Помимо общедоступных сведений, к которым закон № 152-ФЗ относит данные о Ф. И. О., принадлежности к определенному полу, дате рождения, работодателю оказывается нужна и иная информация, содержащаяся в документах, предъявляемых при трудоустройстве (ст. 65 ТК РФ):

  • в удостоверении личности (паспорте);
  • трудовой книжке;
  • свидетельстве ПФР;
  • документах об обучении;
  • документах воинского учета;
  • дополнительных справках (в частности, об отсутствии судимости) или документах, наличие которых является условием приема на определенную работу.

Сбор и обработка таких данных требуют от работодателя получения предварительного письменного согласия работника на эти действия (п. 1 ст. 9 закона № 152-ФЗ). Согласие является добровольным и может быть отозвано работником.

Требования к хранению и защите персональных данных подробно изложены в Путеводителе по персональным данным работников системы КонсультантПлюс. Получите бесплатный пробный доступ к системе прямо сейчас.

Об ответственности за разглашение персональных данных читайте здесь.

Что входит в содержание заявления о согласии

Перечень основных моментов, которые должны быть отражены в документе, закрепляющем согласие на обработку персональных данных, содержится в п. 4 ст. 9 закона № 152-ФЗ. Это:

  • информация о лице, разрешающем обработку данных (Ф. И. О., данные паспорта), или его представителе (для него дополнительно понадобится документ, удостоверяющий его полномочия);
  • данные о получателе персональной информации (наименование или Ф. И. О., адрес);
  • определение цели, с которой предоставляются данные;
  • перечень сведений, которые подлежат обработке;
  • способы обработки данных, в т. ч. указание на иное лицо, которое будет выполнять обработку, если есть намерение привлечь его к этому;
  • срок действия согласия или способ его отзыва;
  • собственноручная подпись лица, дающего разрешение.

ВНИМАНИЕ! В заявлении о согласии на обработку персональных данных желательно указывать 1 цель, для которой собираются сведения. Сейчас нет прямого запрета включать в одно согласие несколько целей обработки персональных данных. Вместе с тем есть риск, что Роскомнадзор и затем суд сочтут это нарушением (постановление 9 арбитражного апелляционного суда от 16.08.2016 №09АП-30182/2016-АК). Но Минкомсвязь подготовил проект, согласно которому, в одно заявление можно будет включать несколько целей.

Документ о согласии 2020 - 2021 годов: форма и образец

Бланк согласия на обработку персональных данных не имеет законодательно утвержденной формы. При его оформлении нужно только соблюсти обязательность включения в него сведений, предусмотренных п. 4 ст. 9 закона № 152-ФЗ. Каждый получатель персональной информации может разработать форму согласия самостоятельно, отразив в ней необходимый ему перечень сведений и особенности их обработки.

С 1 из образцов согласия на обработку персональных данных можно ознакомиться на нашем сайте:

Альтернативный вариант согласия работника на обработку персональных данных разработан экспертами КонсультантПлюс. Получите бесплатный пробный доступ к К+ и переходите к образцу.

Итоги

Согласно действующему законодательству обработка большей части персональных данных о человеке должна осуществляться с его письменного согласия. Определенной формы у документа, содержащего такое согласие, не имеется, однако установлен перечень обязательной информации, которая должна быть включена в него. Итоговый перечень необходимых персональных данных разрабатывает получатель этих сведений.

  • Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"
  • Трудовой кодекс РФ

Более полную информацию по теме вы можете найти в КонсультантПлюс.
Пробный бесплатный доступ к системе на 2 дня.


Что такое согласие на обработку персональных данных

Под таким согласием понимается письменное разрешение субъекта персональных данных, дающее право заинтересованной организации получать, собирать, обрабатывать, использовать и хранить законным способом личные сведения о себе. При этом получатель принимает на себя обязательство, что поступившая в его распоряжение информация будет использоваться только в определённых законом целях и защищена от посягательств третьей стороны.

Данное понятие регламентируется в законодательном порядке и подразумевает информацию, по которой прямо или косвенно можно идентифицировать личность, установить её индивидуальные особенности, семейный статус, положение в обществе и многое другое.

Конкретного перечня ПД не существует, так как только по фамилии, имени и отчеству однозначно идентифицировать человека не получится: на просторах нашей Родины одних ивановых иванов ивановичей – многие тысячи. Если же Ф.И.О. сочетаются с другой информацией: датой/местом рождения, адресом, номером телефона, семейным положением, отношением к религии и т.д.), то весь этот набор переходит в категорию персональных данных. Какая именно комбинация может считаться ПД – вопрос дискуссионный.

Какие данные могут подвергаться обработке

О случаях, когда обработка допустима без согласия держателя ПД, будет сказано ниже.

Что является личной информацией граждан

В каких документах присутствуют персональные данные

В распоряжении работодателя, как правило, находится общепринятый пакет документов, содержащих сведения о своих работниках. К таким документам относятся:

  • копии документов сотрудника (паспорт, СНИЛС, ИНН, диплом(ы) об образовании);
  • фотография;
  • кадровые документы (трудовая книжка, трудовое соглашение, приказы);
  • бухгалтерские документы (расчётные листки по зарплате);
  • прочее (резюме, результаты психологического тестирования и т.п.).

В совокупности эти сведения являются ПД. Работодатель несёт административную, гражданскую и уголовную ответственность за их неправомерное распространение или утечку.

Способы сбора согласий на обработку персональных данных

Под сбором данных понимается их передача субъектом оператору. Сбор согласий производится как в письменной, так и в электронной форме. Среди популярных способов:

Заполнение печатной анкеты

Анкета заполняется физическим лицом от руки с указанием согласия на обработку ПД.

Подтверждение согласия через СМС-код или звонок

поставщик услуги со слов клиента вносит его личные данные в свою электронную базу и просит дать согласие на обработку полученных сведений посредством СМС-кода или звонка. Код отправляется системой автоматически. При этом клиенту предлагается ознакомиться с программой лояльности, ссылка на которую прикрепляется к СМС.

Чекбокс с галочкой согласия в общей форме заявки

В форме на сайте компании имеется чекбокс, который клиент должен отметить галочкой, чтобы подтвердить своё согласие с правилами обработки ПД. Оформленная заявка хранится на сайте, а при необходимости может быть выгружена и предъявлена в качестве доказательства о согласии клиента.

Что такое портал персональных данных

Портал персональных данных – это сайт Роскомнадзора, уполномоченного защищать права субъектов ПД. Через портал можно найти реестр операторов и нарушителей, подать обращение или жалобу, получить доступ к электронной библиотеке по защите прав граждан и другим полезным ресурсам.

Кто такие операторы персональных данных и что они делают

Это государственные и муниципальные органы, юридические и физические лица, которые организуют и/или осуществляют обработку ПД, определяют её содержание и цели. В задачу оператора также входит обеспечение конфиденциальности и сохранности ПД. Оператор не вправе обрабатывать информацию, не получив предварительного одобрения их обладателя, за исключением предусмотренных законом случаев.

Когда нужно получение согласия на обработку персональных данных

В случаях, когда цель определяется организацией (оператором) самостоятельно в силу особого характера своей деятельности, то она обязана получить согласие у обладателя ПД. Например, если фирма практикует выплату зарплаты на банковскую карту, для передачи сведений в банк она должна взять у сотрудника соответствующее согласие, поскольку прямого требования закона на этот счёт не существует. То же относится к специальным и биометрическим данным.

Согласие при трудоустройстве

При приёме на работу работодатель должен заручиться согласием соискателя на обработку его ПД. Если целью сбора и обработки ПД является исполнение установленных законом требований, оператор вправе свободно собирать и обрабатывать индивидуальные сведения. В частности, принимая на работу сотрудника в рамках трудового договора, организация должна знать его имя и фамилию, возраст, место регистрации, контактный телефон, уровень образования.

Если работодатель собирается не только обрабатывать, но и распространять ПД потенциального сотрудника, он обязан получить на это отдельное согласие. Работодатель также обязан ясно обозначить, какую информацию, в какой форме и с какой целью он намерен обрабатывать и/или распространять.

Согласие на обработку персональных данных при получении кредита

Согласие при определении ребенка в садик или школу

Согласие на обработку ПД несовершеннолетнего (ребёнка, школьника) даёт его законный представитель (отец, мать, опекун). Сведения о ребёнке и его представителе образовательное учреждение использует для организации воспитательного и образовательного процесса, медицинского обслуживания, льготного питания, статистической отчётности, проведения ЕГЭ, конкурсов, олимпиад.

Требования к документу в 2021 году

Гражданам даются правомочия требовать прекращения распространения своих ПД в любое время.

Обязательно ли получать согласие в 2021 году

Как правило, такой документ работодатель подписывает практически с каждым работником – субъектом ПД, чьи данные он собирается обрабатывать. В данном случае лучше перестраховаться, чем иметь дело с Роскомнадзором. При этом принцип добровольности никто не отменял: субъект ПД вправе передать лишь те сведения, которые сочтёт необходимыми. Об исключениях из этого правила сказано ниже.

Когда согласие не требуется

Законом допускаются ситуации, при которых обрабатывать ПД разрешается даже при отсутствии согласия субъекта ПД. Такие случаи оговорены в Законе. Согласия не требуется, если обработка ПД осуществляется с целью:

  • исполнения договора, в котором одна из сторон – субъект ПД (например, договор аренды помещения);
  • защиты жизненно важных интересов гражданина, если получить его согласие физически невозможно;
  • сбора статистических данных, проведения научных исследований и иных мероприятий государственного масштаба с условием обязательного обезличивания ПД;
  • доставки почтовых отправлений службами почтовой связи;
  • опубликования в СМИ персональных данных должностных лиц определённого ранга, кандидатов на выборные должности, общественных деятелей, когда это не противоречит федеральному законодательству.

Без согласия обработка ПД производится, когда лицо участвует в судопроизводстве (гражданском, арбитражном, уголовном).

Как еще могут ужесточить правила обработки персональных данных

Минцифры РФ предлагает дальнейшее ужесточение законодательства в области ПД. Актуальность такого подхода объясняется наличием технологий, позволяющих идентифицировать человека даже по обезличенным данным. В частности, операторам могут запретить:

  • пользоваться информацией, дающей возможность установить принадлежность ПД конкретному лицу;
  • кроме обезличенных данных, предоставлять третьей стороне сведения, позволяющие идентифицировать гражданина;
  • деобезличивать сведения, кроме случаев, когда речь идёт о защите жизни и здоровья граждан.

Будут ли данные предложение реализованы на практике – покажет время.

Что делать, если человек отказывается давать согласие

Закон предоставляет гражданину право отказаться от согласия на обработку и распространение ПД. Санкций за такой отказ не последует. Однако в ряде случаев у человека могут возникнуть проблемы при обращении во многие организации, включая коммерческие структуры. Дело в том, что для оказания некоторых услуг, в том числе электронных, требуются документы, содержащие, помимо прочего, и персональные данные.

Что касается работодателя, то от принципиальности упрямца он почти не испытает неудобств: организация во многих случаях имеет право обрабатывать и распространять ПД без согласия своего сотрудника. В частности, согласие не требуется для исполнения трудового договора.

Также работодатель может на законных основаниях передавать ПД работника в ПФР, ФНС, прокуратуру и другие госорганы, утверждённые законодательством.

Что будет при незаконном разглашении персональных данных

Если оператор превышает свои полномочия при работе с ПД гражданина, это является прямым нарушением закона, за что может наступить административная, гражданская и даже уголовная ответственность. КоАП РФ предусматривает следующие штрафные санкции.

Сумма штрафа для юридических лиц

Обработка данных в непредусмотренных законом случаях или с иными целями, чем заявлено при сборе данных

Первое нарушение – от 60 до 100 тыс. руб.

Повторное нарушение – от 100 до 300 тыс. руб.

Ст.13.11 п.1, 1.1 КоАП РФ

Клиент дал вам свой e-mail для оформления заказа, а вы добавили его адрес в БД для рекламной рассылки

Обработка данных без письменного согласия клиента или несоблюдение требований, предъявляемых к составу включённых в согласие сведений

Первое нарушение – от 30 до 150 тыс. руб.

Повторное нарушение – от 300 до 500 тыс. руб.

Ст.13.11 п.2, 2.1 КоАП РФ

Вы передали данные клиента агентству по маркетингу, а в согласии их передача третьей стороне запрещена

Как правильно составить согласие в 2021 году

Что должно присутствовать в согласии в обязательном порядке

Согласно требованием Роскомнадзора в согласии субъекта ПД должно быть указано:

  1. Ф.И.О.
  2. Контактная информация.
  3. Сведения об операторе.
  4. С какой целью обрабатываются ПД.
  5. Обработка каких ПД запрещена.
  6. Срок действия.
  7. Какие информационные ресурсы будет использовать оператор для распространения ПД.

Гражданин правомочен сам выбирать, какого рода ПД оператору разрешается распространять и на каких условиях.

Форма согласия на обработку персональных данных в 2021 году

Унифицированного шаблона согласия на обработку ПД, разрешённых к распространению, пока нет. Поэтому рекомендуется придерживаться рекомендаций Роскомнадзора, которые сводятся к следующему.

  1. В форме должны присутствовать сведения об операторе (работодателе) и субъекте ПД (работнике).
  2. Работник должен перечислить категории своих ПД, которые могут быть переданы третьей стороне с указанием ограничений, если таковые имеются.
  3. В документе следует указать, посредством каких информационных ресурсов оператор будет распространять ПД.
  4. Согласие должно быть заверено личной подписью субъекта ПД и содержать указание о сроке действия.

В согласии также должно быть указано, с какой целью оператор будет производить обработку поступивших в его распоряжение ПД.

Возможные ошибки

К типичным ошибкам при заполнении формы согласия являются:

  • документ выполнен не на бланке учреждения (либо не заверен печатью);
  • указан адрес местонахождения организации, а не так, как в ЕГРЮЛ;
  • цель обработки ПД не соответствует уставной деятельности организации.

Документ не должен быть бессрочным либо предусматривать его автоматическую пролонгацию.

Образец заполнения


Как уведомить Роскомнадзор о получении новых персональных данных

Уведомить Роскомнадзор можно в бумажном или электронном виде.

Можно ли отозвать согласие

Закон позволяет гражданину отозвать согласие на обработку своих ПД в любое время. При этом отзыв не обязан быть обусловлен какими-либо событиями или обстоятельствами.

Как прекратить передачу персональных данных

Так как согласие на обработку ПД оформляется в письменном виде, отзывать его следует путём подачи оператору письменного заявления. Форма отказа – свободная, передать её можно:

  • лично;
  • почтовым отправлением;
  • в электронном виде.

Важно получить подтверждение даты получения – с неё начнётся отсчёт периода, в течение которого оператор обязан завершить действия с ПД.

Вопрос: Является ли сбор сведений о зарплате обработкой ПД?

Ответ: Да, поскольку ПД работника будут передаваться третьему лицу – банку. Работнику следует предложить дать согласие на такую передачу с указанием банка, его адреса и перечня действий, которые могут совершаться с полученными сведениями.

Вопрос: должен ли гражданин предоставлять сведения о наличии судимости?

Ответ: сведения об отбывании гражданином срока в местах лишения свободы требуются лишь тогда, когда занятие должности не допускается при наличии судимости. В остальных случаях такие сведения гражданин может не предоставлять.

Вопрос: в каких случаях оператор имеет право не обеспечивать конфиденциальность ПД?

Ответ: обеспечение конфиденциальности ПД не требуется, если они: а) обезличены; б) общедоступны.

Заключение

По мере цифровизации экономики и развития интернет-технологий защита ПД граждан от незаконного использования и распространения приобретает всё большее значение. Миллиарды денег, похищенные мошенниками с банковских счетов россиян, оформление кредитов на подставные лица, махинации с недвижимостью – всё это, так или иначе, связано с утечкой ПД. В одних случаях вина лежит на самих субъектах ПД – доверчивых или беспечных гражданах, в других – на операторах ПД. Если граждане отвечают за себя сами, то ответственность оператора регламентируется государством в лице Роскомнадзора.

В 2021 году санкции за фривольное обращение с ПД серьёзно ужесточились.

Следует ожидать, что надзорный орган продолжит работу над проблемой реализации Закона № 152-ФЗ путём проведения правовых, организационных и технических мероприятий.

Несмотря на постоянное усовершенствование законодательной базы в сфере обработки и защиты ПДн, на практике у операторов из-за нечеткости формулировок и противоречащих друг другу требований возникает масса сложностей. Есть ли необходимость получать согласие на обработку биометрических персональных данных? Что делать в случае отзыва? Как не быть оштрафованным из-за нарушения ФЗ-152? На каком этапе интегрировать механизм заполнения заявления при ведении бизнеса онлайн? На все перечисленные вопросы обязательно нужно найти ответы, чтобы грамотно организовать работу предприятия, завоевать доверие клиентов и избежать штрафов.

Зачем нужен документ и кто его должен подписывать?

В Федеральном законе № четко прописано, что для осуществления любых операций с биометрическими ПДн компании или предпринимателю необходимо получить согласие на обработку, хранение биометрических данных. При отсутствии разрешения на использование личной информации оператора могут оштрафовать, заблокировать его интернет-ресурс, а в отдельных случаях привлечь к гражданской ответственности, например, в случае причинения вреда гражданину. Помимо этого, наличие подписанных субъектами заявлений является свидетельством того, что вы нацелены на ведение бизнеса в рамках правового поля, что, в свою очередь, увеличивает лояльность целевой аудитории и улучшает имиджевую составляющую.

Но нужно помнить, интеграция механизма заполнения бланка согласия — это только часть мероприятий, направленных на обеспечение защиты ПДн на предприятии. Важно не только подтвердить законность хранения, копирования, изменения, распространения сведений, но и сделать так, чтобы биометрия использовалась в соответствии с поставленными целями и не дольше, чем нужно для их достижения.

Действующими нормативами российского законодательства предусмотрена необходимость заполнения заявления о согласии на обработку биометрических персональных данных во всех случаях, за исключением:

  • операций на основе реализации международных соглашений РФ о реадмиссии;
  • когда передача ПДн происходит в рамках выполнения государственных регистрационных действий в рамках оформления заграничных паспортов нового поколения;
  • судебного производства, оперативно-разыскных и следственных действий;
  • при проведении обязательной государственной дактилоскопической регистрации;
  • а также в случаях, предусмотренных законами о государственной безопасности, об обороне, о борьбе с терроризмом и т.п.

Правовые нюансы

В 2018 году Правительством России была утверждена форма согласия на использование биометрических персональных данных, которая определила новые требования к операторам. В документе предписаны следующие моменты:

  • подписание заявления осуществляется в отношении сразу 2 систем: Единой ИСПДн и ЕСИА;
  • перечень ПДн, на использование которых нужно согласие;
  • полученные сведения автоматически передаются в Ростелеком и непосредственному оператору (ИП, ООО и т.д.);
  • максимальный срок хранения — 50 лет;
  • предусматривается как автоматизированная, так и неавтоматизированная обработка информации, а также разрешение на выполнение проверки для подтверждения её правдивости и полноты;
  • у гражданина есть возможность отозвать документ — для этого следует лично обратиться или переслать соответствующее заявление почтой (при наличии ЭЦП это можно сделать в электронном формате);
  • даже после отзыва оператор вправе продолжать обработку, если имеются основания, прописанные во второй части 9 статьи ФЗ-152.

В 2019 году в изначальные правила были внесены изменения после вступления в силу правительственного Распоряжения № Наиболее существенными среди них можно назвать следующие:

  1. Список обрабатываемых ПДн, как и предусмотрено ФЗ № 152, стал закрытым.
  2. Вместо размытой формулировки, описывающей биометрические данные, на обработку которых дается согласие, появилось конкретное объяснение видов ПДн и целей их получения.
  3. Сообщать идентификационный номер налогоплательщика нужно только в том случае, если он у субъекта есть.
  4. В документе исчез пункт, где прописывалось применение информации для предоставления муниципальных, государственных услуг.
  5. В новой версии отсутствует временное ограничение хранения сведений — это значит, что без отзыва владельца ПДн можно сохранять вечно.
  6. Присутствует упоминание о разрешении обрабатывать контактные данные.
  7. Предусмотрено делегирование полномочий по сбору, блокировке, уточнению, коррекции, копированию и уничтожению другим лицам (на основании договора либо поручения).

Как действовать, если нужно согласие на обработку персональных и биометрических данных

Озаботиться вопросом легализации процессов, связанных с использованием ПДн, на практике приходится всем ИП и предприятиям. Но не все понимают, что нужно подготовить целый пакет документов и осуществить ряд организационных действий, чтобы защитить личную информацию работников и клиентов. Сократить время и избежать ошибок удастся, доверившись специалистам нашего центра, которые досконально разбираются в законодательстве и могут оказать профессиональную помощь на любом этапе формирования и оптимизации СЗПДн.

Основные действия, которые необходимо выполнить для того, чтобы деятельность была организована в соответствии со статьями ФЗ-152 и подзаконными актами:

  • составление текста политики обработки и защиты информации, а также согласия на обработку персональных биометрических данных;
  • разработка внутренних распоряжений относительно заполнения и хранения документов (приказ об утверждении), назначения ответственных за защиту ПДн лиц;
  • публикация на официальном сайте и/или в мобильном приложении, распечатка для предоставления по запросу проверяющих служб;
  • включение в каждую онлайн-форму, где нужно вводить сведения о себе, ссылки на пользовательское соглашение и графу с подтверждением согласия на использование ПДн.

Отдельно следует продумать систему защиты, чтобы избежать несанкционированного доступа.

Образец согласия на обработку биометрических данных: основные пункты документа

Пример установленной законодательством формы можно найти на официальных сайтах государственных органов, также в Сети есть множество заполненных примеров. Чтобы документ имел юридическую силу, подавать на подпись его необходимо до факта передачи ПДн, при этом в его структуре обязательно должны присутствовать следующие пункты:

Марина Крицкая

Осенью вступает в силу Приказ Роскомнадзора, устанавливающий требования к содержанию согласия на обработку персональных данных, которые субъект данных разрешает распространять. Срок действия приказа — до 1 сентября 2027 года.

Последние значительные изменения в Федеральном законе от 27.07.2006 № 152-ФЗ начали действовать с 1 марта 2021 года. Они были внесены Федеральным законом от 30.12.2020 № 519-ФЗ и затронули вопрос предоставления доступа к данным субъекта через согласие на обработку таких данных. Поправки были инициированы с целью решить проблему бесконтрольного использования персональных данных граждан третьими лицами.

В законе подчеркивается, что согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно. А молчание или бездействие владельца данных ни при каких обстоятельствах не может восприниматься как согласие на их обработку.

В согласии на обработку данных, разрешенных для распространения, можно установить запреты:

  • на их передачу неограниченному кругу лиц;
  • на обработку или условия обработки данных неограниченным кругом лиц.

Распространение персональных данных должно быть приостановлено в любое время по требованию субъекта, даже если ранее он дал на это согласие.

В п. 9 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ уточняется, что требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, устанавливаются Роскомнадзором. Эти требования ведомство прописало в Приказе от 24.02.2021 № 18, который вступает в силу с 1 сентября 2021 года.

Требования к сведениям, которые должны быть в согласии

В Приказе приводится перечень обязательных сведений субъекта персональных данных, которые должны содержаться в согласии на обработку:

  • ФИО;
  • контактная информация (номер телефона, адрес электронной почты или почтовый адрес);
  • сведения об операторе-организации;
  • сведения об операторе-физическом лице;
  • сведения об операторе-гражданине, являющимся ИП;
  • сведения об информационных ресурсах оператора, через которые неограниченному кругу лиц предоставляется доступ к данным и производятся иные действия с персональными данными;
  • цель обработки персональных данных;
  • категории и перечень персональных данных, на обработку которых дается согласие субъекта: персональные данные (ФИО, год, месяц, дата рождения, место рождения, адрес, семейное положение и др.), специальные категории персональных данных и биометрические данные;
  • срок действия согласия.

По желанию субъекта персональных данных заполняется следующая информация:

  • категории и перечень данных, для обработки которых субъект устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов;
  • условия, при которых полученные данные могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.

Шаблон согласия на обработку ПД, разрешенных для распространения

Роскомнадзор решил помочь бизнесу и разработал специальный конструктор для формирования шаблона согласия. Рекомендуемый документ соответствует всем необходимым требованиям и учитывает особенности деятельности конкретного оператора.

Конструктор создавался с учетом правоприменительной практики и обращений операторов по оформлению согласия на обработку персональных данных, разрешенных для распространения.
Сервис Роскомнадзора предлагает заполнить поля, после этого шаблон рассматривается экспертами ведомства. При необходимости оператору даются рекомендации по доработке документа. Результаты проверки отправляются на электронный адрес, указанный в форме.

В дальнейшем оператор может использовать проверенную форму согласия в своей работе.

В шаблон согласия на обработку персональных данных от Роскомнадзора учитываются все сведения, указанные как обязательные в Приказе от 24.02.2021 № 18:

  • сведения об операторе;
  • сведения об информационных ресурсах оператора;
  • цель обработки персональных данных;
  • категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных, в том числе биометрические данные и специальные категории персональных данных;
  • специальные категории персональных данных;
  • биометрические персональные данные;
  • срок действия согласия;
  • другая информация.

Напомним, что с 27 марта заметно выросли штрафы за нарушения в работе с персональными данными (Федеральный закон от 24.02.2021 № 19-ФЗ).

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Читайте также: