Заявление о запрете передачи персональных данных третьим лицам образец

Обновлено: 25.06.2024

1 марта вступили в силу поправки в Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ). На кого распространяется новый закон, при каких условиях и каким образом можно удалить свои персональные данные из общего доступа – в нашем материале.

Зачем нужен новый закон?

Закон направлен на создание механизмов защиты прав и свобод субъектов персональных данных, чьи персональные данные участвуют в общедоступном обороте. В соответствии с мнением депутатов Госдумы, действующая на момент внесения законопроекта на рассмотрение правовая конструкция позволяла третьим лицам осуществлять сбор и последующее неконтролируемое использование указанных персональных данных на интернет-сайтах в целях, отличных от цели их первоначального распространения, а равно с ориентиром на иные целевые аудитории, что нарушает принцип целеполагания, установленный ст. 5 Закона № 152-ФЗ.

Теперь субъект персональных данных имеет право обратиться к любому оператору персональных данных с требованием удалить его персональные данные из общего доступа без дополнительных условий доказывания факта неправомерной обработки персональных данных. Требовать от оператора блокирования или уничтожения персональных данных можно было и раньше, однако с соблюдением условия – необходимо было доказать, что они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав (в соответствии с ч. 1 ст. 14 Закона № 152-ФЗ). Новый закон позволяет осуществлять соответствующие запросы только по причине того, что персональные данные принадлежат субъекту.

Основное отличие нововведений от предыдущей правовой конструкции заключается в том, что любой человек теперь сам может принять решение в отношении того, какие персональные данные могут использоваться публично. Субъект персональных данных сам устанавливает их перечень, при этом причины можно не указывать – оператор обязан удалить данные из общего доступа просто потому, что они относятся к определенному или определяемому лицу. Согласие должно быть выражено отдельно от других согласий на обработку персональных данных.

Что нового вводит закон в отношении законодательства о персональных данных?

Поправки вводят новый термин – персональные данные, разрешенные субъектом персональных данных для распространения. К ним относятся такие персональные данные, доступ неограниченного круга лиц к которым предоставлен их субъектом (подп. 1.1 ст. 3 Закона 152-ФЗ). Такое разрешение выражается путем дачи согласия на обработку персональных данных. Согласие должно оформляться отдельно от других согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту возможность определить перечень персональных данных по каждой категории, указанной в таком согласии (ч. 1 ст. 10.1 Закона № 152-ФЗ). Субъект также имеет право ограничить обработку персональных данных оператором – например, если в согласии не было прямого разрешения на распространение персональных данных, оператор имеет право их обрабатывать, но без распространения (ч. 4 ст. 10.1 Закона № 152-ФЗ). При этом молчание и бездействие субъекта персональных данных не является согласием на обработку (ч. 8 ст. 10.1 Закона № 152-ФЗ).

На кого распространяются положения закона?

Под ответственность попадают все операторы, которые выкладывают персональные данные в общий доступ. К таким оператором относятся, например, социальные сети. Таким образом согласие может быть предоставлено непосредственно оператору (в соответствии с п.1 ч. 6 ст. 10.1 Закона № 152-ФЗ), то есть направлено в письменном виде самой социальной сети. Впоследствии предоставление согласия можно будет совершать с использованием системы Роскомнадзора как уполномоченного органа по защите прав субъектов персональных данных – соответствующие поправки вступают в силу с 1 июля текущего года. Согласие должно быть рассмотрено оператором в срок не позднее трех рабочих дней (ч. 9 ст. 10.1 Закона № 152-ФЗ).

Каким образом можно прекратить обработку персональных данных в общем доступе?

Любое лицо, чьи персональные данные находятся в общем доступе, может прекратить такую обработку, включая передачу, распространение, предоставление и доступ к персональным данным. Закон определяет перечень сведений, которые должно содержать такое требование:

• ФИО;
• контактная информация (например, номер телефона, адрес электронной почты);
• перечень персональных данных, обработка которых подлежит прекращению.

Таким образом, с момента поступления оператору соответствующего требования прекращается действие согласия на обработку персональных данных, разрешенных для распространения. Оператор обязан прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных.

Также субъект имеет право обратиться с соответствующим требованием в суд (в соответствии с ч. 14 ст. 10.1 Закона № 152-ФЗ). Оператор обязан прекратить передачу персональных данных в срок, указанный во вступившем в законную силу решении суда. Если такого указания в решении суда нет – в течение трех рабочих дней с момента вступления решения суда в законную силу.

Важно обратить внимание, что субъект персональных данных вправе обратиться с таким требованием к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений законодательства. Иными словами, гражданство и местонахождение оператора не имеют значения – если осуществляется обработка персональных данных субъекта-гражданина РФ, то требования закона на этот случай распространяется.

Какая ответственность предусмотрена для операторов за неисполнение требований закона?

Ответственность операторов за нарушение законодательства о персональных данных регламентируется ст. 13.11 КоАП. На данный момент санкции за обработку персональных данных без согласия субъекта предусмотрены следующие:

• для граждан – предупреждение или штраф в размере от 3 тыс. до 5 тыс. руб.;
• для должностных лиц – предупреждение или штраф от 10 тыс. до 20 тыс. руб.;
• для юрлиц – предупреждение или штраф от 15 тыс. до 75 тыс. руб.

С 27 марта текущего года вступят в силу поправки об ужесточении ответственности оператора за нарушение положений законодательства о персональных данных (Федеральный закон от 24 февраля 2021 г. № 19-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"). Во-первых, все существующие санкции в виде штрафов увеличиваются вдвое. Также упраздняется такой вид санкции как предупреждение. И, наконец, устанавливаются санкции за повторное нарушение.

При взаимодействии с разными организациями граждане подписывают согласие на обработку своих персональных данных. Одним из пунктов такого документа является согласие на передачу своих персональных данных оператором третьим лицам (третьей стороне).

Зачем передавать персональные данные третьим лицам?

Третьими лицами могут быть организации или сотрудники оператора обработки персональных данных, которые участвуют в правоотношениях гражданина (субъекта данных) и оказывающей услуги организации.

Третьи лица могут выполнять непосредственные обязанности по договору (например, по трудовому договору), а также оказывать дополнительные услуги, сопутствующие или дополнительно возникающие при реализации условий договора.

Многие организации гордятся своими дополнительными трудовыми условиями под названием "социальный пакет". В социальный пакет может входить дополнительное медицинское обслуживание, спортивный отдых, обеспечение досуга сотрудников и многое другое, что является дополнительным и может обеспечиваться сторонними организациями, которым потребуются персональные данные сотрудников. Организация, в которой сотрудники работают, может передать их персональные данные на основании разрешения о передаче этих данных третьим лицам.

Передача данных третьим лицам в трудовых отношениях может быть осуществлена при использовании работодателем услуг кадрового или бухгалтерского аутсорсинга, проведении исследований эффективности менеджмента сторонними специалистами и другое.

Третьим лицам не нужно получать разрешение на обработку персональных данных у сотрудника организации, передавшей его данные в связи с какой-нибудь целью.

Особенности оформления согласия на передачу персональных данных третьим лицам

О чем не нужно волноваться?

Иногда субъект персональных данных опасается того, что выдавая разрешение на передачу персональных данных третьим лицам организация сразу начнёт их распространять, вплоть до продажи разным организациям - это ошибочное мнение.

В Федеральном законе " О персональных данных " закреплён принцип целевой обработки данных - это означает, что при получении согласия на обработку персональных данных оператором должны быть обозначены цели, в соответствии с которыми возможна обработка.

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Оператор обработки персональных данных не может передавать персональные данные граждан любым третьим лицам по любому запросу , а может осуществлять только передачу данных для целевых обработок, обозначенных при заключении договора и получении согласия субъекта на обработку персональных данных.

Условия передачи персональных данных третьим лицам должны быть указаны конкретно и полно в тексте письменного согласия. В таком согласии должно быть указано каким организациям и в каких целях будет передаваться персональная информация. Любая передача данных, являющаяся дополнительной для осуществления правоотношений (трудовых, гражданских), должна быть сформулирована в тексте согласия.

Если в тексте согласия указано просто "передача данных третьим лицам", то это неполная формулировка условий обработки данных, которая может подразумевать передачу персональных данных только для выполнения существенных условий договора (трудового или гражданского).

Существенными условиями являются такие условия, без которых невозможна реализация правоотношений по заключённому договору.

Для получения организацией данных о сотруднике или клиенте другой организации (проверка данных) или передаче персональных данных по запросу другим организациям нужно письменное согласие этого сотрудника или клиента, позволяющее установить факт информированности субъекта о целях и объеме передачи его персональных данных.

Дополнительные материалы по теме этой статьи:

5 марта 2020 года (редакция текста 28 июня 2020 года).

Автор: юрист Демешин Сергей Владимирович.

Участвуйте в обсуждении , пройдите опрос об интересных темах будущих публикаций (ссылка опроса в описании канала, также в описании указаны правила комментирования публикаций).

Вся информация о жизнедеятельности человека, неразрывно связанные с личностью и идентифицирующие данные лица отдельно охраняются законом. Подобные сведения могут быть получены в строгом соответствии с определенном порядком.

Содержание статьи:

Несоблюдение законного процесса получения и дальнейшей работы с такими данными влечет наступление соответствующих негативных последствий для нарушителя.

В перечень персональных данных включается следующее:

1. Сведения о дате и месте рождения
2. Паспортные данные, а равно сведения, содержащиеся в любом ином удостоверении личности
3. Уровень образования
4. Трудоустройство и стаж
5. Наличие / отсутствие судимости
6. Кредитные данные
7. Информация о родственниках
8. Место жительства (регистрации) лица
9. Переписка в любой ее форме
10. Состояние здоровья
11. Образ жизни и иные биографические данные
12. И так далее.

По общему правилу получение всех перечисленных данных допустимо исключительно с согласия самого человека. В отсутствие необходимого одобрения их разглашение также не допускается.

Для решения вопроса об ответственности первоначально следует разобраться, что является разглашением персональных данных о личности. Под этим законодательство понимание совершение действий, в результате которых иные лица получают доступ к персональной информации гражданина. Обязательным условием незаконности распространения выступает неполучение согласия на разглашение сведений от самого обладателя персональных данных.

Что делать при незаконном разглашении персональных данных?

Способы защиты данного нарушенного права различны. Жалоба на незаконное использование персональных данных может быть подана в правоохранительные органы либо непосредственно в суд.

В зависимости от выбранного способа существуют различные последствия для нарушителя. Результатом направлении жалобы в адрес правоохранителей является привлечение виновника к административной либо уголовной ответственности. Обращение в полицию с соответствующим заявлением особенно актуально в случае, если сведения о распространителе не известны. Иными словами – не достаточно данных виновника нарушения прав для определения его в суде в качестве ответчика. В таком случае задачей государственного органа будет установление лица, допустившего незаконное распространение данных о личности.

Целью подачи заявления в суд, в отличие от обращения в полицию, выступает предъявление денежного требования к ответчику в качестве компенсации за незаконное распространение личных данных. При этом, такое заявление обязательно должно отвечать установленным процессуальным кодексом требованиям к исковому порядку.

Немаловажно отметить, что при решении вопроса куда жаловаться на разглашение персональных данных, необходимо знать – оба рассмотренных способа не противоречат друг другу и могут быть реализованы одновременно. Применение всевозможных процедур защиты нарушенного права напротив имеет максимальный положительный эффект. По сути жалоба в правоохранительные органы и иск в суд будут дополнять друг друга. Установленные фактические данные в полиции будут дополнительным доказательством в суде и упростят рассмотрение гражданского иска.

Каким образом возможно законное использование персональных данных?

Несмотря на ответственность за разглашение сведений о личности, получение и дальнейшая работа с такого рода информацией возможна в правовом поле. Соблюдение обязательных требований получения, сбора и обработки данных гражданина позволит их применять совершенно законно без страха наступления ответственности. При этом, передача персональных данных третьим лицам должна происходить только в случае согласии лица. Такое одобрение должно быть зафиксировано в электронном виде либо на бумажном носителе.

В соответствующем соглашение на персональные данные должно быть отмечено:

1. Сведения о лице, которое дает согласие. Подобное право принадлежит исключительно самому человеку и неразрывно с ним связано. Поэтому согласие следует получить у самого лица непосредственно. Передача этого права. например по доверенности не допустима.
2. Перечень информации, согласие на получение и дальнейшие действия с которой одобряет лицо. Круг вопросов, входящих в персональные данные, крайне обширен. В этой связи, согласие на получение одних сведений, например, паспортных данных, очевидно не позволяет получать и распространять всю оставшуюся информацию о личности.
3. Список лиц, которым разрешен доступ к информации. Законный порядок передачи персональных данных третьим лицам обуславливает наличие ограничений в части круга лиц, которые вправе обрабатывать личные данные. По этой причине следует отметить перечень доверенных лиц, получивших право на обработку персональных данных.
4. Срок действия согласия. Соглашением на обработку персональных данных может быть предусмотрен период, в течение которого допускается возможность использования данных о личности. Применение полученных от человека сведений за пределами оговоренного срока в равной степени признается незаконным распространением персональных данных с соответствующими последствиями.
5. Порядок отзыва согласия. По общему правилу отозвать разрешение в части персональных данных возможно в любой момент. Для этого требуется подача соответствующего письменного заявления с указанием на прекращение действия разрешения на персональные данные. Вместе с тем, дополнительно в соглашении допустимо предусмотреть каким именно образом и способом возможно сообщить об отзыве согласия на обработку персональных данных.

Последствия незаконного распространения персональных данных

Итогом нарушения любого из требований закона о персональных данных помимо денежной компенсации и возмещения возможных убытков является наличие публичной санкции в виде административного или уголовного наказания. При этом, ответственность возможна как за сбор, так и дальнейшую обработку, и распространение данных о личности.

Применение административная ответственность за разглашение персональных данных допускается в том случае, если не наступают последствия, связанные с уголовным преследованием. Размер санкции статьей 13.11 административного кодекса определяется в зависимости от того, кто выступает распространителем – физическое (в т.ч. должностное) либо юридическое лица. Также на размер штрафа влияет конкретный вид совершенного нарушения – выбор части приведенной статьи закона напрямую связан именно с объективной стороной нарушения.

Наступление уголовная ответственность за разглашение персональных данных происходит при незаконных действиях именно с сведениями о личной жизни. Примером в этой части может служить информация об образе жизни, здоровье человека и тому подобное. Читайте по ссылке, как наш адвокат по уголовным делам будет отстаивать ваши интересы в случае привлечения к ответственности за данное нарушение.

Наказание по рассматриваемому преступлению непосредственно зависит от исполнителя (отдельная санкция содержится для должностных лиц), а также от способа разглашения информации. Поскольку распространение сведений в СМИ или при публичном выступлении очевидно наносит больший вред, то и ответственность аналогична закреплена законом более суровая.

Помимо указанных наказаний по 137 статье УК РФ, штраф за нарушение 152 ФЗ предусмотрен и в следующей – 138 статье. Преступлением в таком случае также будет признаваться нарушение в области переписки лиц. Вид полученной переписки между гражданами не имеет значения. При решении вопроса какое наказание за разглашение персональных данных в случае переписки равнозначно нарушением тайны будет считаться сведения телефонного разговора, электронных или почтовых писем.

Образец жалобы на незаконное использование персональных данных

В Федеральную службу по надзору в сфере защиты прав потребителей и благополучия человека

В Центральный банк Российской Федерации

От П.

Жалоба на использование персональных данных

Кроме того, звонки поступают мне на работу, сотрудники коллекторского агентства в ходе этих телефонных разговоров вводят в заблуждение моих коллег и начальство, передавая им информацию, не соответствующую действительности, таким образом дискредитируя меня.

Звонки поступают со следующих номеров телефонов: …

Ст. 26 Федерального закона о банках и банковской деятельности гласит, Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.

За разглашение банковской тайны Банк России, руководители (должностные лица) федеральных государственных органов, перечень которых определяется Президентом Российской Федерации, высшие должностные лица субъектов Российской Федерации (руководители высших исполнительных органов государственной власти субъектов Российской Федерации), организация, осуществляющая функции по обязательному страхованию вкладов, кредитные, аудиторские и иные организации, уполномоченный орган, осуществляющий функции по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, орган валютного контроля, уполномоченный Правительством Российской Федерации, и агенты валютного контроля, а также должностные лица и работники указанных органов и организаций несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном федеральным законом.

Операторы платежных систем не вправе раскрывать третьим лицам информацию об операциях и о счетах участников платежных систем и их клиентов, за исключением случаев, предусмотренных федеральными законами.

На основании изложенного и руководствуясь нормами действующего законодательства,

Что можно считать распространением персональных данных в кадровой работе? Когда следует получать у работников согласие о распространении их данных? Какова форма этого согласия?

Ответы на эти и многие другие вопросы вы найдете в нашей статье.

КОГДА ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ЯВЛЯЕТСЯ РАСПРОСТРАНЕНИЕМ

• обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

• распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

• предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Можно сделать следующие выводы:

1. Передача ПД может осуществляться путем их распространения, предоставления или открытием доступа к ним.

2. Распространение ПД — это один из видов передачи данных, при котором ПД раскрываются неопределенному кругу лиц.

Эти выводы очень важны, поскольку позволяют четко разделить, когда происходит распространение (данные видит неограниченный круг лиц), а когда предоставление (данные получают строго определенные лица).

Например, является ли предоставление ПД работника в банк для оформления зарплатной карты или передача данных работника для покупки билета на самолет распространением его ПД? Нет, не является, потому что эти данные предоставляются строго ограниченному кругу лиц. Их не сможет увидеть больше никто, кроме работников банка или специалистов по оформлению билетов.

Если все так очевидно, то почему мнения юристов и консультантов так противоречивы?

Полагаем, что законодатели сами несколько запутали ситуацию, применяя в п. 12 ст. 10.1 Федерального закона № 152-ФЗ все термины, характеризующие передачу ПД:

Извлечение из Федерального закона № 152-ФЗ

12. Передача (распространение, предоставление, доступ)[2] персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных.

Из этого некоторые специалисты делают некорректные выводы:

• все виды передачи ПД (в т. ч. их представление в ПФР, соцстрах, налоговую инспекцию) с 01.03.2021 обязательно должны сопровождаться получением от работника согласия на распространение его ПД;

• все данные о работнике, которые использует работодатель, должны быть включены в согласие, а работник сам отметит, к каким ПД он разрешает доступ, какие можно предоставлять, а какие — распространять.

ОБ ИЗМЕНЕНИИ ТЕКСТА СОГЛАСИЯ НА ОБРАБОТКУ ПД

Согласие на обработку ПД работников необходимо получать, только если работодатель собирает, обрабатывает и хранит данные, которые не связаны с исполнением трудового договора (фотография, адрес личной электронной почты и т. п.) То есть такие ПД, которые Трудовой кодекс РФ требовать у работника не обязывает.

Соответственно, если работодатель обрабатывает только обязательную информацию, установленную в ст. 65 ТК РФ и в разделах личной карточки формы № Т-2, согласие на обработку ПД работников может отсутствовать. Именно такие разъяснения ранее давал Роскомнадзор[3].

РАСПРОСТРАНЯЕТ ЛИ РАБОТОДАТЕЛЬ ПД СВОИХ РАБОТНИКОВ?

Извлечение из Федерального закона № 152-ФЗ

1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)[4];

В настоящее время практически каждая компания каким-либо образом представлена в Интернете:

• у нее есть свой сайт или страничка в социальной сети;

• она включена в каталоги предприятий или организаций города;

В офисах на досках объявлений размещают поздравления с днем рождения, фотографии лучших работников или фотоотчеты о мероприятиях, графики дежурств или какие-либо списки. И конечно, почти в каждом офисе на кабинетах есть таблички с указанием должностей и фамилий начальников или специалистов.

Откройте страницу 3 нашего журнала. Справа указаны фамилия и инициалы шеф-редактора, его заместителя, научного редактора, должности и фамилии авторов статей. Любой человек может видеть эти ПД.

Если ПД работников может увидеть любой человек, который откроет журнал, зайдет в помещение организации или на ее сайт в Интернете, то распространение ПД имеет место.

В соответствии с изменениями в законодательстве у каждого работника, чьи ПД находятся на всеобщем обозрении, следует взять согласие на распространение его персональных данных. Однако из этого правила есть исключение: получать согласие не требуется, если обязанность размещать ПД работников в сети Интернет предусмотрена законодательством РФ [5] .

[2] В извлечении выделено автором.

[4] Пункт 1 ч. 1 ст. 3 Федерального закона № 152-ФЗ.

[5] Разъяснения от 14.12.2012, п. 15 ст. 10.1 Федерального закона № 152-ФЗ.

А. Н. Славинская,
специалист по кадрам

Читайте также:

  
• Как написать заявление на перевод в другое отделение больницы
  
• Справка о госпошлине где взять
  
• Ренессанс страхование подать документы по страховому случаю
  
• Как оформить верх кухонного гарнитура до потолка
  
• Протокол процессуального действия рб это