Заявление в роскомнадзор о нарушении закона о персональных данных образец заполнения

Обновлено: 28.06.2024

С 1 марта 2021 года вступили в силу новые правила обработки и распространения общедоступных персональных данных. Рассказываем, что изменилось в работе с общедоступными личными сведениями граждан, и какие штрафы теперь грозят за нарушение правил сбора и распространения таких персональных данных.

Изменения в законе о персональных данных с 1 марта 2021 года

Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.

Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. С 1 марта 2021 года изменился порядок обработки персональных данных, разрешенных гражданами для распространения.

2. Согласие на распространение персональных данных теперь оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных.

3. Получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. Нужно заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

4. Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора.

5. Гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц.

6. По новым правилам физлицо в любое время может обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа.

7. Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет штраф для ИП и должностных лиц организаций от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Существующий правовой пробел позволял любым третьим лицам осуществлять сбор и последующее бесконтрольное использование общедоступных персональных сведений, в том числе и в социальных сетях. Причем собранные таким образом сведения зачастую используются третьими лицами в целях, отличных от цели их первоначального распространения, – для рассылки рекламы, предложения услуг и т.д.

Новые правила исключают для операторов персданных и третьих лиц подобную возможность и устанавливают четкие правила дачи согласия на распространение и обработку общедоступных личных сведений.

Одновременно вступившие в силу поправки регламентируют процедуру отзыва согласия на распространение общедоступных персональных данных, а также определяют последствия несоблюдения операторами порядка получения согласия на их обработку и распространение.

Все это позволит избежать бесконтрольного использования третьими лицами общедоступных сведений о гражданах вопреки целям их первоначального получения и обработки.

Согласие на обработку данных, разрешенных к распространению

Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя.

Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.

Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).

В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.

Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.

Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Персональные данные − это прямо или косвенно относящаяся к физическому лицу информация, с помощью которой он может быть идентифицирован. К персональным данным относятся ФИО, паспортные данные, ИНН, СНИЛС, дата рождения, адрес (регион, город, улица, дом, квартира), образование, место работы, семейное и социальное положение, сведения о здоровье, уровень дохода и т.д., то есть, любые сведения, по которым можно идентифицировать человека. При этом, чтобы считать данные персональными, их необходимо использовать в совокупности, так как только лишь по фамилии или по данным об образовании идентифицировать личность невозможно.

Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.

Отзыв согласия на обработку и распространение общедоступных персональных данных

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.

При этом требование о прекращении передачи общедоступных данных должно содержать следующие сведения (п. 12 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ):

• ФИО заявителя;
• контактную информацию заявителя (номер телефона, адрес электронной почты или почтовый адрес);
• перечень персональных данных, обработка которых подлежит прекращению.

Причем все вышеуказанные персональные данные могут обрабатываться только оператором, которому было направлено требование. С момента получения оператором персданных указанного требования действие согласия физлица на обработку его общедоступных сведений считается прекращенным.

Получив от физлица требование о прекращении передачи общедоступных сведений, оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа (п. 14 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). В противном случае он понесет административную ответственность по ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных).

Новые штрафы за нарушение правил обработки персональных данных

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

С каждым годом все больше внимания государство уделяет проблемам защиты персональных данных. С марта 2021 года вступили в силу очередные поправки в законодательстве в этой области. О новшествах в обработке персональных данных в 2021 году вы узнаете из материала.

На кого направлены изменения

• работников;
• клиентов;
• покупателей;
• посетителей и пр.

Что нового в работе с персональными данными с 1 марта 2021 года?

Изменения в обработке персональных данных (ПД) с 01.03.2021 нацелены искоренить их неконтролируемое использование:

• Запрещено расценивать как разрешение на обработку персданных молчание или бездействие субъекта ПД.
• Теперь субъект персданных вправе самостоятельно выбрать из перечня данных информацию, на обработку которой дает согласие, а также запретить неограниченную передачу его данных, определить условия (за исключением получения доступа) использования. Препятствовать этому оператор не вправе.
• Наложенные на обработку и передачу данных запреты и ограничения не действуют при обработке ПД в интересах общества и страны. Круг интересов определяется законодательством.
• Обрабатывать персональные данные субъекта вправе только оператор, получивший согласие.
• Согласие на распространение персданных необходимо оформлять отдельно от прочих согласий на обработку.
• Использование ПД может быть прекращено в любой момент по требованию субъекта. В заявлении на прекращение следует указывать ФИО, контакты субъекта, а также перечень данных, подлежащих завершению использования.
• Если согласие субъекта персональных данных не содержит разрешения на распространение, оператор вправе обработать их только без дальнейшего распространения.

Раскрытие данных без согласия

Обновленная редакция закона о персональных данных затрагивает тему несанкционированного их раскрытия. Каждое лицо, распространившее и обработавшее ПД, обязано самостоятельно доказывать правомерность дальнейшего распространения и использования персданных, если данные раскрыты неопределенному кругу лиц:

• субъектом персданных без предоставления согласия оператору;
• по причине правонарушения (преступления);
• в следствие форс-мажора.

Что изменится с 1 июля 2021

С 01.07.2021 субъекту персданных будет предоставлено право согласиться на обработку разрешенных для распространения ПД непосредственно оператору или через информсистему Роскомнадзора.

Согласие на обработку персональных данных — образец

По новым правилам требования к содержимому согласия на обработку ПД устанавливает Роскомнадзор. При этом он требует, чтобы согласие на обработку персданных содержало:

• ФИО на русском языке или в русской транскрипции;
• контактные данные — номер телефона, e-mail или почтовый адрес;
• полное и краткое наименование или ФИО и адрес оператора, получающего согласие субъекта, а также ИНН, статистические коды, регион, населенный пункт;
• цель (цели) обработки персданных — ее необходимо сформулировать строго в соответствии с законом;
• категории (общие, специальные, биометрические) и перечень ПД, обработка которых согласована;
• категории и перечень персданных, попавших под условия и запреты;
• срок действия согласия — должен быть ограничен во времени, без возможности автоматической пролонгации;
• сведения о сайтах и прочих ресурсах, через которые неограниченный круг лиц получит доступ к персданным субъекта.

Полезная информация от КонсультантПлюс

Смотрите образец согласия на обработку персональных данных (это бесплатно).

Сроки

У оператора есть 3 дня на публикацию особенностей (условия, ограничения, запреты) полученного согласия на обработку персданных. Этот же срок установлен для прекращения передачи ПД по требования или по решению суда (если в решении суда не содержится иное).

Чем грозит несоблюдение правил обработки персданных

С 27 марта 2021 года существенно увеличены штрафы за правонарушения в области персональных данных — о них мы рассказываем в отдельной статье.

Такая мера, как предупреждение больше не применяется в качестве наказания за совершение неправомерных действий с ПД.

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО "Сбербанк-АСТ". Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

Программа разработана совместно с АО "Сбербанк-АСТ". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Продукты и услуги Информационно-правовое обеспечение ПРАЙМ Документы ленты ПРАЙМ Разъяснение Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 октября 2011 г. "Рассылка территориальными органами Роскомнадзора писем с просьбой о направлении организациями уведомлений об обработке персональных данных - профилактическая мера с целью исполнения операторами закона "О персональных данных"

Обзор документа

Разъяснение Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 октября 2011 г. "Рассылка территориальными органами Роскомнадзора писем с просьбой о направлении организациями уведомлений об обработке персональных данных - профилактическая мера с целью исполнения операторами закона "О персональных данных"

В связи с публикациями в СМИ материалов о деятельности Роскомнадзора в сфере защиты прав субъектов персональных данных, в том числе о практике направления организациям писем с просьбой представить уведомления об обработке конфиденциальной информации о гражданах, Федеральная служба разъясняет:

В 2008 году Службой был издан приказ, утверждающий форму уведомления и рекомендации по ее заполнению. Форма Уведомления и рекомендации по его заполнению размещены на Портале персональных данных (www.pd.rsoc.ru) в разделе "Реестр операторов".

В августе 2011 года рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных были скорректированы в связи с новыми требованиями Закона. Соответствующий приказ от 19.08.2011 N 706 размещен на Портале персональных данных в разделе "Законодательство" - "Законодательство Российской Федерации" - "Акты Роскомнадзора".

Пункт 2 ст. 22 Закона устанавливает, в каких случаях оператор вправе обрабатывать персональные данные без уведомления Уполномоченного органа. Например, если они обрабатываются в соответствии с трудовым законодательством; если персональные данные получены в связи с заключением гражданско-правового договора с работником или клиентом, если при этом персональные данные не распространяются и не предоставляются третьим лицам без согласия работника (или клиента) и используются работодателем исключительно для исполнения договора и т.п.

Вместе с тем, чтобы понять, нужно ли уведомлять Роскомнадзор, оператору необходимо не только внимательно изучить Закон, но и проанализировать свои учредительные документы, локальные акты, в которых закреплены направления деятельности юридического лица и цель предполагаемой обработки персональных данных. Например, если персональные данные работников передаются третьим лицам, например, при оформлении зарплатной карты в рамках договора с кредитным учреждением, уведомление необходимо предоставлять, так как трудовые отношения выходят за рамки трудового законодательства.

Роскомнадзор обращает внимание на то, что если организация подпадает под исключение и вправе не уведомлять Роскомнадзор, она, тем не менее, должна дать ответ на письмо Федеральной службы, в котором следует указать, на основании каких норм Закона организация считает, что может воздержаться от направления уведомления. При этом, в любом случае, организация обязана выполнять все требования по защите персональных данных.

Рассылка территориальными органами Роскомнадзора писем с просьбой о направлении операторам персональных данных уведомлений об обработке персональных данных ведется с начала 2008 года и является профилактической мерой с целью исполнения оператором требований Закона.

По состоянию на 31 октября 2011 года, в реестр операторов, обрабатывающих персональные данные, включено более 221 тыс. операторов.

Обзор документа

Согласно Закону о персональных данных (ПД) операторы обязаны уведомлять Роскомнадзор об обработке ПД или о намерении их обрабатывать.

В частности, уведомление нужно представить, если ПД работников передаются третьим лицам, в том числе при оформлении зарплатной карты в рамках договора с кредитной организацией.

Если организация подпадает под исключение и вправе не уведомлять Роскомнадзор, она тем не менее должна дать ответ на письмо Службы, в котором следует указать, на основании каких норм Закона о ПД организация считает, что может воздержаться от направления уведомления. При этом в любом случае она обязана выполнять все требования по защите ПД.

Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:

Один из главных вопросов, который встаёт перед операторами персональных данных, – подавать или не подавать в Роскомнадзор уведомление об обработке персональных данных?

Основная причина, по которой организации, осуществляющие обработку персональных данных, не спешат подавать уведомление: нежелание обратить на себя взор надзирающего ока (Роскомнадзора).

С пассивностью операторов в этом вопросе государство, в лице уполномоченного органа (Роскомнадзора), борется регулярными мерами – проводится выборочная рассылка официальных запросов. Многие юридические лица уже столкнулись с такими запросами. Это запросы уполномоченного органа по поводу подачи уведомления об обработке персональных данных.
Здесь важно учесть, что запрос Роскомнадзора - это официальное обращение государственного органа, игнорирование которого, так же как и некорректный ответ, может повлечь административную ответственность.

Возможны две ситуации:

1. вы ничего не знаете о персональных данных (или что-то слышали, но не заинтересовались), и вам пришел запрос уполномоченного органа;
2. вы сознательно решили выполнить требования законодательства о персональных данных и подали уведомление.

Для начала рассмотрим первую ситуацию. Вам поступил запрос от уполномоченного органа о том, что информация о Вас, как об операторе персональных данных, в реестре операторов отсутствует и вам необходимо подать уведомление, чтобы зарегистрироваться как оператор персональных данных.

Те, кто не отвечают на запрос, совершают ошибку сразу, т.к. в соответствии со статьей 19.7 КоАП РФ за непредоставление информации в срок предусмотрена административная ответственность.

Другая распространенная ошибка – непродуманный ответ. Притом как положительный, так и отрицательный.

Прежде всего необходимо выполнить самообследование. Для этого и послужит отправной точкой форма уведомления. В нем четко видно, что необходимо определить:

Дальше необходимо заняться выполнением требований законодательства о персональных данных как в сфере организации и регламентации обработки персональных данных, так и в сфере их технической защиты.

Важно понимать - наличие оснований для обработки персональных данных без уведомления уполномоченного органа не освобождает вас от обязанности по выполнению всех требований законодательства о персональных данных!

Большинство вопросов связано со следующими пунктами:

Чтобы заполнить информацию по первому пункту, вам необходимо выписать меры, которые оператор должен предпринять в соответствии с данными статьями. Смотрим статью 18.1. Исходя из ее требований, можно понять, что мы должны выполнить следующие действия (данные рекомендации - исключительно мнение авторов и не закреплены действующим законодательством, однако, уведомления, поданные с данными формулировками по рекомендации авторов, нареканий со стороны контролирующих органов не вызывали):

• назначить ответственного за организацию обработки;
• издать политику оператора в отношении обработки персональных данных;
• издать локальный акт, один или несколько, котором описываются процедуры, направленные на предотвращение и выявление нарушений законодательства РФ;
• и так далее.

В свою очередь в уведомлении в данном пункте мы пишем: назначен ответственный за организацию обработки (некоторые пишут номер приказа), издана политика оператора в отношении обработки персональных данных; издан локальный акт, описывающий процедуры. И так далее.

С 19 статьей делаем то же самое.

Что касается второго пункта, в него необходимо включать те меры и действия, которые вы предприняли, выполняя Постановления Правительства РФ в сфере персональных данных:

• Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных";
• Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
• Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";
• Постановление Правительства РФ от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Для примера возьмем постановление 1119. Если вы установили, что у вас 4 уровень защищенности, вы должны выполнить требования пункта 13 Постановления. В итоге, в уведомлении вам следует писать, например: Руководителем утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. И так далее по другим мерам и другим Постановлениям Правительства в сфере персональных данных.

Если у вас возникли трудности с указанием даты начала обработки и сроком или условием прекращения обработки, то чаще всего пишут дату регистрации предприятия, и условие - прекращение деятельности. Но, конечно, существует еще множество различных вариантов для этих двух пунктов!

Через две-три недели мы советуем проверить, добавлено ли ваше уведомление в реестр. Это довольно легко сделать на сайте Роскомнадзора.

Напомним - Вы не просто должны подать уведомление, вы должны выполнить все, что в нем написано!

Читайте также:

  
• Что делать если исполнитель не выполняет условия договора
  
• Оригинал документа подтверждающего право обращаться за получением сертификата
  
• Почему нельзя кофеин на антикандидном протоколе
  
• Почему мужчина наводит справки о женщине
  
• Что является основополагающим правовым актом регулирующим семейные отношения в россии тест ответы