Соглашение об обработке персональных данных

О чем всегда забывают при подготовке документации?

Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных. Дело в том, что для полного соответствия требованиям Закона № 152-ФЗ и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться. Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:

  • отсутствует большая часть необходимой документации;
  • документация не актуализируется на постоянной основе (например, при изменениях процессов обработки персональных данных);
  • не заполняются типовые формы документов (перечни, журналы и др.) в соответствии с внутренней документацией организации.

Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики. При ее разработке полезно изучить рекомендации Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 г.

Среди документов второго уровня в иерархии можно выделить следующие:

  1. Положение об обработке персональных данных. Его можно разработать как отдельно для работников и остальных субъектов данных, так и в виде единого документа. Я рекомендую выбирать второй вариант и не забывать, что с документом нужно ознакомить каждого работника под подпись;
  2. Регламент обработки обращений от субъектов персональных данных / Роскомнадзора;
  3. Регламент проведения внутренних проверок в части соблюдения требований Закона № 152-ФЗ и подзаконных актов в области обработки персональных данных;
  4. Методика оценки вреда субъектам персональных данных. По моей практике, компании крайне редко разрабатывают этот документ, хотя он необходим для успешного прохождения проверки Роскомнадзора;
  5. Иные документы.

Для наглядности иерархическая структура необходимых документов представлена на схеме:

Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных

Список внушительный, не говоря о том, что в этой колонке я не рассматриваю документы по защите персональных данных по требованиям ФСТЭК и ФСБ России

Но и это еще не все: организациям, в которых планируется проверка Роскомнадзора, также следует обратить внимание на подготовку справок по различным вопросам. Например, это может быть информация по обработке данных уволенных работников, справка об обработке биометрических данных и не только

Например, в моей практике был случай, когда компании пришлось подготовить суммарно порядка 200 справок по разным вопросам обработки персональных данных. Так что этот вопрос лучше продумать заранее.

Состав персональных данных

5.1. Персональные данные предоставляются Пользователем добровольно, означают согласие на их обработку Администрацией Сайта и включают в себя:

5.1.1. предоставляемые Пользователями минимально необходимые данные для связи: имя (возможно использование вымышленного), номер мобильного телефона и/или адрес электронной почты. Иные данные (в том числе пол, возраст, дата рождения, адрес и т.д.) предоставляется Пользователем по желанию и в случае необходимости таких данных для связи с пользователем и осуществлением действий, связанных с предоставлением услуг или доставкой товаров Пользователю.

5.2. Иная информация о Пользователях, обрабатываемая Администрацией Сайта.

Администрация Сайта обрабатывает также иную информацию о Пользователях, которая включает в себя:

5.2.1. стандартные данные, автоматически получаемые сервером при доступе к Сайту и последующих действиях Пользователя (IP-адрес хоста, вид операционной системы пользователя, страницы Сайта, посещаемые пользователем).

5.2.2. информация, автоматически получаемая при доступе к Сайту с использованием закладок (cookies).

5.2.3. информация, полученная в результате действий Пользователя на Сайте.

5.2.4. информация, полученная в результате действий других пользователей на Сайте.

5.2.5. информация, необходимая для идентификации Пользователя для доступа к сервисам сайта.

Популярные статьи

  • 16.4K
  • 5 мин.

Настройка robots.txt: что на сайте стоит спрятать от робота?
Файл robots.txt представляет собой набор директив (набор правил для роботов), с помощью которых можно запретить или разрешить индексирование поисковым роботам определенных разделов и файлов вашего сайта, а также сообщить дополнительные сведения.

  • 13 июня 2019
  • Продвижение

  • 29.1K
  • 7 мин.

«Битые» ссылки: избавляемся от трупов негатива
Битые ссылки на сайте плохо влияют на его продвижение. Пользователей несуществующие страницы раздражают, а поисковики отрицательно относятся к множеству нерабочих ссылок на сайте. В статье расскажем, что такое битые ссылки, как они возникают и какими способами их лучше всего найти.

  • 16 июня 2020
  • Продвижение

  • 6.4K
  • 19 мин.

31 причина, почему у вас нет продаж
Почему нет продаж и нет покупателей – довольно частые вопросы у владельцев бизнеса. Не нужно идти к гадалке или пытаться провести обряд по привлечению заказов – достаточно прочесть нашу статью. В ней мы расскажем о 31 причине, из-за которых клиенты предпочитают другую компанию.

  • 20 января 2020
  • Продвижение

Пошаговая инструкция

Как сделать для компаний?

  1. Заполняющий Согласие указывает запрашивающую сторону и Пользователя, которому адресован документ.
  2. Обозначает цели сбора и обработки информации со ссылкой на ФЗ № 152-ФЗ «О персональных данных» от 27.07.2006 года. Стандартные цели сбора и обработки для корпоративных сайтов:
    • Осуществление клиентской поддержки.
    • Предоставление Пользователю информации о маркетинговых событиях Компании.
    • Проведение аудита и прочих внутренних исследований с целью повышения качества предоставляемых услуг.
  3. Далее заполняющий Согласие уточняет, что имеется в виду под персональными данными. Например, если сайт запрашивает ФИО и контактный телефон Пользователя, указываются именно эти пункты.
  4. Пишет, на каких носителях (электронных или физических) хранятся данные и какой вид обработки используется — автоматический, ручной или смешанный.
  5. Важный пункт — обязательство не передавать информацию третьим лицам, за исключением определенных случаев. Практически всегда исключениями в данном пункте являются:
    • По запросам уполномоченных органов государственной власти РФ только по основаниям и в порядке, установленным законодательством РФ.
    • Стратегическим партнерам, которые работают с Компанией для предоставления продуктов и услуг.

Как разработчику позаботиться о безопасности посетителей?

Заключить соглашение необходимо с разработчиком сайта и/или с агентством, которое занимается его технической поддержкой.

В Согласии необходимо дополнительно прописать требование о защите персональных данных, а также какие персональные данные они могут обрабатывать, в каких целях и какие действия с ними могут выполнять.

Как отправить данные?

Документ необходимо согласовать с Роскомнадзором. В соответствии с ч. 3 ст. 22 Федерального закона № 152-ФЗ, компании, являющиеся операторами персональных данных, обязаны подать в Роскомнадзор специальное уведомление с запросом на регистрацию. Это можно сделать на сайте Роскомнадзора, после чего нужно отправить уведомление в информационную систему уполномоченного органа по защите прав субъектов персональных данных.

Помимо этого, заполняющий Согласие обязан отправить в территориальный орган Роскомнадзора, к которому приписана ваша компания по месту регистрации, распечатанную и заверенную форму соглашения. После прохождения этого этапа юридический вопрос о легитимности сбора и обработки пользовательской информации будет снят.

В связи с тем, что наказания за правонарушение ужесточились, а также в связи с регулярными проверками со стороны Роскомнадзора и иных органов, грамотно заполнить соглашение и отправить его в вышестоящие органы необходимо всем операторам. Это довольно несложная процедура, к тому же, заполнив соглашение один раз, все юридические вопросы по отношению к нему будут сняты. В таком случае все три стороны — государство, Компания и Пользователь — будут удовлетворены и смогут мирно сосуществовать далее.

Размещение документов на Blogger

Если у вас есть текст документов, то вам также нужно создать новую страницу и разместить текст соглашения на ней. Опубликуйте страницу и скопируйте ссылку. Теперь перейдите в редактор HTML темы и найдите копирайт. Здесь вставьте ссылку на страницу с соглашением. В новых темах Blogger найдите секцию Footer и вставьте в нее скрипт согласия (или ссылку на страницу с ним), а именно вставьте код после строчки кода:

Если в вашей теме возможно добавление гаджетов в футере, то добавить скрипт согласия обработки ПД еще проще – во вкладке “Дизайн”, добавьте новый гаджет HTML/JavaScript в секции Footer. В гаджет HTML / Javascript вставьте сгенерированный скрипт или ссыдку на страницу политики конфиденциальности. Как добавить ссылку на политику конфиденциальности под каждой формой отправки комментария. Настройки -> Сообщения, комментарии и настройки доступа -> Сообщение формы создания комментариев -> в форму впишите фразу, что оставляя комментарий на сайте, вы соглашаетесь с политикой конфиденциальности. На странице Контакты – отредактируйте страницу и добавьте ссылку на соглашение или отредактируйте форму обратной связи в конструкторе. Если у вас есть рассылка, анкеты и другие формы сбора информации о пользователях, то под каждой формой должно стоять уведомление со ссылкой на вашу политику конфиденциальности.

Кому нужна политика конфиденциальности?

Выходит, даже если у вас на сайте есть обратный звонок, вы автоматические становитесь оператором персональных данных. И данные, накопленные на вашем сайте, должны обрабатываться по 152-ФЗ.

1. Документ о Политике конфиденциальности

В тексте должны быть следующие пункты:

каким образом и для каких целей собираются персональные данные;
как могут использоваться эти данные;
что происходит с куки-файлами;
как данные предоставляются другим организациям;
Важное замечание. Не забывайте заключать соглашение на согласие на обработку персональных данных на сайте со сторонними компаниями, с которыми вы сотрудничаете (служба доставки, банк, хостер и т

д.), об обеспечении безопасности персональных данных. В соглашении должно быть указано, какие персональные данные компания обрабатывает, в каких целях и какие действия с ними выполняет, как должна их защищать.

сколько хранятся данные и как обеспечивается их защита;
что не будет происходить с персональными данными;
контактные данные организации и изменения в Политику конфиденциальности.

В конце текста про политику конфиденциальности добавьте рабочий адрес электронной почты, куда пользователь может обратиться с просьбой удаления, изменения или блокировки данных. Сотрудникам необходимо ежедневно проверять письма, чтобы не пропустить ни один запрос.

Требования к Политике конфиденциальности, чтобы она также помогла вам соблюдать GDPR (если среди ваших клиентов есть клиенты из Европы), можно почитать тут.

2. Ссылка на документ о Политике конфиденциальности с главной страницы

Это нужно для того, чтобы любой пользователь и проверяющий орган увидел, что документ находится в свободном доступе, и его легко найти. Как правило, достаточно разместить общую ссылку в подвале сайта. Например так:

Или так:

3. Надпись или «галочка», которая подтверждает согласие пользователя на обработку персональных данных

Обязательна под каждой формой на сайте.

Согласие пользователя на обработку персональных данных на сайте «МВидео».

4. Дисклеймер

Это всплывающее сообщение-предупреждение, что на сайте собираются статистические данные. Те самые куки-файлы, информация о геопозиции и поведенческие, о которых мы говорили выше.

Наличие дисклеймера четко не регламентировано, но многие юристы советуют его установить. Чтобы не испугать посетителей сайта, лучше делать его незаметным, настраивать показ окна только новым пользователям и скрывать его от повторных заходов.

А вот дисклеймер сайта Jacobs:

И даже у Сбербанка есть дисклеймер:

И еще важные моменты по 152-ФЗ:

  1. Уточните, где физически находится хостинг сайта

    Эту информацию вам предоставят специалисты технической поддержки сайта. По новым правилам, хостинг должен располагаться на территории Российской Федерации, чтобы данные хранились в нашей стране. Если базы данных находятся за границей, переезжайте на другой хостинг.

  2. Зарегистрируйте себя в Роскомнадзоре в качестве оператора, работающего с персональными данными

    Это можно сделать на сайте Роскомнадзора, заполнив форму уведомления. Но предварительно нужно подготовить пакет документов. Далее форму нужно распечатать и отнести в территориальный орган Роскомнадзора. Когда мы ведем подготовку сайтов наших клиентов по ФЗ-152, в тарифе 100% защита даем подробную инструкцию о том, как подать заявку в РКН и предоставляем чек-лист обязательных документов.

  3. Не забывайте о биометрических и персональных данных специальных категорий

    Если, конечно, ваша деятельность требует такой информации от клиента. Согласите пользователя сайта должно оставляться в письменной форме и только.

Нотариальное согласие

Иногда просто согласия недостаточно. При некоторых обстоятельствах необходимо согласие, заверенное у нотариуса. В частности, оно необходимо при этих ситуациях:

  • Согласие супруга на сделку по приобретению или отчуждению имущества, нуждающегося в госрегистрации или заверении у нотариуса.
  • Отказ от приватизации лица, которое зарегистрировано в жилье.
  • Выезд за границу несовершеннолетнего ребенка.
  • Оформление прописки в жилье на определенный срок.

Согласие обычно действует на протяжении определенного срока. Срок действия определяется лицом, составляющим документ. Для оформления бумаги нужно обратиться в нотариальную контору. С собой требуется взять паспорт и правоустанавливающий документ. Вид последнего зависит от формы сделки. К примеру, если это операция с недвижимостью, понадобится свидетельство о праве собственности.

Как заполнить согласие на обработку персональных данных

Для предоставления своего согласия вам достаточно заполнить специальный бланк. Его можно бесплатно получить в той организации, для которой необходимы ваши данные. Также форму для заполнения можно скачать в сети. Для ее заполнения необходимо использовать исключительно русский язык. Вносите данные документов, выданных только российскими учреждениями. Если форма заполняется несовершеннолетним, понадобится указать данные его опекуна или родителя.

Образец согласия на обработку персональных данных

Можно ли обрабатывать сведения о лице без согласия владельца

Существуют ситуации, в которых согласие на обработку личной информации не является обязательным условием:

  • Если предусмотрено размещение данных о сотрудниках в Интернете. Например, образовательные и медицинские учреждения должны предоставлять информацию о квалификации и образовании своих сотрудников;
  • Когда необходима обработка информации близких родственников, к примеру, для оформления алиментов или социальных выплат;
  • В том случае, если нужно знать о здоровье работника, чтобы понять, насколько он способен выполнять свои обязанности;
  • При необходимости передать информацию в прокуратуру, полицию, военный комиссариат, службу безопасности, Пенсионный фонд;
  • Для предотвращения угрозы жизни и здоровью гражданина.

Письменное заявление о согласии на обработку персональных данных

Любая работа с информацией должна начинаться только после получения письменного согласия. Достаточно заполнить бланк, в котором присутствуют следующие пункты:

  • паспортные данные;
  • цель обработки;
  • название организации, для которой предоставляется информация;
  • время действия разрешения;
  • варианты отзыва;
  • подпись человека, которому принадлежит информация.

Отзыв согласия на обработку персональных данных

Как правило, информация используется практически сразу после получения письменного разрешения. Таким образом, отзывать его просто нет смысла, так как оператор после использования данных просто удаляет их. В любом случае, каждый гражданин имеет право отозвать свое согласие. К примеру, если человек предоставлял свои данные при устройстве на работу. При увольнении он может отозвать свое согласие, потребовав удалить или уничтожить имеющуюся информацию. Кроме этого, гражданин имеет право отозвать свое согласие в том случае, если появились подозрения в использовании информации не по назначению.

Отзыв оформляется в том же формате, что и разрешение. Для этого необходимо обратиться к оператору, которому ранее была предоставлена личная информация, и передать ему заявление. В течение одного месяца после принятия заявления оператор должен прекратить обрабатывать данные и уничтожить их.

Законом предусматриваются ситуации, когда обработку информации не прекращают, несмотря на предоставление письменного отзыва:

  • Информация используется для выполнения обязанностей по международному договору;
  • Гражданин предоставляет государственные услуги, поэтому информация о нем размещена на Едином портале, и доступна каждому посетителю;
  • Когда защищаются жизненно важные интересы;
  • Человек сам сделал информацию общедоступной, например, путем социальных сетей;
  • Информация применяется в исследованиях;
  • Данные касаются должника, с которого взимается задолженность через суд;
  • Информация является собственностью автора статей или журналиста, который осуществляет профессиональную деятельность.

Что нужно знать о сборе персональных данных, чтобы не нарушить закон?

Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:

  • компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
  • объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
  • форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки

С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения». Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется

Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (), специальных категорий персональных данных () и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.

По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы: 

 Конклюдентное согласиеСогласие в письменной формеИные формы согласия
+Легко получить (за исключением случаев, когда нужно согласие в письменной форме)При разработке и получении формы согласия по требованиям законодательства РФ регулятору не требуются дополнительные доказательстваКак правило, допускается Роскомнадзором, что подтверждается проверками ведомства (за исключением случаев, когда необходимо согласие в письменной форме)
Не предусматривает каких-либо подтверждений получения. Ввиду отсутствия подтверждений может рассматриваться Роскомнадзором как нарушение требований Закона № 152-ФЗ

Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ

Для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ «цель» указана в единственном числе

Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода

Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ

Разрешение споров

8.1. До обращения в суд с иском по спорам, возникающим из отношений между Пользователем и Администрацией, обязательным является предъявление претензии (письменного предложения или предложения в электронном виде о добровольном урегулировании спора).

8.2. Получатель претензии в течение 30 календарных дней со дня получения претензии, письменно или в электронном виде уведомляет заявителя претензии о результатах рассмотрения претензии.

8.3. При не достижении соглашения спор будет передан на рассмотрение Арбитражного суда г. Санкт-Петербург.

8.4. К настоящей Политике конфиденциальности и отношениям между Пользователем и Администрацией применяется действующее законодательство Российской Федерации.

Для чего нужно письменное согласие работника на обработку его данных

  • определение круга сведений, являющихся персональными;
  • установление условий обработки, хранения и уничтожения данных их получателем;
  • описание ситуаций, как требующих, так и не требующих согласия лица на обработку сведений о нем;
  • перечисление прав носителя персональных данных на ознакомление с результатами их обработки;
  • определение ответственности лиц, разгласивших персональную информацию.

Наиболее частым случаем получения и обработки персональной информации о человеке является сбор и анализ работодателем сведений о своем работнике (уже работающем или вновь принимаемом на работу).

Помимо общедоступных сведений, к которым закон № 152-ФЗ относит данные о Ф. И. О., принадлежности к определенному полу, дате рождения, работодателю оказывается нужна и иная информация, содержащаяся в документах, предъявляемых при трудоустройстве (ст. 65 ТК РФ):

  • в удостоверении личности (паспорте);
  • трудовой книжке;
  • свидетельстве ПФР;
  • документах об обучении;
  • документах воинского учета;
  • дополнительных справках (в частности, об отсутствии судимости) или документах, наличие которых является условием приема на определенную работу.

Сбор и обработка таких данных требуют от работодателя получения предварительного письменного согласия работника на эти действия (п. 1 ст. 9 закона № 152-ФЗ). Согласие является добровольным и может быть отозвано работником.

Требования к хранению и защите персональных данных подробно изложены в Путеводителе по персональным данным работников системы КонсультантПлюс. Получите бесплатный пробный доступ.

О том, что еще понадобится сделать при заключении трудового договора, читайте в статье «Порядок заключения трудового договора (нюансы)».

Об ответственности за разглашение персональных данных читайте здесь.

Поделитесь в социальных сетях:FacebookTwittervKontakte
Напишите комментарий

Adblock
detector