Содержание
Обработка персональных данных — совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В 1990-х годах в России персональные данные сотрудников и клиентов организаций продавались на дисках. Их можно было купить на рынке или в подземном переходе. В 1990-е годы законодательство РФ не предполагало какой-либо ответственности за разглашение конфиденциальной информации. Впервые понятие «персональные данные» упоминается в российском законодательстве в указе Президента «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 года. В этом указе лишь перечисляется то, что относится к конфиденциальной информации, но там ничего не сказано ни об обработке персональных данных, ни о видах ответственности за неправомерную обработку.
В 2001 году Государственной Думой был принят Трудовой Кодекс РФ, в котором глава 14 посвящена защите персональных данных работников. В этой главе было определено понятие «обработка персональных данных работника» следующим образом: «Обработка персональных данных работника — получение, хранение, комбинирование, передача или любое другое использование персональных данных работника».
Согласно Трудовому кодексу РФ, работодатель не имеет права на обработку персональных данных без ведома и согласия работника, не может получать данные о его религиозных, политических и иных убеждениях, а также несёт ответственность за потерю, искажение и неправомерную обработку персональных данных.
Следующим важным шагом было принятие Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных». Цель этого закона — обеспечение защиты прав и свобод человека, при обработке его персональных данных.
Четверг, 01 Декабря 2011 г. 11:51 + в цитатник
Сегодня я и еще она мама из класса отказались подписать такой "документ" . Всего двое. остальные уверены, что это просто формальная бумажка. Что эта простая формальность может за собой повлечь? Для чего ее подписывать, если всегда можно отозвать? Зачем школе мои персональные данные, социальный статус и пр. личная информация? Мы предоставляем все необходимое на бумажном носителе при заключении договора и при поступлении в школу. О какой персональной обработке и передаче данных различным государственным организациям, публикации без моего ведома на сайте школы и пр. идет речь? Разумеется, все со ссылкой на какой-то пункт действующего закондательства. Я поискала в интернете информацию на эту тему. Нашла вот это.
Защита своих прав: согласие на обработку персональных данных в школах
В последнее время к нам неоднократно обращались родители детей, обучающихся в школах города Москвы с информацией о том, что школы требуют от них подписывать согласие на обработку персональных данных их детей. Родители спрашивали, законно ли это требование и могут ли они отказаться, насколько опасно давать такое согласие.
Вот как выглядят «согласие», которое предлагают родителям подписать в школах Москвы (pdf)
Правовой комментарий МОО «За права семьи»
В отношении самой формы согласия, предлагаемого к подписанию школами, отметим следующее:
1) Согласие юридически безграмотно. Речь о «подопечном» может идти только в отношении опекунов или попечителей. В случае, когда речь идет о родителях или усыновителях этот термин употребляться не может.
2) Согласие, фактически, дает школе право собирать все и любые сведения о ребенке и его семье, без каких-либо ограничений. После подписания такого согласия право на неприкосновенность Вашей частной и семейной жизни в отношениях со школой существовать, фактически, перестает.
3) Согласие дает школе право сообщать собранную информацию кому угодно, любым третьим лицам, без ограничений. В случаях, когда передача информации предусмотрена федеральным законом, школа может делать это и без Вашего согласия. Совершенно непонятно, зачем школе нужно право неограниченно распространять любую информацию о Вашем ребенке.
4) Особо следует отметить право на трансграничную передачу персональных данных, т.е. на передачу их за границу.
5) Очень странно выглядит в этом согласии обещание школы обрабатывать персональные данные в соответствии с законом, с учетом того, что подписываете документ Вы, а не школа, при этом Вы даете им школе неограниченные права на обработку данных Вашего ребенка. Разумеется, это обещание не будет иметь никакой юридической силы (впрочем, школа и без него обязана соблюдать закон).
Мы не утверждаем, что составители этого документа имели сознательные дурные намерения. Однако, подписание такого документа дает неограниченные права школе и ставит под угрозу неприкосновенность Вашей частной жизни и частной жизни Вашего ребенка.
Подписание согласия на обработку персональных данных – Ваше право, а не обязанность. Те органы и учреждения, которые вправе без вашего согласия обрабатывать Ваши персональные данные, не будут просить у Вас подписать согласие на их обработку. Помните, что обязанность предоставить Ваши персональные данные может быть установлена только федеральным законом. Во всех случаях, когда Вы обязаны предоставить свои персональные данные (или персональные данные Вашего ребенка), организация, которая их получает, обязана официально сообщить Вам, какой федеральный закон установил такую обязанность и какие юридические последствия будет иметь отказ предоставить данные (ст. 18 п. 2 Федерального закона «О персональных данных»). Если у Вас требуют Ваши данные или данные Вашего ребенка, смело требуйте указать, каким законом установлена Ваша обязанность их предоставить.
Мы настоятельно не рекомендуем подписывать согласие в приведенной выше форме, потому что столь широкими правами будет слишком легко злоупотребить. С учетом того, что в последнее время появляется все больше региональных нормативных актов, навязывающих учителям функции контролеров и доносителей в отношении семей, подписание такого документа отнюдь не выглядит безобидно.
Особую озабоченность вызывает согласие на обработку персональных данных ребенка автоматизированным способом. Это, в сочетании с правом на распространение и передачу персональных данных третьим лицам, дает школе право, в частности, выкладывать персональные данные Вашего ребенка в интернет, помещать их в различные, не находящиеся под контролем школы, базы данных. К примеру, существует проект «Электронный дневник», к которому, в настоящее время, подключено более 8000 школ со всей России. Хотя авторы проекта утверждают, что данные в нем защищены – к сожалению, в таких случаях всегда возможна утечка информации, в результате которой данные об успеваемости, учебных работах, оценках ученика могут стать доступны кому угодно, что нежелательно.
При этом понятно, что школа нуждается в возможности работать с некоторыми персональными данными учениками. Поэтому согласие на обработку персональных данных мы подписать все-таки советуем, однако это должен быть совершенно другой текст.
Вы должны предоставить школе право обрабатывать только узкий круг конкретных, действительно необходимых ей видов персональных данных. Не давайте школе права обрабатывать их автоматизированным способом. Не давайте права передавать эти данные каким-либо третьим лицам, органам или организациям. Пусть каждый раз, когда такая передача будет необходима, школа обращается к Вам, информируя Вас о цели этой передаче и о том, какие именно данные необходимо передать, и получает Ваше отдельное письменное согласие.
Мы рекомендуем Вам, вместо подписания предложенного Вам «согласия» подписать и передать школе другой документ, отражающий наши рекомендации. Вы можете скачать и заполнить его самостоятельно:
Образец согласия на обработку персональных данных школой, не создающий опасности нарушения прав Вашей семьи
СОГЛАСИЕ ЗАКОННОГО ПРЕДСТАВИТЕЛЯ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ НЕСОВЕРШЕННОЛЕТНЕГО
Я, ______________________________________________________________(ФИО),
проживающий по адресу ____________________________________________________________, Паспорт № _________________________ выдан (кем и когда) _____________________________
______________________________________________________________________________
являюсь законным представителем несовершеннолетнего ____________________________________ (ФИО) на основании ст. 64 п. 1 Семейного кодекса РФ.
Настоящим даю свое согласие на обработку в ГОУ СОШ № ________ персональных данных моего несовершеннолетнего ребенка _____________________________, относящихся исключительно к перечисленным ниже категориям персональных данных:
– данные свидетельства о рождении;
– данные медицинской карты;
– адрес проживания ребенка;
– оценки успеваемости ребенка;
– учебные работы ребенка.
Я даю согласие на использование персональных данных моего ребенка исключительно в следующих целях:
– обеспечение организации учебного процесса для ребенка;
– ведение статистики.
Настоящее согласие предоставляется на осуществление сотрудниками ГОУ СОШ № ____ следующих действий в отношении персональных данных ребенка: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование (только в указанных выше целях), обезличивание, блокирование (не включает возможность ограничения моего доступа к персональным данным ребенка), уничтожение. Я не даю согласия на какое-либо распространение персональных данных ребенка, в том числе на передачу персональных данных ребенка каким-либо третьим лицам, включая физические и юридические лица, учреждения, в том числе внешние организации и лица, привлекаемые ГОУ СОШ № ______ для осуществления обработки персональных данных, государственные органы и органы местного самоуправления. Я даю согласие на обработку персональных данных ребенка только неавтоматизированным способом и не даю согласия на их обработку автоматизированным способом.
Обработку персональных данных ребенка для любых иных целей и любым иным способом, включая распространение и передачу каким-либо третьим лицам, я запрещаю. Она может быть возможна только с моего особого письменного согласия в каждом отдельном случае.
Данное Согласие действует до достижения целей обработки персональных данных в ГОУ СОШ № ______ или до отзыва данного Согласия. Данное Согласие может быть отозвано в любой момент по моему письменному заявлению.
Я подтверждаю, что, давая настоящее согласие, я действую по своей воле и в интересах ребенка, законным представителем которого являюсь.
Дата: __.__._____ г.
Подпись: ________________________ (______________________)
В случае, если Вы уже заполнили и подписали «опасное» согласие на обработку персональных данных, помните, что Вы имеете право отозвать это согласие (ст. 9 п. 1 Федерального закона «О персональных данных»). При отзыве Вашего согласия школа обязана в течение трех дней уничтожить собранные персональные данные (ст. 21 п. 5 Федерального закона «О персональных данных»).
Однако, прежде, чем отзывать данное Вами согласие, Вам следует выяснить, какие данные были собраны и кому они передавались. Ваше право на это предусмотрено ст. 14 Федерального закона «О персональных данных». Для этого нужно подать правильный запрос, по которому школа должна сообщить Вам эти данные в течение десяти рабочих дней (ст. 20 п. 1 Федерального закона «О персональных данных»).
Скачайте, заполните и подайте запрос на получение информации о персональных данных:
Образец запроса на получение информации о персональных данных в школу (MS Word)
Получив нужную информацию, подайте в школу отзыв согласия на обработку персональных данных:
Образец отзыва согласия на обработку персональных данных ребенка школой (MS Word)
Помните, что школа обязана уничтожить персональные данные Вашего ребенка в течение трех дней. Чтобы школе не пришлось снова собирать необходимую ей часть персональных данных, сразу же предоставьте ей «правильное» согласие на обработку персональных данных. В этом случае, школа будет обязана уничтожить только те персональные данные, обработка которых не предусмотрена Вашим новым согласием.
Будьте внимательны. Имейте в виду, что защищать права Вашего ребенка, в том числе и его право на неприкосновенность частной жизни – это не только Ваше право, но и Ваша обязанность (ст. 64 п. 1 Семейного кодекса РФ).
Для получения образцов документов пройдите по ссылке :
Письмо-предупреждение Роскомнадзора о нарушении положений Федерального закона от 27.07.2006 № 152-ФЗ к вам не придет, если вы берете согласие на обработку персональных данных, правильно составили Политику обработки персональных данных и предусмотрели другие важные детали.
1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.
Основание | Размер штрафа | |||
Физлица | Должностные лица | Юрлица | ИП | |
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн | предупреждение или штраф — от 1000 до 3000 руб. | предупреждение или штраф — от 5000 до 10 000 руб. |
предупреждение или штраф — от 30 000 до 50 000 руб. | |
Обработка ПДн без письменного согласия на то их субъекта | от 3000 до 5000 руб. | от 10 000 до 20 000 руб. | от 15 000 до 75 000 руб. | |
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДн | от 700 до 1500 руб. | от 3000 до 6000 руб. | от 15 000 до 30 000 руб. | от 5000 до 10 000 руб. |
Непредоставление субъекту ПДн информации по их обработке | предупреждение или штраф — от 1000 до 2000 руб. | предупреждение или штраф — от 4000 до 6000 руб. | предупреждение или штраф — от 20 000 до 40 000 руб. | предупреждение или штраф — от 10 000 до 15 000 руб. |
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки) | предупреждение или наложение штрафа в размере от 1000 до 2000 руб. | предупреждение или штраф — от 4000 до 10 000 руб. |
предупреждение или штраф — от 25 000 до 45 000 руб. | предупреждение или штраф — от 10 000 до 20 000 руб. |
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования | от 700 до 2000 руб. | от 4000 до 10 000 руб. |
от 25 000 до 50 000 руб. | от 10 000 до 20 000 руб. |
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн | предупреждение или наложение административного штрафа — от 3000 до 6000 руб. |
Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.
В связи с этим возникает много вопросов, наиболее часто задаваемые:
Давайте разбираться со всеми вопросами по порядку.
В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:
Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.
Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.
Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан.
Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.
Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально. На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.
Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):
Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.
Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft. Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»
Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн.
При обработке ПДн, если они:
Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.
В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:
Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:
1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн . Ответственность за ресурс будет возложена на Роскомнадзор.
Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152
Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.
Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!
Более детальная информация об обработке персональных данных — в материалах наших экспертов:
No related posts.