согласие на использование персональных данных и пэп что это
Согласие на обработку персональных данных
Относительно недавно в России был введен в оборот новый документ под названием «Согласие на обработку персональных данных». Очень быстро он получил повсеместное распространение и на данный момент широко используется в самых разных организациях, начиная от государственных бюджетных учреждений и до коммерческих компаний.
К вашему вниманию! Этот документ можно скачать в КонсультантПлюс.
Что собой представляет согласие
Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.
Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.
Когда чаще всего требуется согласие
Сейчас согласие необходимо писать почти повсеместно:
Иными словами, везде, где гражданин предоставляет свои личные документы или документы лица, представителем которого он является, заполняет различного рода тесты и анкеты, он подписывается такое согласие.
Что вкладывается в термин «персональные данные»
Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:
При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.
В частности их условно можно поделить на три основных вида:
По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.
Для чего формируется согласие на обработку при трудоустройстве
В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.
Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.
Если сотрудник отказывается подписывать согласие
Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.
Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.
В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.
Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.
Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.
Что грозит за разглашение персональных данных
Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.
Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.
Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.
В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).
Как уведомить
Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.
Можно ли отозвать согласие
Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает. Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.
Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).
Это требование должно быть выполнено не позже чем через месяц после написания отзыва.
Образец согласия
Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:
Далее в основной части подробно указывается:
Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.
СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях. Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч. передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.
До моего сведения доведено, что ОАО «КомЖилФонд» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.
Подтверждаю, что давая согласие я действую без принуждения, по собственной воле и в своих интересах.
Как составить согласие на обработку персональных данных, смотрите в нашем видео:
Для чего нужно письменное согласие работника на обработку его данных
Получение письменного согласия человека на обработку его персональных данных становится необходимо юридическому или физлицу, которое получает доступ к этим данным. Основные вопросы, связанные с персональными сведениями о человеке, регулируются законом «О персональных данных» от 27.07.2006 № 152-ФЗ. В их число входит:
Наиболее частым случаем получения и обработки персональной информации о человеке является сбор и анализ работодателем сведений о своем работнике (уже работающем или вновь принимаемом на работу).
Помимо общедоступных сведений, к которым закон № 152-ФЗ относит данные о Ф. И. О., принадлежности к определенному полу, дате рождения, работодателю оказывается нужна и иная информация, содержащаяся в документах, предъявляемых при трудоустройстве (ст. 65 ТК РФ):
Сбор и обработка таких данных требуют от работодателя получения предварительного письменного согласия работника на эти действия (п. 1 ст. 9 закона № 152-ФЗ). Согласие является добровольным и может быть отозвано работником.
Требования к хранению и защите персональных данных подробно изложены в Путеводителе по персональным данным работников системы КонсультантПлюс. Получите бесплатный пробный доступ к системе прямо сейчас.
О том, что еще понадобится сделать при заключении трудового договора, читайте в статье «Порядок заключения трудового договора (нюансы)».
Об ответственности за разглашение персональных данных читайте здесь.
Что входит в содержание заявления о согласии
Перечень основных моментов, которые должны быть отражены в документе, закрепляющем согласие на обработку персональных данных, содержится в п. 4 ст. 9 закона № 152-ФЗ. Это:
ВНИМАНИЕ! В заявлении о согласии на обработку персональных данных желательно указывать 1 цель, для которой собираются сведения. Сейчас нет прямого запрета включать в одно согласие несколько целей обработки персональных данных. Вместе с тем есть риск, что Роскомнадзор и затем суд сочтут это нарушением (постановление 9 арбитражного апелляционного суда от 16.08.2016 №09АП-30182/2016-АК). Но Минкомсвязь подготовил проект, согласно которому, в одно заявление можно будет включать несколько целей.
Бланк согласия на обработку персональных данных не имеет законодательно утвержденной формы. При его оформлении нужно только соблюсти обязательность включения в него сведений, предусмотренных п. 4 ст. 9 закона № 152-ФЗ. Каждый получатель персональной информации может разработать форму согласия самостоятельно, отразив в ней необходимый ему перечень сведений и особенности их обработки.
С 1 из образцов согласия на обработку персональных данных можно ознакомиться на нашем сайте:
Альтернативный вариант согласия работника на обработку персональных данных разработан экспертами КонсультантПлюс. Получите бесплатный пробный доступ к К+ и переходите к образцу.
Итоги
Согласно действующему законодательству обработка большей части персональных данных о человеке должна осуществляться с его письменного согласия. Определенной формы у документа, содержащего такое согласие, не имеется, однако установлен перечень обязательной информации, которая должна быть включена в него. Итоговый перечень необходимых персональных данных разрабатывает получатель этих сведений.
Как бизнесу собирать согласия на обработку персональных данных у клиентов
Когда компания берет у клиентов номера телефонов, e-mail или другие личные сведения, необходимо получать согласие на их обработку. В статье рассказываем, как грамотно составить согласие на обработку персональных данных и избежать типичных ошибок
Ульяна Жаркова
Если вы используете в своей работе персональные данные клиентов, например у вас есть программа лояльности или email-рассылки, по закону вы обязаны собирать согласия на обработку этих данных.
Старший юрист Mindbox Ульяна Жаркова и юрист Mindbox Кира Лукашина рассказывают, в каких случаях необходимо собирать согласия на обработку персональных данных и как это правильно делать.
В статье даем примеры согласий на обработку данных, разбираем ошибки из практики и объясняем, чем грозит компании нарушение закона о персональных данных.
В конце статьи — шаблон клиентского согласия на обработку персональных данных — адаптируйте его под себя и используйте в своей работе.
Когда необходимо собирать согласия на обработку персональных данных
Персональные данные — это любая информация, по которой клиента можно идентифицировать: ФИО, номер телефона, email, паспортные данные, дата рождения, адрес, cookie-файлы и так далее.
Собирать согласия на обработку персональных данных нужно всем компаниям, которые работают напрямую с покупателями-физлицами.
«Чтобы понять, нужно ли брать согласие у клиента на получение и обработку данных, достаточно ответить на один вопрос: оставил ли вам покупатель информацию, по которой вы можете его идентифицировать, даже косвенно?
Если ответ „да“, вам надо запрашивать согласие на обработку этих данных.
Например, клиент оставил вам свой email или телефон в заявке на обратный звонок, значит, он передал вам свои персональные данные. С согласия клиента можно эти данные использовать: перезвонить и предложить оформить заказ, отправить пуш-уведомление о скидках на старую коллекцию, отправить email-рассылку с подборкой книг в интернет-магазине и так далее.
Если вы собираете данные в таком формате, что клиента невозможно идентифицировать, вам не нужно брать согласие на обработку его данных.
Допустим, компания проводит анонимный опрос или публикует отзывы под вымышленными именами или без указания конкретных данных: „отзыв Алисы К.“, „отзыв нашего покупателя из Химок“, „отзыв многодетной мамы“.
Еще сбор согласий не нужен в особых случаях, которые прописаны в законе. Например, закон не требует получать согласие от клиента, если его данные нужны для исполнения договора, который он уже заключил.
Не нужно брать согласие на обработку адреса, если клиент заказал у вас товар и оформил доставку на дом, потому что заключен договор купли-продажи и для его исполнения вам необходим адрес доставки».
Кира Лукашина
Мы выделили три частых ситуации, когда бизнес собирает клиентские данные и нужно получить согласие на их обработку:
Компания собирает на сайте cookie-файлы. Практически все сайты используют cookie-файлы, они собирают информацию об активности пользователя. С помощью cookie компания может узнать IP-адрес клиента или другие технические параметры устройства, с помощью которых пользователя в дальнейшем можно идентифицировать.
Раньше вопрос, считать ли cookie-файлы персональными данными, был спорным, но сейчас Роскомнадзор и суды широко трактуют понятие «персональные данные» и относят к ним cookie.
Поэтому, если ваш сайт собирает cookie-файлы, на нем должна всплывать плашка с запросом согласия на сбор cookie.
Клиент оставил свои данные на сайте. Обычно сайт компании — это не только визитная карточка бизнеса, но и способ сбора контактной информации клиентов.
Сбор клиентской информации компании организуют в разных формах: оформление заказа, регистрация в личном кабинете, поле для ввода номера телефона, на который перезванивает менеджер, подписка на рассылку компании, попапы со специальными предложениями или просьбой оставить отзыв об услуге или товаре.
При заполнении такой формы клиент передает вам свои персональные данные, поэтому вы должны получить его согласие.
Компания собирает информацию о клиенте офлайн. Бизнес может использовать разные маркетинговые инструменты для офлайн-сбора информации о клиенте: анкетирование, опрос, регистрация в программе лояльности на кассе в момент покупки.
Сбором информации считают любой случай, когда вы просите клиента оставить свои данные на бумаге или даже просто назвать их продавцу, который их потом запишет.
Способы сбора согласий на обработку персональных данных
Вы можете собирать согласия у клиентов любым способом и в любой форме — в законе нет установленных шаблонов и правил. Исключение: бизнес, который работает с особенно важными данными, например с данными о здоровье или национальной принадлежности. Для этих категорий в законе прописаны повышенные требования, но к большинству компаний они не относятся.
Собирать согласия можно в письменном или электронном виде — на усмотрение бизнеса. Мы рекомендуем хранить согласия в течение всего срока их действия — обычно это период, в течение которого планируется обработка данных, и 3 года после.
В таблице — популярные способы сбора согласий.
| Способы сбора согласий в офлайне | Способы сбора согласий в онлайне |
|---|
Подтверждение согласия через СМС-код или звонок
С помощью двойного подтверждения (double opt-in) через e-mail или СМС
Рассмотрим каждый из способов.
Печатная анкета. В ней должен быть пункт о согласии на обработку персональных данных. Клиент заполняет ее от руки. Анкета должна храниться в бумажном виде.
Подтверждение согласия через СМС-код или звонок. Продавец со слов клиента вносит его данные в электронную систему у кассе для участия в программе лояльности и просит клиента подтвердить свое согласие на передачу данных через СМС-код или звонок. Система автоматически отправляет клиенту код подтверждения.
Перед тем как подтвердить свое согласие на обработку данных, клиент должен ознакомиться с правилами программы лояльности и полным текстом согласия. Для этого можно отправить клиенту ссылку на эти документы в СМС.
Чекбокс с галочкой согласия в общей форме заявки. Клиент ставит галочку «согласен» в чекбоксе формы для сбора данных напротив ссылки на согласие и правила обработки персональных данных на сайте. Отправленная заявка с проставленной галочкой сохраняется на сайте. При необходимости ее можно выгрузить и использовать в качестве доказательства того, что клиент дал согласие.
Двойное подтверждение — double opt-in. Клиент дает согласие через e-mail или СМС. Например, сначала оставляет свой e-mail в форме на сайте, а затем подтверждает согласие, кликнув на ссылку в письме. Или оставляет на сайте номер телефона, а потом отправляет подтверждение в ответ на СМС, которое пришло от компании, или называет код продавцу в магазине.
Главное: вне зависимости от формы согласия сохранить подтверждение того, что клиент согласился на обработку своих персональных данных. Для этого сохраните заполненную от руки анкету или выгрузите логи — технические файлы о действиях клиента на сайте.
Согласия нужно хранить на случай проверки контролирующими органами или жалобы клиента.
Что должно быть в согласии на обработку персональных данных
Чтобы подготовить правильную форму согласия, нужно проанализировать весь процесс сбора данных и с учетом этого лаконично и в понятной форме объяснить клиенту, что вы собираетесь делать с его данными. В законе прописаны обязательные требования к тексту согласия — изучите их при подготовке формы.
Вот примерный перечень того, что нужно указать в согласии:
Закон запрещает собирать избыточные данные, не нужные для целей, которые вы заявляете в согласии. Например, если компания указывает, что собирает данные для рекламной email-рассылки, она не может требовать от клиента паспортные данные: это незаконно.
Топ-5 ошибок компаний при сборе персональных данных
Часто компании в России пытаются собирать данные, но делают это неправильно — такие случаи можно встретить в сети. Если вы видите, что на сайте собирают данные определенным образом, не стоит копировать такой пример, он может быть некорректным.
Мы собрали ряд примеров, как делать не надо, — они нарушают требования закона о сборе согласий на обработку данных.
В форме сбора данных нет запроса согласия на обработку. Даже если компания разместила на сайте политику обработки персональных данных в футере, она обязана запрашивать согласие при сборе данных в понятной клиенту форме.
Чтобы не нарушить закон, в форму надо добавить явный запрос согласия, например поставить чекбокс или добавить подпись «Нажимая кнопку „Проконсультируйте меня“, вы даете согласие на обработку персональных данных» и прикрепить ссылку на это согласие.
Галочка в чекбоксе на согласие поставлена заранее. Если у вас в форме есть чекбокс, заполнение которого подтверждает согласие на обработку данных, нельзя автоматически делать его отмеченным. Клиент должен вручную поставить галочку, иначе это нарушение закона: согласия в явной форме не было.
Это же правило действует при согласии на получение рассылки и участие в программе лояльности: галочка не должна быть проставлена заранее. Если один из клиентов возмутится и напишет жалобу в ФАС, бизнес может получить штраф.
В согласии написано, что данные передаются третьим лицам, но данные этих лиц не указаны. Если в согласии вы не перечислили партнеров, которым раскрываете персональные данные клиентов, значит, у вас отсутствует согласие на передачу клиентских данных — вы не сможете это делать.
В согласии не указано, на что именно соглашается клиент. Если нет ссылки на полный текст согласия, это нарушение закона.
В тексте согласия написано, что клиент соглашается на обработку неограниченного перечня персональных данных. По закону список персональных данных, на обработку которых клиент дает согласие, должен быть четко определен — надо прописать, какие именно данные вы собираете и зачем.
Как накажут бизнес, который не соблюдает правила обработки персональных данных
Не соблюдать требования к сбору персональных данных — риск для компаний и ИП. Ваш бизнес могут проверить по жалобе клиента или конкурента. Нарушение на сайте могут заметить сотрудники Роскомнадзора в процессе мониторинга — для этого не требуется даже проведение проверки.
Раньше при выявлении нарушений Роскомнадзор часто ограничивался предупреждением. Компания могла исправить нарушения и спокойно работать дальше. Но с учетом изменений в законе и тенденций в правоприменительной практике мы ожидаем, что Роскомнадзор будет штрафовать бизнес сразу, без предупреждения.
Размер штрафа зависит от вида нарушения.
| Вид нарушения | Штраф | Пример из жизни | Основание |
|---|
Повторное — от 100 до 300 тысяч рублей
Повторное — от 300 до 500 тысяч рублей
Значит, передача данных маркетинговому агентству незаконна
Штрафы могут быть наложены за каждый факт нарушения. Размер штрафов зависит в том числе и от «злостности» нарушения. Например, если крупная компания неоднократно попадалась на незаконных практиках и умышленно идет на очередное нарушение в корыстных целях, скорее всего, штраф для нее будет больше, чем для ИП, который допустил нарушение по незнанию и сразу исправил свою ошибку. Точный размер штрафа определяет контролирующий орган в каждом случае индивидуально.
Чтобы избежать штрафов и недовольства клиентов, собирайте согласия и обрабатывайте персональные данные законно.
Чтобы помочь в этом, мы подготовили примерный шаблон клиентского согласия об обработке персональных данных. Скачайте его на свой гугл-диск и адаптируйте под свой бизнес.
Рекомендуем проконсультироваться с юристом, стандартная форма согласия может не учитывать особенности внутренних процессов в конкретной компании.
Главное
Подписка на новое в
Подборки материалов о том, как вести бизнес в России: советы юристов и бухгалтеров, опыт владельцев бизнеса, разборы нового в законах, приглашения на вебинары с экспертами.
Сейчас читают
Как оформить груз на таможне
Чтобы продавать в России зарубежные товары, нужно ввезти их через таможню и правильно оформить. На что обратить внимание при таможенном оформлении, сколько это будет стоить и как избежать частых ошибок — в статье.
Как оптимизировать расходы и увеличить эффективность бизнеса в кризис
Статья о том, как малому бизнесу в сфере услуг остаться на плаву в сложный период пандемии и другие кризисные времена. Рассказываем на примерах из сферы авторемонта, но их можно применить и к другим видам бизнеса
Визуализация юридических данных: что это и как помогает победить в суде
Визуализация данных, или Legal Design, — прием, который помогает донести позицию в суде быстро и понятно. В статье рассказываем, как применять визуализацию в судебных спорах, чтобы выигрывать самые сложные дела
Будьте в курсе событий бизнеса
Получайте первыми приглашения на вебинары, анонсы курсов и подборки статей, которые помогут сделать бизнес сильнее
© 2006—2021, АО «Тинькофф Банк», Лицензия ЦБ РФ № 2673 — Команда проекта
Тинькофф Бизнес защищает персональные данные пользователей и обрабатывает Cookies только для персонализации сервисов. Запретить обработку Cookies можно в настройках Вашего браузера. Пожалуйста, ознакомьтесь с Условиями обработки персональных данных и Cookies.
Чтобы скачать чек-лист,
подпишитесь на рассылку о бизнесе
После подписки вам откроется страница для скачивания