Соглашение об обработке персональных данных

Как эти данные защищаются

Для защиты Вашей личной информации мы используем разнообразные административные, управленческие и технические меры безопасности. Наша Компания придерживается различных международных стандартов контроля, направленных на операции с личной информацией, которые включают определенные меры контроля по защите информации, собранной в Интернет. Наших сотрудников обучают понимать и выполнять эти меры контроля, они ознакомлены с нашим Уведомлением о конфиденциальности, нормами и инструкциями. Тем не менее, несмотря на то, что мы стремимся обезопасить Вашу личную информацию, Вы тоже должны принимать меры, чтобы защитить ее

Мы настоятельно рекомендуем Вам принимать все возможные меры предосторожности во время пребывания в Интернете. Организованные нами услуги и веб-сайты предусматривают меры по защите от утечки, несанкционированного использования и изменения информации, которую мы контролируем

Несмотря на то, что мы делаем все возможное, чтобы обеспечить целостность и безопасность своей сети и систем, мы не можем гарантировать, что наши меры безопасности предотвратят незаконный доступ к этой информации хакеров сторонних организаций.

Обеспечить защиту данных

Если вы храните персональные данные, то по статье 3 152-ФЗ являетесь оператором персональных данных и отвечаете за их защиту. Основные требования общие для всех:

1. Обеспечить аутентификацию, чтобы к данным имели доступ только те, у кого есть на это право.
2. Поставить серверы с данными в защищенном месте, чтобы посторонний не мог войти в помещение и подключиться к серверу напрямую.
3. Установить антивирусные программы, межсетевые экраны и другое ПО, которое должно защитить от угроз.
4. Использовать для защиты информации ПО, сертифицированное ФСТЭК — оно считается безопасным. Например, такой сертификат есть у антивируса от «Лаборатории Касперского». Если используете ПО собственной разработки,можно получить на него сертификат самостоятельно.

Если вы храните не просто ФИО, а важные данные, например фотографии, нужно обеспечить более серьезную защиту — к примеру, настроить систему обнаружения вторжений. Подробнее об этом можно почитать в нашей статье «Защита персональных данных в облаке: как сделать все по закону 152-ФЗ» — там мы рассказываем о типах угроз, уровнях защищенности и технических требованиях по безопасности.

Если вы храните данные в защищенном облаке от VK Cloud (бывш. MCS), часть требований выполняем мы. В публичном облаке VK можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

Что будет, если не защитить данные

Ответственность за нарушение закона о персональных данных зависит от вида нарушения. Если оператор не защитит данные и кто-то случайно или намеренно получит к ним доступ, его :

• Физлицо — на 700–2000 рублей.
• Должностное лицо — на 4 000–10 000 рублей.
• ИП — на 10 000–20 000 рублей.
• Юрлицо — на 25 000–50 000 рублей.

Может случиться, что из-за неправомерного доступа к персональным данным человек пострадает. Например, кто-то узнает его адрес и проникнет в квартиру. В таком случае компания, которая допустила утечку данных, должна будет компенсировать ущерб по закону о защите персональных данных.

Как происходит обработка персональных данных?

Понятие «обработка» подразумевает все действия, которые происходят с данными, начиная с момента их сбора. Передача, запись, распределение, хранение, применение, удаление — эти и многие другие действия входят в понятие «обработка персональных данных».

Все в том же законе №152-ФЗ указано, что обработка персональной информации должна происходить с соблюдением основных принципов:

• соблюдение требований актуального законодательства;
• цель обработки необходимо определить и озвучить субъекту заранее;
• собирать и обрабатывать можно только информацию, которая соответствуют указанной цели;
• оператор обязан обеспечить точность данных, предупредить их искажение, а ответственные лица должны периодически следить за актуальностью информации;
• после достижения финальной цели данные нужно уничтожить.

Для чего формируется согласие на обработку при трудоустройстве

Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д. Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).

В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.

Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.

Что делать владельцу сайта, чтобы избежать штрафов

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПД, то под каждую из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и договор, политика конфиденциальности, часть оферты — название не столь принципиально.

Например, на сайте Microsoft этот документ называется заявление о конфиденциальности

Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании

Минимизируйте риски: убедитесь, что персональные данные защищены в соответствии с ФЗ-152

Минимизируйте риски: убедитесь, что персональные данные защищены в соответствии с ФЗ-152

Шаг 3. Подготовьте текст документа с условиями обработки ПД. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):

• ФИО, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
• цель обработки ПД;
• перечень ПД, на обработку которых субъект дает согласие;
• наименование или ФИО и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка будет поручена такому лицу;
• перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
• срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва (если иное не установлено законом);
• подпись субъекта ПД.

Если вы составляете пользовательское соглашение на основе чьего-то готового документа, корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте Политику в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите ее на сайте в свободном доступе.

Политика обработки персональных данных: как составить документ

Шаг 5. Подайте уведомление об обработке ПД в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПД. Но лучше поздно, чем никогда.

За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Случаи, когда уведомление Роскомнадзора не требуется

Уведомлять Роскомнадзор не нужно, если ПД:

относятся к субъектам, которых связывают с оператором трудовые отношения;

Персональные данные сотрудника: как с ними работать

• получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
• являются общедоступными;
• включают только ФИО субъектов ПД;
• нужны для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
• включены в федеральные автоматизированные информационные системы ПД, государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
• обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

Что нужно знать о сборе персональных данных, чтобы не нарушить закон?

Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:

• компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
• объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
• форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки

С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г

№ 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения». Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно

С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения». Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется

Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах

Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных

Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (), специальных категорий персональных данных () и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.

По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы: 

	Конклюдентное согласие	Согласие в письменной форме	Иные формы согласия
+	Легко получить (за исключением случаев, когда нужно согласие в письменной форме)	При разработке и получении формы согласия по требованиям законодательства РФ регулятору не требуются дополнительные доказательства	Как правило, допускается Роскомнадзором, что подтверждается проверками ведомства (за исключением случаев, когда необходимо согласие в письменной форме)
–	Не предусматривает каких-либо подтверждений получения. Ввиду отсутствия подтверждений может рассматриваться Роскомнадзором как нарушение требований Закона № 152-ФЗ	Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ Для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ «цель» указана в единственном числе	Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ

Как связаны Закон «О персональных данных» и сайты

Пóмните эти назойливые всплывающие окна на сайтах про cookie, политику
конфиденциальности и прочие штуки? Вот пример того, о чем говорим.

Владельцы сайтов вставляют их не от нечего делать. Так они исполняют
закон «О персональных данных» от 27.07.2006 № 152-ФЗ (далее Закон № 152-ФЗ). Его
цель – защитить личную информацию человека.

Применительно к интернету это означает, что владелец сайта:

• собирает о посетителе лишь нужные для своей
  работы сведения;

• рассказывает посетителю, что именно собирает и
  зачем;

• не передает личную информацию о посетителе не известно
  кому;

• по первой же просьбе уничтожает собранные
  персональные данные.

А еще это значит, что «хозяину» сайта добавляется куча дополнительной
работы. Например, нужно:

• завить о себе в Роскомнадзор (РКН) как об
  операторе персональных данных;

• сообщить в РКН об утечке персональных данных, если
  такое случилось;

• составить с десяток политик, положений,
  регламентов, инструкций по работе с персональными данными.

Если не сделать такого, прилетят штрафы. Поэтому давайте
разбираться, как исполнить Закон № 152-ФЗ и не схлопотать санкций от РКН.
Начнем с того, что относится к персональным данным.

Получение Согласия на предоставление персональных данных

Остановимся подробнее на вопросах, связанных с получением Согласия на предоставление персональных данных и обеспечения доступа к ним. Передача и доступ к персональным данным, в отличие от их распространения, связаны с предоставлением информации конкретному лицу или ограниченной группе лиц. Такие операции по обработке персональных данных могут возникнуть как при поручении обработки третьей стороне, так и без такого поручения.

Основные различия поручения и передачи без поручения

	Поручение	Передача без поручения
Признаки	Могу обрабатывать ПДн для данной цели самостоятельно, но не хочу	В силу полномочий не могу обрабатывать ПДн самостоятельно, но услуга мне необходима
Примеры	Услуги бухгалтерского и кадрового учёта Услуги бронирования и организации командирования работников Техническое обеспечение ИСПДн оператора Сопровождение интернет-ресурсов оператора Услуги рекламной и информационной рассылки	Организация медицинских осмотров ДМС Выпуск банковских карт и начисление выплат Услуги по перевозке пассажиров (такси)
Требования к оформлению договора	Обязательное соответствие ч. 3 ст. 6 152-ФЗ	Может не содержать положений, указанных в ч. 3 ст. 6 152-ФЗ
Кто оформляет Согласие (если отсутствуют иные правовые основания)	Оператор Лицо по поручению не обязано получать Согласие на обработку переданных оператором ПДн (ч. 4 ст. 6 152-ФЗ)	Оператор
Кто несёт ответственность в случае нарушения прав субъекта ПДн	Оператор – перед субъектом ПДн Лицо по поручению – перед оператором Оператор и лицо по поручению – в случае поручения иностранному лицу	Оператор – за правомерность передачи Третье лицо – за фактическую обработку

При передаче персональных данных возникает обязанность получить письменное Согласие в следующих случаях:

• Когда согласие является единственным законным основанием для обработки данных в конкретной ситуации.

Как определить, нужно ли получить согласие на обработку персональных данных в конкретном случае, читайте в нашей статье.

Когда для данной ситуации законом явно предусмотрена необходимость оформления письменного согласия.

Проанализируем этот подход, взяв за основу передачу данных в компанию-аутсорсер при осуществлении управления кадровым и бухгалтерским учётом:

• данные отношения, с точки зрения 152-ФЗ, образуют поручение на обработку персональных данных;
• передача данных для ведения кадрового и бухгалтерского учёта аутсорсеру – инициатива работодателя, поэтому оценка правовых оснований такой передачи с учётом ч. 1 ст. 6 152-ФЗ позволяет говорить о том, что для этого случая правовым основанием будет являться именно Согласие (нет установленной законом обязанности на передачу данных, нет договоров, стороной которых или выгодоприобретателями по которым являются сотрудники оператора и т. д.);
• поскольку речь идёт о передаче данных работников, то необходимо руководствоваться ст. 88 ТК РФ, предусматривающей обязанность оформления письменного Согласия на передачу этих данных.

Следовательно, приходим к выводу, что при передаче данных работников в компанию-аутсорсер для ведения кадрового и бухгалтерского учёта, работодатель должен получить письменное Согласие сотрудников на передачу этих данных. Однако стоит отметить, что для компании-аутсорсера не обязательно получение Согласий от сотрудников клиента

Важно, чтобы условия договора между аутсорсером и работодателем соответствовали требованиям ч. 3 ст

6 152-ФЗ.

Как было указано ранее, любое письменное Согласие на обработку должно строго соответствовать ч. 4 ст. 9 152-ФЗ. Именно по этой причине все формы Согласий, требующие письменного оформления, не могут включать несколько целей обработки персональных данных.

Размещение документов на Blogger

Если у вас есть текст документов, то вам также нужно создать новую страницу и разместить текст соглашения на ней. Опубликуйте страницу и скопируйте ссылку. Теперь перейдите в редактор HTML темы и найдите копирайт. Здесь вставьте ссылку на страницу с соглашением. В новых темах Blogger найдите секцию Footer и вставьте в нее скрипт согласия (или ссылку на страницу с ним), а именно вставьте код после строчки кода:

Если в вашей теме возможно добавление гаджетов в футере, то добавить скрипт согласия обработки ПД еще проще – во вкладке “Дизайн”, добавьте новый гаджет HTML/JavaScript в секции Footer. В гаджет HTML / Javascript вставьте сгенерированный скрипт или ссыдку на страницу политики конфиденциальности. Как добавить ссылку на политику конфиденциальности под каждой формой отправки комментария. Настройки -> Сообщения, комментарии и настройки доступа -> Сообщение формы создания комментариев -> в форму впишите фразу, что оставляя комментарий на сайте, вы соглашаетесь с политикой конфиденциальности. На странице Контакты – отредактируйте страницу и добавьте ссылку на соглашение или отредактируйте форму обратной связи в конструкторе. Если у вас есть рассылка, анкеты и другие формы сбора информации о пользователях, то под каждой формой должно стоять уведомление со ссылкой на вашу политику конфиденциальности.

Общие положения

1.1. Настоящие Соглашение подготовлена в соответствии с:
– Конституцией Российской Федерации;
– Трудовым кодексом Российской Федерации;
– Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных»;
– Указом Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
– постановлением Правительства Российской Федерации от 13 сентября 2008 года №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
– постановлением Правительства Российской Федерации от 06 июля 2008 года №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
– постановлением Правительства Российской Федерации от 01 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
– приказом ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
– приказа Роскомнадзора от 05 сентября 2013 №996 «Об утверждении требований и методов по обезличиванию персональных данных»;
– иных нормативно-правовых актов Российской Федерации и нормативных документов уполномоченных органов государственной власти.

1.2. Термины, применяемые в настоящем Соглашении

«Сайт» — это совокупность текстов, графических элементов, дизайна, изображений, программного кода, фото- и видеоматериалов и иных результатов интеллектуальной деятельности Администрации Сайта, содержащихся в сети Интернет под доменным именем fabrika-potolkov.ru

«Администрация Сайта» — ООО «Фабрика Потолков», ИНН 7723911223, зарегистрированное в установленном порядке на территории Российской Федерации, осуществляющее реализацию товаров и услуг Пользователем с помощью сети Интернет.

«Пользователь» — это любое лицо, осуществившее вход на Сайт, заполнившее поля онлайн-форм на Сайте и принявшее условия настоящего Соглашения.

«Персональные данные» — данные, указанные Пользователем в онлайн-формах Сайта (имя, адрес электронной почты, городской и мобильный номер телефона, комментарии к сообщению).

Состав личных данных

Законодательные документы не содержат строгого перечисления личных данных. Обычно работник предоставляет в распоряжение работодателя следующие сведения:

• об образовании;
• трудовом и общем стаже;
• составе семьи;
• воинском учете;
• заработной плате;
• социальных льготах;
• занимаемой должности;
• наличии судимостей;
• адресе по месту регистрации и проживания;
• контактных телефонах;
• местах работы или учебы членов семьи;
• условиях трудового договора;
• наличии декларируемых материальных ценностей;
• материалах по повышению квалификации, переподготовке, аттестации и служебных расследованиях и пр.

Когда требуется согласие на обработку персональных данных?

В большинстве случаев действия, касающихся использования личных сведений граждан, требуют соответствующего согласия. Но закон 152 допускает моменты, когда этот документ не требуется. При этом обязательно соблюдение законодательства и в рамках него не допускать превышения допустимого объема обработки. Также обязательно соответствие действий достижения целей, ради которых информация используется.

Потребуется согласие гражданина и в случае, когда его контактные данные, такие как номер мобильного телефона и адрес электронной почты, могут использоваться для иных целей.

Статья 86 Трудового кодекса гласит, что персональные данные оператор должен получать непосредственно от самого работника. При этом допускаются случаи, когда их можно получить только у третьей стороны. В такой ситуации следует учитывать, что предварительно работник должен быть осведомлен об этом и дать соответствующее согласие.

Перечислим случаи, когда от работника не требуется согласие на обработку его личных данных, если они получены:

• из документов, которые он представил для оформления трудового контракта;
• в результате обязательного медосмотра, пройденного гражданином перед поступлением на работу;
• из данных, содержащихся в личной карточке работника, а также в случаях, предусмотренных законодательством в рамках п.2 Разъяснений Роскомнадзора;
• из опубликованного на открытых ресурсах сети Интернет резюме;
• когда от имени соискателя на должность, вакантную в организации, выступает кадровое агентство и представляет персональные данные потенциального работника.

Федеральный Закон «О персональных данных»

Федеральный закон «О персональных данных» (далее – ФЗ) обеспечивает защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту конституционных прав на неприкосновенность частной жизни, личную и семейную тайну. Основные положения Закона подробно можно прочитать тут. 

Дадим определение персональным данным, согласно ФЗ:

«Персональные данные (ПД) — это любая информация, относящаяся прямо или косвенно к физическому лицу, с помощью которой можно определить (идентифицировать) человека».

Какая информация относится к персональным данным: 

1. ФИО;
2. место прописки и проживания;
3. паспортные данные;
4. образование;
5. ИНН;
6. контактные данные;
7. сведения о работе;
8. размер доходов и т.д.

Но персональные данные – не только то, что характеризуют человека, но и данные, которые могут быть использованы для идентификации: динамический IP адрес, cookie-файлы пользователя плюс информация от провайдера.

Есть и исключения: согласно Роскомнадзору телефон, ФИО без привязки к другим данным не являются ПД, т.к. только по номеру или только по имени человека идентифицировать невозможно.

Выделяют также и специальные персональные данные: 

• расовая, национальная принадлежность;
• политические взгляды;
• религиозные и философские убеждения;
• состояние здоровья,
• интимная жизнь.

Их обработка допускается, только если пользователь дал согласие на обработку именно этих ПД.

В понятие «обработка персональный данных» входит: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача другим лицам, обезличивание, блокирование, удаление, уничтожение информации.

Обработка может вестись как при помощи технических средств (компьютера), так и сугубо на бумажных носителях;

Образец заполнения согласия на обработку персональных данных

В связи с тем, что для данного документа не закреплена какая-либо стандартная форма, его можно составить произвольно. Однако к его оформлению желательно подойти со всей ответственностью, чтобы показать организации серьезность своих намерений.

Заполнять согласие нужно начинать с верхней части листа слева. Там нужно написать название компании, куда отправляется документ, название должности руководителя и его Ф.И.О.

После этого надо немного отступить вниз, после чего записать название бланка – «Согласие на обработку моих персональных данных».

Гражданин заполняет согласие от своего имени, указывая полные Ф.И.О., домашний адрес, сведения о документе, при помощи которого он может подтвердить свою личность — обычно это паспорт. Необходимо указать серию и номер документа, его дату и место оформления.

Дальше необходимо сделать ссылку на статьи закона по защите персональных данных, для соблюдения которого оформляется это разрешение. После чего работник письменно дает свое согласие на использование данных о себе.

Чтобы указать, кому именно выдается это разрешение, записывается полное название хозяйственного субъекта, а также его юридические или фактический адрес.

Следующим шагом закон требует, чтобы в документе было конкретно указано для каких целей будет производиться разглашение данных, а также какие именно сведения могут передаваться третьим лицам. Все это лучше оформлять в виде единого списка.

Так, работник может давать согласие организации на передачу его Ф.И.О., даты рождения, сведений об удостоверяющем документе, адреса проживания или регистрации, телефона для связи, семейного положения, сведений о членах семьи, сведений о размере зарплаты, данных о стаже, полученных наградах и т. д.

Следом нужно указать, какими именно способами будет выполняться обработка, хранение и передача получаемой информации.

Если ожидается, что данные о сотруднике будут передаваться нескольким органам, организациям или лицам, то желательно получать отдельное согласие по каждому из них.

Дальше нужно обязательно указать период, в течение которого данное разрешение будет действительно.

В согласие должно быть включено уведомление о том, что выданное разрешение может быть отозвано, и указать порядок этой процедуры.

Также желательно в документ включать строку, путем которой работник сообщал бы о том, что проинформирован о своих правах, возникающих при передаче, обработке и защите личных сведений.

Составление согласия завершается проставлением работником своей должности, подписи и личных данных, а также даты его оформления.

Работа с персональными данными: заключение

Начиная использовать сайт в коммерческих или других целях, сверяйтесь с нашим чек-листом, чтобы не забыть о самом важном. Чек-лист по обработке ПД:

Чек-лист по обработке ПД:

1. Если вы запускаете свой сайт, то получаете статус ОПД автоматически – даже если просто указываете номер мессенджера в разделе с контактной информацией.
2. Как ОПД вы имеете обязанность уведомить Роскомнадзор о том, какую деятельность ведете, и должны соблюдать 152-ФЗ.
3. Подготовьте заранее пакет требуемых документов для подачи в Роскомнадзор – он должен включать, в том числе, внутреннее положение, регламентирующее обработку ПД на вашем сайте.
4. От посетителя вашего сайта вы можете получить согласие удаленно – например, разместив на веб-ресурсе чекбоксы.
5. Проверьте наличие всех требуемых документов на сайте, разработайте регламент обработки с учетом вашей деятельности.
6. Информируйте Роскомнадзор о ваших планах, связанных с передачей данных за пределы РФ.