8 499 938-65-20
Мы — ваш онлайн-юрист 👨🏻‍⚖️
Объясним пошагово, что делать в вашей ситуации. Разработаем документы и ответим на любой вопрос, даже самый маленький.

Все это — онлайн, с заботой о вас и по отличным ценам.
700 ₽
Вопрос решен

Нарушение правил обработки персональных данных

Моя знакомая является владельцем сайта салона красоты. На ее имя из Роскомнадзора поступило письмо.

Суть письма:

"на Сайте осуществляется сбор персональных данных граждан посредством форм, размещенных на странице Сайта:. При этом на сайте отсутствует информация о правовых основаниях обработки таких персональных данных и не размещена политика оператора персональных данных в отношении обработки персональных данных.

В соответствии с ч. 2 ст. 18.1 Закона, оператор, осуществляющий сбор персональных данных с использованием информационно- телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

На основании изложенного, в рамках полномочий, предусмотренных п. 1 ч. 3 ст. 23 Закона, просим представить информацию:

о правовых основаниях обработки персональных данных граждан, собираемых посредством сайта, в том числе Заявителя;

о дате начала осуществления сбора персональных данных граждан посредством данного сайта;

о дате принятия документа, определяющего политику оператора в отношении обработки персональных данных, собираемых посредством указанного сайта, и о дате фактического его размещения на сайте;

иные пояснения по существу изложенного."

---

На самом деле на сайте рядом с каждой формой сбора данных было размещено обязательное поле "Нажимая на кнопку, я даю свое согласие на обработку своих персональных данных."

Страница с документом о политике персональных данных на сайте существует, но по техническим причинам ссылка на документ не была доступна пользователям.

Как лучше ответить на обращение чтобы избежать ответственности за нарушение Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»?

26 сентября 2020, 12:27, Виталий Заря, г. Санкт-Петербург
Сергей Берестов
Сергей Берестов
Юрист, г. Санкт-Петербург
10 рейтинг

Здравствуйте, Виталий!

Полагаю, что можно дать следующие ответы на письмо Роскомнадзора:

о правовых основаниях обработки персональных данных граждан, собираемых посредством сайта, в том числе Заявителя;

Виталий

Укажите, что обработка персональных данных граждан осуществляется в соответствии с пунктом 1 части 1 статьи 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», согласно которой:

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;...
о дате начала осуществления сбора персональных данных граждан посредством данного сайта;

Виталий

Укажите фактическую дату начала осуществления сбора персональных данных, когда было осуществлено размещение обязательного поля «Нажимая на кнопку, я даю свое согласие на обработку своих персональных данных».

о дате принятия документа, определяющего политику оператора в отношении обработки персональных данных, собираемых посредством указанного сайта, и о дате фактического его размещения на сайте;

Виталий

Здесь можно указать на то, что на сайте существует страница с документом о политике персональных данных, укажите реквизиты этого документа, ссылку на него (которая, разумеется, должна теперь быть активной), дату его принятия и фактического размещения на сайте. Датой лучше указывать дату, когда начал работать сайт, когда начал осуществлять сбор персональных данных.

26 сентября 2020, 14:09
1
0
1
0
Консультация юриста бесплатно
Эльдар Ильясов
Эльдар Ильясов
Юрист, г. Москва
7.8 рейтинг

Виталий, здравствуйте! Вы запрашивали мнение двух юристов, поэтому отвечу.

На самом деле на сайте рядом с каждой формой сбора данных было размещено обязательное поле «Нажимая на кнопку, я даю свое согласие на обработку своих персональных данных.»

Их претензии не в этом, их претензии сводятся прежде всего к отсутствию активной ссылки на документ о Политике обработки персональных данных.

В статье 18.1. ФЗ «О персональных данных» указано:

Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Вот на этом и надо делать акцент в ответе.

Страница с документом о политике персональных данных на сайте существует, но по техническим причинам ссылка на документ не была доступна пользователям

Вот в этом и проблема. Поэтому пишите в ответе примерно так:

"… Кроме того, доводим до Вашего сведения, что документ, определяющий политику оператора в отношении обработки персональных данных, опубликован на нашем сайте с даты начала обработки персональных данных. С документом можно ознакомиться по следующей ссылке: ___________. В настоящее время любой пользователь имеет доступ к данному документу, опубликованному на сайте."

То есть прежде всего Вам надо оперативно устранить нарушение, а оно действительно есть и заключается в том, что ссылка не доступна для пользователей сайта, и потом уже написать соответствующий ответ в Роскомнадзор.

По поводу правовых оснований обработки персональных данных и даты начала осуществления сбора персональных данных, я с мнением коллеги Берестова согласен.

К правовым основаниям обработки персональных данных можно отнести также часть 4 статьи 29 Конституции РФ:

4. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом.

Вы получаете информацию законным способом — с согласия субъектов персональных данных.

С уважением!

26 сентября 2020, 16:06
1
0
1
0
Дмитрий Васильев
Дмитрий Васильев
Юрист, г. Москва
10 рейтинг

Добрый день.
Коллеги уже ответили на Ваш вопрос, я бы хотел в целом обозначить требования 152-фз и иных законов, касающихся обработки персональных данных.
Начну по порядку.
1. Когда нужна Политика конфиденциальности?
Политика конфиденциальности нужна во всех случаях, когда Вы собираете с пользователей сайта персональные данные.
То есть если у Вас на сайте есть только форма обратной связи, где указывается электронная почта и больше ничего – Вы не обрабатываете персональные данные, поскольку только по адресу электронной почты невозможно идентифицировать человека.
Если же Вы собираете ФИО и e-mail, то значит Вы обрабатываете персональные данные.
По факту Политика конфиденциальности нужна практически всегда за очень редкими исключениями.
2. Какие документы должны быть размещены на сайте?
Перечень документов, которые Вы должны разместить на сайте выглядит следующим образом:
2.1. Политика конфиденциальности (она же Политика обработки персональных данных, она же Политика в отношении обработки персональных данных).
2.2. Пользовательское соглашение (оно же Лицензионное соглашение, оно же Договор-оферта и оно же Публичная оферта). Все зависит от того, что за сайт.
Общая цель Пользовательского соглашения – расписать условия предоставления доступа к сервису и/или условия продажи товаров/услуг.
Пользовательское соглашение должно включать в себя:
— предмет договора,
— права и обязанности сторон,
— порядок расчетов,
— порядок разрешения споров,
— условия, ограничивающие Вашу ответственность (настолько, насколько это позволяет закон, частая ошибка – вопросам ответственности в Пользовательском соглашении уделяют мало внимания и возвращаются к ним только после того, как столкнутся с конкретной претензией от клиента или еще хуже с судебным иском. Я всегда рекомендую все риски (настолько насколько это позволяет закон) закрывать изначально при подготовке документации).
— условие о договорной подсудности по месту Вашего нахождения (кстати в способе описания условия о договорной подсудности очень часто допускаются ошибки, и суды потом признают пункт о договорной подсудности не согласованным, если хотите, чтобы в случае судебного спора, спор был по месту Вашего нахождения (не во всех случаях применимо), то нужно к описанию этого пункта подойти максимально ответственно и с учетом судебной практики).
Политику конфиденциальности и Пользовательское соглашение можно объединить в один документ, но лично я рекомендую иметь 2 отдельных документа, поскольку мне лично уже приходилось сталкиваться с тем, что Роскомнадзор при проверке сайта просто не разглядел положения про персональные данные в Пользовательском соглашении и повесил штраф.
И хотя это дело мы успешно оспорили, лишний раз «давать повод» для претензий я не рекомендую, лучше перестраховаться.
Кроме того, если делать нормальную качественную политику конфиденциальности, то она получится не на 1 и не на 2 страницы, не говоря уже о пользовательском соглашении и если все совмещать, то Пользовательское соглашение получится раздутым, что не очень удобно.
При этом не стоит забывать, что на Вас лежит обязанность по доведению до клиентов всей необходимой информации о реализуемых товарах/услугах и для целей выполнения этой обязанности делать плохо читаемые раздутые и неструктурированные документы не самая лучшая идея (например, по банкам есть судебная практика когда суды не признают юридическую силу написанного в документах мелким шрифтом, мол нельзя в таком виде доводить информацию до клиентов — здесь может быть применена та же логика).
3. Как составить Политику конфиденциальности?
К Политике конфиденциальности есть следующие требования, а именно Политика конфиденциальности должна в себя включать:
3.1. Перечень персональных данных, которые Вы обрабатываете.
3.2. Сведения о способах обработки персональных данных.
3.3. Должно быть прописано, что, проставляя галочку о согласии с политикой конфиденциальности, Пользователь тем самым дает свое согласие на обработку его персональных данных, указанных в Политике конфиденциальности.
3.4. Цели использования персональных данных.
3.5. Принципы обработки персональных данных, которыми Вы руководствуетесь.
3.6. Меры, применяемые для защиты персональных данных.
3.7. Очень важный момент, про который многие забывают – если в процессе использования персональных данных, эти данные становятся доступны третьим лицам, в том числе в автоматическом режиме, например, лицам, которые просто помогают Вам в управлении сайтом, маркетинговому партнеру и т.д., то об этом обязательно (!) должно быть указано в политике.
Это частая ошибка, которая приводит к тому, что Вам могут вменить незаконное разглашение персональных данных, несмотря на то, что Вы даже не думали ничего не нарушать. С этим мне неоднократно приходилось сталкиваться лично, Роскомнадзор за это активно штрафует.
3.8. В политику конфиденциальности нужно обязательно включить положение о том, что Вы вправе в любой момент изменить условия политики конфиденциальности в одностороннем порядке.
3.9. Еще важно прописать, что проставлением отметки Пользователь подтверждает, что он согласен со всеми условиями Политики конфиденциальности, что положения ему ясны и т.д.
3.10. Также в Политике отдельное внимание должно быть уделено файлам cookie, про это тоже часто забывают.
Это самый общий ряд требований, при этом стоит отметить, что каждый пункт должен быть сформулирован грамотно и должен учитывать конкретно Ваши нюансы.
4. Помимо требований к содержанию документов, к самому сайту есть следующие требования:
4.1. На сайте на всех формах обратной связи, через которые может быть осуществлена передача персональных данных, должно быть окошечко, в котором Пользователи проставляют отметку о согласии с политикой конфиденциальности и пользовательским соглашением.
Частая ошибка – делается политика конфиденциальности, а в окошечке Пользователь просто дает согласие с «обработкой персональных данных», а не с условиями Политики конфиденциальности и как следствие в этом случае у Вас не будет подтверждения, что Пользователь согласился соблюдать условия политики конфиденциальности.
4.2. Без проставления отметки о согласии с политикой конфиденциальности и пользовательским соглашением Пользователь не должен иметь возможности отправить Вам свои персональные данные.
Это касается в том числе случаев, если он Вам передает только имя, номер телефона или адрес электронной почты (это все относится к персональным данным – ст. 3 152-ФЗ).
5. Если у Вас есть работники, то помимо указанных выше пунктов, должны быть выполнены следующие требования:
5.1. Должно быть принято и утверждено Приказом Положение об обработке персональных данных (можно объединить с Положением о коммерческой тайне).
К Положению об обработке персональных данных следующие требования:
5.1.1. Информацию о том, какие данные сотрудников обрабатываются.
5.1.2. Цели обработки персональных данных.
5.1.3. Порядок ознакомления сотрудников компании с положением.
5.1.4. Порядок и сроки уведомления работниками работодателя об изменении своих персональных данных.
5.1.5. Меры по защите персональных данных.
5.1.6. Порядок доступа отдельных работников к персональных данным сотрудников компании.
5.1.7. Порядок хранения персональных данных.
5.1.8. Условия предоставления третьим лицам персональных данных сотрудников компании.
Данное положение представляет собой локальный нормативный акт работодателя (ст. 8 Трудового кодекса РФ) и к нему применяются соответствующие требования, в частности:
— Положение об обработке персональных данных должно быть утверждено приказом единоличного исполнительного органа (директора) компании или самим ИП.
— Работники должны быть ознакомлены под роспись с содержанием Положения об обработке персональных данных (п.6 ч.1 ст. 18.1 152-ФЗ).
5.2. Помимо приказа об утверждении Положения, регулирующего вопросы обработки персональных данных, у Вас должен быть принят приказ о назначении ответственного за обработку персональных данных (ст. 22.1 ФЗ № 152-ФЗ).
Чаще всего им выступает сам директор компании, но это не обязательно. Каких-либо специфичных требований к приказу здесь нет, требования к нему такие же, как и к любому другому внутреннему приказу.
5.3. Вы должны направить уведомление в Роскомнадзор об обработке персональных данных (не путать с регистрацией в Роскомнадзоре).
Уведомление в Роскомнадзор должно быть направлено в двух формах:
— по онлайн форме — https://pd.rkn.gov.ru/operators-registry/notification/form/
— в письменном виде по обычной почте в Управление Роскомнадзора.
Частая ошибка – люди считают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор.
С точки зрения закона действительно далеко не все компании должны направлять уведомление в РКН.
Например, если Вы обрабатываете персональные данные только своих контрагентов по договорам, то у Вас нет обязанности по направлению уведомления в Роскомнадзор (это лишь один пример, исключений больше).
Однако на сегодняшний день позиция Роскомнадзора такова, что уведомление нужно направлять почти всегда, поскольку практически всегда компании помимо обработки данных, которые подпадают под исключение о необходимости направления уведомления, также допускают иные формы обработки персональных данных.
Например, если Вы храните персональные данные потенциальных или бывших клиентов (в маркетинговых, рекламных или иных целях) – то это не подпадает под исключение, так как у Вас с ними нет действующего договора.
Как правило, все хранят данные о тех клиентах, которые обратились, но с которыми еще не заключили договор или с которыми у Вас уже закончились договорные отношения. В любом случае с точки зрения закона Вы уже не подпадаете под исключение и как следствие должны направить уведомление в Роскомнадзор по указанной выше форме.
6. Приведенные выше требования касаются ситуации, когда Вы обрабатываете данные граждан РФ в соответствии со 152-ФЗ.
Если Сервис ориентирован также на международный рынок, на европейских клиентов или клиентов из США, то возникают дополнительные требования.
Особое внимание следует в этом случае обратить на Регламент №2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» General Data Protection Regulation (GDPR).
Описывать его требования в данном случае я думаю не совсем уместно, так как это тема отдельного полноценного разговора, но суть в том, что если Вы ориентированы на европейский рынок, то Ваша политика конфиденциальности должна быть составлена в соответствии со всеми требованиями GDPR.
В отношении других стран следует обратить внимание на местное законодательство, в частности, для работы с гражданами США, например, следует учесть требования Children's Online Privacy Protection Act (COPPA), PIPEDA, Enhancing Privacy Protection и других правовых актов, касающихся обработки персональных данных
В целом нюансов и требований в части иностранного законодательства много, но их следует прорабатывать индивидуально и смотреть на кого ориентирован сервис.
7. Еще частая ошибка — хранение персональных данных граждан РФ на зарубежных сервисах, что запрещено законом (ст. 18 152-ФЗ). Хранить персональные данные граждан РФ можно только на российских серверах.
8. За нарушение закона о персональных данных Вам грозит следующая ответственность:
8.1. Ответственность по ст. 13.11 КоАП РФ (большой перечень видов нарушений, всего 7 частей в данной статье).
Каждое нарушение рассматривается отдельно и наказание за каждое нарушение также назначается отдельно, максимальный размер штрафа на текущий момент – 500000 руб.
8.2. За нарушение обязанности по хранению и использованию персональных данных работников грозит ответственность по ст. 5.27 КоАП. Здесь помимо штрафа уже предусмотрено административное приостановление деятельности на срок до 90 суток.
8.3. Непредставление в органы Роскомнадзора уведомления об обработке персональных данных влечет ответственность по ст. 19.7 КоАП РФ.
8.4. Также Роскомнадзор неоднократно обращал внимание, что существует уголовная ответственность за нарушение неприкосновенности частной жизни – ст. 137 УК РФ.
Стоит отметить, что в целом это основной набор требований по 152-ФЗ, однако не стоит забывать, что в зависимости от ситуации список требований может расширяться или наоборот сужаться.
Стоит учитывать, что «требование о наличии на сайте политики конфиденциальности» не значит, что достаточно скачать с интернета первую попавшуюся бумажку с названием «Политика конфиденциальности». Наличие формальной бумажки на сайте с названием «политика конфиденциальности» не имеет ничего общего с выполнением требований законодательства об обработке персональных данных.
Если Вам потребуется помощь в подготовке Пакета документов по персональным данным для сайта, мобильного приложения или для иных целей — Вы всегда можете обратиться ко мне в чат и получить помощь в решении своих вопросов (для этого Вам нужно нажать на кнопку «ОБЩАТЬСЯ В ЧАТЕ» на странице моего профиля — pravoved.ru/lawyer/362... (можно перейти по ссылке или нажав на мою фотографию)).
С Уважением,
Васильев Дмитрий.

29 июня, 11:03
0
0
0
0

Обращаю внимание, что на текущий момент в отношении КАЖДОГО действует СПЕЦИАЛЬНОЕ ПРЕДЛОЖЕНИЕ по вопросам работы с персональными данными. Чтобы получить предложение, Вам нужно ОБРАТИТЬСЯ КО МНЕ В ЧАТ, а именно:
1. Нажать на кнопку «ОБЩАТЬСЯ В ЧАТЕ» НА СТРАНИЦЕ МОЕГО ПРОФИЛЯ — https://pravoved.ru/lawyer/362127/ (можно перейти по ссылке или нажав на мою фотографию).



2. Описать свою ситуацию мне лично.
В рамках бесплатного предложения, Вы можете бесплатно получить информацию о ТОП 5 ОШИБОК при оформлении документов для сайта/мобильного приложения в сфере персональных данных (152-ФЗ, General Data Protection Regulation, Children's Online Privacy Protection Act и т.д.).
Также обратившись ко мне в чат, АБСОЛЮТНО ЛЮБОЙ может получить:
1. Устную или письменную консультацию по любым вопросам обработки персональных данных, в том числе по требованиям законодательства РФ, европейского, американского и международного законодательства в сфере персональных данных.
2. Помощь в проведении аудита Вашего сайта/мобильного приложения на предмет соответствия требованиям законодательства о персональных данных.
3. Помощь в подготовке полного пакета документов по персональным данным, в том числе следующих документов:
3.1. Политика конфиденциальности (она же политика обработки персональных данных) для сайта/мобильного приложения.
3.2. Пользовательское соглашение (оно же договор-оферта и оно же лицензионное соглашение) для Вашего сайта/мобильного приложения.
3.3. Уведомление в Роскомнадзор об обработке персональных данных.
3.4. Положение об обработке персональных данных у ИП/ООО.
3.5. Форма приказа об утверждении положения о персональных данных.
3.6. Форма приказа о назначении ответственного за обработку персональных данных.
3.7. Инструкция ответственного за обработку персональных данных.

29 июня, 11:04
Услуги юристов в Москве
Мы договариваемся с юристами в каждом городе о лучшей цене.
Похожие вопросы
Конституционное право
Обработка персональных данных
Добрый день. Обязательно ли брать согласие на обработку персональных данных с клиентов салона красоты. Совсем запутался в связи с вступившими в силу изменениями в декабре 2020. В декабре прислали на электронную почту ФЕДЕРАЛЬНЫЙ ЦЕНТР ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ СИСТЕМА СЕРТИФИКАЦИИ «РОСКОНТРОЛЬ» Рег.№ РОСС RU.З2056.04РКЛ0 Оператор ПДн: № 78-19-006412 195248, Санкт-Петербург, пр. Энергетиков, 3-а Справочная: +7 (812) 983-6584 (с 9:00 до 16:00 по Москве) [Электронное уведомление]1 Исх. № 152_631104532938/1 от 25.12.2020 О необходимости соответствия ИП Савенков Павел Анатольевич требованиям по защите персональных данных3 ИП Савенков Павел Анатольевич ИНН: 631104532938 ОГРН: 311631731800015 443000, Самарская обл, г Самара nynius317@mail.ru2 Направление информации о необходимости принятия мер по защите персональных данных, согласно Федеральному закону № 152-ФЗ О персональных данных"(c изм. от 24.04.2020) Уважаемый(ая) ! В связи с внесением дополнений от 2 декабря 2019г. в статью 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных», в срочном порядке уведомляем вас об увеличении риска проведения контрольно-надзорных мероприятий по ИП Савенков Павел Анатольевич, в отношении соответствия требованиям Федерального закона № 152-ФЗ (c изм. от 24.04.2020) "О персональных данных". В силу требований законодательства ИП Савенков Павел Анатольевич, в любом случае обязана собирать, хранить, передавать и использовать персональных данные своих текущих и уволенных сотрудников, включая руководителя организации, которым является , а так же клиентов, партнеров и других физических лиц, то есть вести их обработку. В связи с этим, ваша организация признается оператором персональных данных, как и любая другая действующая организация или ИП, согласно cтатье 3 Федерального закона № 152-ФЗ (c изм. от 24.04.2020) "О персональных данных". На 25.12.2020 в ИП Савенков Павел Анатольевич должны быть приняты организационно-технические меры по соответствию требованиям 152-ФЗ "О персональных данных" (в ред. от 29.07.2017), разработаны документы по защите персональных данных и, при необходимости, направлено уведомление об обработке персональных данных в территориальное отделение Роскомнадзора. Почему вы оператор персональных данных? Использование данных руководителя, работников, клиентов и иных физических лиц в профессиональной деятельности (фамилия, имя, отчество, адрес, паспортные данные, ИНН, номер телефона), ведение кадрового и бухгалтерского учета, заключение и оформление договоров, сбор анкет (резюме) кандидатов на работу, направление третьим лицам (органам) списков сотрудников при оформлении им медицинских полисов, перечисление денежных средств на зарплатные счета в банк, предоставление в военный комиссариат списков военнообязанных сотрудников, сбор и использование персональных данных клиентов, осуществление видеонаблюдения, ведение журнала контрольно-пропускного пункта и т.д. в соответствии с п.3 ст. 3 Федерального закона №152-ФЗ является обработкой персональных данных. После проверки по ИНН: 631104532938 в общедоступном реестре операторов персональных данных Роскомнадзора по адресу: https://pd.rkn.gov.ru/operators-registry/operators-list/ запись о ИП Савенков Павел Анатольевич не была обнаружена, или содержит неполные сведения, что является достаточным поводом для привлечения внимания инспектора Роскомнадзора, в соответствии со ст.23, ч.5 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 24.04.2020) "О персональных данных". Основанием для проведения внеплановой проверки могут являться результаты проведения контрольных мероприятий без взаимодействия с ИП Савенков Павел Анатольевич, согласно постановлению Правительства Российской Федерации от 13.02.2019 № 146. Отсутствие необходимых мер при проверке может повлечь за собой наложение административного штрафа до 5 000 руб. по ст.19.7 КоАП РФ и до 6 000 000 руб. по ст. 13.11 КоАП РФ, в зависимости от количества выявленных нарушений при проведении контрольно-надзорных мероприятий. Так как своими силами в установленные законом сроки Вы не устранили изложенные нарушения, вам предлагается в течение 1 (одного) рабочего дня с момента направления данного уведомления, получить меры поддержки и уточнить интересующие вас вопросы в области действия закона № 152-ФЗ (c изм. от 24.04.2020) "О персональных данных".
03 марта, 06:47, вопрос №2999270, Павел, г. Самара
1 ответ
1200 ₽
Вопрос решен
Все
Согласие на обработку персональных данных в детском саду
Здравствуйте! В д/с настаивают подписать их шаблонный вариант Согласия на обработку персональных данных (документ прикрепила). Оно меня не устраивает по нескольким причинам: 1. Целью согласия прописано исполнение заключенного договора (1-ый абзац, 4-я строка Согласия. Само Согласие находится на последней странице данного Положения АНО » pdlada.ru/userfiles/media/zhirnov%20vv/Doki/polozhenie_o_personalnih_dannih/polozhenie_o_personalnih_dannih.PDF). В тоже время, согласно Положения АНО о персональных данных, для осуществления данной цели согласие не требуется (п. 9.5., 2-ая сноска Положения). Т.е. по их же Положению целью Согласия не может быть цель исполнения заключенного договора. 2. В 1-ом абзаце перечисляется что АНО может делать с персональным данными. Есть информация и о передаче данных «указанным ниже третьим лицам»… Но эти третьи лица в Согласии не указаны ни ниже, ни сбоку, ни по-диагонали. 3. Абсолютно непонятно в каких/в чьих базах и системах АНО будет имеет право на изменение, обезличивание, блокирование и уничтожение предоставленных им персональных данных. По приведенному тексту можно понять, что АНО в любой момент может всё это делать в любых базах и системах и тем самым вообще может «удалить» человека из этого мира. 4. В Согласии АНО конкретно указывает какие данные они будут обрабатывать (свидетельство о рождении, паспорт родителя, адрес и контакты родителей, полис, достижения ребёнка, фотографии и видеоматериалы (кого?). В тоже время в Положении АНО прописало практически любой сбор любых данных из любых источников. Т.е. АНО на 100% разрешило себе вторжение в частную жизнь любым способом!? 5. Ниже в Согласии приведен перечень, где могут использоваться персональные данные. Каждый пункт данного перечня я расцениваю как самостоятельные цели, для каждой из которых которых АНО должно запрашивать отдельное согласие. Как минимум с половиной перечня я либо просто не согласна, либо к моему ребёнку не имеют отношения. Например: «соблюдения порядка и правил приема в АНО» — Мы уже 4 года ходим в д/с, о каких правилах приема может идти речь, и разве Согласие на обработку персональных данных не является строго добровольным? "- учета воспитанников, нуждающихся в особых условиях образования, присмотра и ухода" — мой ребёнок в этом не нуждается. "- обеспечения медицинского обслуживания" — На сколько мне известно, на это согласие так же не требуется. и т.д., и т.п. по тексту Согласия. 6. Совершенно непонятно, как могут быть использованы персональные данные там, где есть приписка «иной/иные». Например, в указанном перечне есть "- защиты жизни, здоровья, иных интересов ребёнка". Каких иных интересов, кем они определяются, степень вмешательства в эти иные интересы ребёнка я не нашла. 7. Отсутствуют какие-либо даты и сроки действия моего Согласия для АНО. Если говорить простым языком, то Согласие, опирающееся на Положение и Политику АНО, то ли просто составлены юридически безграмотно (все три документа), то ли его специально составили на всё подряд оптом. Устно я отказалась подписывать данное Согласие и всё, что написано выше перечислила заведующей д/с. На что тоже в устной форме получила пояснение о том, что без Согласия (перечисляю от минимальных неприятностей к максимальным): 1) я не смогу оплачивать за д/с онлайн (через Сбербанк или через любого другого агрегатора платежей) и что надо будет ездить в кассу АНО. 2) мой ребёнок не сможет получать медицинское обслуживание/осмотр как в д/с, так и плановое в поликлинике, куда из д/с иногда направляют всех детей и где и так есть наши данные, т.к. мы прикреплены к этим поликлиникам по месту жительства. 3) на Новый год мой ребёнок не сможет получить подарки, которые предоставляются всем детям от мэрии города и от губернатора (мэрия является соучредителем АНО). 4) что мой ребёнок не сможет пойти в школу, т.к. школы не смогут получить информацию из автоматизированной системы управления региональной системой образования (АСУ РСО), т.к. я не дала Согласия на использование персональных данных, полученных из неё (об этом также в Согласии). А если бы мой ребёнок не ходил в д/с, то в школу дорога тоже была бы закрыта т.к. в АСУ РСО нет никаких данных? И вот передо мной вопрос: подписывать официальный отказ от предоставления персональных данных или всё таки нужно подписать Согласие, но строго в своём безопасном для ребёнка и не оптовом варианте? Также, здесь мной создан заказ с таким же заголовком и текстом на составление грамотного и безопасного для наших персональных данных Согласия. Поэтому, если согласие всё таки нужно даже не смотря на то, что в соответствии с п.9.5. Положения в целях исполнения заключенного договора Согласие не требуется, то хотелось бы исключить в нём «на всё подряд» и отразить только то, что не навредит ни мне, ни моему ребёнку (что не будет нарушать конституционных прав как моего ребёнка, так и моих) + чтобы я могла оплачивать за д/с онлайн + обеспечение медобслуживания ребёнку + новогодние подарки + АСУ РСО если уж без данных в этой системе в школу и правда не возьмут. Считаю, что отдельными пунктами нужно обязательно запретить: 1) сбор биометрических данных у моего ребёнка. 2) передачу данных в общероссийские автоматизированные информационные системы и электронные базы данных. 3) сбор и использование любых данных «со стороны». Возможно, я что-то еще упустила как по Согласию, так и по Положению и Политике АНО. В данном случае прошу эти упущения додумать за меня. Документы АНО: Положение о персональных данных АНО pdlada.ru/userfiles/media/zhirnov%20vv/Doki/polozhenie_o_personalnih_dannih/polozhenie_o_personalnih_dannih.PDF (шаблонное Согласие на обработку персональных данных находится на последней странице данного Положения). Политика АНО в отношении обработки персональных данных физических лиц (субъектов персональных данных) pdlada.ru/userfiles/media/documents/politikapersda.pdf С уважением, Светлана.
22 мая 2019, 18:26, вопрос №2367419, Светлана, г. Тольятти
8 ответов
Административное право
Обязаны ли родители подписать согласие на обработку персональных данных?
Здравствуйте! В д/с настаивают подписать их вариант Согласия на обработку персональных данных (документ прикрепила). Оно меня не устраивает по нескольким причинам: 1. Целью согласия прописано исполнение заключенного договора (1-ый абзац, 4-я строка Согласия. Само Согласие находится на последней странице прикреплённого данного Положения АНО » http://pdlada.ru/userfiles/media/zhirnov%20vv/Doki/polozhenie_o_personalnih_dannih/polozhenie_o_personalnih_dannih.PDF). В тоже время, согласно Положения АНО о персональных данных, для осуществления данной цели согласие не требуется (п. 9.5., 2-ая сноска Положения). 2. В 1-ом абзаце перечисляется что АНО может делать с персональным данными. Есть информация и о передаче данных "указанным ниже третьим лицам"... Но эти третьи лица в Согласии не указаны ни ниже, ни сбоку, ни по-диагонали. 3. Абсолютно непонятно в каких/в чьих базах и системах АНО будет имеет право на изменение, обезличивание, блокирование и уничтожение предоставленных им персональных данных. По приведенному тексту можно понять, что АНО в любой момент может всё это делать в любых базах и системах и тем самым вообще может "удалить" человека из этого мира. 4. В Согласии АНО конкретно указывает какие данные они будут обрабатывать (свидетельство о рождении, паспорт родителя, адрес и контакты родителей, полис, достижения ребёнка, фотографии и видеоматериалы (кого?). В тоже время в Положении АНО прописало практически любой сбор любых данных из любых источников. Т.е. АНО на 100% разрешило себе вторжение в частную жизнь любым способом!? 5. Ниже в Согласии приведен перечень, где могут использоваться персональные данные. Каждый пункт данного перечня я расцениваю как самостоятельные цели, для каждой из которых которых АНО должно запрашивать отдельное согласие. Как минимум с половиной перечня я либо просто не согласна, либо к моему ребёнку не имеют отношения. Например: "соблюдения порядка и правил приема в АНО" - Мы уже 4 года ходим в д/с, о каких правилах приема может идти речь, и разве Согласие на обработку персональных данных не является строго добровольным? "- учета воспитанников, нуждающихся в особых условиях образования, присмотра и ухода" - мой ребёнок в этом не нуждается. "- обеспечения медицинского обслуживания" - На сколько мне известно, на это согласие так же не требуется. и т.д., и т.п. по тексту Согласия. 6. Совершенно непонятно, как могут быть использованы персональные данные там, где есть приписка "иной/иные". Например, в указанном перечне есть "- защиты жизни, здоровья, иных интересов ребёнка". Каких иных интересов, кем они определяются, степень вмешательства в эти иные интересы ребёнка я не нашла. 7. Отсутствуют какие-либо даты и сроки действия моего Согласия для АНО. Если говорить простым языком, то Согласие, опирающееся на Положение и Политику АНО, то ли просто составлены юридически безграмотно (все три документа), то ли его специально составили на всё подряд оптом. Устно я отказалась подписывать данное Согласие и всё, что написано выше перечислила заведующей д/с. На что тоже в устной форме получила пояснение о том, что без Согласия (перечисляю от минимальных неприятностей к максимальным): 1) я не смогу оплачивать за д/с онлайн (через Сбербанк или через любого другого агрегатора платежей) и что надо будет ездить в кассу АНО. 2) мой ребёнок не сможет получать медицинское обслуживание/осмотр как в д/с, так и плановое в поликлинике, куда из д/с иногда направляют всех детей и где и так есть наши данные, т.к. мы прикреплены к этим поликлиникам по месту жительства. 3) на Новый год мой ребёнок не сможет получить подарки, которые предоставляются всем детям от мэрии города и от губернатора (мэрия является соучредителем АНО). 4) что мой ребёнок не сможет пойти в школу, т.к. школы не смогут получить информацию из автоматизированной системы управления региональной системой образования (АСУ РСО), т.к. я не дала Согласия на использование персональных данных, полученных из неё (об этом также в Согласии). А если бы мой ребёнок не ходил в д/с, то в школу дорога тоже была бы закрыта т.к. в АСУ РСО нет никаких данных? И вот передо мной вопрос: подписывать официальный отказ от предоставления персональных данных или всё таки нужно подписать Согласие, но строго в своём безопасном для ребёнка и не оптовом варианте? Если согласие нужно, то хотелось бы исключить в нём "на всё подряд" и отразить только то, что не навредит ни мне, ни моему ребёнку (что не будет нарушать конституционных прав как моего ребёнка, так и моих) + чтобы я могла оплачивать за д/с онлайн + обеспечение медобслуживания ребёнку + новогодние подарки + АСУ РСО если уж без данных в этой системе в школу и правда не возьмут. Считаю, что отдельными пунктами нужно обязательно запретить: 1) сбор биометрических данных у моего ребёнка. 2) передачу данных в общероссийские автоматизированные информационные системы и электронные базы данных. 3) сбор и использование любых данных "со стороны". Возможно, я что-то еще упустила как по Согласию, так и по Положению и Политике АНО. В данном случае прошу эти упущения додумать за меня. Документы АНО: Положение о персональных данных АНО http://pdlada.ru/userfiles/media/zhirnov%20vv/Doki/polozhenie_o_personalnih_dannih/polozhenie_o_personalnih_dannih.PDF (шаблонное Согласие на обработку персональных данных находится на последней странице данного Положения). Политика АНО в отношении обработки персональных данных физических лиц (субъектов персональных данных) http://pdlada.ru/userfiles/media/documents/politikapersda.pdf С уважением, Светлана.
22 мая 2019, 17:55, вопрос №2367395, Светлана, г. Тольятти
1 ответ
600 ₽
Вопрос решен
Гражданское право
О согласии на обработку персональных данных
Добрый день! Прошу предоставить информацию по следующим вопросам: 1. При отправке подписанного заявление в орган государственной власти, орган местного самоуправления или в подведомственную организацию лично через приемную или через сервис электронной приемной на сайте органа какой документ необходимо взять с заявителя третьему лицу: согласие, соглашение или доверенность? В том числе необходимо учесть, что при отправке заявления через сервис электронной приемной будет использовано многофункциональное устройство для сканирования в цветном варианте данного заявления, сохранение его на персональном компьютере третьего лица, отправке его через сервис электронной приемной, ввод персональных данных в формы сервиса электронной приемной (Ф.И.О., телефон, адрес заявителя). Цель документа: защитить третье лицо в случае если заявитель предъявит нарушение по 152-ФЗ «О персональных данных» или о том, что не давал поручения/согласия направить данное заявление. Понимаю, что наиболее правильно будет получить доверенность с необходимыми полномочиями по конкретному случаю от заявителя и написать заявления как действующего в лице (от имени) заявителя. Соглашение, согласие, доверенность оформляются нотариально? В 59-ФЗ об обращениях граждан ни слова не нашел про доверенных лиц и доверенности. 2. Аналогичная ситуация. Если заявитель просит третье лицо получать через свой личный кабинет на сайте расчетного центра квитанции на оплату коммунальных услуг. Заявитель предоставляет номер лицевого счета и код, который пришел в бумажной квитанции в конверте для активации лицевого счета в личном кабинете. Какой дополнительно документ необходимо запросить у заявителя третьему лицу, чтобы в дальнейшим подтвердить, что это было волеизъявление самого заявителя, что он предоставил лицевой счет, код и свои персональные данные. В личном кабинете, помимо квитанций, также отображается информация о задолженности, начислениях за предыдущие три года и иная персональная информация. 2.1. У родственников нужно запрашивать согласие на обработку персональных данных, если какие-либо документы с персональными данными родственников хранятся на вычислительном устройстве или в архивных папках? 3. Если в организацию или орган направлялось множество заявлений, заключалось множество договоров и при каждом подписании давалось новое согласие на обработку персональных данных, то для того чтобы отозвать согласие на обработку данных необходимо написать один раз заявление об отзыве или необходимо написать заявление об отзыве на каждое заявление, на каждый договор? А если я, например, не помню, сколько я их отправлял и когда? Необходимо запросить перечень всех моих обращений за определенный период? 4. Отдельно выделю вопрос: можно указать в заявление на отзыв персональных данных о том что отзываю ВСЕ (КАЖДОГО) СОГЛАСИЯ, ПРЕДОСТАВЛЕННЫЕ МНОЙ ЗА КОНКРЕТНЫЙ ПЕРИОД? 5. При нарушении 152-ФЗ пострадавшее лицо может получить какую-либо компенсацию или 50 процентов так же как при нарушении положений закона о защите прав потребителей при подаче искового заявления в суд? 6. На что нужно обращать внимание при подписании согласия на обработку персональных данных той или иной организацией? Например, на срок действия согласия (если бессрочное исправляю на один год), на предоставленные действия с данными (запрещаю передавать сведения обо мне третьим лицам), ограниченный или конкретный объем персональных данных (только фио, адрес, телефон).
31 мая 2017, 17:39, вопрос №1653568, Алексей, г. Москва
4 ответа
Кредитование
Имеет ли право банк отказать заемщику в отзыве согласия на обработку персональных данных?
Здравствуйте! На данный момент у меня образовалась задолженность в Банке по кредиту (более 30 дней). Ненамеренно конечно, но Банк этот факт мало интересует, поэтому я столкнулась со Службой Безопасности Банка - частые звонки, разного рода обращение, наверное уже во всех тонах, интонациях, на которые только способен человек . Не уклоняясь от разговоров со специалистами Банка (отвечаю всегда на их звонки) я заработала,видимо, "БОНУС" - спец-ты Банка начали терроризировать моих родственников, знакомых и пр.лиц, чьи контакты я когда-то давно имела неосторожность оставить или на чьи номера когда-либо отправляла деньги со своего личного кабинета в интернет-банке. Поэтому я воспользовалась своим правом - написала и отправила Банку (Почтой России (заказное с увед. и писью влож), на эл.почту)) заявление об отзыве своего согласия на обработку персональных данных, попросив сообщить мне о решении письменно выслав ответ на адрес факт.проживания. Почта России ответ мне от Банка еще не доставила (не знаю будет ли он вообще), а вот на эл.почту мне пришло письмо от специалиста Банка следующего содержания: "Уважаемая .......! В силу Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Банк осуществляет обработку персональных данных с соблюдением принципов и правил, предусмотренных данным Федеральным законом. Согласно ст. 15 Федерального Закона «О потребительском кредите (займе)» № 353-ФЗ: «При совершении действий, направленных на возврат во внесудебном порядке задолженности, возникшей по договору потребительского кредита (займа), кредитор и (или) юридическое лицо, с которым кредитор заключил агентский договор, предусматривающий совершение таким лицом юридических и (или) иных действий, направленных на возврат задолженности, возникшей по договору потребительского кредита (займа) (далее - лицо, осуществляющее деятельность по возврату задолженности), вправе взаимодействовать с заемщиком и лицами, предоставившими обеспечение по договору потребительского кредита (займа), используя: 1) личные встречи, телефонные переговоры (далее - непосредственное взаимодействие); 2) почтовые отправления по месту жительства заемщика или лица, предоставившего обеспечение по договору потребительского кредита (займа), телеграфные сообщения, текстовые, голосовые и иные сообщения, передаваемые по сетям электросвязи, в том числе подвижной радиотелефонной связи». При заключении договора согласие на обработку персональных данных было представлено Вами в Анкете Клиента. Также в Анкете Вами были предоставлены дополнительные контактные данные третьих лиц. При ненадлежащем исполнении обязательств по кредитному Договору, Банк вправе осуществлять урегулирование вопроса по погашению просроченной задолженности в соответствии с данными, предоставленными лично Заемщиком в Анкете. Непосредственное взаимодействие путем проведения телефонных переговоров Банк осуществляет по всем контактным номерам, предоставленным Заемщиком лично при оформлении кредита. Данное Вами согласие на обработку персональных данных может быть отозвано путем направления соответствующего письменного отзыва согласия в Банк. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Банк вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе №152-ФЗ «О персональных данных» от 27.07.2006 г., в частности, когда обработка таких данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. Таким образом, при наличии у Вас неисполненных обязательств перед Банком Банк вправе осуществлять обработку Ваших персональных данных без Вашего согласия. Для исключения контактных номеров третьих лиц, а также изменения информации о месте работы, необходимо обратиться в офис. В замен номеров, которые хотели бы исключить предоставить другие контактные. Мы надеемся на Ваш объективный взвешенный подход к сложившейся ситуации." Действительно ли в данной ситуации у меня нет законных оснований предъявлять подобного рода требования Банку (неужели я незаконно отстаиваю свои права)? И правомерен ли ответ специалиста? Благодарю Вас!
25 ноября 2015, 06:24, вопрос №1051101, Елена,
1 ответ
Дата обновления страницы 29.06.2021