Бесплатная горячая линия

8 800 700-88-16
Главная - Другое - Что значит обработка персональных данных третьими лицами

Что значит обработка персональных данных третьими лицами

Что такое согласие на передачу персональных данных третьим лицам?

5 мартаПри взаимодействии с разными организациями граждане подписывают согласие на обработку своих персональных данных. Одним из пунктов такого документа является согласие на передачу своих персональных данных оператором третьим лицам (третьей стороне).Третьими лицами могут быть организации или сотрудники оператора обработки персональных данных, которые участвуют в правоотношениях гражданина (субъекта данных) и оказывающей услуги организации.Третьи лица могут выполнять непосредственные обязанности по договору (например, по трудовому договору), а также оказывать дополнительные услуги, сопутствующие или дополнительно возникающие при реализации условий договора.Многие организации гордятся своими дополнительными трудовыми условиями под названием «социальный пакет».

В социальный пакет может входить дополнительное медицинское обслуживание, спортивный отдых, обеспечение досуга сотрудников и многое другое, что является дополнительным и может обеспечиваться сторонними организациями, которым потребуются персональные данные сотрудников. Организация, в которой сотрудники работают, может передать их персональные данные на основании разрешения о передаче этих данных третьим лицам.Передача данных третьим лицам в трудовых отношениях может быть осуществлена при использовании работодателем услуг кадрового или бухгалтерского аутсорсинга, проведении исследований эффективности менеджмента сторонними специалистами и другое.Третьим лицам не нужно получать разрешение на обработку персональных данных у сотрудника организации, передавшей его данные в связи с какой-нибудь целью.О чем не нужно волноваться?Иногда субъект персональных данных опасается того, что выдавая разрешение на передачу персональных данных третьим лицам организация сразу начнёт их распространять, вплоть до продажи разным организациям — это ошибочное мнение.В Федеральном законе «О персональных данных» закреплён принцип целевой обработки данных — это означает, что при получении согласия на обработку персональных данных оператором должны быть обозначены цели, в соответствии с которыми возможна обработка.2.

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.статья 5 Федерального закона от 27.07.2006 №152-ФЗ.Оператор обработки персональных данных не может передавать персональные данные граждан любым третьим лицам по любому запросу, а может осуществлять только передачу данных для целевых обработок, обозначенных при заключении договора и получении согласия субъекта на обработку персональных данных.Условия передачи персональных данных третьим лицам должны быть указаны конкретно и полно в тексте письменного согласия. В таком согласии должно быть указано каким организациям и в каких целях будет передаваться персональная информация.

Любая передача данных, являющаяся дополнительной для осуществления правоотношений (трудовых, гражданских), должна быть сформулирована в тексте согласия.Если в тексте согласия указано просто «передача данных третьим лицам», то это неполная формулировка условий обработки данных, которая может подразумевать передачу персональных данных только для выполнения существенных условий договора (трудового или гражданского).Существенными условиями являются такие условия, без которых невозможна реализация правоотношений по заключённому договору.Для получения организацией данных о сотруднике или клиенте другой организации (проверка данных) или передаче персональных данных по запросу другим организациям нужно письменное согласие этого сотрудника или клиента, позволяющее установить факт информированности субъекта о целях и объеме передачи его персональных данных.Дополнительные материалы по теме этой статьи:5 марта 2020 года (редакция текста 28 июня 2020 года).Автор: юрист Демешин Сергей Владимирович.Участвуйте в обсуждении, пройдите опрос об интересных темах будущих публикаций (ссылка опроса в описании канала, также в описании указаны правила комментирования публикаций).

Согласие на обработку персональных данных. Можно ли не давать?

7 сентября 2020Обработка наших с вами персональных данных осуществляется в соответствии с Федеральным законом РФ «О персональных данных» от 27.07.2006 года № 152-ФЗ.

Можно сказать, что личные данные граждан охраняет государство.Персональные данные – это любая информация, относящаяся прямо или косвенно к физическому лицу. Т.е. это ваше ФИО, ваш телефон, ваш адрес, не говоря уже о паспортных данных.

Даже электронная почта или ip-адрес компьютера относится к персональным данным.Согласие на обработку персональных данных физическое лицо сейчас дает всегда, когда сообщает какому-то юридическому лицу свои личные данные.Такое лицо называется оператор. Ваши данные нужны, например, при получении кредита, при оформлении на работу, при заказе пропуска.
Ваши данные нужны, например, при получении кредита, при оформлении на работу, при заказе пропуска.

Значит, оператором, обрабатывающим личные данные, будет работодатель, магазин, банк и т.д. Вы даете согласие конкретному оператору на конкретное действие.

Если какое-то действие повторяется в течение долгого времени, вы даете согласие единожды.

Например, вы открыли в банке личный счет и, несмотря на то, что постоянно обращаетесь в банк по поводу своего счета, согласие на обработку своих данных вы даете только в момент открытия счета.

А вот, если заходите взять кредит в том же банке, то с вас попросят новое согласие. Потому что оно будет на другие действия.

  1. перечень личных данных, на обработку которых дается согласие, например, ваши ФИО и паспортные данные;
  2. данные оператора, получающего это согласие;
  3. ваши фамилию, имя, отчество, адрес, а также реквизиты вашего паспорта;
  4. перечень действий с данными, например, их запись, хранение, передачу;
  5. цель обработки ваших данных, например, заключение договора;
  6. срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено законом. При заключении договора, например, кредитного, обычно срок действия согласия не меньше срока договора.

Подпись должна быть либо в письменной форме на бумажном документе, либо в электронном виде.

Электронная подпись может быть разная, усиленная или простая. Простая электронная подпись это, например, когда вам при заполнении своих данных на сайте направляют на телефон определенный код, который вы должны ввести в форму, чтобы ее отправить.

Так обычно делается при заполнении электронной анкеты на получение кредита.На сайтах банков, интернет-магазинов и т.д.

зачастую присутствует полный текст согласия на обработку персональных данных. Правда, практически никто его не читает, автоматически ставя «галку» в соответствующем поле.

А между прочим, сами не догадываясь, вы порой разрешаете оператору передачу ваших данных третьим лицам, а потом удивляетесь, почему к вам на телефон постоянно приходит реклама.Согласие обычно присутствует в тексте анкеты на получение кредита, в тексте кредитного договора и в других документах.Вы часто обращаете на внимание на то, что там написано?Собственно, согласие на обработку своих персональных данныхПод персональными данными понимаются любые ваши личные данные, которые каким-либо образом вы сообщаете банку. Они передаются либо электронном виде либо в виде бумажных документов (или их копий).Согласие на получение информации из бюро кредитных историйЕсли вы не берете кредит, а в анкете это присутствует, можно галку в этом поле не ставить и отказаться.

А вот при получении кредита отказаться уже не получится.Согласие на получение от банка и его партнеров всяких коммерческих предложенийРечь про рекламу по телефону или в СМС. Теоретически, можно отказаться.Можно ли не соглашаться?Можно.

Но, скорее всего, банковскую услугу тогда не получите.По закону, например, банк может (а точнее, обязан) при рассмотрении вашей заявки на кредит без вашего согласия отправлять ваши персональные данные в бюро кредитных историй (БКИ). И, кстати, вне зависимости от решения по этой заявке.

Даже, если вам отказали, информация об этом уйдет в БКИ.Есть еще другие обстоятельства, установленные законом, при которых ваше согласие никто и не спросит.Вы можете отозвать свое согласие в любое время, направив оператору письменное заявление об этом.Но, несмотря на ваш отзыв, оператор, которому вы ранее дали согласие, вправе продолжить обработку ваших персональных данных. Это возможно, например, когда данные нужны для осуществления правосудия, исполнения судебного акта, или, например, обработка данных нужна для исполнения обязательств, взятых на себя вами по договору, например, по кредитному договору.

Зачем нужно согласие на обработку персональных данных

11 декабря 2018 Хотите иметь дело с проверкой Роскомнадзором своего ИТ-продукта или сайта?

А потом ещё платить штраф, нести ответственность?

Думаю, что нет. Поэтому, давайте, начнём разбирать что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов.

Немного теорииСогласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:1) нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:- Физическое лицо: предупреждение или штраф в размере 1 000 — 3 000 рублей;- Должностное лицо: штраф в размере от 5 000 — 10 000 рублей;- Юридическое лицо: штраф в размере 30 000 — 50 000 рублей;2) Обработка персональных данных без согласия гражданина приведет:- Физическое лицо: штраф в размере 3 000 — 5 000 рублей;- Должностное лицо: штраф в размере от 10 000 — 20 000 рублей;- Юридическое лицо: штраф в размере 15 000 — 75 000 рублей;3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:- Физическое лицо: штраф в размере 700 — 1 500 рублей;- Должностное лицо: штраф в размере от 3 000 — 6 000 рублей;- Индивидуальный предприниматель: штраф в размере от 5 000 — 10 000 рублей- Юридическое лицо: штраф в размере 15 000 — 30 000 рублей;Первоначально определимся с основными понятиями и поймём, что же они значат (неформальное объяснение по тексту будет обозначаться “Д”, это от слова description):Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).Д: это любая совокупность информации, через которую можно определить определенного человека. К примеру, абстрактная электронная почта, допустим — не относится к ПД, однако электронная почта с рабочим адресом допустим, с подписью в письме “Главный инженер” — относятся к персональным данным, т.к. мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации “Ромашка”.Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.Д: это вы, собирающий персональные данные.

Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека — и вот вы уже владелец персональных данных в лице оператора.Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.Д: это любые действия, которые вы совершаете как оператор.Самый большой штраф как вы видите — это за сбор ПД гражданина без согласия, поэтому в статье будем говорить в основном об этом.Определим сразу случаи, когда согласие на обработку ПД не надо собирать в соответствии с законодательством Российской Федерации:1.

Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.Д: когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.Д: когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные.

Сюда подходит и оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент когда собираете ПД — наступает раньше.3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.Д: вы обезличиваете данные физического лица и “размываете” их в море других данных, соответственно определить кому что принадлежит — невозможно даже вам.4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;Д: данный пункт не относится к интернет-проектам, но для понимания ситуации, пример, когда приезжает частная медицинская бригада и оказывает помощь.5.

Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.Д: если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги — нет необходимости требовать согласия на обработку ПД.6.

Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.7.

Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.Д: не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством Российской Российской Федерации.Во всех остальных случаях, при контакте и сборе ПД от физического лица — вы должны получать его согласие и иначе никак — закон есть закон!Теперь разберём как собирать ПД и получать согласие.Шаг 1.Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных.

Если у вас юридическое лицо или вы — индивидуальный предприниматель — вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии. Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах — относится не только к работе с потребителями, но и с работниками.Шаг 2.Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.Шаг 3.Самое главное по теме.
Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах — относится не только к работе с потребителями, но и с работниками.Шаг 2.Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.Шаг 3.Самое главное по теме.

Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа

«Даю согласие на обработку своих персональных данных»

и чекбокс.

Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!Немного юридического обоснования чекбоксов, а как называет Роскомнадзор — “галочек”:Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:“4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.”.Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме.

Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.Вариативно, ещё шаг 4.Подать уведомление об обработке ПДн в Роскомнадзор.В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г.

N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.Выполнение данного шага напрямую зависит от целей сбора персональных данных.

Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется:- политика обработки персональных данных;- приказ об утверждении вышеуказанной политики;- согласие на обработку персональных данных;- чекбокс с гиперссылкой на вышеуказанное согласие.Всё это требуется опубликовать на сайте и / или в приложении.Для чего же это вообще нужно?

Зачем нужно беспокоиться о персональных данных и о получении согласия пользователя на их обработку?Конечно, это прежде всего административная (штрафы, блокировка) и гражданская (причинение вреда) ответственность — такие вещи могут очень серьёзно повлиять на бизнес. Но есть ещё такая штука как частная жизнь граждан, как злоупотребление правом и недобросовестная реклама продавцов. Я на 100% уверен, что каждый из нас не любит, когда на телефон приходит спам, реклама, а посередине ночи будит смс или звонок с просьбой “срочно перевести деньги, а то в тюрьму посадят”.

А всё это происходит из-за ненадлежащего исполнения лицами, осуществляющими сбор персональных данных, своих обязательств. И согласие на обработку ПД — всего лишь часть механизма, который должен обеспечивать нашу с вами защиту как граждан и повышать социальную ответственность.

К сожалению, такие полезные институты и механизмы могут превратиться в инструмент для давления… И мы как юристы должны эффективно использовать законы и максимально обезопасить бизнес от этого.Так что, если вы выполнили все условия и шаги из настоящей статьи, то поздравляем — вы не только уменьшили вероятность быть оштрафованным и привлеченным к ответственности (работа с ПД физических лиц лишь небольшая часть правовой политики ИТ-продукта), но и сделали шаг к социально-ориентированному Интернет-пространству, уважающему личные данные пользователей!Спасибо за внимание!С уважением, Журлов Н.О.

5 базовых принципов закона о персональных данных, о которых нужно знать

Закрыть Каждый год компания СКБ Контур проводит конкурс для предпринимателей «», в нем участвуют сотни бизнесменов из разных городов России — от Калининграда до Владивостока.

Благодаря конкурсу мы создали вдохновляющую коллекцию бизнес-историй, рассказанных людьми, которые превращают небольшие стартапы в успешные компании.

Их опыт и cоветы будут полезны каждому, кто задумывается об открытии своего дела.

Для старта необходимы некоторые предварительные условия: идея, немного денег и, что самое важное, желание начать Фред ДеЛюка Основатель Subway Подписка на уведомления о новых статьях Подписаться Мне не интересно

Игорь Луканин 27 октября 2014 Деятельность по обработке персональных данных регулирует №152-ФЗ «О персональных данных».

Он касается всех без исключения организаций, поэтому важно иметь представление об основных требованиях, которые он устанавливает.

Под персональными данными, как следует из ст. 3 №152- ФЗ, подразумевается любая информация, имеющая отношение к физлицу: информация, указанная в паспорте (ФИО, дата рождения, адрес регистрации, семейное положение и др.), а также сведения об образовании, занимаемой должности, зарплате и даже росте, весе, цвете глаз и др.

3 №152- ФЗ, подразумевается любая информация, имеющая отношение к физлицу: информация, указанная в паспорте (ФИО, дата рождения, адрес регистрации, семейное положение и др.), а также сведения об образовании, занимаемой должности, зарплате и даже росте, весе, цвете глаз и др. Закон распространяется абсолютно на все организации. Поскольку в каждой организации есть работники, то их данные так или иначе используются при заключении трудового договора, начислении зарплаты и в других случаях.

Персональные данные вносятся в личные дела сотрудников, которые хранятся у кадровиков.

Под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных. Распространение персональных данных — это действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

С каждой из категорий субъектов персональных данных компанию связывает определенный тип правоотношений.

Некоторые компании обрабатывают персональные данные не только работников, но и клиентов, например, производственные компании. Так, компании из сферы услуг (автошколы, салоны красоты, парикмахерские, туристические агентства и др.) взаимодействуют с клиентами-физлицами, обрабатывая их персональные данные с целью предоставления, например, дисконтных карт.

Интернет-магазины собирают данные физлиц, чтобы осуществлять доставку товаров. Существует определенная категория лиц, которая не является ни клиентами, ни работниками компании, однако она передает свои данные в организацию, где они хранятся и обрабатываются.

К такой категории относятся соискатели, принимающие участие в конкурсе на вакансию и передающие потенциальному работодателю свои персональные данные в виде резюме или анкеты на сайте компании.

Сотрудники могут работать в организации по договору подряда. Оформляя человека по такому договору, компания может не запрашивать у него сведений о семейном положении или ограничений по здоровью. В случае с работником, оформленным по трудовому договору, компания должна это делать.

У товариществ собственников жилья нет ни работников, ни клиентов.

Это сообщество, в котором состоят члены. Существуют и другие виды организаций с подобной структурой и без трудовых или гражданских правоотношений: общественные организации, политические партии, религиозные организации и др.

Важно понимать, какие данные каких субъектов используются, чтобы устанавливать цель обработки персональных данных.

Организациям необходимо иметь представление не только о том, данные каких категорий субъектов они обрабатывают, но и с какой целью они это делают, исходя из специфики деятельности. Например, у интернет-магазина и автошколы цель обработки данных может заключаться в выполнении условий договора с клиентами.

Проверьте, насколько ваша организация готова к проверке Роскомнадзора Закон требует от компаний понимания, какие именно персональные данные в отношении каждой категории субъектов они обрабатывают. Очевидно, что если в случае с работником необходимо знать об ограничениях по здоровью для начисления социальных выплат, имеются ли у него дети до 18 лет, чтобы предоставить ему налоговый вычет, то в отношении клиента интернет-магазина, который заказал товар, эти сведения не нужны. В этом случае достаточно знать имя, адрес и телефон покупателя.

Закон запрещает обрабатывать персональные данные, которые не требуются для достижения цели их обработки. Достигнув цели обработки данных, компания должна прекратить обработку этих данных. Так, если интернет-магазин осуществил доставку товара клиенту, то в дальнейшем ему уже не потребуются его номер мобильного телефона и адрес доставки.

Для каждой категории субъектов (работников, клиентов, соискателей и др.) определяется цель обработки данных. Порой эта цель заключается в выполнении требований определенных законов.

В этом случае организация может абсолютно спокойно собирать данные соответствующей категории и обрабатывать их. Так, в отношении работников организации выполняют трудовое законодательство, многие кредитные и финансовые организации обязаны на своем официальном сайте публиковать сведения об аффилированных лицах, ОАО должно размещать у себя на сайте информацию о структуре акционеров.

Если цель обработки данных какой-то категории субъектов установлена компанией самостоятельно, исходя из специфики деятельности, то она должна взять согласие об обработке персональных данных у субъекта данных (ст. 9 №152- ФЗ). Например, если компания принимает на работу сотрудника по трудовому договору, то по трудовому законодательству она должна знать, как его зовут, где он прописан, какое у него образование.

9 №152- ФЗ). Например, если компания принимает на работу сотрудника по трудовому договору, то по трудовому законодательству она должна знать, как его зовут, где он прописан, какое у него образование. И эти сведения компания может получать у человека без его согласия. Если же компания собралась выплачивать сотруднику зарплату на банковскую карту и планирует передавать сведения о нем в банк, то она обязана взять на это согласие, так как прямого требования передавать персональные данные в банк для выплаты заработной платы в законе нет.

Если интернет-магазин после доставки товара планирует рассылать клиентам SMS-сообщения о скидках, то он должен заранее сформулировать эту цель и взять с клиентов согласие на использование данных именно с этой целью. В ч.1 ст.15 №152- ФЗ есть упоминание о том, что рекламные контакты с клиентами совершаются только с их согласия. Закон отдельно выделяет требования для данных, неправомерные действия с которыми могут нанести вред субъекту персональных данных.

Речь идет о специальной категории персональных данных (ст. 10 №152- ФЗ) и биометрических персональных данных (ст.

11 №152-ФЗ). К биометрическим данным относятся сведения, которые отражают физиологические особенности человека и необходимы для установления его личности (например, если в компании используются системы контроля доступа).

К специальной категории данных относятся сведения о национальной, расовой принадлежности, философских, политических и религиозных убеждениях, состоянии здоровья и интимной жизни.

Эти данные выделяются в отдельную категорию, так как закон прямо запрещает их использовать, за исключением ряда случаев (один из них — если субъект дал на то свое письменное согласие). Отдельно закон говорит о передаче данных за границу (ст. 12 №152- ФЗ). С учетом всех базовых принципов, описанных выше, требования к обработке данных можно разделить на три больших блока (ст.

19 №152- ФЗ): Организация решает, как будет соблюдать законодательство, оформляет решение в виде внутренних документов, например,

«Политики в отношении обработки персональных данных»

, издает приказ, в котором назначает ответственного за организацию процесса обработки персональных данных и т д.

Эти меры связаны с деятельностью компании.

Закон требует, чтобы

«Политика в отношении обработки персональных данных»

была доступна для всех категорий субъектов персональных данных.

Ее рекомендуется размещать на информационном стенде, где с ней смогут ознакомиться не только работники, но и клиенты. По закону любой субъект персональных данных может написать в компанию письмо с требованием уточнить, обрабатывает ли она его данные.

Если обрабатывает, то какие данные, с какой целью и на каком основании.

Также любой субъект имеет право потребовать прекратить обработку своих персональных данных.

Рассмотрение этого письма и подготовка ответа на него — деятельность, относящаяся к организационным мерам. О том, как отвечать на такие письма, уточняется в ст. 20-21 №152-ФЗ. Связаны с использованием средств защиты информации.

Это могут быть как примитивные средства — сургучовые печати, решетки на окнах, так и высокотехнологичные способы — антивирусы, межсетевые экраны, средства защиты от несанкционированного доступа, средства криптографической защиты и др.

  • Позаботиться о технических мерах, понять, какие технические меры должны быть приняты, обеспечить принятие этих мер.
  • Ознакомиться с законом и решить, как будут выполняться требования, отразить это в локальных нормативных актах.
  • Принять соответствующие организационные меры. Например, опубликовать «Политику в отношении обработки персональных данных» и быть готовой выполнять те организационные требования, которые необходимы в ходе операционной деятельности.
  • Разобраться, с данными каких категорий субъектов она имеет дело, на каком основании и с какой целью она их использует.

Существенное дополнение: в рамках текущего законодательства ни у одного контролирующего органа нет полномочий на то, чтобы контролировать выполнение технических мер у коммерческих частных организаций.

Роскомнадзор может контролировать только выполнение правовых и организационных мер у частных компаний. Поэтому о четвертом шаге можно говорить формально: закон предоставляет возможность коммерческим компаниям большую свободу в выборе технических мер.

Что касается государственных организаций, то для них требования по использованию средств защиты информации четко определены и подробно описаны. Игорь Луканин, руководитель продукта «» Загрузить ещё

Обработка персональных данных

Законодательство об обработке персональных данных в России появилось в 2006 году, однако даже в настоящее время компании сталкиваются с проблемами, например, со спорами с работниками, административными штрафами, проблемами передачи персональных данных третьим лицам. Достаточно спорными являются вопросы уведомления Роскомнадзора об обработке данных, сбора персональных данных и согласия на обработку.

В этой связи очень важным является вопрос систематизации знаний о персональных данных. Что относится к персональным данным?

Почему важно понимать, что относится к персональным данным?

Во-первых, запрещает сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. Во-вторых, согласно не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни.

В-третьих, несоблюдение законодательства о персональных данных предусматривает значительные штрафы, которые будут повышены с 1 июля 2017 года. Сначала определимся, что является персональными данными?

Ответ мы находим в (ред. от 22.02.2017) «О персональных данных». Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Но данное определение является достаточно «расплывчатым», например, друзья размещают фотографии в Интернете, охраняются ли такие фотографии законодательством о защите персональных данных? К персональным данным относится следующая информация: — фамилия, имя, отчество человека; — паспортные данные; — пол и возраст; — семейное положение, наличие детей и родственников; — профессия (Апелляционное определение Московского городского суда от 18.11.2016 N 33-45913/2016); — социальное, имущественное положение (Апелляционное определение Санкт-Петербургского городского суда от 30.01.2017 N 33а-2104/2017 по делу N 2а-6384/2016); — место жительства; — сведения о заработной плате (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681

«О передаче работодателем третьим лицам сведений о заработной плате работников»

); — национальная принадлежность, политические взгляды религиозные или философские убеждения, состояние здоровья, интимная жизнь (); — физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись) (Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»); — деловые и иные личные качества, которые носят оценочный характер.

На практике некоторые вопросы отнесения к персональным данным являются спорными, например, персональные данные широко распространены в Интернете, например, люди активно регистрируются и размещают самую распространенную информацию, такую как фамилия, имя, отчество, фотографии.

И такая информация сразу становится общедоступной.

Однако такая информация продолжает оставаться персональными данными. Принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным.

Информация в объеме: фамилия, имя, отчество физического лица является персональными данными, обработка которых должна осуществляться в строгом соответствии с требованиями ().

При этом перечень персональных данных является открытым. Но для того, чтобы не подпасть под штрафы и правильно организовать работу с персональными данными, нужно понять, в каких документах содержатся персональные данные работника. Перечень документов, в которых содержатся персональные данные, также установлен; вместе с тем возможно выделить следующие документы: — паспорт гражданина РФ; — загранпаспорт гражданина РФ; — дипломатический паспорт; — свидетельство пенсионного страхования (СНИЛС); — ИНН; — трудовая книжка работника; — анкета, другой документ, заполняемый кандидатом на должность при собеседовании; — документы воинского учета; — документы об образовании, квалификации, наличии специальных знаний; — свидетельство о регистрации или расторжении брака; — свидетельство о рождении ребенка; — личная карточка ( утверждена ); — справка с предыдущего места работы; — ; — медицинская карта; — листок нетрудоспособности; — трудовой договор; — выписка из штатного расписания или штатное расписание; — приказы по личному составу; — права на автомобиль.

Таким образом, перечень документов, в которых содержатся персональные данные, является достаточно обширным.

Поскольку перечень персональных данных и перечень документов являются открытыми, то целесообразно в трудовом договоре, согласии на обработку персональных данных указать, что подобные сведения могут содержаться и в иных документах. Обработка персональных данных Что можно делать с персональными данными? Персональные данные предполагают 3 фазы работы: — обработка персональных данных; — распространение персональных данных; — блокирование персональных данных.

Схема Фазы работы с персональными данными Что представляет собой обработка персональных данных? Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В соответствии со операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Обработка персональных данных осуществляется: — через оператора персональных данных; — через третье лицо. Соответственно, если данные передаются третьим лицам, то в этом случае необходимо согласие субъекта персональных данных.

Когда требуется такое дополнительное согласие? В некоторых случаях работодатели привлекают аутсорсинговые компании: — для ведения кадровой работы; — расчета заработной платы; — расчета страховых взносов; — заключения договоров; — оформления виз и билетов для поездок в командировки.

Такие действия аутсорсинговой компании являются обработкой персональных данных.

Приведем еще пример привлечения третьих лиц для обработки персональных данных.

Например, компания заключила договор охраны и вход в офис осуществляется по пропускам, соответственно паспортные данные необходимы для: — оформления пропусков для входа физических лиц; — оформления провоза грузов на автомобиле.

При обработке персональных данных важно назначить лицо, которое будет ответственным за сбор и обработку данных.

Ответственное лицо назначается приказом по компании и должно выполнять следующие трудовые обязанности: — осуществлять внутренний контроль за соблюдением законодательства о персональных данных; — доводить до работников положения законодательства; — разрабатывать локальные акты и ознакамливать с ними работников; — разрабатывать и доводить до работников требования по защите персональных данных; — организовывать прием и обработку обращений и запросов; — осуществлять контроль за приемом и обработкой обращений. Какие риски возникают у оператора персональных данных при обработке персональных данных?

1. Риск административных штрафов В качестве примера приведем ситуацию, когда компания заключала договор оказания медицинских услуг и не брала с пациента согласие на обработку персональных данных, мотивируя это тем, что при заключении договора его заключает само физическое лицо.

Однако в Постановлении Самарского областного суда от 08.02.2016 N 4а-130/2016 суд с этим не согласился и привлек компанию к ответственности по . Суд это мотивировал тем, что юридическое лицо, осуществляющее обработку персональных данных, в том числе медицинская организация, профессионально занимающаяся медицинской деятельностью и обязанная сохранять врачебную тайну, обязана получать согласие субъекта персональных данных в письменной форме на обработку его персональных данных.

2. Риск споров при передаче персональных данных Передача персональных данных третьим лицам должна осуществляться с согласия субъекта персональных данных. При этом субъект персональных данных должен четко понимать, что например, работодатель, кредитная организация могут передать персональные данные третьим лицам. Так, в Апелляционном определении Верховного суда Республики Татарстан от 28.01.2016 по делу N 33-1566/2016 суд признал правомерным передачу персональных данных третьему лицу.

В данном судебном споре шла речь о передаче кредитной организацией данных коллекторам. 3. Риск компенсации морального вреда Если работодатель или иное лицо использует персональные данные с нарушением порядка их использования, то субъект персональных данных может подать в суд для взыскания морального вреда.

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта. Согласно ст.7 Закона операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Из системного толкования приведенных норм следует, что сбор, обработка, передача, распространение персональных данных возможны только с согласия субъекта персональных данных.

Соответственно, отсутствие согласия может привести к появлению морального вреда (Апелляционное определение Алтайского краевого суда от 29.09.2015 по делу N 33-9241/2015). Уведомление Роскомнадзора об обработке персональных данных По общему правилу, оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. То есть в общем случае нужно направить уведомление в Роскомнадзор.

Форму уведомления можно заполнить прямо на сайте ведомства: http://pd.rkn.gov.ru/operators-registry/notification/form/ Приведем пример заполнения уведомления. Уведомление об обработке (о намерении осуществлять обработку) персональных данных Общество с ограниченной ответственностью «Персональные данные» (полное и сокращенное наименования, фамилия, имя, отчество оператора) 121375, Москва, ул.Яблочкова, д.7, кор.2, офис 35 (адрес местонахождения и почтовый адрес оператора) руководствуясь: , (правовое основание обработки персональных данных) с целью: оказания аутсорсинговых услуг по поиску персонала, ведения личных карточек и дел работников, заключения трудовых договоров с третьими лицами, составления анкет (цель обработки персональных данных) осуществляет обработку: Фамилия, имя, отчетство, образование, социальный статус, опыт работы, заработная плата на предыдущем месте работы, профессия, семейное положение (категории персональных данных) принадлежащих: ООО «Смальта», ИП Караваев, третьим лицам (категории субъектов, персональные данные которых обрабатываются) Обработка вышеуказанных персональных данных будет осуществляться путем: сбор, анализ, обобщение, хранение, изменение, дополнение, передача (перечень действий с персональными данными, общее описание используемых уничтожение персональных данных; обработка персональных данных будет осуществляться смешанным способом с передачей по внутренней сети оператора оператором способов обработки персональных данных) Для обеспечения безопасности персональных данных принимаются следующие меры: сейф, шкаф (запирающийся на ключ) для хранения носителей информации с персональными данными; наличие установленного антивирусного программного обеспечения (описание мер, предусмотренных и , в т.ч. сведения о наличии шифровальных (криптографических) Ответственное лицо: Морозов Олег Дмитриевич, 8-916-666-88-77, средств и наименования этих средств; фамилия, имя, отчество физического лица или наименование Общество с ограниченной ответственностью «Персональные данные» юридического лица, ответственных за организацию обработки персональных данных, 121375, Москва, ул.Яблочкова, д.7, кор.2, офис 35, и номера их контактных телефонов, почтовые адреса и адреса электронной почты) Cведения о наличии или об отсутствии трансграничной передачи персональных, трансграничная передача персональных данных отсутствует Сведения о наличии или об отсутствии трансграничной передачи персональных данных: (при наличии трансграничной передачи персональных данных в процессе их обработки указывается нет перечень иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных) Москва, ул.Беговая, 7 Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации: Москва, ул.Беговая, 7 нет (страна, адрес местонахождения базы данных, наименование информационной системы (базы данных) Сведения об обеспечении безопасности персональных данных: Лица, осуществляющие передачу данных, проинструктированы под подпись; хранение носителей баз данных, содержащих персональные данные, обеспечено; неконтролируемое проникновение или пребывание посторонних лиц в помещениях, где ведется обработка персональных данных, исключено; контроль учета лиц, допущенных к работе с персональными данными, ведется.

Настоящий комментарий не носит официального характера и может утратить актуальность в связи с изменением законодательства.

Права на использование данного авторского материала принадлежат АО «Информационная компания «Кодекс». Без согласия автора или АО «Информационная компания «Кодекс» допускаются установленные правомерные способы использования данного материала.

Опубликование данного материала, а также изменение и (или) иная переработка его с целью опубликования осуществляется только с разрешения автора или обладателя права на использование данного материала — АО «Информационная компания «Кодекс». Ознакомиться с документом вы можете, заказав бесплатную демонстрацию систем «Кодекс» и «Техэксперт» или купите этот документ прямо сейчас всего за 49 руб.

  1. Купить документ Всего за 49 руб.

Идет завершение процесса оплаты.

Полный текст документа будет доступен вам, как только оплата будет подтверждена.

После подтверждения оплаты, страница будет автоматически обновлена, обычно это занимает не более нескольких минут.

Приносим извинения за вынужденное неудобство.

Если денежные средства были списаны, но текст оплаченного документа предоставлен не был, обратитесь к нам за помощью: Если процедура оплаты на сайте платежной системы не была завершена, денежные средства с вашего счета списаны НЕ будут и подтверждения оплаты мы не получим.

В этом случае вы можете повторить покупку документа с помощью кнопки справа. Произошла ошибка Платеж не был завершен из-за технической ошибки, денежные средства с вашего счета списаны не были. Попробуйте подождать несколько минут и повторить платеж еще раз.

Если ошибка повторяется, напишите нам на , мы разберемся. Электронным кошельком Через интернет-банк Банковской картой В терминале После завершения процесса оплаты вы получите доступ к полному тексту документа, возможность сохранить его в формате .pdf, а также копию документа на свой e-mail. На мобильный телефон придет подтверждение оплаты.

При возникновении проблем свяжитесь с нами по адресу аналогичных документов, доступных с полным текстом: Название документа: Вид документа: Комментарий, разъяснение, статья Опубликован: Материал подготовлен специально для систем Кодекс/Техэксперт Дата принятия: 10 мая 2017 Настоящий комментарий не носит официального характера и может утратить актуальность в связи с изменением законодательства. Права на использование данного авторского материала принадлежат АО «Информационная компания «Кодекс». Без согласия автора или АО «Информационная компания «Кодекс» допускаются установленные правомерные способы использования данного материала.

Последние новости по теме статьи

Важно знать!
  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов.
  • Знание базовых основ желательно, но не гарантирует решение именно вашей проблемы.

Поэтому, для вас работают бесплатные эксперты-консультанты!

Расскажите о вашей проблеме, и мы поможем ее решить! Задайте вопрос прямо сейчас!

  • Анонимно
  • Профессионально

4 thoughts on “Что значит обработка персональных данных третьими лицами

  1. Это обычный спам.Грамотный развод на что либо (на деньги). Даже не задумывайтесь об этом, подоюбные письма регулярно приходят тысячам юзеров по всему миру в виде спама.

  2. ааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааа

Comments are closed.

Задайте вопрос нашему юристу!

Расскажите о вашей проблеме и мы поможем ее решить!

+