Рейтинг: 4.7/5.0 (1918 проголосовавших)Категория: Бланки/Образцы
"Кадровая служба и управление персоналом предприятия", 2012, N 3
10 ОШИБОК, КОТОРЫЕ НЕ СТОИТ ДОПУСКАТЬ ПРИ ОФОРМЛЕНИИ ДОКУМЕНТОВ, СВЯЗАННЫХ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
По опросу знакомых и клиентов-работодателей, никто особо не "напрягается" из-за новых требований Закона о персональных данных <1>. Действительно, "поймать" организацию за нарушение правил работы с персональными данными проверяющий может практически на любом аспекте, однако ответственность довольно невысока. Да и когда, в самом деле, Роскомнадзор обратит внимание на среднестатистическую компанию? Ведь в плане проверок, размещенном на сайте ведомства, обычно числятся крупные организации. Вместе с тем суммы штрафов расти будут, и безобидные на первый взгляд нарушения могут закончиться для работодателя весьма плачевно.
<1> Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных).
Штрафы вырастут в цене
Практика показывает, что после недавнего ужесточения норм Закона о защите персональных данных проверяющие особенно активизировались, нещадно штрафуя нарушителей. Как отмечает Роскомнадзор в отчете за 2010 г. (http://www. rsoc. ru/docs/Otchet_2010.pdf), суды привлекли к административной ответственности в виде штрафа операторов персональных данных (все работодатели ими являются) на общую сумму 4480 тыс. руб. Для сравнения: в 2009 г. общая сумма наложенных штрафов составила в 60 раз меньше - всего 75 тыс. руб.!
В 2011 г. тенденция по увеличению суммы наложенных штрафов сохранилась, хотя статистика еще недоступна. Это говорит о том, что операторы персональных данных допускают многочисленные нарушения. И пусть максимальная сумма штрафа пока мало кого пугает. Напомним, что для организаций по ст. 13.11 КоАП РФ сейчас она составляет от 5000 до 10 000 руб. должностного лица - от 500 до 1000 руб. гражданина - 300 - 500 руб. но планы по значительному повышению штрафов за нарушение порядка обработки персональных данных, видимо, скоро претворят в жизнь.
Разговоры об ужесточении ответственности начались в прошлом году, сразу после упомянутых поправок, а недавно в прессе появилась информация, что Правительство РФ подготовило законопроект, увеличивающий наказание за разглашение персональных данных в разы. Работодатель-нарушитель может быть оштрафован от 200 тыс. до 500 тыс. руб. предприниматель без образования юридического лица - от 50 тыс. до 100 тыс. руб. должностное лицо - от 15 тыс. до 50 тыс. а гражданин - от 10 тыс. до 15 тыс. руб.
Если же нарушение происходит не в первый раз, то повторное наказание будет еще жестче. Организация может лишиться от 500 тыс. до 1 млн руб. предприниматель - от 100 тыс. до 300 тыс. должностное лицо - от 50 тыс. до 100 тыс. руб. а гражданин - от 15 тыс. до 30 тыс. руб. Причем деятельность юридического лица или предпринимателя может быть приостановлена на срок до 90 суток.
Эксперты отмечают, что если законопроект будет принят, то штрафы "обрушатся" на головы работодателей как снег на голову. А учитывая довольно непроработанные требования Закона, привлекать к административной ответственности операторов персональных данных можно будет поголовно, что, кстати, проверяющие из Роскомнадзора России делают и будут делать.
Сотрудники контролирующего ведомства уделяют большое внимание документам, которые закрепляют политику в отношении персональных данных работников, вопросы их обработки и защиты. С одной стороны, в нормативных актах установлены определенные требования к оформлению и содержанию этих документов, с другой, эти требования "размыты" по многочисленным нормативным актам, поэтому работодателям бывает довольно сложно в них сориентироваться.
Большинство замечаний сотрудников Роскомнадзора <2> относится к тому, что необходимые документы, касающиеся персональных данных на предприятиях, часто носят формальный характер, повторяя содержание статей ТК РФ и Закона о персональных данных. В разъяснениях контролеры выделяют типичные ошибки, которые допускают работодатели при оформлении кадровых документов, регламентирующих обработку и защиту персональных данных. Чтобы избежать ответственности или хотя бы свести ее к минимуму, мы проанализировали замечания Роскомнадзора и предлагаем вам список из 10 ошибок, которые не стоит делать при составлении документов для защиты персональных данных ваших работников. А для наглядности приведем правильные формулировки и образцы заполнения необходимых на каждом предприятии документов.
<2> Официальный сайт Роскомнадзора России www. rsoc. ru.
1. Не указываются конкретные нормы закона, на основании которых работодатель ведет обработку персональных данных. Обратите внимание: Роскомнадзор говорит о том, что в документах следует четко перечислить соответствующие пункты и статьи конкретных нормативных актов, регламентирующих осуществляемый вид деятельности компании и касающихся обработки персональных данных. Поэтому формальной отсылкой к ТК РФ или Закону о персональных данных явно не обойтись. Пример указания конкретной нормы Закона приведем в согласии соискателя на получение работодателем персональных данных от третьих лиц (см. пример 1).
Пример 1. Согласие на получение персональных данных от третьих лиц.
ЗАО "Мир увлечений", расположенное
по адресу: г. Москва, ул. Академика
Загоушинского Александра Вениаминовича,
зарегистрированного по адресу:
г. Москва, Долгоруковская улица, д. 16,
паспорт серии 45 09 N 654321,
выдан п/с N 2 ОВД Тверского района
УВД ЦАО г. Москвы 29.04.2004
Я, Загоушинский Александр Вениаминович, в соответствии со ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" даю согласие на получение моих персональных данных о предыдущих местах работы, периодах трудовой деятельности, деловых качествах от третьих лиц.
Настоящее согласие действует в течение месяца (со дня его подписания по 30.03.2012) и в любой момент может быть отозвано в письменной форме.
01.03.2012 Загоушинский А. В. Загоушинский
2. Под целью обработки персональных данных работодатели ошибочно указывают саму обработку персональных данных или действия, совершаемые с персональными данными (сбор, хранение, использование и другие). Однако целью это никак назвать нельзя. Здесь следует перечислить, для чего вы собираете и обрабатываете указанную информацию.
Так, работодателю нужно указать, скажем, следующее: "Обработка персональных данных осуществляется для реализации трудовых взаимоотношений с работниками". Возможно, придется указать и другие основания, перечисленные в учредительных документах - уставе, учредительном договоре, положении: "для осуществления видов деятельности, перечисленных в уставе, а именно. ". Ну и, безусловно, не стоит забывать о фактически осуществляемой оператором деятельности.
Указать цель обработки персональных данных потребуется в согласии работника на обработку и передачу персональных данных третьим лицом (см. пример 2).
Пример 2. Согласие на передачу и обработку персональных данных третьим лицом.
ЗАО "Мир увлечений", расположенное
по адресу: г. Москва, ул. Академика
Загоушинского Александра Вениаминовича,
зарегистрированного по адресу:
г. Москва, Долгоруковская улица, д. 16,
паспорт серии 45 09 N 654321,
выдан п/с N 2 ОВД Тверского района
УВД ЦАО г. Москвы 29.04.2004
Даю свое согласие на передачу следующих моих персональных данных:
1) фамилия, имя, отчество;
4) данные об изображении лица;
в целях исполнения заключенного между нами трудового договора в частное охранное предприятие "Железная защита" (г. Москва, ул. Александра Солженицына, д. 30) для любой их обработки в рамках договора об оказании охранных услуг от 14.02.2012 N 16.
Настоящее согласие действует с 05.03.2012 в течение всего срока действия трудового договора. В случае неправомерного использования предоставленных данных, а также по иным причинам согласие может быть отозвано в письменном виде.
05.03.2012 Загоушинский А. В. Загоушинский
Обратите внимание: помимо данных работника в согласии должны быть указаны наименование и адрес работодателя, цель передачи персональных данных, перечень информации, на передачу которой работник дает согласие, и срок, в течение которого оно действует, а также порядок его отзыва.
3. Категории персональных данных указываются не полностью, часто вместо закрытого перечня работодатели пишут фразы "и др.", "и т. п.", "другая информация". Делать это ни в коем случае нельзя. Необходимо перечислять все обрабатываемые категории персональных данных. Перечень должен быть полным, поэтому, написав в положении о защите персональных данных работника, что к персональным данным относятся "анкетные данные", вы совершите ошибку.
Перечислить стандартные категории (Ф. И. О. дату и место рождения, адрес, образование и пр.) компании обычно не забывают. Хотя некоторые данные, например паспортные или данные из свидетельства о рождении, ИНН, данные СНИЛС, сведения о воинском учете, номер телефона, банковские реквизиты работника, работодатели порой не указывают, считая, что "они нужны по закону" и перечислять их нет необходимости. А что говорить об особенных данных, скажем, росте, весе, группе крови или данных об изображении лица!
Надо отметить, что не стоит в кадровых документах перечислять обобщенные категории персональных данных (биометрические или специальные персональные данные), надо их подробно перечислить. Также следует иметь в виду, что под "категориями персональных данных" понимается "информация, относящаяся к физическому лицу" (ст. 3 Закона о персональных данных), поэтому документы, принадлежащие ему, не могут являться категориями персональных данных. Так что вместо "фотография" следует написать "данные об изображении лица", а вместо "паспорт" - "паспортные данные". Пример перечисления конкретных персональных данных можно посмотреть в согласии соискателя на получение работодателем персональных данных от третьих лиц (см. пример 1) и согласии на обработку и передачу персональных данных третьим лицом (см. пример 2).
Добавим, что, несмотря на наличие, например, письменного соглашения о получении работодателем персональных данных о работнике от третьих лиц, в Положении о защите персональных данных работника следует указать на возможность и необходимость запроса подобной информации у третьих лиц. Так, в Положении можно сделать следующую пометку: "Работодатель имеет право проверять достоверность сведений, предоставленных работником. При необходимости затребования персональных данных работника у третьих лиц работодатель должен уведомить об этом работника и получить от него письменное согласие по установленной форме".
4. Указываются не все категории субъектов, чьи персональные данные обрабатываются. По аналогии с категориями персональных данных пишутся фразы типа "и т. д.", "и пр.". Здесь следует четко уяснить, что "категории субъектов" - это определенные группы граждан, у которых обрабатываются одинаковые персональные данные. Скажем, личные дела всех сотрудников содержат одинаковый перечень данных и документов, поэтому у работников обрабатывается равное количество персональных данных, и если вы обрабатываете только данные своих работников, то будет достаточно указать лишь их.
Вместе с тем проверяющие отмечают, что при перечислении категорий физических лиц следует указывать и виды отношений с ними (в т. ч. трудовые, гражданско-правовые). Иными словами, если в вашей организации к отдельным работам привлекаются физические лица по гражданско-правовым договорам, то их тоже придется указывать. Так, нужно будет перечислить и тех и других. Например, в Положении о защите персональных данных сотрудников можно сделать следующую пометку: "Настоящее Положение определяет порядок обработки персональных данных лиц, состоящих в трудовых, договорных и иных гражданско-правовых отношениях с ООО "Энигма" (далее по тексту - Общество)".
5. Перечисляются лишь общие характеристики используемых оператором способов обработки персональных данных, а также порядок передачи информации. Отметим, что общий перечень действий содержится в п. 3 ст. 3 Закона о персональных данных, однако работодателю следует выбрать лишь те из них, которые он фактически совершает, например сбор, систематизацию, хранение, уточнение, использование и передачу.
Кроме того, должны быть перечислены конкретные способы обработки с указанием порядка передачи. Скажем, информация передается по внутренней сети юридического лица и по сети Интернет. Здесь нелишним будет упомянуть два Постановления Правительства - от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (далее - Постановление N 687) и от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных". В документах вы найдете много волнующих вопросов, например, о том, что относится к обработке в информационных системах. В частности, полезно будет знать, что информация, хранящаяся на компьютере, но для использования распечатываемая на бумаге, относится к данным, осуществляемым без использования автоматизации (п. 1 Положения, утвержденного Постановлением N 687).
При составлении Положения о защите персональных данных работников и других локальных документов вы можете использовать отдельные формулировки из названных Постановлений.
6. Не указываются конкретные меры, которые работодатель обязуется осуществлять при обработке персональных данных и для обеспечения их безопасности. К перечислению способов защиты информации проверяющие относятся очень серьезно и требуют указывать конкретные технические и организационные меры. Чтобы не запутаться, поясним: технические меры направлены на устранение самой возможности утечки информации и ее несанкционированного использования. Например, защита от несанкционированного физического доступа в помещения, где хранится информационная база, защита паролями и картами доступа компьютеров, где установлены и хранятся персональные данные, использование системы паролей в сети Интернет.
В свою очередь, организационные меры направлены на то, чтобы все заинтересованные лица и проверяющие органы были в курсе, как именно и в каких целях происходят защита и обработка персональных данных. Поэтому к организационным мерам относится принятие локальных нормативных актов и иных организационно-распорядительных документов организации (внутренних документов - приказов, положений, регламентов, перечней, сведений).
Средства обеспечения безопасности более конкретны. Это могут быть оборудование помещений охранной системой, наличие видеонаблюдения на этаже и в кабинете, пропускная система и карты доступа.
Проверяющие акцентируют внимание на том, что работодатель должен указать лицо, ответственное за общую организацию защиты персональных данных, например начальника отдела кадров. Для этого необходимо издать приказ (см. пример 3).
Пример 3. Образец приказа о назначении ответственного лица за организацию защиты персональных данных.
Закрытое акционерное общество "Мир увлечений"
(ЗАО "Мир увлечений")
О назначении ответственного лица
за организацию защиты персональных данных
В соответствии с п. 1 ч. 1 ст. 18.1 и ч. 1 ст. 22.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"
1. Назначить начальника отдела кадров Авдотьеву И. С. ответственной за организацию защиты персональных данных работников.
2. В связи с новым назначением начальнику отдела кадров Авдотьевой И. С. внести соответствующие изменения в должностную инструкцию начальника отдела кадров, а также Положение о защите персональных данных работников до 12 марта 2012 г.
3. Установить ежемесячную доплату Авдотьевой И. С. в размере 5000 руб. к должностному окладу в связи с исполнением дополнительной обязанности по организации защиты персональных данных работников.
4. Начальнику канцелярии Перевертовой К. С. довести настоящий приказ до сведения главного бухгалтера Свободомыслова А. Н.; начальника отдела кадров Авдотьевой И. С. под личную подпись.
Генеральный директор Улиновский Н. Э. Улиновский
С приказом ознакомлены: Авдотьева И. С. Авдотьева ----------
Свободомыслов А. Н. Свободомыслов ----------
Обязанности ответственного сотрудника можно прописать, например, в Положении о защите персональных данных (см. Пример 4).
Пример 4. Выдержка из Положения о защите персональных данных работников.
4. Начальник отдела кадров:
- осуществляет общий контроль за соблюдением работниками мер по защите персональных данных;
- обеспечивает ознакомление сотрудников под личную подпись с локальными нормативными актами, содержащими нормы о защите персональных данных, в частности с настоящим Положением о защите персональных данных;
- истребует с работников письменное обязательство о соблюдении конфиденциальности персональных данных.
7. Не указываются меры ответственности за нарушение норм, регулирующих получение, обработку и защиту персональных данных работников в локальных документах. Начнем с того, что в трудовом договоре должен быть пункт, устанавливающий ответственность работника за разглашение персональных данных (п. 8 ст. 86 ТК РФ).
Если же мы говорим о лицах, ответственных за работу с персональными данными, то они должны быть предупреждены под личную подпись об ответственности за нарушение порядка обработки и защиты персональных данных. Это можно сделать либо в должностной инструкции, либо в Положении о защите персональных данных (см. пример 5).
Пример 5. Выдержка из Положения о защите персональных данных работников.
6.1. Разглашение персональных данных работника Общества, то есть передача посторонним лицам, не имеющим к ним доступа; публичное раскрытие; утрата документов и иных носителей, содержащих персональные данные работника; иные нарушения обязанностей по их защите, обработке и хранению, установленных настоящим Положением, а также иными локальными нормативными актами Общества, лицом, ответственным за получение, обработку и защиту персональных данных работника, влекут наложение на него дисциплинарного взыскания - выговора, увольнения.
6.2. В случае причинения ущерба Обществу работник, имеющий доступ к персональным данным сотрудников и совершивший указанный дисциплинарный поступок, несет полную материальную ответственность в соответствии с п. 7 ч. 1 ст. 243 Трудового кодекса РФ.
6.3. Работник Общества, имеющий доступ к персональным данным сотрудников и незаконно использовавший или разгласивший указанную информацию без согласия сотрудников из корыстной или иной личной заинтересованности и тем самым причинивший крупный ущерб, несет уголовную ответственность на основании ст. 188 Уголовного кодекса РФ.
8. Отсутствие в договорах на обработку персональных данных третьим лицом положения об обеспечении конфиденциальности и безопасности персональных данных при их обработке. К третьим лицам здесь могут относиться: страховые, консалтинговые, охранные, аутсорсинговые компании, кредитные учреждения (банки), рекламные агентства и пр. Некоторые работодатели заключают отдельное соглашение о неразглашении персональной информации.
Для примера дадим формулировку пункта в Положении о защите персональных данных (см. пример 6).
Пример 6. Выдержка из Положения о защите персональных данных работников.
4.2. Если Работодателю оказывают услуги юридические и/или физические лица на основании заключенных гражданско-правовых договоров и в силу этих договоров они должны иметь доступ к персональным данным сотрудников Работодателя, то соответствующие данные предоставляются только после подписания с ними соглашения об их неразглашении.
9. Даты начала совершения действий с персональньми данными и прекращения обработки не указываются или указываются размыто. Как отмечают проверяющие из Роскомнадзора, писать следует фактические даты и конкретные основания. Каким образом? Если мы говорим об обработке данных только работников, то, как правило, за дату начала обработки берут дату регистрации юридического лица или дату, которая указана в свидетельстве о государственной регистрации юридического лица, а также дату заключения трудового договора. За дату или основание (условие), наступление которого повлечет прекращение обработки персональных данных, как правило, берут "ликвидацию юридического лица" (см. примеры 1 и 2).
В качестве варианта предложенной в примере 2 формулировки можно указать: "Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме".
10. Отсутствует список лиц, имеющих доступ к персональньм данным, обрабатываемым в информационной системе. Такой список следует утвердить приказом руководителя компании (см. пример 7). Сделать это необходимо еще и потому, чтобы понять, каким образом будут осуществляться доступ и передача персональных данных. Ведь очень важно, чтобы во время передачи рассматриваемой информации не произошла ее утечка или неправомерное использование. Порядок следует предусмотреть в Положении о защите персональных данных.
Например, можно предложить следующую формулировку: "Отдел кадров вправе передавать персональные данные сотрудников в бухгалтерию, службу безопасности и иные структурные подразделения только в случае необходимости исполнения работниками соответствующих подразделений трудовых обязанностей.
Любая передача персональных данных между структурными подразделениями возможна только между сотрудниками, имеющими доступ к персональным данным. При передаче персональных данных начальник отдела кадров предупреждает лиц, получающих доступ к персональным данным, о том, что эти данные могут быть использованы только в тех целях, для которых они сообщены.
Начальник отдела кадров обязан взять письменное обязательство о неразглашении и предупреждении об ответственности с лиц, получающих доступ к персональным данным".
Кроме того, некоторые работодатели прописывают в Положении пункт о том, кто имеет право доступа ко всем персональным данным, например генеральный директор, учредители или совет директоров.
Пример 7. Образец приказа об утверждении списка лиц, имеющих доступ к персональным данным работников.
Закрытое акционерное общество "Мир увлечений"
(ЗАО "Мир увлечений")
Об установлении списка лиц, имеющих
доступ к персональным данным работников
В соответствии со ст. 88 Трудового кодекса РФ и п. 3.2 Положения о защите персональных данных работников ЗАО "Мир увлечений"
1. Установить следующий перечень сотрудников Общества, имеющих доступ к персональным данным работников:
- генеральный директор Улиновский Н. Э.;
- заместитель генерального директора Прушенинников К. С.;
- начальник отдела кадров Авдотьева И. С.;
- главный бухгалтер Свободомыслов А. Н.;
- начальник службы экономической безопасности Прутьев П. Е.;
- начальник отдела продаж Федоскин Н. З.
2. Возложить контроль за исполнением приказа на начальника отдела кадров Авдотьеву И. С.
Генеральный директор Улиновский Н. Э. Улиновский
С приказом ознакомлены:
заместитель генерального 05.03.2012
директора Прушенинников К. С. Прушенинников ----------
начальник отдела кадров Авдотьева И. С. Авдотьева ----------
главный бухгалтер Свободомыслов А. Н. Свободомыслов ----------
начальник службы экономической 05.03.2012
безопасности Прутьев П. Е. Прутьев ----------
начальник отдела продаж Федоскин Н. З. Федоскин ----------
Как правило, доступ к персональным данным имеют сотрудники работодателя, которым необходима эта информация в связи с исполнением ими трудовых обязанностей. В Положении о персональных данных работников можно предусмотреть порядок действий в случае, если лицо в списке не поименовано, но срочно требуется доступ к данным. Сформулировать пункт об этом можно следующим образом: "Доступ к персональным данным может быть предоставлен иному сотруднику Работодателя, должность которого не поименована в списке лиц, имеющих доступ к персональным данным работника, если этого требует производственная необходимость и выполняемая им трудовая функция. Для этого сотруднику следует составить докладную записку на имя генерального директора с визой непосредственного руководителя".
Это наиболее типичные ошибки работодателей, хотя Роскомнадзор России отмечает и иные. Например, отсутствие на предприятии листа ознакомления сотрудников под личную подпись с Положением о защите персональных данных работника, а также документа, подтверждающего факт информирования лиц о том, что они осуществляют обработку персональных данных без использования средств информатизации. Подобный документ должен содержать категории персональных данных, а также особенности и правила осуществления обработки.
Как видите, к оформлению перечисленных документов стоит подойти со всей серьезностью. И самое главное - соблюдать их требования, поскольку любое нарушение может привести к жалобе недовольного работника в Роскомнадзор. И тогда, несмотря на то что компания маленькая, проверяющие нагрянут в нее с внеплановой проверкой.
и управление персоналом предприятия"
Подписано в печать 15.02.2012
Адвокаты, осуществляющие деятельность индивидуально и в юридической консультации, адвокатские конторы, юридические фирмы и частно-практикующие юристы (далее - адвокаты и юридические фирмы) постоянно в ходе своей деятельности собирают, накапливают, хранят и используют персональные данные своих клиентов, а также третьих лиц. Если вы - один из вышеперечисленных субъектов, то вам необходимо учитывать требования законодательства, относящиеся к работе с персональными данными.
Понятие персональных данныхВ соответствии с подпунктом 2) статьи 1 Закона Республики Казахстан "О персональных данных и их защите" (далее - Закон) персональные данные представляют собой сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе. Применительно к клиентам адвокатов и юридических фирм такими сведениями могут быть:
Субъектом персональных данных согласно подпункту 16) указанной статьи является физическое лицо, к которому относятся персональные данные. Таким образом, субъектом персональных данных выступает любой клиент - физическое лицо, обратившееся к вам за юридической помощью.
Базой, содержащей персональные данные, является совокупность упорядоченных персональных данных (подпункт 8) статьи 1 Закона). Следовательно, CRM-система, адресная книга, файловый или бумажный архив, содержащие указанные сведения ваших клиентов, будут считаться базой, содержащей персональные данные.
В соответствии с подпунктами 9) и 10) статьи 1 указанного Закона адвокаты и юридические фирмы, реализующие права на базу, содержащую персональные данные, а также осуществляющие сбор, обработку и защиту персональных данных выступают одновременно в качестве собственника и оператора базы, содержащей персональные данные.
Таким образом, поскольку адвокаты и юридические фирмы в своей деятельности собирают, накапливают, обрабатывают, используют, хранят и распространяют сведения, относящиеся к своим клиентам, то такая их деятельность попадает под регулирование Законом "О персональных данных и их защите".
Согласие клиента на сбор и обработку персональных данныхПодпункт 5) статьи 1 Закона определяет сбор персональных данных как действия, направленные на получение персональных данных. Согласно подпункту 12) указанной статьи обработка персональных данных представляет собой действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных.
В соответствии с пунктом 1 статьи 7 Закона сбор и обработка персональных данных могут осуществляться вами только с согласия субъекта или его законного представителя, кроме случаев, предусмотренных статьей 9 Закона, которой установлен ряд случаев, когда сбор, обработка персональных данных производятся без согласия субъекта (например, деятельность правоохранительных органов, судов, статистических органов, журналистов и т. д.). Деятельность адвокатов и юридических фирм в данный перечень исключений не включена. Таким образом, закон обязывает вас заручиться согласием клиента на сбор и обработку его персональных данных.
В соответствии с пунктом 1 статьи 8 Закона согласие на сбор и обработку должно быть дано письменно или в форме электронного документа, либо иным способом, с применением защитных действий, не противоречащих законодательству.
В связи с этим, до начала использования персональных данных, у вас имеется следующий выбор:
Под распространением персональных данных понимаются действия, в результате которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом (подпункт 15) статьи 1 Закона). В соответствии с пунктом 1 статьи 11 Закона вы обязаны обеспечить конфиденциальность персональных данных ваших клиентов, соблюдая требование не допускать их распространения без согласия клиента либо наличия иного законного основания. Для адвокатов данное положение фактически перекрывается требованиями Закона "Об адвокатской деятельности" по сохранению адвокатской тайны.
Пункт 2 статьи 11 Закона предусматривает обязанность для лиц, которым стали известны персональные данные ограниченного доступа (то есть доступ, к которым ограничен законодательством) в связи с профессиональной, служебной необходимостью, а также трудовыми отношениями, обеспечивать их конфиденциальность. Таким образом, адвокаты и сотрудники юридических фирм, получившие в свое распоряжение персональные данные, содержащие, к примеру, медицинскую, банковскую и иную тайну, обязаны соблюдать конфиденциальность такой информации.
Накопление и хранение персональных данныхПодпункт 4) статьи 1 Закона под накоплением персональных данных понимает действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные. Занося даные клиентов в свою клиентскую базы, вы осуществляете накопление персональных данных. Пункт 1 статьи 12 Закона устанавливает, что накопление производится путем сбора персональных данных, необходимых и достаточных для выполнения осуществляемых вами задач. То есть вы не должны собирать данных о клиенте больше, чем вам требуется для оказания юридической помощи.
Под хранением персональных данных в соответствии с подпунктом 14) статьи 1 Закона понимаются действия по обеспечению целостности, конфиденциальности и доступности персональных данных. Согласно пункту 2 статьи 12 Закона хранение персональных данных должно осуществляться вами в базе, а срок хранения персональных данных определяется датой достижения целей их сбора и обработки, если иное не предусмотрено законодательством.
Использование персональных данных клиентовПод использованием персональных данных понимаются действия с ними, направленные на реализацию ваших целей деятельности, то есть на оказание правовой помощи (юридических услуг) (подпункт 13) статьи 1 Закона). Согласно статье 14 Закона использование персональных данных должно осуществляться только для ранее заявленных целей их сбора. Исходя из целей деятельности адвокатов и юридических фирм использование может заключаться:
Использовать персональные данные в целях, не предусмотренных договором с клиентом, не допустимо.
Обязанности адвоката (юридической фирмы), связанные с персональными даннымиКак собственник и оператор базы, содержащей персональные данные, вы в соответствии со статьей 25 Закона обязаны:
Copyright © 2003-2016 Defacto.kz. Все права защищены. Любая публикация материалов сайта только с разрешения авторов. Материалы, представленные на сайте, отражают личную точку зрения авторов и не носят официального характера. Авторы не несут ответственности за какое-либо применение тех или иных публикаций.
Юридическая фирма "De Facto"
Забава Мастер (2196) 7 лет назад
Утвержденной формы не существует, образец формы соглашения должн быть в Положении о защите персональных данных на предприятии. Примерно оно выглядит так:
Согласие работника на обработку его персональных данных
Я __________________________________________ _________________________________
(Ф. И. О. )
_____________________________________________________________________________ (номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа
_____________________________________________________________________________
и выдавшие его органы)
даю согласие на обработку сведений, составляющих мои персональные данные, персональные данные членов моей семьи сотрудникам Общества, которым эти данные необходимы для выполнения должностных обязанностей в целях исполнения условий моего трудового договора, Коллективного договора Общества, законодательства РФ.
Согласен на совершение Обществом следующих действий: сбор, систематизацию, накопление, хранение, уточнение, обновление, изменение, использование, распространение (в том числе передачу). обезличивание, блокирование, уничтожение персональных данных следующими способами: автоматизированная обработка, обработка без использования средств автоматизации.
О персональной ответственности за несанкционированную обработку персональных данных предупрежден.
Срок действия настоящего согласия - на период действия моего трудового договора.
С правом отзыва настоящего согласия ознакомлен.
С юридическими последствиями автоматизированной обработки моих персональных данных ознакомлен.
О конфиденциальности персональных данных сотрудников Общества предупрежден.
«____»______________ 200__г. ___________ /_______________________ /
(подпись, расшифровка подписи)
Согласие (разрешение) на обработку персональных данных (применительно к кредитным организациям) – заявление в установленной форме, подписывая которое клиент разрешает банку использовать всю предоставленную о себе информацию (адрес, все паспортные данные, номер телефона, адрес электронной почты и прочее). При оформлении кредита такое согласие часто включено в сам текст кредитного договора и не оформляется отдельным заявлением.
В случае если у заемщика наступают проблемы с выплатой кредита, банк активно использует полученное разрешение на использование личных данных, “информируя” клиента о задолженности всеми доступными способами. Можно ли в этом случае отозвать предоставленное ранее согласие? И решит ли это проблему назойливых звонков от банка и коллекторов?
Заявление на отзыв персональных данных из банка. Как подать?Для того чтобы банк или МФО прекратили использование персональных данных заемщика, клиенту необходимо письменно проинформировать кредитную организацию о своем решении отозвать согласие на использование личных данных. Сделать это можно:
В зависимости от выбранного способа уведомления банка отличаются и действия, которые необходимо совершить клиенту.
Если заемщик решит, что ему удобнее обратиться в отделение (представительство) кредитной организации, то он может либо подготовить заявление на отзыв персональных данных заранее (тогда распечатать его необходимо в 2 экземплярах), либо заполнить бланк обращения установленного банком образца. В любом случае важно дождаться, когда сотрудник подпишет принятое заявление, зарегистрирует обращение (присвоит ему номер) и снимет копию для клиента (либо заверит второй экземпляр). Такой документ со всеми отметками банка – доказательство получения кредитной организацией отзыва разрешения на обработку персональных данных.
В случае когда клиент принимает решение об отправке заявления на юридический адрес кредитной организации, ему необходимо оформить на почте заказное письмо. В этом случае у заемщика будет уверенность, что у банка не будет возможности заявить о неполучении обращения клиента.
Часто к делу о просроченной задолженности подключаются коллекторы. В этом случае клиенту необходимо уточнить в банке данные взыскивающей организации и продублировать заявление на отзыв и на ее юридический адрес тоже.
Действительно ли это решает проблему?О возможности решить проблему назойливых звонков из банка или агентства взыскания через отзыв личных данных много написано в интернете. Однако, с юридической точки зрения это не панацея.
В статье 6 (п. 1, пп. 5) Федерального закона № 152 “О персональных данных” говорится о том, что если использование персональных данных необходимо для исполнения договора (например, погашения задолженности), то банк вправе продолжать использование персональных данных.
Этот пункт означает, что отзыв ваших персональных данных не исправит ситуацию, если по договору существует задолженность. И в этом случае для заемщика избавлением от звонков банковских или коллекторских сотрудников является либо погашение задолженности, либо решение вопроса через судебные инстанции.
Но вот проблему надоедливой рекламы в виде звонков или SMS-сообщений отзыв вашей персональной информации решить может вполне. Организации не вправе беспокоить вас без вашего официального разрешения.
Образец заявления на отзыв согласия на обработку персональных данных
