Сроки обработки персональных данных

Сведения

Сведения об операторе, которые содержатся в реестре, общедоступны. Однако чтобы воспринять содержащуюся в реестре информацию, нужно более подробно коснуться понятийной системы. Иначе не каждому будет понятно, что писать. Правовое основание обработки персональных данных содержит достаточное количество вопросов. Во-первых, кто такой оператор? Это государственные или муниципальные органы, физическое или юридическое лицо, которое осуществляет на правовом основании обработку персональных данных в организации. Эти же органы или лицо должно определить цель и содержание такой обработки.

Во-вторых, что подразумевается под понятием правового основания обработки персональных данных? Руководствуясь образцом, можно довольно легко определить, что это любая операция или их совокупность, которая совершается при помощи средств автоматизации работы с персональными данными или без таковых. Данные можно собрать, записать, систематизировать, накопить, хранить, уточнять, обновлять, изменять, извлекать, использовать, передавать, распространять, предоставлять, создать к ним доступ, обезличить, блокировать, удалять, уничтожать. Вот этим и занимается оператор при заполнении реестра. Это очень общие сведения правового основания обработки персональных данных.

Принципы закона

Образовательные учреждения любого уровня всегда должны обрабатывать данные родителей, учеников и преподавателей (воспитателей). Прежде всего это делается для продуктивной коммуникации. Закон гласит, что любая информация, которая связана с конкретным человеком, обрабатывается в соответствии с поставленными целями. И это важнейший из критериев законности такой обработки. Оператор же и отвечает за их сохранность. Общедоступные данные защиты не требуют, поскольку субъект дал разрешение на их публикацию в открытых источниках. И если это разрешение отозвано, закон требует общедоступные данные защищать.

Школьную информацию в тайне сохранить не получится. Например, ДОУ и любая школа публикует на официальных сайтах имена, отчества, фамилии, квалификационные показатели, а также данные о работе, которая ведется. Бывают данные обезличенные, которые не позволяют без дополнительного информатора определить субъекта, к которому они относятся. Их защитить гораздо проще. Для данных, содержащих любую медицинскую информацию (в законе перечислены виды информации помимо медицинских данных), защита осуществляется наиболее жестко.

Гражданский кодекс

Помимо 152-ФЗ, правила обработки данных устанавливает и Гражданский кодекс. Например, родителей под подпись знакомят с основными принципами прямо при приеме ребенка в детский сад или школу и берут письменное согласие о том, что они разрешают публикацию видео- и фотоизображений ребенка, если это будет необходимо при отражении разнообразных событий образовательного процесса. Отсутствие такого согласия тем не менее не лишает учреждение правовой основы для обработки личных данных. Хотя именно такая ситуация и приносит оператору наибольшие неприятные хлопоты.

В законе есть исключения, когда согласие не требуется вообще, и это может не касаться образовательных учреждений. Например, организуется поездка с детьми. Покупаются билеты по спискам участников. Если образовательные цели преследуются, правовое основание уже присутствует. Нужен только приказ руководства, выполненный в формулировках 152-ФЗ. Если образовательные цели не преследуются, нужно брать письменное согласие родителей или искать решение в рамках других законов. Причем отозвать согласие на обработку личных данных субъект может совершенно в любой момент, Гражданский кодекс подтверждает это, хотя обязательно последуют какие-либо административные последствия.

Хранение и защита

Каждое предприятие, в том числе и сельскохозяйственного направления, оформляет, формирует, ведет и хранит содержащую персональные данные информацию. И всегда эта работа выполняется теми, кто имеет на то правовое основание, зафиксированное в должностных инструкциях. Ответственный за такую деятельность назначается генеральным директором. Допуск к информации посторонние не имеют, список допущенных к этой деятельности лиц также утверждается руководством предприятия и визируется подписью генерального директора.

Постоянное право доступа к личным данным имеют генеральный директор, администрация в лице начальника и сотрудников, отвечающих за работу с персоналом, инспектор по кадрам, инженер, отвечающий за организацию и нормирование труда в структурных подразделениях. На некоторых предприятиях в любой момент может запросить любую персональную информацию главный бухгалтер, если необходимо подготовить определенные документы. Всегда имеет доступ к конфиденциальной информации ответственный за безопасность и его сотрудники в рамках полномочий. Этот список варьируется в зависимости от правил врутреннего распорядка предприятия.

Срок действия согласия на обработку персональных данных

На любые действия с информацией, прямо или косвенно касающейся человека, требуется его согласие. Конечно, из этого правила есть исключения — использование информации без разрешения допускается, например, в связи с участием субъекта в судебном заседании, но в большинстве случаев основанием использования данных является одобрение лица, являющегося их носителем.

Выраженное в форме письменного или электронного документа разрешение должно содержать ряд реквизитов, одним из которых является срок действия. Он может быть определен:

  • конкретной датой;
  • моментом, когда оператор завершает работу с данными, и они больше не требуются для его деятельности;
  • моментом отзыва.

Как указал 13-й Арбитражный апелляционный суд в постановлении от 27.07.2017 № 13АП-12966/2017, законодатель не предусмотрел обязанности указывать конкретный срок окончания действия одобрения субъекта. Также в законе «О персональных данных» от 27.07.2006 № 152-ФЗ отсутствует указание на максимально возможную продолжительность действия разрешения. Исходя из этого, допускается установление неопределенного периода действия, ограниченного моментом отзыва согласия.

Не знаете свои права? Подпишитесь на рассылку Народный СоветникЪ.
Бесплатно, минута на прочтение, 1 раз в неделю.

Возможно ли изменение срока?

Срок согласия на обработку персональных данных может быть изменен при досрочном отзыве разрешения. Форма отзыва императивно не определена, но, применяя по аналогии ст. 452 ГК, лицо должно совершать отзыв в той же форме, в которой ранее дозволило использовать информацию о себе. В ряде случаев, установленных законом № 152-ФЗ, отказ от ранее выданного разрешения не пресекает возможность оператора использовать полученные сведения.

Изменение длительности возможно и в сторону увеличения. При этом не запрещено как внесение поправок в ранее данное согласие (для избежания возможных проблем поправки лучше заверить датами внесения, словами наподобие «исправленному верить» и подписями лица и оператора), так и оформление нового документа. Последний вариант предпочтительнее, поскольку по длительности процедура оформления вряд ли займет больше времени, а юридическую силу из-за внесенных поправок оспорить не получится.

***

Таким образом, срок согласия на любое использование данных о конкретном человеке определяется им самим. Разрешение может ограничиваться конкретной датой, моментом завершения использования сведений оператором или отзывом согласия.

Срок действия согласия на обработку персональных данных не обязательно должен быть определен конкретной датой

JanPietruszka / .com

Арбитражные суды трех инстанций признали незаконным предписание Роскомнадзора указать срок действия письменного согласия на обработку персональных данных.

Разработанную экспертами компании «Гарант» форму согласия субъекта на обработку персональных данных можно найти в интернет-версии системы ГАРАНТ. Получите полный доступ на 3 дня бесплатно!

Напомним, что согласно ч. 4 ст. 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Такое согласие должно включать в себя в том числе срок, в течение которого оно действует, а также способ его отзыва, если иное не установлено федеральным законом.

В рассматриваемом случае в согласии было указано, что оно вступает в силу со дня его подписания и действует в течение неопределенного срока и может быть отозвано на основании письменного заявления в произвольной форме. Суды сочли это надлежащим исполнением вышеприведенного требования закона, поскольку данная норма не предусматривает указания в согласии конкретного срока, в течение которого оно действует. Предельный срок действия такого согласия также не установлен законодателем. В рассматриваемом случае срок действия согласия определен началом его действия (со дня подписания) и заканчивается моментом востребования — письменным отзывом в произвольной форме. Таким образом, срок действия согласий субъектов персональных данных на их обработку в любом случае ограничен действием самого субъекта персональных данных по представлению письменного отзыва ранее данного им согласия, в связи с чем указанный срок можно квалифицировать сроком, определяющим момент востребования.

Верховный Суд Российской Федерации оснований для пересмотра соответствующих судебных актов арбитражных судов не усмотрел (определение ВС РФ от 5 марта 2018 г. № 307-КГ18-101).

В персональные данные входит имя, место проживания и другая информация

О том, что такое персональные данные и что к ним относится, говорится в п. 1 ст. 3 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» (далее – закон № 152-ФЗ):

«Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

В Указе Президента РФ от 06.03.97 № 188 конкретизируется, какие сведения подразумевают. Это информация о человеке и событиях его жизни, которая позволяет идентифицировать его как личность. Персональные данные физического лица – это:

  • фамилия, имя, отчество гражданина;
  • дата его рождения, а также место рождения;
  • адрес постоянного и временного проживания;
  • сведения о семье и социальном положении гражданина;
  • данные о его образовании, профессии и должности;
  • сведения о доходах и имущественном положении;
  • биометрические персональные данные.

Кроме того, есть информация, которую суд может расценить как относящуюся к подобным данным. Например, суды признавали, что персональными данными являются:

  • информация о смерти физического лица (постановление АС Поволжского округа от 25.09.14 по делу № А49-2005/2014);
  • номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.13 по делу № 33–9241/2015);
  • фотографии физического лица (апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33–5232/2015).

К обработке данных относятся сбор и хранение сведений о работниках и клиентах

Когда компания получает сведения о новом работнике или клиенте, она фиксирует эту информацию. Вносит в документы, передает третьим лицам в рамках договора или согласно требованиям закона, хранит информацию. Эти действия являются обработкой персональных данных. Согласно п. 3 ст. 3 закона № 152-ФЗ:

«Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными».

В том числе это:

  • сбор и запись данных;
  • систематизация;
  • хранение, накопление и обновление;
  • извлечение, использование и передача;
  • обезличивание данных;
  • блокирование, удаление и уничтожение.

Если компания вносит сведения о новом работнике во внутренние документы или ведет базу своих клиентов-граждан, это входит в обработку персональных данных. На такие действия нужно получить согласие.

В дополнение к закону № 152-ФЗ действуют правила гл. 14 ТК РФ и разъяснения Роскомнадзора от 14.12.12. Компании нужно руководствоваться этими правилам при работе с данными сотрудников.

О работе с персональными данными нужно уведомить Роскомнадзор

Если компания выполняет действия с персональными данными, она является оператором данных (п. 2 ст. 3 закона № 152-ФЗ). О том, что компания приступила к сбору такой информации, нужно уведомить Роскомнадзор (п. 1 ст. 22 закона № 152-ФЗ). Это делают по форме согласно Приложению № 1 к Методическим рекомендациям Роскомнадзора (утв. приказом от 30.05.2017 № 94).

Уведомление о том, что компания обрабатывает персональных данных в Роскомнадзорскачать образец

Уведомление о работе с персональными данными подают в орган Роскомнадзора по месту регистрации компании. Документ можно подготовить как в бумажном виде, так и в электронном. Электронный вариант направляют через портал «Госуслуги» или сайт Роскомнадзора. После получения документа ведомство включит компанию в реестр операторов. Это делают в течение 30 дней с момента поступления уведомления. Проверить выполнение можно на сайте Роскомнадзора.

Уведомление в некоторых случаях не подают

Из правила об уведомлении Роскомнадзора есть исключения. Перед тем, как направлять документ, нужно проверить, не подпадает ли компания под эти исключения. Например, компания обрабатывает персональные данные только:

  • в отношении собственных сотрудников;
  • для заключения и исполнения сделок (например, персональные данные контрагентов);
  • без средств автоматизации (см. постановление Правительства РФ от 15.09.08 № 687).

Куда требуется предоставлять персональные данные

Сегодня передача личных сведений является широко распространенным явлением. Предоставлять персональные данные нужно, например, при устройстве на работу, подаче заявлений в садик, школу, другие учебные заведения, больницы, поликлиники, банковские, кредитные учреждения и т.д.

По большому счету, согласие на предоставление персональных данных требуется только в отношении специальных и биометрических сведений. Если говорить проще, общедоступная информация, т.е. информация из паспорта, ИНН, СНИЛС, может использоваться совершенно свободно, конечно, в рамках закона и без нарушения этических и моральных норм.

А вот если кому-либо понадобились данные, касаемые религии или национальности человека, его здоровья или судимостей, взаимоотношений с работодателями (текущим и бывшими) и т.п. очень личные сведения – их можно получать только с согласия гражданина, оформленного в письменном виде.

В соответствии с законодательством РФ, любой человек имеет полное право отказаться от предоставления подобного рода информации, если считает, что она может привести к ущемлению его прав и интересов или даже вовсе без объяснения причин. Никакого наказания за такой отказ не предусмотрено.

И даже если представитель какого-либо учреждения требует предоставления таких сведений, угрожая отказом в предоставлении необходимых услуг (образовательных, медицинских и т.д.), его действия легко можно обжаловать как на уровне руководства, так и в прокуратуре или суде.

Единственное, что нужно помнить, что при обращении в различные муниципальные и бюджетные структуры, а также при трудоустройстве существует установленный законом перечень документов, а значит и персональных сведений, без которых заключение договоров (гражданско-правовых, трудовых и т.д.) будет просто-напросто невозможно.

Если есть сомнения в том, что работник той или иной организации требует документы сверх установленного законом списка, следует обратиться за разъяснениями к юристам или ознакомиться с соответствующими статьями российского законодательства.

С того момента, как персональные данные попадают во «вторые» руки, вся ответственность за их огласку возлагается на того, кто их получил.

При этом закон в отношении лиц, разгласивших чью-либо личную информацию довольно суров – он предусматривает наказание, начиная от крупного административного штрафа и вплоть до возбуждения уголовных дел.

Как написать отказ

В том случае, если перед вами встала необходимость по составлению отказа от предоставления персональных данных, а вы не знаете, как сделать это правильно и без ошибок, прочитайте расположенные ниже рекомендации и посмотрите пример – на его основе у вас без особых усилий получится сформировать собственный документ.

Прежде всего, дадим общую информацию, которая касается всех подобного рода бумаг. Сейчас единого стандарта такого отказа нет, что фактически обозначает то, что писать его разрешается в свободной форме. Также можно сделать его по типу разработанного и утвержденного внутри учреждения шаблону документа, если конечно, таковой имеет место быть.

Для отказа подойдет как обычный лист бумаги любого удобного формата (предпочтительно А5 или А4) или фирменный бланк (как правило, если такое требование устанавливается внутри компании). Отказ допустимо набирать на компьютере (с обязательным последующим распечатыванием), либо же писать собственноручно – в случае необходимости доказать его подлинность этот фактор будет иметь значение.

Отказ нужно делать в двух одинаковых экземплярах, один из которых следует передать адресату, второй – оставить у себя, предварительно заручившись на нем отметкой о вручении копии представителю учреждения.

Образец отказа от предоставления персональных данных

По своему составу отказ должен отвечать некоторым нормам делопроизводства, а по тексту содержать ряд определенных сведений. К последним можно отнести:

  • должность, ФИО руководителя;
  • наименование организации;
  • ФИО автора отказа;
  • его паспортные и контактные данные (для связи).

Это будет «шапка» документа, которая всегда расположена вверху бланка, слева или справа.

В основной части следует обозначить:

  • свое несогласие с предоставлением персональных данных;
  • обоснование отказа (здесь нужно сослаться на норму закона или Конституции РФ, которые в равной степени дают такое право);
  • если вы были ознакомлены с последствием своего отказа, об этом следует сделать соответствующую отметку;
  • также дать отметку о том, что за вами остается возможность обжаловать возможные санкции в суде.

Остальную информацию можно вносить в зависимости от потребностей и индивидуальных обстоятельств.

Бланк должен быть обязательно датирован и подписан тем, кто его составил – без его автографа он не обретет законного статуса.

Add a Comment

Ваш e-mail не будет опубликован. Обязательные поля помечены *