Согласие на обработку персональных данных

Необходимые локальные документы и журналы

К журналам учета и локальным документам относятся:

  1. список сведений характера, которые не подлежат разглашению;
  2. инструкция администратора информационной безопасности;
  3. приказ о назначении лиц, ответственных за организацию и перечне мер (для организаций).
  4. перечень, подлежащих защите в информационных системах;
  5. приказ об утверждении мест хранения ПДн;
  6. перечень помещений, в которых ведется обработка ПДн;
  7. инструкция пользователей информационной системы ПДн;
  8. приказ о назначении комиссии их по уничтожению;
  9. проект системы защиты информационной системы ПДн;
  10. порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;
  11. план внутренних проверок режима защиты ПДн;
  12. приказ о вводе в эксплуатацию информационной системы и заключение о вводе в эксплуатацию информационной системы;
  13. журнал учета носителей информации информационной системы ПДн;
  14. журнал учета мероприятий по контролю;
  15. план проведения внутренних проверок состояния защиты;
  16. журнал учета обращений граждан-субъектов ПДн о выполнении их законных прав;
  17. правила обработки персональных данных без использования средств автоматизации. О регулировании здесь;
  18. положение о разграничении прав доступа к обрабатываемым ПДн;
  19. акт классификации информационной системы;
  20. инструкция по проведения антивирусного контроля в информационной системе ПДн;
  21. инструкция по организации парольной защиты;
  22. журнал периодического тестирования средств защиты информации;
  23. форма акта уничтожения документов, содержащих ПДн;
  24. журнал учета средств защиты информации;
  25. журнал проведения инструктажа по информационной безопасности;
  26. инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций;
  27. приказ о перечне лиц, допущенных к обработке;
  28. положение о защите;
  29. соглашение о неразглашении;
  30. план мероприятий по обеспечению безопасности ПДн;
  31. модель угроз безопасности в информационной системе;
  32. форма ответа на запрос субъекта ПДн.

Образец бланка документа

В связи с тем, что руководством предприятия предполагается использование в производственном процессе наёмных работников, п.8 ст.65 ТК обязывает работодателя получить от них согласие на обработку персональных данных. Статьёй 9 закона №152-ФЗ установлен перечень требований, которые предъявляются к содержанию согласия. Оно в обязательном порядке оформляется письменно. Недееспособность физического лица даёт право его законному представителю поставить подпись под документом.

Персональные данные – это первичная информация, которая имеет непосредственное отношение к физическому лицу (требования п.1 ст.3 закона от 27.07.2006 г. №152-ФЗ):

  • Ф.И.О.;
  • пол и возраст;
  • число, месяц, год и место рождения;
  • паспортные данные и полные реквизиты органа внутренних дел, выдавшего документ;
  • цели изъятия;
  • реквизиты лица, осуществляющего сбор данных (если таковое действует по поручению работодателя);
  • срок действия согласия;
  • способ, с помощью которого согласие может быть отозвано (если иное не предусмотрено законодательством).

Обязательно указывается наименование компании (учреждения), оформляющей документ, место и дата его составления.

Роскомнадзор в официальном разъяснении указал, что давать согласие на обработку должны как работники, так и соискатели. Исключение – если поиск работы ведётся посредством заключения договора с кадровым агентством.

Согласие на обработку персональных данных поликлиникой

Согласие на обработку персональных данныхЯ нижеподписавшийся _______________(Ф.И.О.)___________________ проживающий по адресу ________________________________________ По месту регистрации _________________________________________ паспорт ____ (серия, номер, название выдавшего органа) _______в соответствии с требованием статьи 9 федерального закона от 27.07.06 г. «О защите персональных данных» М 152-ФЗ, подтверждаю свое согласие на обработку ГБУЗ ПК «ГСП № 3» г. Пермь, Плеханова, 61/Крисанова, 10 (далее — Оператор) моих персональных данных, включающих: фамилию, имя, отчество, пол, дату рождения, адрес проживания, контактный телефон, реквизиты полиса ОМС, страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), данные о состоянии моего здоровья, заболеваниях, случаях обращения за медицинской помощью, в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять медицинскую тайну.В процессе оказания Оператором мне медицинской помощи я предоставляю право медицинским работникам, передавать мои персональные данные, содержащие сведения, составляющие врачебную тайну, другим должностным лицам Оператора в интересах моего обследования и тайны.Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление изменение, использование, обезличивание, блокирование, уничтожение Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов) по ОМС.

Оператор имеет право во исполнение своих обязательств по работе в системе ОМС на обмен (прием и передачу) моими персональными данными страховой медицинской организацией. Пермским краевым фондом обязательного медицинского страхования, Управлением здравоохранения г. Перми, медицинскими организациями (учреждениями), работающими в системе обязательного медицинского страхования на территории Пермского края, МУЗ «Бюро медицинской статистики — информационно¬аналитический центр» с использованием машинных носителей или по каналам связи, с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, при условии, что их прием и обработка будут осуществляться лицом, обязанным сохранять профессиональную тайну.

Срок хранения моих персональных данных соответствует сроку хранения первичных медицинских документов и составляет двадцать пять лет для стационара, и пять лет . Передача моих персональных данных иным лицам или иное их разглашение может осуществляться только с моего письменного согласия. Настоящее согласие дано мной «__» ________20__ г. и действует бессрочно.

Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора.

В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных, Оператор обязан прекратить их обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате, оказанной мне до этого медицинской помощи Информацию о состоянии моего здоровья разрешаем сообщить

Контактные телефоны ______________________________________________ и почтовый адрес Подпись субъекта персональных данных __________________________________

Разрешение на получение и хранение личной информации

Клиента

Получая какую-либо услугу или товар, гражданин тоже часто заполняет согласие на обработку данных, являясь клиентом. В документе содержится несколько пунктов, которые означают, что гражданин сдает свои персональные данные и разрешает осуществлять с ними следующие действия: такие как сбор, накопление, систематизация, уточнение и хранение.

Чаще всего такими благами пользуются сотрудники банковских организаций. Бланк распечатывается в двух экземплярах, один из которых вручается клиенту, а другой передается сотруднику организации, предоставляющей услугу. Документы приобщаются к личному делу гражданина.

Пациента

На приеме у врача пациент также должен дать согласие на обработку своих персональных данных.

Важно! Такое соглашение дает врачу доступ ко всей информации о состоянии здоровья гражданина, и нередко способствует правильному и своевременному лечению.

Форма составления согласия на обработку персональных данных является строго официальной. Соответствует требованиям статей , Конституции Российской Федерации, а также статьей 9 Федерального закона № 152. Письменное согласие пациента на обработку данных достаточно стандартное, однако содержит в себе позволение знакомиться с медицинской информацией, относительно клиента.

Работника

Получить письменное согласие работника на информационную обработку персональных данных необходимо организации, которая работает с таким гражданином. Основные вопросы, которые связаны с персональными сведениями, содержатся в Федеральном законе 152. В число этих сведений входит:

  • определение круга сведений;
  • установление условий их обработки;
  • уничтожение,
  • хранение;
  • описание ситуации, которая требует предоставления данных;
  • перечень прав носителя данных;
  • определение ответственности.

Родителей

У несовершеннолетних детей есть законный представитель в лице родителя, который дает согласие на обработку персональных данных несовершеннолетнего третьими лицами.

Письменное согласие от родителя должно включать в себя инициалы представителя, цель обработки, информацию о ребенке, перечень данных, а также срок, в течение которого можно знакомиться со сведениями.

В визовый центр

Пользуясь услугами визового центра, помните о том, что необходимо подготовить форму согласия на обработку данных. Данный документ необходим для того, чтобы сотрудники визового центра получили доступ к вашим документам и сведениям, после чего оформили вам необходимые бланки и акты.

Отдельные особенности договорного регулирования обработки персональных данных

При регулировании некоторых видов общественных отношений законодателем отдельно указаны особенности договорного регулирования обработки ПД. В частности:

  • положения о защите сведений о гражданах должны содержать соглашения, заключаемые между организацией, оказывающей коммунальные услуги, и организациями, которые снимают показания счетчиков, производят начисление, подготовку и доставку платежных документов физическим лицам (подп. «е» п. 32 правил предоставления коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов, утв. постановлением Правительства РФ от 06.05.2011 № 354);
  • соглашение об оценке эффективности мер защиты ПД может быть заключено только с организацией, имеющей лицензию на осуществление деятельности по техзащите информации конфиденциального характера (п. 6 состава и содержания организационных и технических мер по обеспечению безопасности персональных данных…, утв. приказом ФСТЭК России от 18.02.2013 № 21);
  • в соответствии с ч. 1 ст. 15.3 закона «О государственном оборонном заказе» от 29.12.2012 № 275-ФЗ по запросам контролирующих органов организации и органы власти обязаны представлять документы и информацию, включая соглашения, несмотря на содержащиеся в них ПД. 

Согласие на обработку персональных данных школой

СОГЛАСИЕ СУБЪЕКТА НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ ШКОЛОЙ

Я, (ФИО) ___________________________ проживающий по адресу: ________________________ Паспорт _______ № _____________, (выданный кем и когда) ____________________________ настоящим даю свое согласие на обработку в Муниципальном автономном общеобразовательном учреждении «Предметно-языковая школа «Дуплекс» г. Перми моих персональных данных моего несовершеннолетнего ребенка (подопечного) ___________(ФИО ребенка)____________, к которым относятся:

к которым относятся: — фамилия, имя, отчество; дата рождения; домашний адрес, адрес места проживания, адрес регистрации; пол; № свидетельства о рождении и паспорта (с 14 лет); родной язык; дата поступления в школу, в какой класс поступил, номер и дата приказа о поступлении, дата выбытия из школы, из какого класса выбыл и дата приказа о выбытии, причины выбытия, отметка о выдаче личного дела; где воспитывался ребенок до поступления в школу; сведения о переходе из одной школы в другую, в том числе наименование школы и класса в которые выбыл обучающийся; фамилии, имена, отчества родителей (законных представителей), место работы, занимаемая должность, контактные телефоны; состояние здоровья, включая данные о медицинской группе; свечений об учебном процессе, к которым относятся: — перечень изученных, изучаемых предметов и факультативных курсов; успеваемость, в том числе результаты текущего контроля успеваемости, промежуточной итоговой аттестации; данные посещаемости уроков, причины отсутствия на уроках, поведение в школе, награды и поощрения; расписание уроков, содержание уроков и факультативных занятий, домашних заданий, фамилии, имена, отчества педагогов, ведущих обучение, занятость в кружках, секциях, клубах, группах продленного дня, внешкольных и внеклассных мероприятий. Я даю согласие на использование персональных данных в целях обеспечения учебно-воспитательного процесса в отношении моего ребенка (полоненного). Настоящее согласие предоставляется на осуществление любых действий в отношении персональных данных, которые необходимы или желаемы для достижения указанных выше целей, включая (без ограничения) сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу третьим лицам), обезличивание, блокирование, трансграничную передачу персональных данных, а также осуществление любых иных действий с моими персональными данными, предусмотренных действующим законодательством Российской Федерации. Муниципальное автономное общеобразовательное учреждение «Предметно-языковая школа «Дуплекс» г. Перми гарантирует, что обработка личных данных осуществляется в соответствии с действующим законодательством Российской Федерации. Я проинформирован, что Муниципальное автономное общеобразовательное учреждение «Предметно-языковая школа «Дуплекс» г. Перми будет обрабатывать персональные данные как неавтоматизированным, так и автоматизированным способом обработки. Данное Согласие действует до достижения целей обработки персональных данных, установленных действующим законодательством Российской Федерации. Согласие может быть отозвано по моему письменному заявлению. Я подтверждаю, что. давая такое Согласие, я действую своей волей и в интересах моего несовершеннолетнего ребенка.

Дата: ____________

Подпись: ______________ / ____________

Базис законного интереса на практике

Цель использованияПовышение стабильности продукта для соблюдения интересов лицензиата.
НеобходимостьИным способом получить статистику в совокупности необходимых параметров невозможно.
Баланс интересовОбработка сбалансирована, а потенциальный вред не является существенным.
ОткрытостьОбработка данных открытая и очевидная для субъекта данных.
  • До сбора персональных данных субъекту должно быть сообщено о целях и законном интересе обработки (пункт (d) ст. 13 (1), пункт (b) ст. 14(2) GDPR). То есть применение должно быть публично мотивировано и документировано.
  • Субъекту данных должно быть предоставлено право на возражение против обработки (ст. 21), право на удаление и ограничение.

Когда можно отозвать согласие

Порядок работы с личными сведениями установлен законом «О персональных данных» от 27.07.2006 № 152-ФЗ. Из ст. 3 закона следует, что к индивидуальным данным лица относится любая информация о нем, позволяющая его идентифицировать.

В том числе к таким сведениям можно отнести:

  • Ф. И. О.;
  • адрес проживания;
  • паспортные данные;
  • сведения о месте рождения;
  • прочие данные.

Полного перечня сведений закон не содержит, соответственно, в каждом конкретном случае необходимо анализировать, можно с помощью получаемой от человека информации его идентифицировать или нет. Часто отдельные данные не являются персональными, поскольку понять, кому конкретно они принадлежат, невозможно. Однако если совокупность сведений позволяет узнать, к какому человеку они относятся, то это персональные данные.

Работа с личной информацией осуществляется на основании письменного согласия гражданина, чьи сведения будут обрабатываться. Установленного бланка нет, каждая организация самостоятельно разрабатывает форму соглашения на обработку личных материалов, которое подписывает гражданин. Только после подписания субъектом такого бланка учреждение имеет право начать работу с информацией о клиенте.

Согласие на обработку может быть получено в электронном виде с применением простой электронной подписи.

Гражданин имеет право отозвать свое согласие на обработку личных сведений в любое время (п. 2 ст. 9 закона № 152-ФЗ). Причем законодатель не связывает отзыв персональных данных с какими-либо условиями или событиями. Из чего следует, что отказ от обработки персональных данных не требует обоснований.

Каков срок уничтожения персональных данных оператором при достижении цели обработки персональных данных либо при отзыве согласия на их обработку? Ответ на данный вопрос есть в КонсультантПлюс. Изучите материал, получив пробный доступ к системе К+ бесплатно.

Когда отзыв согласия не имеет значения для оператора персональных данных

Между тем оператор может продолжить работу с личными инфоматериалами субъекта даже при отзыве последним своего согласия. Перечень случаев, когда у него есть такое право, прописан в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона № 152-ФЗ. В частности, использовать информацию о человеке могут:

  • суды при участии гражданина в судопроизводстве;
  • приставы при исполнении судебного акта;
  • государственные органы при исполнении своих полномочий;
  • стороны гражданско-правовых договоров, заключенных с субъектом персональных данных;
  • любые субъекты при необходимости защиты жизни или здоровья носителя персональной информации;
  • журналисты, если работа с личной информацией связана с их профессиональной деятельностью;
  • субъекты, участвующие в реализации международных договоров;
  • органы статистики, если личные данные обезличиваются.

Правомерна ли обработка персональных данных налоговыми органами без согласия субъекта персональных данных, узнайте в КонсультантПлюс. Если у вас нет доступа к системе К+, получите пробный онлайн-доступ бесплатно.

Что нужно знать о сборе персональных данных, чтобы не нарушить закон?

Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:

  • компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
  • объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
  • форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки

С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения». Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется

Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (), специальных категорий персональных данных () и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.

По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы: 

 Конклюдентное согласиеСогласие в письменной формеИные формы согласия
+Легко получить (за исключением случаев, когда нужно согласие в письменной форме)При разработке и получении формы согласия по требованиям законодательства РФ регулятору не требуются дополнительные доказательстваКак правило, допускается Роскомнадзором, что подтверждается проверками ведомства (за исключением случаев, когда необходимо согласие в письменной форме)
Не предусматривает каких-либо подтверждений получения. Ввиду отсутствия подтверждений может рассматриваться Роскомнадзором как нарушение требований Закона № 152-ФЗ

Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ

Для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ «цель» указана в единственном числе

Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода

Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ

Общие правила

Следуя им, владелец сайта или его представитель максимально обезопасит себя от штрафных санкций Роскомнадзора.

  • При составлении Согласия желательно его сверять со статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ. В данной статье подробно описано, какие реквизиты должны присутствовать в документе.
  • Необходимо дополнительно указать права и обязанности сторон в том случае, если они не прописаны в стандартном бланке.
  • Требуется также указать, каким образом происходит сбор и обратка информации: автоматическим, ручным или смешанным.
  • Дополнительно обозначить, что запрашивающая сторона обязуется не передавать полученные персональные данные третьим лицам, а также в каких случаях допускается передача ПД.
  • В документе необходимо указать e-mail, через который Пользователь сможет связаться с Компанией, если он пожелает:
    1. отменить действие согласия;
    2. если пожелает изменить или удалить свои данные.

Особенности для персон

Предоставление разрешения на обработку личной информации требуется при трудоустройстве на новое место работы, при представлении интересов несовершеннолетних детей.

Работников

При трудоустройстве потенциальный сотрудник предоставляет руководству предприятия документы, содержащие информацию о его личности:

  • паспорт;
  • трудовую книжку;
  • СНИЛС;
  • диплом об окончании учебного заведения;
  • медицинскую книжку и т. п.

Работа с предоставленными персональными данными допускается при наличии письменного согласия сотрудника (статья 65 ТК РФ). Разрешение лица на работу с ПДн должно включать в себя информирование субъекта о конкретных сведениях из числа личных, которые будут обрабатываться, а также о целях их обработки и использования.

Полученная нанимателем информация, касающаяся личности работника, может быть использована исключительно в служебных целях.

О том, что относится к персональным данным работника, каков порядок защиты и хранения информации в организации, читайте тут.

Детей

Информированное согласие на работу с личными данными несовершеннолетних требуется при обращении в лечебные учреждения, военкоматы, для оформления ребенка в образовательные учреждения и пр.

Целью получения разрешения является необходимость систематизации сведений о несовершеннолетних.

Персональная информация о несовершеннолетнем предполагает возможность его идентификации и включает в себя сведения о его:

  • Ф.И.О.;
  • дате и месте рождения;
  • адресе проживания;
  • документе, удостоверяющем личность;
  • информацию об образовании и проч.

Роскомнадзор относит к персональным данным также фотографии субъекта, поскольку они позволяют идентифицировать его.

За несовершеннолетних согласие на работу с ПДн подписывают их родители или иные законные представители. В документе должны быть указаны следующие сведения:

  1. Ф.И.О. законного представителя.
  2. Ф.И.О., дату рождения несовершеннолетнего.
  3. Цели сбора сведений, например:
    • медицинские обследования;
    • оказание медицинских услуг;
    • предоставление образовательных услуг;
    • постановку на воинский учет и пр.
  4. Перечисление документов, на обработку которых дается согласие родителем или законным представителем несовершеннолетнего.

Скачать форму согласия родителя на обработку персональных данных несовершеннолетнегоСкачать образец заполнения шаблона согласия родителя на обработку персональных данных несовершеннолетнегоМы не рекомендуем самостоятельно оформлять документы. Экономьте время – обращайтесь к нашим юристам по телефонам:
8 (800) 350-14-90

Дача разрешения производится в добровольном порядке, однако при отказе от сообщения личных сведений несовершеннолетнему в ряде случаев не сможет быть предоставлен полный набор услуг, на которые он имел бы право при наличии такого согласия (к примеру, при отсутствии согласия на работу с персональными сведениями несовершеннолетний не получает доступа к электронному дневнику).

Родители или законные представители несовершеннолетних имеют право в любое время потребовать у оператора информацию о способах работы с личными сведениями, их защите и хранении.

Родители или законные представители ребенка могут в любой момент отозвать данное ранее согласие на работу с персональными сведениями о несовершеннолетнем.

О том, как заполнить согласие на обработку персональных данных несовершеннолетнего и зачем оно нужно, читайте здесь.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий