Отзыв согласия субъекта персональных данных


Оглавление:

Особенности получения согласия на обработку персональных данных


Требования к содержанию такого документа указаны в ч. 4 ст. 9 Закона о персональных данных. Согласие в письменной форме должно включать в себя, в частности:

  • фамилию, имя, отчество, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки;
  • перечень ПД, на обработку которых дается согласие субъекта ПД;
  • срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва, если иное не установлено федеральным законом;
  • фамилию, имя, отчество, адрес представителя субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПД);
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПД;
  • подпись субъекта персональных данных.
  • цель обработки персональных данных;

Если согласие на обработку ПД составляется в форме электронного документа, оно должно быть подписано электронной подписью – таково требование п.

4 ст. 9 Закона о персональных данных.Что нужно учитывать, когда условие об обработке ПД является частью документа, например, договора? Когда условие об обработке ПД является неотъемлемой частью подписываемого документа:

  • Содержание согласия должно быть конкретным и информированным, то есть включать сведения, позволяющие субъекту ПД однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных.

Удаляем персональные данные из общего доступа: нововведения с 1 марта

Основное отличие нововведений от предыдущей правовой конструкции заключается в том, что любой человек теперь сам может принять решение в отношении того, какие персональные данные могут использоваться публично.

Субъект персональных данных сам устанавливает их перечень, при этом причины можно не указывать – оператор обязан удалить данные из общего доступа просто потому, что они относятся к определенному или определяемому лицу. Согласие должно быть выражено отдельно от других согласий на обработку персональных данных. Что нового вводит закон в отношении законодательства о персональных данных?Поправки вводят новый термин – персональные данные, разрешенные субъектом персональных данных для распространения.

К ним относятся такие персональные данные, доступ неограниченного круга лиц к которым предоставлен их субъектом (). Такое разрешение выражается путем дачи согласия на обработку персональных данных.

Согласие должно оформляться отдельно от других согласий субъекта персональных данных на обработку его персональных данных.

Оператор обязан обеспечить субъекту возможность определить перечень персональных данных по каждой категории, указанной в таком согласии ().

Субъект также имеет право ограничить обработку персональных данных оператором – например, если в согласии не было прямого разрешения на распространение персональных данных, оператор имеет право их обрабатывать, но без распространения (). При этом молчание и бездействие субъекта персональных данных не является согласием на обработку ().
При этом молчание и бездействие субъекта персональных данных не является согласием на обработку ().

На кого распространяются положения закона?Под ответственность попадают все операторы, которые выкладывают персональные данные в общий доступ. К таким оператором относятся, например, социальные сети.

Таким образом согласие может быть предоставлено непосредственно оператору (в соответствии с ), то есть направлено в письменном виде самой социальной сети. Впоследствии предоставление согласия можно будет совершать с использованием системы Роскомнадзора как уполномоченного органа по защите

Как ужесточились требования к работе с персональными данными в 2021 году

Если к вам они не относятся, то подавать уведомление нужно, иначе есть вероятность того, что Роскомнадзор сам пришлет вам письмо-напоминание: Ответственность предусмотрена ст.

19.7 КоАП РФ «Непредставление сведений (информации)»: Непредставление или несвоевременное представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), муниципальный контроль, сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), муниципальный контроль, таких сведений (информации) в неполном объеме или в искаженном виде, <.> влечет: предупреждение или наложение административного штрафа на граждан в размере от 100 до 300 рублей; на должностных лиц — от 300 до 500 рублей; на юридических лиц — от 3000 до 5000 рублей.

0 Ответить П Павел Согласно требованиям ч.5 ст.

2.1 54-ФЗ в случае расчетов в безналичном порядке в сети «Интернет» и невозможности прямого взаимодействия с клиентом, исполнитель (продавец) обязан обеспечить передачу клиенту кассового чека в электронной форме на абонентский номер либо адрес электронной почты. Может ли исполнитель согласно п.2 и п.6 ч.1 ст.

Может ли исполнитель согласно п.2 и п.6 ч.1 ст.

6 152-ФЗ не получать согласие на обработку ПД, а именно абонентский номер и/или адрес электронной почты, для исполнения этих требований? 0 Ответить Яна Аржанова, главный редактор , добрый день.

Не совсем понятно, как вы будете передавать клиенту кассовый чек в электронной форме, если не собираетесь запрашивать у него номер телефона или адрес электронной почты.

Обычно клиент передает вам эти данные в момент регистрации на сайте и при создании личного кабинета. В этом случае согласие на обработку ПД становится одним из этапов регистрации, то есть клиенту нужно обязательно поставить галочку о том, что он согласен на обработку ПД, чтобы завершить регистрацию.

Новые правила обработки персональных данных сотрудников с 2021 г. в 1С: Бухгалтерии

2.

Молчание субъекта ПДн не может быть расценено, как согласие на распространение ПДн.

Это актуально и для бездействия сотрудника (п.

8 ст. 10.1 Закона № 152-ФЗ). 3. Любые ПДн о физ. лице можно публиковать только при наличии его письменного согласия, даже если лицо самостоятельно их разместило в общедоступном месте (интернет или социальные сети).

Раньше такие личные данные можно было распространять без получения согласия от их владельца (п. 2 ст. 10.1 Закона № 152-ФЗ). В случае, если сотрудник не дал согласия на распространение ПДн, но при этом дал согласие на обработку, то работодатель не в праве передавать информацию третьим лицам (п. 4 ст. 10.1 Закона № 152-ФЗ). Правило не распространяется на передачу ПДн гос.
4 ст. 10.1 Закона № 152-ФЗ). Правило не распространяется на передачу ПДн гос.

органам (ИФНС, ФСС, ПФР, полиции и другим). Стоит отметить, что сотрудник и вовсе может отказаться от дачи согласия на обработку ПДн.

Но это не значит, что работодатель не вправе обрабатывать такие данные.

Это возможно в случаях, указанных в ч.

2 ст. 9 Закона № 152-ФЗ. Одним из которых является выполнение возложенных законом обязанностей на компанию. Получить согласие на распространение ПДн можно двумя способами: 1.

Непосредственно у физ. лица, то есть с личной подписью на бумаге; 2. Через информационную систему Роскомнадзора. Любое физ. лицо может подключиться к системе для того, чтобы указать какие ПДн и кому он разрешает распространять.

Оператор, в свою очередь, также имеет возможность подключиться к данной системе и не получать от конкретного физического лица письменное согласие, а использовать информацию, содержащуюся в системе Роскомнадзора. Это возможность станет доступной с 1 июля 2021 года.

Требования к содержанию согласия на распространение персональных данных утверждены Приказом Роскомнадзора от 24.02.2021 N 18. Стоит заметить, что не нужно уведомлять Роскомнадзор о своем намерении распространять персональные данные, имея на это разрешение субъекта.Можно ли получить одно согласие от работника, прописав в нем все возможные цели обработки/распространения?

Последствия отзыва согласия на обработку персональных данных

Подборка наиболее важных документов по запросу (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).

Открыть документ в вашей системе КонсультантПлюс:Часть 2 ст. 9 Закона N 152-ФЗ предусматривает возможность субъекта отозвать ранее данное согласие на обработку персональных данных. Правовым последствием отзыва является утрата права оператора на обработку персональных данных этого субъекта, за исключением случаев, когда оператор имеет иные предусмотренные Законом N 152-ФЗ основания для обработки таких данных (п.

п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11). Открыть документ в вашей системе КонсультантПлюс:6.

Часть 5 комментируемой статьи регламентирует последствия отзыва субъектом персональных данных своего согласия на их обработку. Данные положения развивают норму ч. 2 ст. 9 Закона о персональных данных, предусматривающую право субъекта персональных данных на отзыв ранее данного согласия на их обработку и обязанность оператора прекратить дальнейшую обработку таких данных, за исключением случаев, когда оператор может воспользоваться одним из оснований для обработки персональных данных в отсутствие согласия их субъекта.

2 ст. 9 Закона о персональных данных, предусматривающую право субъекта персональных данных на отзыв ранее данного согласия на их обработку и обязанность оператора прекратить дальнейшую обработку таких данных, за исключением случаев, когда оператор может воспользоваться одним из оснований для обработки персональных данных в отсутствие согласия их субъекта. Часть 5 ст. 21 настоящего Закона регламентирует срок исполнения данной обязанности, который по общему правилу составляет 30 календарных дней с момента получения отзыва оператором. Иной срок может быть установлен в договоре, где субъект персональных данных выступает в качестве стороны, выгодоприобретателя или поручителя.

При этом следует иметь в виду, что установление чрезмерно больших сроков, использование мелкого шрифта или иных недобросовестных приемов может являться нарушением законодательства о защите прав потребителей (Постановление Восемнадцатого арбитражного апелляционного суда от 14 января 2013 г. N 18АП-12864/2012 по делу N А47-8831/2012).

2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

3 злободневных вопроса об обработке персональных данных: ищем ответы в свежих разъяснениях регулятора и судебных делах

А также поделюсь личным опытом участия в проверках службы.

  • Фотография в СКУД – биометрические персональные данные?

Использование фотографий в системах контроля управления доступом (СКУД) – распространенная практика в компаниях.

Поэтому многих волнует вопрос: относится ли фотография в СКУД к биометрическим персональным данным?

Ведь в этом случае организация должна будет получить согласие субъекта персональных данных в письменной форме, указанной в . Что говорит законодательство? дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография.

Так, в говорится, что под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта данных. Что говорит Роскомнадзор? На сайте службы опубликованы разъяснения о том, что фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными. На дне открытых дверей в январе текущего года представители регулятора пояснили, при каких условиях фотография относится к биометрическим персональным данным.

Так, если она:

  1. отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).
  2. сделана в соответствии с требованиями к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);

При данном пояснении регулятора можно сделать вывод, что обработка фотографии в системе СКУД к биометрическим персональным данным не относится. Кроме того, на последних проверках Роскомнадзора с нашим участием компании не получали замечаний о том, что фотография в СКУД относится к биометрическим персональным данным. Однако нам встречались и примеры с противоположным решением регулятора.

Что говорит судебная практика?

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.6.

В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает субъекта персональных данных.7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.8.

Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в — , и настоящего Федерального закона.9.

к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.(часть 9 введена Федеральным от 30.12.2020 N 519-ФЗ) Открыть полный текст документа

Инструкция, как отозвать согласие на обработку персональных данных

В том числе, у него должны быть изданы документы, определяющие политику оператора в отношении обработки персональных данных, положение о защите, хранении и их обработке.4. Ваши персональные данные должны храниться на серверах и информационных базах в России. За данное нарушение предусмотрена самая большая ответственность оператора, до 18 млн.

рублей за повторное нарушение данного требования.5. Оператор обязан прекратить обработку персональных данных, если цель такой обработки достигнута. В том числе, он должен уничтожить данные, если вы отозвали согласие на обработку персональных данных.

Частью 2 статьи 9 Федерального закона от 27 июля 2006 г.

N 152-ФЗ «О персональных данных», предусмотрена возможность отозвать своё согласие на обработку персональных данных.

Отозвать согласие можно по разным причинам.

Следует обратить внимание на то, что хоть формально возможность отозвать согласие имеется, но не всегда удаётся это сделать.

В конце я приведу пример, почему банки законным образом отказывают в отзыве согласия и уничтожении ваших персональных данных.Итак, если вы решили отозвать согласие вам нужно сделать ряд действий.1.

Подготовить заявление на отзыв согласия. Отзыв пишется в свободной форме, главное указать от кого вы направляете его и кому.2. Если вы обратитесь к оператору лично, то дайте ему два заявления, на одном пусть представитель оператора напишет, что документ принят.

Укажет дату принятия, входящий номер, свою должность и Ф.И.О.

Этот экземпляр вы заберёте себе.3. По истечению 30 дней с момента подачи заявления оператору, он должен уничтожить ваши персональные данные.

О чём необходимо составить акт. Вы можете обратиться с запросом о предоставлении вам информации об уничтожении ваших персональных данных.4. Если оператор не реагирует на ваши запросы, вы можете подать жалобу в надзорную инстанцию.

ФАС оштрафует, например, за недобросовестное распространение рекламы, если вы её получаете на свою почту или телефон. 5. В том случае, если оператор отказал вам в отзыве

Статья 9.

Согласие субъекта персональных данных на обработку его персональных данных

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); 3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; 4) цель обработки персональных данных; 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; 6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; 7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; 9) подпись субъекта персональных данных.

5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации. 6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных. 7.

Новое о персональных данных

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др.

Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов. С 1 марта 2021 года вместо общедоступных данных появилось понятие

«персональные данные, разрешенные субъектом персональных данных для распространения»

– сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст.

3 Закона № 152-ФЗ). При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц. К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т.

д.) персональные данные работника, нужно получить его согласие.

В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия.

В частности, оно должно быть конкретным, информированным и сознательным.

Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом. Это согласие работодатели уже давно должны были запросить у работников.

К сведению: отдельное

Согласие на обработку персональных данных: новые требования с 1 сентября 2021 года

Эти требования ведомство прописало в , который вступает в силу с 1 сентября 2021 года.

В Приказе приводится перечень обязательных сведений субъекта персональных данных, которые должны содержаться в согласии на обработку:

  1. категории и перечень персональных данных, на обработку которых дается согласие субъекта: персональные данные (ФИО, год, месяц, дата рождения, место рождения, адрес, семейное положение и др.), специальные категории персональных данных и биометрические данные;
  2. контактная информация (номер телефона, адрес электронной почты или почтовый адрес);
  3. сведения об операторе-организации;
  4. сведения об операторе-гражданине, являющимся ИП;
  5. срок действия согласия.
  6. цель обработки персональных данных;
  7. сведения об информационных ресурсах оператора, через которые неограниченному кругу лиц предоставляется доступ к данным и производятся иные действия с персональными данными;
  8. ФИО;
  9. сведения об операторе-физическом лице;

По желанию субъекта персональных данных заполняется следующая информация:

  1. условия, при которых полученные данные могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.
  2. категории и перечень данных, для обработки которых субъект устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов;

Роскомнадзор решил помочь бизнесу и разработал специальный конструктор для формирования шаблона согласия.

Рекомендуемый документ соответствует всем необходимым требованиям и учитывает особенности деятельности конкретного оператора. Конструктор создавался с учетом правоприменительной практики и обращений операторов по оформлению согласия на обработку персональных данных, разрешенных для распространения.

Сервис Роскомнадзора предлагает заполнить поля, после этого шаблон рассматривается экспертами ведомства.

Интервью с экспертом. Как работать с персональными данными работников в 2021 году

Оператор — это юридическое или физическое лицо (например, индивидуальный предприниматель или лицо, с которым заключен гражданско-правовой договор), осуществляющее обработку персональных данных. Круг прав и обязанностей в области обработки персональных данных будет зависеть от целей и задач конкретного оператора.

Главный нормативно-правовой акт, которым необходимо руководствоваться в работе с персональными данными, — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).

Основные обязательные документы:

  1. Политика в отношении персональных данных — в первую очередь должна быть в организации (ст.

    18.1 Федерального закона № 152-ФЗ).

Обратите внимание: законодательно требований к документу не установлено. Есть разъяснения Роскомнадзора по его содержанию. Рекомендуем их учитывать.

  1. Локальный нормативный акт по персональным данным — определяет порядок обработки персональных данных в конкретной организации, с ним должны быть ознакомлены все работники под подпись.