журнал регистрации согласий на обработку персональных данных образец
Какие журналы учета обязательно ведутся субъектами, работающими с персональными данными, образцы заполнения
Поскольку на работодателя возложена обязанность соблюдения конфиденциальности при обработке и использовании персональных данных, то возникает необходимость вести определенные акты, регламентирующие и закрепляющие все нюансы, касающиеся личных данных работников.
В статье мы расскажем, какие журналы, связанные с ПДн необходимо вести в организации, и какой формы могут быть эти документы.
Какие книги необходимо вести организации?
Поэтому единой формы для того или иного журнала законодателем не предусмотрено.
На различных предприятиях ведутся следующие журналы, связанные с персональными данными:
Также на предприятиях могут вестись журналы:
Кто должен вести подобную документацию?
Порядок хранения, использования и учета личной информации работников в организации устанавливается работодателем с соблюдением требований Трудового Кодекса.
Регламентация передачи ПД
Если руководитель принимает решение о необходимости регламентации движения персональных данных, то образец заполнения журнала учета передачи ПДн вносится в пакет типовых документов по защите конфиденциальной информации. Его форма в этом случае должна утверждаться приказом. Также издается приказ о назначении лица, ответственного за заполнение такого акта.
Оформление: общие требования
Титульная страница
Общепринято (для всех журналов) в правом верхнем углу указывать руководителя (генерального директора), утверждающего документ. Форма ведения может быть такой:
Генеральный директор название предприятия
ФИО___
« »____20__г.»
Далее посередине заглавными буквами указывается название. После обозначается поле для даты, с которой было начато ведение документа, напр.
«Журнал начат «__» __ 20__ г.», рядом указывается поле для даты окончания, напр. «Журнал завершен «__» ___ 20__ г.».
В правом нижнем углу указывается сотрудник, ответственный за ведение документа, также проставляются даты, например:
«ОТВЕТСТВЕННЫЙ за ведение журнала
ФИО и должность сотрудника
«___» ___20__г.».
Содержание
Сам документ содержит следующие графы:
Содержание отдельных книг
Обращения субъектов
Образец заполнения журнала обращений субъектов персональных данных содержит:
Документ также может содержать раздел «Порядок заполнения». В данном разделе указываются правила заполнения граф, исправления ошибок и т.д.
Ознакомления с положением о защите
В самом акте может быть продублировано Положение о защите ПДн сотрудников. Разделы:
Электронных и машинных носителей, содержащих ПД
Образец заполнения журнала учета электронных и машинных носителей информации, содержащих персональные данные включает:
Подробнее об уничтожении персональных данных читайте тут.
Мероприятий по контролю обеспечения сохранности
В графы вносится:
Регистрации нарушения и восстановления
Регистрации согласий на обработку
Образец журнала регистрации согласий на обработку персональных данных включает в себя следующую информацию:
Фиксирования средств защиты информации
Документ содержит разделы:
Стоит помнить, что журналы не имеют законодательной регламентации. Окончательная форма утверждается предприятием или организацией, которые производят учет. Поэтому следует уточнять необходимость ведения того или иного журнала у работодателя, а также осведомляться о формах ведения журналов учета, связанных с персональными данными.
Согласие на обработку персональных данных: новые требования с 1 сентября 2021 года
Осенью вступает в силу Приказ Роскомнадзора, устанавливающий требования к содержанию согласия на обработку персональных данных, которые субъект данных разрешает распространять. Срок действия приказа — до 1 сентября 2027 года.
Последние значительные изменения в Федеральном законе от 27.07.2006 № 152-ФЗ начали действовать с 1 марта 2021 года. Они были внесены Федеральным законом от 30.12.2020 № 519-ФЗ и затронули вопрос предоставления доступа к данным субъекта через согласие на обработку таких данных. Поправки были инициированы с целью решить проблему бесконтрольного использования персональных данных граждан третьими лицами.
В законе подчеркивается, что согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно. А молчание или бездействие владельца данных ни при каких обстоятельствах не может восприниматься как согласие на их обработку.
В согласии на обработку данных, разрешенных для распространения, можно установить запреты:
Распространение персональных данных должно быть приостановлено в любое время по требованию субъекта, даже если ранее он дал на это согласие.
В п. 9 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ уточняется, что требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, устанавливаются Роскомнадзором. Эти требования ведомство прописало в Приказе от 24.02.2021 № 18, который вступает в силу с 1 сентября 2021 года.
Требования к сведениям, которые должны быть в согласии
В Приказе приводится перечень обязательных сведений субъекта персональных данных, которые должны содержаться в согласии на обработку:
По желанию субъекта персональных данных заполняется следующая информация:
Шаблон согласия на обработку ПД, разрешенных для распространения
Роскомнадзор решил помочь бизнесу и разработал специальный конструктор для формирования шаблона согласия. Рекомендуемый документ соответствует всем необходимым требованиям и учитывает особенности деятельности конкретного оператора.
Конструктор создавался с учетом правоприменительной практики и обращений операторов по оформлению согласия на обработку персональных данных, разрешенных для распространения.
Сервис Роскомнадзора предлагает заполнить поля, после этого шаблон рассматривается экспертами ведомства. При необходимости оператору даются рекомендации по доработке документа. Результаты проверки отправляются на электронный адрес, указанный в форме.
В дальнейшем оператор может использовать проверенную форму согласия в своей работе.
В шаблон согласия на обработку персональных данных от Роскомнадзора учитываются все сведения, указанные как обязательные в Приказе от 24.02.2021 № 18:
Напомним, что с 27 марта заметно выросли штрафы за нарушения в работе с персональными данными (Федеральный закон от 24.02.2021 № 19-ФЗ).
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Персональные данные для digital-маркетинга: полный гайд и шаблоны документов
Вы собираете имейлы или телефоны клиентов — вы оператор персональных данных. Разбираемся, как не нарушить закон.
Евгений Царёв
Управляющий RTM Group, эксперт в области IT-права и кибербезопасности. 15 лет в сфере защиты информации, из них более 10 лет — на руководящих позициях в крупных компаниях отрасли, включая Leta IT-Company и Swivel Secure. В 2018 году основал и возглавил группу компаний RTM Group, специализирующуюся на IT-праве, судебных компьютерных экспертизах и аудите в области ИБ и ИТ.
Самозанятый автор. Создаёт статьи в блог и коммерческий контент. Пишет о маркетинге, финансах, бизнесе и YouTube.
Что такое персональные данные
Понятие персональных данных и правила их обработки содержатся в федеральном законе №152-ФЗ «О персональных данных». Согласно ему, персональные данные — это «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».
Когда вы начинаете обрабатывать такие сведения, то становитесь оператором персональных данных. Под обработкой закон понимает любые действия: сбор, запись, систематизацию, накопление, хранение, — вплоть до уничтожения. Полный список можно посмотреть в этой статье.
Почти все компании в России — операторы персональных данных, потому что обрабатывают хотя бы сведения о сотрудниках. Также операторами становятся все, кто обрабатывает сведения о клиентах. Вот несколько типовых ситуаций:
В тот момент, когда вы начинаете обработку персональных данных, запускается и механизм ответственности. Вы становитесь оператором со всеми последствиями.
О чём необходимо помнить операторам, когда они обрабатывают персональные данные граждан? Нужно определить цель и сроки обработки ПДн, содержание, объём, перечень и категории обрабатываемых данных, заручиться согласием субъекта. Ниже мы разберём подробнее, какие требования законодательства нужно выполнить.
Уведомление Роскомнадзора
Просто так начать обрабатывать персональные данные нельзя. До старта нужно уведомить Роскомнадзор. Только компании и учреждения, которые вели эту деятельность до выхода соответствующего закона, могут регистрироваться по факту. Другими словами, они могут уведомлять ведомство уже после того, как начали обработку.
Перед подачей заявления нужно подготовиться:
Уже после этого можно регистрироваться. Роскомнадзор разработал форму уведомления для всех, кто будет обрабатывать персональные данные. Есть три способа подать уведомление:
Регулятор вносит сведения в реестр операторов персональных данных в течение 30 дней с даты поступления уведомления. Когда вы начнёте обрабатывать данные и потребуются какие-либо изменения, нужно будет сообщить о них Роскомнадзору. Также нужно будет уведомить, если вы прекратите собирать и обрабатывать данные.
Можно ли обойтись без регистрации в Роскомнадзоре? Можно, но в редких случаях — они описаны в статье 22 №152-ФЗ. В основном это прямые договоры с клиентами, когда вы никому не передаёте информацию о клиентах, а также не предоставляете им дополнительных услуг. Ещё можно обойтись без уведомления, если вы:
Но всё это — только если правоотношения строятся «в чистом виде», что на практике практически невозможно. Например, работодатель наверняка имеет зарплатный проект и передаёт сведения в банк.
Если у вас есть хотя бы небольшие сомнения, лучше спросить регулятора о вашем конкретном случае, чем в одностороннем порядке решить, что предписания к вам не относятся.
Случай из практики. Автосалон не зарегистрировали в качестве оператора персональных данных. Руководители организации решили, что организация подпадает под исключения из части 2 статьи 22 152-ФЗ. Все случаи обработки персональных данных, решили они, — это исключения: автосалон выдаёт разовые пропуска, заключает договоры купли-продажи авто и обрабатывает сведения о работниках.
Организация сообщила об этом в Роскомнадзор информационным письмом. В ответ регулятор разъяснил, что пройти процедуру придётся. Аргументы Роскомнадзора были такими:
Поскольку салон оказывает сопутствующие и посреднические услуги, ему пришлось зарегистрироваться в качестве оператора.
Необходимые документы и их шаблоны
Правильно разработанная юридическая документация поможет свести к минимуму риск, что компанию обвинят в нарушении законодательства о персональных данных. Список необходимых документов включает:
В разделе мы расскажем об этих документах подробнее.
Политика конфиденциальности и правила работы с персональными данными. В документах многих компаний содержится одна и та же ошибка: правила работы с персональными данными они называют политикой конфиденциальности. Однако это разные документы.
Правила работы с персональными данными должны содержать то, что рекомендует Роскомнадзор и требует 152-ФЗ. Политика конфиденциальности шире: документ описывает работу со всей конфиденциальной информацией, в том числе с персональными данными. В политику добавляют то, что нужно защитить дополнительно. Например, это договоры, переписка с клиентами и партнёрами, внутренняя документация.
Два документа можно объединить в один, это не противоречит законодательству. Когда пользователи регистрируются на сайте, их нужно познакомить с политикой конфиденциальности и правилами работы с персональными данными до процедуры регистрации.
Согласие на обработку персональных данных. Форма, которую должен заполнять субъект персональных данных. В ней обязательно должны быть сведения об информационных ресурсах оператора. Это адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имени файла веб-страницы. Нужно указать адреса всех сайтов, которые будут обрабатывать сведения о пользователях.
Согласие должно быть написано чёткими и ясными фразами, чтобы пользователь понял, кому и в каких случаях вы можете передавать его данные. Ошибкой будет написать что-то вроде « Пользователь ознакомлен и согласен с тем, что передача его персональных данных может осуществляться маркетплейсом в объёме, необходимом для получения Пользователем доступа к Платформе, любым третьим лицам, в том числе осуществляющим техническое обслуживание сайта и поддержку Пользователя».
Важно! Если на сайте можно зарегистрироваться, нужно знакомить пользователей с политикой конфиденциальности и получать согласие на обработку персональных данных перед тем, как он отправит анкетные сведения.
Согласие на обработку персональных данных
Когда клиент подписался на новостную рассылку на сайте, оформил заказ на маркетплейсе или оставил заявку на тест-драйв авто, он сообщил как минимум своё имя, номер телефона или email. Это основание запросить и получить согласие на обработку персональных данных.
Пользователь должен принять решение о предоставлении данных свободно и по своей воле. В подтверждение он должен подписать официальное согласие на обработку такой информации.
Законодательство не предполагает конклюдентного подтверждения: то есть пользователь не может дать согласие, выполнив определённые действия. Нельзя прописать в политике, что клиент выражает согласие на обработку его данных, заполняя форму для заказа в интернет-магазине.
Получить согласие на обработку можно в любой форме, позволяющей подтвердить факт его получения. Например, чекбоксом — пунктом, в котором пользователь должен поставить галочку. Предустанавливать её нельзя: субъект персональных данных должен сам выразить согласие. Разместить чекбокс нужно во всех формах, в которых собирают персональные данные.
Также можно поместить уведомление о согласии на обработку рядом с кнопкой. Нажав на неё, пользователь согласится с тем, что вы будете обрабатывать его данные. Часто веб-сервисы собирают разрешения в личных кабинетах, где пользователи также проставляют метки в специальных формах.
Важно! Если собираете биометрические данные (фото пользователей или аудио с их голосом), нужно получать только письменное согласие на обработку персональных данных. Чекбокс не подойдёт.
В любой момент пользователь может отозвать согласие на обработку персональных данных. Тогда вы должны будете прекратить обрабатывать их, то есть удалить.
Бывают ли случаи, когда не нужно брать согласие на обработку персональных данных? Бывают, но их мало. Закон разрешает не брать согласие, если « обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора».
Не забывайте получать согласие на обработку персональных данных, даже если это кажется избыточным. Самые частые нарушения, за которые штрафуют операторов: компании обрабатывали данные без согласия владельцев или объём запрошенных данных не соответствовал целям обработки. Эти нарушения приводят не только к штрафам, но и к утечкам.
Ответственность за нарушения при обработке персональных данных
Правомерную обработку персональных данных контролирует Роскомнадзор, иногда это делают также Роструд и ФАС. Ответственность за нарушения в этой сфере год за годом ужесточается. Подробнее о видах ответственности читайте здесь.
По статье 13.11 КоАП РФ Роскомнадзор может возбудить дело об административном правонарушении и наложить штраф:
Риск привлечения к ответственности и размер штрафа не зависят от масштабов компании. Главное — характер и злостность нарушения.
Кейс. Роскомнадзор выявил нарушения на интернет-ресурсе, принадлежащем французскому регистратору доменов Gandi SAS. Когда клиент проставлял галочку о согласии на обработку персональных данных, он не получал информации об операторе.
Кроме того, компания обрабатывала личные сведения граждан России на территории США с нарушением требований 152-ФЗ. Согласно пункту 5 статьи 18 152-ФЗ, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить обработку персональных данных с использованием баз данных, находящихся на территории России. У компании также не было политики обработки персональных данных. В результате рассмотрения дела ресурс включили в Реестр нарушителей прав субъектов персональных данных.
Только за 2020 год число заблокированных Роскомнадзором ресурсов превысило 190 тысяч. У регулятора есть широкий список оснований, в соответствии с которыми он может включить ресурс в список нарушителей. Подробный список представлен здесь.
Кроме того, в июле 2021 года вступил в силу 355-ФЗ, который внёс поправки в статью 7 115-ФЗ — закона о борьбе с легализацией доходов и финансированием терроризма.
Согласно новой редакции закона, банки обязаны принимать на обслуживание только те компании, сайт которых работает легитимно. А значит, он не заблокирован, не нарушает правила обработки персональных данных и другие предписания Роскомнадзора. Если есть какие-то нарушения, банк обязан отказать в обслуживании: компания не сможет совершать любые операции по расчётному счёту.
Закон касается не только новых компаний, но и тех, кто давно работает с расчётным счётом. Сфера бизнеса и организационно-правовая форма не имеют значения — никаких исключений нет. Банкам предписано выборочно проверять сайты на соответствие закону и бить тревогу, если выявлены нарушения.
обложка: Polina Vari для Skillbox Media
Как составить согласие на обработку персональных данных, смотрите в нашем видео:
Для чего нужно письменное согласие работника на обработку его данных
Получение письменного согласия человека на обработку его персональных данных становится необходимо юридическому или физлицу, которое получает доступ к этим данным. Основные вопросы, связанные с персональными сведениями о человеке, регулируются законом «О персональных данных» от 27.07.2006 № 152-ФЗ. В их число входит:
Наиболее частым случаем получения и обработки персональной информации о человеке является сбор и анализ работодателем сведений о своем работнике (уже работающем или вновь принимаемом на работу).
Помимо общедоступных сведений, к которым закон № 152-ФЗ относит данные о Ф. И. О., принадлежности к определенному полу, дате рождения, работодателю оказывается нужна и иная информация, содержащаяся в документах, предъявляемых при трудоустройстве (ст. 65 ТК РФ):
Сбор и обработка таких данных требуют от работодателя получения предварительного письменного согласия работника на эти действия (п. 1 ст. 9 закона № 152-ФЗ). Согласие является добровольным и может быть отозвано работником.
Требования к хранению и защите персональных данных подробно изложены в Путеводителе по персональным данным работников системы КонсультантПлюс. Получите бесплатный пробный доступ к системе прямо сейчас.
О том, что еще понадобится сделать при заключении трудового договора, читайте в статье «Порядок заключения трудового договора (нюансы)».
Об ответственности за разглашение персональных данных читайте здесь.
Что входит в содержание заявления о согласии
Перечень основных моментов, которые должны быть отражены в документе, закрепляющем согласие на обработку персональных данных, содержится в п. 4 ст. 9 закона № 152-ФЗ. Это:
ВНИМАНИЕ! В заявлении о согласии на обработку персональных данных желательно указывать 1 цель, для которой собираются сведения. Сейчас нет прямого запрета включать в одно согласие несколько целей обработки персональных данных. Вместе с тем есть риск, что Роскомнадзор и затем суд сочтут это нарушением (постановление 9 арбитражного апелляционного суда от 16.08.2016 №09АП-30182/2016-АК). Но Минкомсвязь подготовил проект, согласно которому, в одно заявление можно будет включать несколько целей.
Бланк согласия на обработку персональных данных не имеет законодательно утвержденной формы. При его оформлении нужно только соблюсти обязательность включения в него сведений, предусмотренных п. 4 ст. 9 закона № 152-ФЗ. Каждый получатель персональной информации может разработать форму согласия самостоятельно, отразив в ней необходимый ему перечень сведений и особенности их обработки.
С 1 из образцов согласия на обработку персональных данных можно ознакомиться на нашем сайте:
Альтернативный вариант согласия работника на обработку персональных данных разработан экспертами КонсультантПлюс. Получите бесплатный пробный доступ к К+ и переходите к образцу.
Итоги
Согласно действующему законодательству обработка большей части персональных данных о человеке должна осуществляться с его письменного согласия. Определенной формы у документа, содержащего такое согласие, не имеется, однако установлен перечень обязательной информации, которая должна быть включена в него. Итоговый перечень необходимых персональных данных разрабатывает получатель этих сведений.
Новое согласие на обработку персональных данных — 2021
Практически каждая организация так или иначе работает с персональными данными. В большинстве случаев на такую обработку требуется отдельное письменное согласие. Еще несколько лет назад, когда штрафы за нарушение законодательных норм о личной информации не были столь велики, многие игнорировали правила обработки персданных. Однако недавно прошла новая волна повышения штрафов за неправильную обработку личных данных, поэтому ошибка может стоить организации сотен тысяч рублей. Работникам также будет полезно знать, нужно ли на работе предоставлять согласие на обработку личной информации. В данной статье мы расскажем о требованиях к согласию на обработку персданных, рассмотрим последние изменения по данному вопросу и потенциальные штрафы. Также вы сможете скачать образцы согласия, которые разработали специалисты сайта «Время Бухгалтера».
Обработкой личных данных законодатель считает любые действия, которые вы проводите с ними. А персональные данные — это всевозможные сведения о гражданах.
Таким образом, даже если вы, например, всего лишь получаете паспортные реквизиты своих клиентов или создаете базу их телефонных номеров, вы обрабатываете личную информацию и признаетесь их оператором. Это значит, что вы обязаны под риском ответственности соблюдать требования, которые предъявляются к обработке личной информации. Так, вы должны определить цель обработки и строго ей следовать, при необходимости получать согласие на обработку и уведомлять о ней Роскомнадзор, а также принимать меры по защите информации.
По общему правилу обрабатывать персональные данные гражданина можно лишь с его согласия (п. 1 ч. 1 ст. 6 закона о персональных данных). Причем субъект данных имеет право в любой момент такое согласие отозвать (тогда продолжать обрабатывать данные можно лишь в строго установленных законом случаях). Согласие на действие с личными данными должно быть конкретным, информированным и сознательным. Обязанность доказать наличие такого согласия или обстоятельств, в силу которых это согласие не требуется, возлагается на оператора. Из данной нормы видно, что действует презумпция отсутствия согласия у гражданина, поэтому разрешение не должно быть устным.
Самыми распространенными ситуациями, когда потребуется согласие на обработку персданных, это сбор данных (заявок) клиентов и прием новых сотрудников на работу (это включает в себя даже этап рассмотрения резюме, ведь там содержатся персональные данные).
Не требуется согласие на обработку персональных данных физического лица в случаях, приведенных в пп. 2—11 ч. 1 ст. 6 закона о персональных данных. Так, согласие не потребуется, если обработка необходима:
1) для заключения договора по инициативе гражданина или договора, по которому он будет выгодоприобретателем или поручителем. Например, если физическое лицо арендует у вас помещение или квартиру;
2) для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является гражданин. Так, не требуется дополнительное согласие, если гражданин заказал доставку на дом, а его адрес необходимо уточнить;
3) для осуществления и выполнения функций, полномочий и обязанностей, которые возложены на вас законодательством. Например, если магазин уточняет у клиента адрес его электронной почты, чтобы направить ему электронный кассовый чек согласно закону № 54-ФЗ;
4) для осуществления прав и законных интересов либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина. Например, охранник может записывать данные посетителей бизнес-центра, не получая от них дополнительное письменное согласие.
Во всех остальных случаях согласие обязательно. Обработка персданных без согласия субъекта грозит внушительными штрафами, о которых мы расскажем ниже.
В марте текущего года вступил в силу Федеральный закон от 30.12.2020 № 519-ФЗ. Теперь на персданные, которые будут передаваться третьим лицам или открыто публиковаться для распространения (например, на сайте), нужно дополнительное отдельное согласие помимо основного разрешения на обработку. При этом из текста закона исключено понятие персональных данных, ставших общедоступными.
Уточняется, что для нового вида персданных будут действовать отдельные требования:
• одобрение на работу с новой категорией данных фиксируется в письменном виде исключительно отдельно от общего согласия;
• лицо, распространившее личную информацию, обязано доказать законность совершенных действий;
• безмолвие субъекта не считается одобрением на распространение;
• субъект персданных может потребовать закончить распространение когда угодно;
Также 27.03.2021 вступил в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который внес изменения в КоАП РФ в части штрафов за нарушения в работе с персданными. За обработку личных данных в незаконных случаях должностных лиц и ИП теперь штрафуют на сумму от 10 до 20 тыс. рублей, а компании — от 60 до 100 тыс. рублей. Наказание ждет также в том случае, если персданные обрабатывались в целях, не заявленных гражданину. До этого штраф был на 100 процентов меньше, а за нарушение могли всего лишь предупредить.
Приказом Роскомнадзора от 24.02.2021 № 18 утверждены обязательные требования к согласию на обработку персональных данных разрешенных для распространения. В согласии среди прочего должны указывать такие сведения:
— Ф.И.О. субъекта персданных, его контактную информацию;
— данные оператора, его информационные ресурсы;
— цель обработки, категории и перечень персданных;
— срок действия согласия.
Документ вступил в силу 1 сентября 2021 года и будет действовать до 1 сентября 2027 года.
С 1 июля заработал новый интернет-сервис для операторов персональных данных. Он поможет правильно подготовить шаблон формы согласия на обработку данных, которые лицо разрешило распространять. В нем учтены обязательные с 1 сентября требования.
Оператор заполнит необходимые поля в формате конструктора. Шаблон рассмотрит специалист Роскомнадзора и при необходимости даст рекомендации по доработке. Форму согласия оператор сможет использовать в своей деятельности.
Кроме того, вдвое увеличены штрафы за обработку персональных данных без письменного согласия гражданина, если оно обязательно. Должностные лица и ИП заплатят от 20 до 40 тыс. рублей, а компании — от 30 до 150 тыс. рублей.
Появился состав о повторном нарушении. Он предусматривает штраф:
— для должностных лиц — от 40 до 100 тыс. рублей;
— для ИП — от 100 до 300 тыс. рублей;
— для компаний — от 300 до 500 тыс. рублей.
По ссылке ниже вы можете скачать образец уже заполненного согласия. Учтите, что заполнение данного документа зависит от целей обработки данных и типа организации. В данном примере приведено согласие от работника по трудовому договору: образец заполнения согласия на обработку персональных данных — 2021
По ссылке ниже вы можете скачать пустой бланк согласия на обработку персданных. Вам необходимо будет самостоятельно заполнить пустые поля в соответствии с законом о персональных данных: бланк согласия на обработку персональных данных — 2021
Как мы уже упоминали, в 2021 году были существенно увеличены штрафы за обработку персданных без согласия субъекта. Ответственность за данное нарушение установлена ч. 2 и п. 2.1 ст. 13.11 КоАП РФ. ИП могут быть оштрафованы до 20 тыс. рублей за первое нарушение (до 40 тыс. рублей за повторное), а юридические лица — до 100 тыс. рублей за первое нарушение (до 300 тыс. рублей — за повторное). Оспорить такой штраф в суде очень сложно. Приведем лишь один недавний пример из судебной практики.
Прокуратура Республики Башкортостан провела проверку соблюдения ООО «Микрокредитная компания «МФЦ» законодательства о микрофинансовой деятельности, законодательства о персональных данных, в ходе которой было установлено, что компания требовала от клиентов заявление на предоставление потребительского займа, анкету клиента-физлица, согласие на обработку персональных данных. Однако, помимо информации о клиентах, компания просила также указать Ф.И.О., контактные номера и сведения о работе близких людей заемщиков.
Мировой судья признал ООО виновной в совершении административного правонарушения, предусмотренного ч. 2 ст. 13.11 КоАП РФ, и назначил компании штраф 15 тыс. рублей. ООО попыталось оспорить штраф в вышестоящем суде, но районный суд оставил штраф в силе. При этом судьи не приняли довод компании, что, собирая персональные данные третьих лиц заемщика, она осуществляет свои права и законные интересы взыскателя в рамках договора займа (Решение Баймакского районного суда Республики Башкортостан от 03.03.2021 по делу № 12-30/2021).