Кто может дать Персональные данные

Онлайн Инспекция – Защита персональных данных работника

Кто может дать Персональные данные

Правила использования сервисов и информации

пользователями системы электронных сервисов «Онлайнинспекция.рф»

Правила использования сервисов и информации пользователями (далее – Правила) системы электронных сервисов «Онлайнинспекция.

рф» (далее – Система) относятся ко всем без исключения электронным сервисам Системы, доступ к которым осуществляется через разделы и страницы Интернет-портала http://онлайнинспекция.рф (далее – Портал).

Настоящие Правила регулируют поведение всех без исключения зарегистрированных в Системе пользователей  и не зарегистрированных посетителей Портала.

1. Термины и понятия, используемые в настоящих Правилах

1.1          В настоящих Правилах используются следующие термины и понятия:

Система – система электронных сервисов «Онлайнинспекция.рф».

Сервисы – основные и дополнительные инструменты, предлагаемые Пользователю для взаимодействия с органами власти.

Портал – информационный ресурс, созданный с целью взаимодействия граждан с Системой, находящийся в сети Интернет по адресу: http://онлайнинспекция.рф.

Администрация портала – должностные лица Федеральной службы по труду и занятости и представители исполнителя работ по государственному контракту на осуществление технического сопровождения Портала, осуществляющие оперативное управление Порталом.

Пользователь – лицо, зарегистрированное на Портале, которому предлагается использовать услуги и сервисы, предоставляемые Порталом.

Модератор – представитель Администрации портала, обрабатывающий сообщения пользователей.

Модерация – процесс обработки и анализа соответствия сообщения Пользователя положениям настоящих Правил использования сервисов и информации пользователями системы электронных сервисов «Онлайнинспекция.рф» и Пользовательского соглашения.

 2. Общие правила

2.1. Для доступа к публикации сообщений на Портале (обсуждения, комментарии, вопросы и использование любых других способов взаимодействия Пользователя с Системой), каждый Пользователь Портала обязан ознакомиться и согласиться с настоящими Правилами.

2.2. После ознакомления с текстами Правил пользования и Пользовательского соглашения, подтвердив согласие с ними на странице регистрации или отправки сообщения, каждый Пользователь указанными действиями заключает с Администрацией Портала соглашение о регулировании их взаимоотношений.

2.3. Администрация Портала обладает правом осуществлять модерацию через представителей Администрации Портала – модераторов. 

2.4. Настоящие Правила могут быть изменены путем внесения изменений соответствующим приказом Федеральной службы по труду и занятости.

 3. Регистрация пользователей

3.1. На Портале существует система регистрации пользователей. Только зарегистрированные пользователи имеют возможность интерактивного взаимодействия с сервисами Системы.  

3.2. Для регистрации на Портале Пользователь указывает действующий адрес электронной почты – на него будут направляться уведомления о текущем статусе опубликованных сообщений (обращений), выбирает условное имя Пользователя («ник»).

3.3. При регистрации Пользователя Система запрашивает пароль к регистрируемому логину. Этот пароль должен быть известен только Пользователю и не должен сообщаться третьим лицам. Используемый пароль может быть изменён Пользователем в специальном разделе Портала – Профиле Пользователя.

3.4. При регистрации Пользователя Система инициирует процесс авторизации посредством отправки смс-сообщения с кодом активации на телефон Пользователя, указанный при регистрации. Полученный пароль необходимо ввести в специальное поле в открывшемся окне. Только после ввода пароля учётная запись активируется.

3.5. Для пользователей, имеющих учётную запись на Портале государственных услуг (http://www.gosuslugi.ru/), предоставлена возможность авторизации посредством логина и пароля от данной учётной записи.  В случае осуществления регистрации данным способом верификация посредством смс-сообщения исключена. 

 4. Публикация обращений

4.1. Каждый зарегистрированный Пользователь может публиковать обращение.

4.2. Обращения публикуются в соответствии с предложенным классификатором категорий проблем.

4.3. Для создания обращения необходимо заполнить форму обращения. В форме обращения Пользователь должен указать свои настоящие данные.

4.4. Пользователю необходимо заполнить следующие поля о себе, как о заявителе:

– адрес проживания заявителя;

– фамилия, имя, отчество (при наличии) заявителя;

– номер мобильного телефона заявителя (в случае отсутствия мобильного телефона, необходимого при регистрации в Системе, заявитель вправе подать обращение напрямую на адрес электронной почты территориального органа Роструда.

Перечень территориальных органов Роструда размещён на едином информационном портале Федеральной службы по труду и занятости в сети «Интернет» (http://rostrud.ru/).

В случае если Пользователь не был зарегистрирован ранее на Портале, на данный указанный номер телефона поступит код активации, который необходимо ввести в специальное поле в появившемся окне с целью активации учётной записи Пользователя и его обращения;

– электронный адрес, на который будут поступать уведомления о ходе решения проблемы. 

Администрация Портала обеспечивает неразглашение третьим лицам всех введённых в процессе регистрации пользовательских данных, за исключением случаев, оговоренных Пользовательским соглашением.

4.5. Пользователю необходимо заполнить следующие поля о месте работы:

– регион, город и точный фактический адрес организации, сотрудником которой он является (-лся);

– данные об организации: название, организационно-правовая форма, юридический адрес, данные о руководителе;

– сведения о своей должности и периоде работы;

– сведения о третьих лицах, упоминание которых требуется для полного описания проблемы.

4.6. Пользователю необходимо заполнить следующие поля о своей проблеме:

– пояснения к сложившейся ситуации;

материалы.

Информация, внесённая в поле «Пояснения к сложившейся ситуации», становится публичной и должна носить общий характер. В данном поле запрещается упоминание персональных данных третьих лиц. В случае если заявитель нарушает данный пункт правил, за публикацию информации несёт ответственность сам Пользователь.

Фотоматериалы являются закрытой информацией по умолчанию и могут быть опубликованы в публичном доступе по решению Пользователя.

4.7. Перед отправкой заявления Пользователь соглашается с настоящими Правилами использования сервисов и информации пользователями Системы и принимает соглашение об обработке персональных данных. В случае несогласия с данными условиями каждый Пользователь вправе отказаться от использования ресурса и воспользоваться другими предложенными на официальных ресурсах ведомства видами связи.

4.8. На Портале применяется пост-модерация сообщений. Сообщения публикуются сразу после размещения пользователями и, если они нарушают настоящие Правила, удаляются, или модератором направляется письмо Пользователю с просьбой устранить нарушение.

4.9. Причины отказа в публикации сообщения или предложения внести коррективы:

–           игнорирование правил правописания и ненормативная лексика, сообщение написано не на государственном языке Российской Федерации или содержит большое количество орфографических и синтаксических ошибок, написан заглавными буквами, содержит ненормативную лексику, в том числе в завуалированной форме;

–           отсутствие логической связи между предложениями в обращении, которое не позволяет понять общий смысл описываемого случая;

–           экстремизм, дискриминация (во всех формах: расовая, этническая, возрастная, половая, религиозная, социальная и т.д.);

–           коммерческие цели и реклама – если, по мнению модератора, публикуемые сведения прямо или косвенно нацелены на извлечение прибыли;

–           недостаточность описания либо безосновательные обвинения – модератор оставляет за собой право отклонить случай, если сведения, указанные в нём, не позволяют сделать вывод об имеющемся правонарушении;

–           не проходят модерацию случаи, в которых нет конкретного указания на проблему, присутствуют вопросы риторического характера;

–           не проходят модерацию случаи, которые не соответствуют выбранной Пользователем категории;

–           не проходят модерацию сообщения, которые дублируют ранее опубликованные сообщения (текст сообщения полностью повторяет текст предыдущего сообщения, то есть не несёт новой информации).

4.10. Пользователь может ознакомиться с ответом по опубликованному обращению в своем личном кабинете, предварительно пройдя авторизацию на Портале.

Спасибо за внимание и понимание!      

Источник: https://xn--80akibcicpdbetz7e2g.xn--p1ai/reminder/216

Персональные данные пациентов в медицинских организациях: требования к обработке и ответственность

Кто может дать Персональные данные

→ Статьи → Персональные данные пациентов в медицинских организациях: требования к обработке и ответственность

Медицинские организации в силу законодательства являются операторами персональных данных своих пациентов.

Они принимают непосредственное участие в сборе, систематизации, накоплении, хранении, уточнении, обновлении, изменении, распространении и уничтожении такой информации.

Разберемся, какие требования предъявляет законодательство к медицинской организации в качестве оператора персональных данных и какие виды ответственности предусмотрены за их нарушение.

Персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ)).

Медицинская организация, получая персональные данные от пациента (субъекта персональных данных), например, при его первоначальном поступлении или заключении договора на оказание медицинских услуг, а также в процессе лечения, приобретает статус оператора. У нее возникают определенные обязанности в части работы с полученными персональными данными.

Данные обязанности регулируются следующими нормативными актами:
– Конституция РФ;
– КоАП РФ, УК РФ, ГПК РФ;
– упомянутый выше Закон № 152-ФЗ;
– Федеральный закон от 27.07.

2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
– Федеральный закон от 21.11.

2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ» (далее — Закон № 323-ФЗ);
– другие положения и нормативно-правовые акты.

Важно!
Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (ст. 3 Закона № 152-ФЗ).

Персональные данные пациента и врачебная тайна

Сразу отметим, что информация о состоянии здоровья пациента относится к специальным категориям персональных данных, обработка которых не допускается, за исключением случаев, когда (ст.

10 Закона № 152-ФЗ):
– пациент дал согласие в письменной форме на обработку своих персональных данных;
– пациент сам сделал персональные данные общедоступными;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов пациента либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия пациента невозможно;
– обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.

Информация, являющаяся врачебной тайной, — это отдельный подвид персональных данных.

Она представляет собой сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья, диагнозе и иные сведения, полученные при его медицинском обследовании и лечении (п. 1 ст.

13 Закона № 323-ФЗ). Ее разглашение не допускается (п. 2 ст. 13 Закона № 323-ФЗ), за исключением отдельных случаев, о которых мы расскажем ниже.

Обработка персональных данных

Обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (ст. 3 Закона № 152-ФЗ).

Как было сказано выше, перед получением от пациента информации медицинская организация должна запросить у него согласие на обработку персональных данных (ст. 6, ст. 10 Закона № 152-ФЗ).

Пациент вправе полностью или частично отказаться от предоставления согласия на обработку персональных данных. Поэтому медицинской организации следует правильно подходить к виду и объему запрашиваемой информации. В обработку нужно запрашивать только те сведения, которые отвечают ее целям. Сведения не должны быть избыточными (ст. 5 Закона № 152-ФЗ).

При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию:
– подтверждение факта обработки персональных данных;
– правовые основания и цели обработки;
– цели и применяемые способы обработки;
– наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании положений законодательства;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен положениями законодательства;
– сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных прав, предусмотренных Законом № 152-ФЗ;
– информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
– иные сведения, предусмотренные Законом № 152-ФЗ или другими федеральными законами.

Согласие на обработку персональных данных может быть получено в электронной либо в письменной форме.

При этом согласие на обработку биометрических данных необходимо получить от пациента именно в письменной форме (ст. 11 Закона № 152-ФЗ), так как они представляют собой сведения, которые характеризуют физиологические и биологические особенности на основании которых можно установить личность.

Бумажный документ должен содержать следующие реквизиты (п. 4 ст. 9 Закона № 152-ФЗ):
– фамилию, имя, отчество, адрес пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;
– Ф.И.О.

, адрес представителя пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя пациента (при получении согласия от него);
– наименование медицинской организации;
– цель обработки персональных данных;
– перечень персональных данных, на обработку которых пациент дает согласие;
– наименование или Ф.И.О. и адрес лица, осуществляющего обработку персональных данных по поручению медицинской организации, если обработка будет поручена такому лицу;
– перечень действий с персональными данными, на совершение которых дается согласие, и общее описание используемых способов обработки персональных данных;
– срок, в течение которого действует согласие пациента, а также способ отзыва такого согласия, если иное не установлено законодательством;
– подпись пациента.

Также обратите внимание, что при заключении договора с пациентом медицинская организация обязана предоставить ему информацию о номере своей лицензии, сроке ее действия и выдавшем ее органе. Такую информацию можно включить непосредственно в договор либо прописать в нем ссылку на источник откуда можно получить информацию.

При заключении договора на сложные и дорогостоящие услуги пациенту следует предложить под роспись ознакомиться с описанием этих услуг, способами их оказания, возможными последствиями и т. д.

От пациента обязательно потребуется получить информированное добровольное согласие на медицинское вмешательство (на анестезиологическое обеспечение медицинского вмешательства, на оперативное вмешательство, в том числе переливание крови и ее компонентов, и т. д.).

Его следует оформить в письменном виде – записью в истории болезни, заверенной подписью самого пациента (его законного представителя) либо его отдельной распиской или заявлением.

С 1 января 2018 года согласие также можно оформить в виде электронного документа, подписанного усиленной квалифицированной или простой электронной подписью пациента (его законного представителя) и электронной подписью медицинского работника.

Если состояние пациента не позволяет ему выразить свою волю, а медицинское вмешательство неотложно, вопрос о его проведении решают консилиум или лечащий врач.

Медицинское вмешательство без информированного добровольного согласия также возможно в отношении пациентов:
– страдающих заболеваниями, представляющими опасность для окружающих;
– страдающих тяжелыми психическими расстройствами;
– совершивших общественно опасные деяния (преступления);
– направленных на судебно-медицинскую и (или) судебно-психиатрическую экспертизы.

Предоставление персональных пациента данных третьим лицам

Законодательство запрещает предоставлять третьим лицам и распространять персональные данные без согласия пациента (ст. 7 Закона № 152-ФЗ).

Под предоставлением в данном случае понимаются действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, а под распространением — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (ст. 2 Закона № 152-ФЗ).

Вместе с тем, Закон № 323-ФЗ допускает разглашение сведений, составляющих врачебную тайну, с письменного согласия пациента или его законного представителя другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях (п. 2 ст. 13 Закона № 323-ФЗ).

Кроме того, предоставление сведений, составляющих врачебную тайну, без согласия пациента или его законного представителя возможно (п. 3 ст.

13 Закона № 323-ФЗ):
– в целях проведения медицинского обследования и лечения пациента, который в результате своего состояния не способен выразить свою волю;
– при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
– по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля;
– в целях осуществления уполномоченными федеральными органами исполнительной власти контроля за исполнением лицами, признанными больными наркоманией либо потребляющими наркотические средства или психотропные вещества без назначения врача либо новые потенциально опасные психоактивные вещества, возложенной на них при назначении административного наказания судом обязанности пройти лечение от наркомании, диагностику, профилактические мероприятия и (или) медицинскую реабилитацию;
– в случае оказания медицинской помощи несовершеннолетнему для информирования одного из его родителей или иного законного представителя;
– в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
– в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий;
– при обмене информацией между медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства РФ о персональных данных;
– в целях осуществления учета и контроля в системе обязательного социального страхования.

Предоставление персональных данных пациенту или его законному представителю

Источник: https://www.garantexpress.ru/statji/personalnie-dannie-patsientov-v-meditsinskih-organizatsijah-trebovania-k-obrabotke-i-otvetstvennost/

«Данные — это новое топливо»: кто и зачем следит за вами

Кто может дать Персональные данные

Информация — кровь современного постиндустриального общества. Экономисты и социологи уже давно называют современное общество информационным.

Значительную часть всех собираемых и обрабатываемых данных составляет информация о гражданах, пользователях, резидентах, абонентах, пациентах, покупателях и пассажирах — то есть о нас с вами.

Сбором данных и их обработкой сейчас занимаются все: интернет-компании, операторы связи, банки, страховые и транспортные компании, торговые и медицинские организации, государственные структуры и даже криминал.

Без соответствующих баз данных не могут функционировать ни государственные структуры, ни бизнес, однако главные «майнеры» информации о пользователях — это интернет-компании, такие как Google, Apple, Amazon, Microsoft, мобильные операторы, производители мобильных телефонов, разработчики мобильных приложений и владельцы мобильных платформ. Объем информации о пользователях, доступный им, поражает воображение.

Госрегуляторы попытались (пока без особого успеха) как-то классифицировать информацию, касающуюся частных лиц, выделить ее и ограничить манипуляции с ней.

Появился специальный термин — персональные данные. В России персональными данными является любая информация, относящаяся прямо или косвенно к определенному лицу.

Есть закон (№152-ФЗ), регулирующий сбор, хранение, обработку и передачу таких данных.

Серая зона

«Очевидно, что данные сегодня — это топливо цифровой экономики. Мы уже привыкли к множеству бесплатных сервисов и приложений, которые существуют только за счет тех данных, которыми мы их ежедневно кормим. Рынок данных — это действительно многомиллиардный рынок. Они есть у всех.

И уже многие научились их обрабатывать, использовать в целях скорринга, маркетинга. Тем не менее легализировать их достаточно сложно. Во многих случаях использование таких данных не совсем законно.

Большинство договоров между дата-майнерами и заказчиками прикрываются различными притворными сделками по оказанию услуг, и этот рынок живет в серой зоне», — считает адвокат «Роскомсвободы» Саркис Дарбинян.

Часть данных о себе мы предоставляем явным образом, например, показывая паспорт в банке или в МФЦ, заполняя анкеты при получении услуг, но большая часть информации собирается о нас тайно. Сookie в браузере, история поиска и веб-серфинга, банковские транзакции, геоданные и множество других цифровых следов собирается без всякого уведомления.

Как правило, разрешение на сбор, обработку и использование любой информации мы даем в тот момент, когда «подписываемся» под лицензионным соглашением приложения или интернет-сервиса.

Добровольно ли мы даем такое соглашение? Не совсем. Попробуйте не дать приложению «Карты» доступ к геолокации смартфона и посмотрите, насколько неудобно станет пользоваться навигацией. А часть сервисов и программ вообще невозможно использовать без соответствующей «галочки» в лицензионном соглашении.

То, что называется благозвучным эвфемизмом «сбор пользовательских данных», можно заменить словом «слежка».

Более того, если говорить о деятельности коммерческих компаний, то уже идет своеобразная война экосистем. Чем больше экосистема, тем больше рекламы откручено, больше данных для аналитики.

Чем полнее аналитика, чем лучше машинные алгоритмы обработки, тем более эффективен таргетинг и выше доход.

Например, вы обсуждаете дома с детьми, на какой фильм сходить в ближайшие выходные, а на следующий день видите рекламу киноновинок в своей ленте или в контекстной рекламе в браузере. Если же вы воспользовались поиском, чтобы узнать цену на тот или иной товар, то предложения различных интернет-магазинов будут вас гарантированно преследовать еще пару недель.

Если мы говорим о мобильных устройствах, то технически такую коммерческую «слежку» реализовать не так уж сложно — достаточно установить приложение с рекламным модулем и разрешение на доступ к микрофону.

В этом случае оно сможет собирать любую звуковую информацию с помощью микрофона, смартфона или умной колонки. Пока похожий функционал есть в основном в шпионском вредоносном ПО, но вероятность такого поведения со стороны коммерческих приложений тоже существует.

«Рекламные модули в различных мобильных приложениях могут собирать много информации об устройстве и его владельце: начиная от истории браузера и идентификатора устройства IMEI, заканчивая геолокацией. Все это может быть использовано для улучшения эффективности рекламы, которая массово показывается пользователю», – говорит Виктор Чебышев, антивирусный эксперт «Лаборатории Касперского».

Люди не видят опасности

Безопасен ли такой, практически неконтролируемый, сбор данных? Разумеется, нет. Более того, обеспечение приватности данных пользователя и защита его от взломов и утечек — не менее важная задача для современных защитных решений, чем собственно защита от вирусов или фишинга, считает веб-аналитик Владислав Тушканов.

Если у какого-то сайта «утекла» база логинов-паролей, а пользователь использовал на нем ту же комбинацию, что и для личной почты или онлайн-банка, его аккаунты на них могут быть взломаны.

Пока единственным способом ограничить себя от постоянной слежки в интернете, сохраняя при этом привычные социальные связи, является использование браузерных версий сервисов вместо соответствующих им приложений.

В этом случае пользователь жертвует удобством, но значительно ограничивает для этих сервисов доступ к записной книжке, геолокации, списку установленных приложений и другим данным, хранящимся на вашем смартфоне.

В отличие от мобильных приложений, веб-версии обычно продолжают работать, даже если не выдать им разрешение на доступ к GPS.

Интересны результаты невольно проведенного социального эксперимента. Компания разместила в магазинах мобильных приложений программу Research, которая позволяла компании отслеживать все действия пользователя на его смартфоне. При этом пользователям, установившим приложение, компания выплачивала по $20 в месяц и дополнительное вознаграждение за привлечение новых пользователей.

Скандал разгорелся нешуточный, а Apple даже удалила из App Store приложение, обвинив в нарушении условий использования специальных сертификатов.

Однако не только Apple, у которой свои счеты с Цукербергом, не понравилось публичное размещение «шпионской» программы. Общественная реакция говорит о том, что несмотря на всю «новую прозрачность» и сетевой «эксгибиционизм», насаждаемый социальными сетями, люди ценят приватность и не хотят делиться информацией о себе с кем попало.

Кто владеет данными?

В текущей ситуации хорошо видны несколько фундаментальных противоречий между тремя основными сущностями современного информационного общества: пользователями, бизнесом и государством.

Обычный человек не хочет, чтобы государство или коммерческие организации следили за каждым его шагом, но при этом желает пользоваться бесплатными сервисами, невозможными без сбора данных.

Бизнес хочет максимально свободно собирать, хранить и использовать информацию о своих пользователях, причем без всяких ограничений, зарабатывать на ней и ни с кем не делиться доходами от такого рода деятельности.

Государство хочет иметь максимально полную информацию о своих гражданах и при этом ограничивать в этом сборе бизнес и все контролировать.

То есть мы имеем ситуацию, когда интересы каждой из сторон совершенно не совпадают, что создает почву для многочисленных конфликтов.

По словам руководителя проектов компании IDX Светлана Беловой, нынешние противоречия рынка данных связанны с отсутствием четкого ответа на вопрос: кому принадлежат данные о пользователе.

«С нашей точки зрения, противоречия между государственной политикой в отношении персональных данных и бизнесом, который стремиться коммерциализировать пользовательские данные, могут быть сняты, если будет однозначно определено, что персональные данные принадлежат самому субъекту, и граждане смогут активно участвовать в управлении своими данными. Ужиться противоположные тренды могут очень просто.

Необходимо обеспечить правовую основу вовлечения субъекта персональных данных в оборот его данных, сделать гражданина полноправным участником рынка ПД, заинтересованным в качестве и полноте его «цифрового профиля».

Все противоречия исчезнут, когда гражданин, а не только частные компании и государство, получит информацию о собираемых данных и возможность распоряжаться их использованием», — считает Белова.

По мнению Дарбиняна, для того чтобы найти баланс интересов следует воспользоваться европейским опытом.

«GDPR задал новые стандарты в части культуры сбора, хранения и использования данных. Требуется не только согласие пользователя, но и законная цель. В противном случае компанию ждут серьезные проблемы в Европе — штрафы, запрет на деятельность на европейском рынке. У нас тоже сейчас идет активная дискуссия по поводу реформирования законодательства о персональных данных.

Осенью 2018 года Россия подписала модернизированный протокол к 108-ой Конвенции, и после ее ратификации нам предстоит внести множество изменений, и даже полностью поменять систему охраны данных, в том числе создать действительно независимый уполномоченный орган. Недавно был предложен законопроект о больших данных. Его тоже долго обсуждали, критиковали», — заявил эксперт.

Адвокат «Роскомсвободы» отметил, что иногда звучат и радикальные идеи.

«Например, во ФРИИ [Фонд развития интернет-инициатив] предложили недавно идею заключения договора на продажу данных между пользователем и платформой. Чтобы после покупки оператор мог делать с данными что угодно без дальнейшего согласия пользователя.

Это очень тяжелая дискуссия.

Но я надеюсь, рано или поздно мы придем к консенсусу и создадим реально работающие инструменты, которые с одной стороны дадут защиту самим пользователям, а с другой стороны, не задушат бурно развивающийся рынок», — заявил Дарбинян.

Источник: https://www.gazeta.ru/tech/2019/02/09/12158017/not_our_data.shtml

Зачем нужно согласие на обработку персональных данных — Право на vc.ru

Кто может дать Персональные данные

Хотите иметь дело с проверкой Роскомнадзором своего ИТ-продукта или сайта? А потом ещё платить штраф, нести ответственность?

Думаю, что нет. Поэтому, давайте, начнём разбирать что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов.

Немного теории

Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

1) нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

– Физическое лицо: предупреждение или штраф в размере 1 000 – 3 000 рублей;

– Должностное лицо: штраф в размере от 5 000 – 10 000 рублей;

– Юридическое лицо: штраф в размере 30 000 – 50 000 рублей;

2) Обработка персональных данных без согласия гражданина приведет:

– Физическое лицо: штраф в размере 3 000 – 5 000 рублей;

– Должностное лицо: штраф в размере от 10 000 – 20 000 рублей;

– Юридическое лицо: штраф в размере 15 000 – 75 000 рублей;

3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:

– Физическое лицо: штраф в размере 700 – 1 500 рублей;

– Должностное лицо: штраф в размере от 3 000 – 6 000 рублей;

– Индивидуальный предприниматель: штраф в размере от 5 000 – 10 000 рублей

– Юридическое лицо: штраф в размере 15 000 – 30 000 рублей;

Первоначально определимся с основными понятиями и поймём, что же они значат (неформальное объяснение по тексту будет обозначаться “Д”, это от слова description):

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Д: это любая совокупность информации, через которую можно определить определенного человека. К примеру, абстрактная электронная почта, допустим posledni_kaktus_naokne@bk.

ru – не относится к ПД, однако электронная почта с рабочим адресом допустим, ivan.ivanov@romashka.ru с подписью в письме “Главный инженер” – относятся к персональным данным, т.к.

мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации “Ромашка”.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Д: это вы, собирающий персональные данные. Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека – и вот вы уже владелец персональных данных в лице оператора.

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Д: это любые действия, которые вы совершаете как оператор.

Самый большой штраф как вы видите – это за сбор ПД гражданина без согласия, поэтому в статье будем говорить в основном об этом.

Определим сразу случаи, когда согласие на обработку ПД не надо собирать в соответствии с законодательством Российской Федерации:

1. Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.

Д: когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.

2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Д: когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные. Сюда подходит и оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент когда собираете ПД – наступает раньше.

3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.

Д: вы обезличиваете данные физического лица и “размываете” их в море других данных, соответственно определить кому что принадлежит – невозможно даже вам.

4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

Д: данный пункт не относится к интернет-проектам, но для понимания ситуации, пример, когда приезжает частная медицинская бригада и оказывает помощь.

5. Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.

Д: если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги – нет необходимости требовать согласия на обработку ПД.

6. Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

7. Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Д: не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством Российской Российской Федерации.

Во всех остальных случаях, при контакте и сборе ПД от физического лица – вы должны получать его согласие и иначе никак – закон есть закон!

Что делать

Теперь разберём как собирать ПД и получать согласие.

Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных.

Если у вас юридическое лицо или вы – индивидуальный предприниматель – вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии.

Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах – относится не только к работе с потребителями, но и с работниками.

Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.

Самое главное по теме.

Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.

При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!

Немного юридического обоснования чекбоксов, а как называет Роскомнадзор – “галочек”:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:

“4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью…”.

Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:

“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме.

Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.

Подать уведомление об обработке ПДн в Роскомнадзор.

В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД.

За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется:

– политика обработки персональных данных;

– приказ об утверждении вышеуказанной политики;

– согласие на обработку персональных данных;

– чекбокс с гиперссылкой на вышеуказанное согласие.

Всё это требуется опубликовать на сайте и / или в приложении.

И зачем всё это вообще?

Для чего же это вообще нужно? Зачем нужно беспокоиться о персональных данных и о получении согласия пользователя на их обработку?

Конечно, это прежде всего административная (штрафы, блокировка) и гражданская (причинение вреда) ответственность – такие вещи могут очень серьёзно повлиять на бизнес. Но есть ещё такая штука как частная жизнь граждан, как злоупотребление правом и недобросовестная реклама продавцов.

Я на 100% уверен, что каждый из нас не любит, когда на телефон приходит спам, реклама, а посередине ночи будит смс или звонок с просьбой “срочно перевести деньги, а то в тюрьму посадят”. А всё это происходит из-за ненадлежащего исполнения лицами, осуществляющими сбор персональных данных, своих обязательств.

И согласие на обработку ПД – всего лишь часть механизма, который должен обеспечивать нашу с вами защиту как граждан и повышать социальную ответственность.

К сожалению, такие полезные институты и механизмы могут превратиться в инструмент для давления… И мы как юристы должны эффективно использовать законы и максимально обезопасить бизнес от этого.

Так что, если вы выполнили все условия и шаги из настоящей статьи, то поздравляем – вы не только уменьшили вероятность быть оштрафованным и привлеченным к ответственности (работа с ПД физических лиц лишь небольшая часть правовой политики ИТ-продукта), но и сделали шаг к социально-ориентированному Интернет-пространству, уважающему личные данные пользователей!

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать

Источник: https://vc.ru/legal/46868-zachem-nuzhno-soglasie-na-obrabotku-personalnyh-dannyh

Закон для всех
Добавить комментарий