Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Согласие на обработку персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Не относятся к биометрическим данным фото в личном деле сотрудника, подпись и почерк. Происходит это по тому, что их анализ направлен на подтверждение принадлежности человеку, который уже идентифицирован в информационной системе.
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Сколько согласий запрашивать?
В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.
Это согласие работодатели уже давно должны были запросить у работников.
К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).
В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.
Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.
Согласие работника на обработку персональных данных
Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.
Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).
Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.
В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).
Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).
Настоятельно рекомендуем включить в него следующую информацию:
- цели получения персональных данных работника у третьих лиц;
- предполагаемые источники информации (лица, у которых будете запрашивать данные);
- способы получения данных, их характер;
- возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.
Риски при нарушении требований к обработке персональных данных работников организации
В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:
- — на граждан — от 500 до 1 000 руб.;
- — на должностных лиц — от 4 000 до 5 000 руб.
Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных
За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.
В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):
- — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
- — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
- — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.
Хранение и защита биометрических данных
Согласно 152-ФЗ персональные сведенья могут храниться не дольше, чем этого требуют цели их обработки, после чего они должны быть удалены или обезличены. Храниться биометрия может в информационных системах (далее – ИС), либо же вне ИС на материальных носителях информации (далее – МНИ). К МНИ могут относиться флешки, диски и т. д. Важно указать, что бумажные носители не являются МНИ.
В случаи использования МНИ, к ним и к технологиям хранения должны применяться требования защиты. Данные требования приведены в Постановлении от 6 июля 2008 г. №512 (далее – П 512).
МНИ должны обеспечивать:
- невозможность НСД;
- идентификацию ИС, в которую была записана данная биометрия;
- доступ к данным для уполномоченных лиц;
- защиту от несанкционированного изменения, записи или дополнения.
Технологии хранения биометрии вне ИС должны обеспечивать:
- доступ к данным для уполномоченных лиц;
- применение электронной цифровой подписи или других технологий для обеспечения целостности и неизменности данных на МНИ;
- проверку наличия согласия субъекта на обработку биометрии.
Основной сферой, в которой актуально использование биометрических ПДн, является банковская сфера. В банке может быть развернута так называемая Единая биометрическая система (далее – ЕБС). Это совсем небольшой выделенный сегмент в организации, в котором происходит сбор, обработка и хранение биометрии. Все данные из ЕБС передаются в Единую систему идентификации и аутентификации (далее – ЕСИА).
Предоставление персональных данных пациенту или его законному представителю
Медицинская организация обязана сообщить пациенту или его законному представителю информацию о наличии персональных данных и предоставить возможность для ознакомления с ними в течение 30 дней с даты получения соответствующего запроса от пациента или его представителя (ст. 14, ст. 20 Закона № 152-ФЗ).
Согласно Закону № 323-ФЗ пациент или его законный представитель имеют право на основании письменного заявления получать отражающие состояние здоровья медицинские документы, их копии и выписки из медицинских документов (п. 5 ст. 22 Закона № 323-ФЗ) в порядке утвержденном приказом Минздравсоцразвития РФ от 02.05.2012 № 441н, а также непосредственно знакомиться с медицинской документацией, отражающей состояние здоровья в порядке, утвержденном приказом Министерства здравоохранения РФ от 29.06.2016 № 425н.
Новая обязанность операторов персданных
Они должны:
- незамедлительно информировать об инцидентах с принадлежащими им базами персональных данных уполномоченные органы власти (Роскомнадзор и др.);
- обеспечивать непрерывное взаимодействие с госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (в частности, сообщать о причинах утечки персданных).
Кроме того, уведомлять Роскомнадзор о планах обрабатывать личную информацию нужно теперь и в случаях, когда эти сведения:
- относятся к работникам;
- принадлежат контрагентам оператора, а он использует персданные, чтобы исполнять договоры или заключать новые соглашения с теми же гражданами (при этом сведения не распространяют и не передают третьим лицам без согласия);
- нужны для однократного пропуска гражданина на территорию оператора или для аналогичных целей.
До 01.09.2022 в этих и некоторых других случаях извещать ведомство не нужно было.
Вдобавок оператор должен до начала обработки личных сведений, которые он получил от другого источника, перечислить такие данные их субъекту.
Биометрические данные граждан при изменении внешности
Внешность человека имеет свойство меняться в силу возраста, травм или операций. Если хотите, чтобы система исправно работала даже после таких трансформаций, персональные данные в ней нужно менять. Стандартный срок – раз в три года.
Внеурочно зарегистрироваться придется, если внешность изменилась сильно и обработкаперсональных данных невозможна. Например, после пластической операции, травмы. Если просто отрастили бороду – сбоя не возникнет. Также придется вносить обновленные данные, если сильно охрипли – система не считает изменившийся голос. Конечно, можно подождать пока голос не вернет свой привычный тембр, но если этого не происходит, придется идти в банк, подтверждать свою личность и новый голос.
Как законно отказаться от биометрии?
Закон не вменяет в обязанности человека сдавать биометрические данные, поскольку это право.
Следовательно, лицо может просто сказать, что не хочет предоставлять информацию о своих биометрических данных и отказывается от этого.
Если тот или иной сотрудник, например, банка, будет настаивать, то можно попросить его назвать конкретную норму права, которая говорит об обязанности лица предоставлять банку свою биометрию. Сотрудник назвать такую норму не сможет и, скорее всего, прекратит всякие действия по настаиванию на предоставлении биометрии.
На форумах в интернете еще встречаются такие рассказы, когда на просьбу сдать свою биометрию, люди отвечают, скорее всего, в шутку, что им вера не позволяет сдавать биометрию и все просьбы и уговоры якобы прекращаются.
Разбираясь в вопросе: фотография это персональные данные или нет, нужно помнить, что под персданными понимается любая информация, прямо или косвенно относящаяся к конкретному физическому лицу, говоря языком закона – субъекту персональных данных (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).
Понятно, что по фотоизображению можно идентифицировать человека, так как фотография является способом подачи информации путем визуального восприятия. Получается, что фотография является персональными данными по закону. Следовательно, работая с фото сотрудников, нужно придерживаться обязательных правил работы с данной информацией.
На практике компания должна получить разрешение на манипуляции с фотографией работника. Например, размещая информацию о нем на официальном сайте организации в интернете, на доске почета или бейджике. Ведь фотография – это биометрические данные (определение Верховного суда от 05.03.2018 № 307-КГ18-101). Таким образом, мы разобрались с вопросом: фотография персональные данные или нет.
В последние годы, биометрические данные все чаще используются для установления личности человека в различных сферах деятельности. Самые распространенные среди них:
- установление персонального фота на биометрические паспорта;
- получение визы по упрощенной системе с использованием биометрической идентификации по современной электронной базе, способной распознавать граждан желающих пересечь границу без законного на то права;
- использование отпечатков пальца для работы с гаджетами (современные сенсорные смартфоны и планшеты). Хотя в этом случае работает не глобальная система идентификации, а персональное приложение, на котором можно сбросить настройки;
- как уже выше упомянуто отпечатки используют в дактилоскопии;
- использование голоса, радужки глаза и отпечатка в охранных системах на охраняемых объектах для идентификации личности и предоставления права доступа к определенным помещениям;
- начиная с июля внедряется программа сбора биометрических данных для улучшения работы банковской сферы. Для идентификации клиентов будут отобраны их фото и слепок голоса;
- использование экспертизы почерка и динамики подписи для идентификации личности заключившего договор или составившего, к примеру, доверенность, завещание и другое.
Однако, это далеко не полный список уже развитой сферы применения биометрических данных человека. Важно понимать, что эта технология активно развивается и может быть использована даже в ограниченных кругах, к примеру, для идентификации сотрудниках определенного предприятия, что упрощает процесс отслеживания их присутствия на рабочем месте и осуществляемой работы.
Как требовать блокировки и удаления своих данных
Если вы когда-либо давали согласие на сдачу и обработку своей биометрии или согласитесь на это в будущем, ситуацию можно будет отыграть назад.
Закон устанавливает, что граждане получают право:
- «…направить оператору единой биометрической системы требование о блокировании, об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы»;
- «…ознакомиться со сведениями о представленном им отказе от сбора и размещения его биометрических персональных данных в целях проведения идентификации и (или) аутентификации, а также в случае отзыва такого отказа ознакомиться со сведениями об отзыве».
Организации и индивидуальные предприниматели, взаимодействуя с сотрудниками, получают доступ к их персональных данным. Полученные сведения хранятся в личных карточках, которые заводят на работников. Также подобные сведения содержатся в личных делах сотрудников, при условии их ведения работодателем.
Под персональными данными понимается любая информация, касающаяся конкретного работника и необходимая работодателю в рамках трудовых отношений с ним (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).
По закону организация, получившая доступ к персданным, должна обеспечить их хранение и конфиденциальность. Обычно источником информации о себе является сам работник. Однако в некоторых случаях сведения о конкретном сотруднике могут быть запрошены у третьих лиц. В такой ситуации нужно получить письменное согласие сотрудника. Для этого компания должна проинформировать сотрудника (п. 3 ч. 1 ст. 86 ТК РФ):
- о целях получения данных и характере информации;
- источнике данных и способе получения;
- последствиях отказа от предоставления согласия на их получение.
Основные правила работы с персданными фиксируются в специальном внутреннем локальном акте – Положении о работе с персональными данными. Фотография работника к ним относится?
Адвокат по биометрическим данным в Екатеринбурге
Если у Вас возникли какие-то вопросы, связанные с биометрическими данными, либо Вам отказывают в оказании каких-либо услуг, потому что Вы не предоставляете биометрические персональные данные, тогда обратитесь к адвокатам нашего бюро, которые могут оказать следующие услуги в этой сфере:
- консультация по вопросам предоставления и использования биометрических данных
- подготовка заявление об отзыве своего согласия на использование биометрических данных
- подготовка претензии в адрес оператора на незаконное использование Вашей биометрии
- подготовка жалобы на нарушение Ваших прав, в связи с использованием Ваших биометрических персональных данных
- представление интересов доверителя по вопросам незаконного использования Ваших данных, по вопросам обжалования действий операторов и т.п.
Как отозвать согласие на обработку биометрических данных?
Чаще всего согласие на обработку биометрических данных дается в письменной форме. Однако, такое согласие может быть получено и через совершение лицом действий, направленных на фиксацию биометрических данных. Например, в банках предлагают сфотографироваться на камеру и назвать цифры для аудиозаписи голоса, после чего биометрия получена и согласие тоже.
Как же отозвать согласие на обработку биометрических данных? Отозвать согласие путем совершения каких-то действий наверное не удастся, да и доказать в случае чего такой отзыв будет затруднительно. Поэтому действуем по старинке и оформляем в письменной форме заявление на отзыв соответствующего согласия.
В заявлении на отзыв согласия следует указать адресата, от кого подается заявление и в тексте указать, что Вы отзываете свое согласие на обработку Ваших биометрических данных. Поставить дату и подпись. Затем заявление можно вручить лично под отметку на Вашем экземпляре или направить по почте заказным письмом.
ПОЛЕЗНО:
Спрос на услугу населения и первые прогнозы банков
Хотя банки и хотели получить право на более качественную идентификацию своих клиентов посредством биометрии, однако, многие понимают, что помимо их желания есть нежелание граждан. Современная молодежь, которая только приветствует различные новации и адекватно воспринимает цифровизацию нашего мира, практически в большинстве поддерживают подобную инициативу. Особенно это касается тех, кто активно использует в своей деятельности интернет и удаленное обслуживание.
Проблемой же, по мнению сотрудников Сбербанка, станут люди среднего и более старшего поколения. Они негативно воспринимают все что непонятно. А особенно это касается пенсионеров, которые и так видят во всем подвох, а тут еще и хотят получить их биометрические данные. По предварительным предположениям, в первое время (1-2 года) люди будут неохотно предоставлять свои данные, но со временем это процесс станет необходимым.
А вот ВТБ отметил, что это реальный способ повысить число клиентов, выбирающих удаленное обслуживание. На сегодняшний день доля цифровых продаж в объеме оборота банка составляет около 40%. А по оптимистичным прогнозам она может достигнуть 60% уже к концу 2019 года.
Альфа-банк, присоединившись к глобальной программе, на первых парах начал принимать биометрические данные только в 2 центральных отделения. После того как персонал пройдет обучение, постепенно будет внедряться эта система и в других отделения. Уже к концу года получится охватить 87 отделений банка. Банк видит в этой системе реальную возможность для развития своей деятельности и упрощения процесс получения услуг для клиентов. А, помимо этого, таким образом получиться освободить часть сотрудников для развития других приоритетных направлений деятельности банка.
Специалисты по развитию в «Открытии» отмечают, что за столь короткий срок времени им уже удалось собрать более 40 тыс. фотографий. Использовать ее запланировано при большинстве проводимых операций, в том числе при переводах с карты банка. Отмечено, что такой способ идентификации упростит процесс оформления документов, ведь основная информация будет подтягиваться автоматически.
Что относится к биометрическим персональным данным
К персональным биометрическим данным относятся уникальные и универсальные характеристики личности человека. Это все то, что не изменяется в человеке на протяжении всей его жизни. В данный перечень можно отнести следующее:
- ДНК;
- отпечатки пальцев;
- группа крови;
- рисунок радужной оболочки глаза.
Как сообщили представители Роскомнадзора, персональные данные могут считаться биометрическими в том случае, если:
- данные содержат физиологические и биологические особенности человека;
- по предоставленным данным человек легко идентифицируется;
- установкой личности должен заниматься эксперт.
Важно понимать, что к категории биометрических данных относятся только данные, которые необходимы для идентификации личности человека. К примеру, результаты анализов, рентгеновские и прочие виды исследований не относятся к этой категории.